Сведения о сети с двумя сетевыми интерфейсами в Azure Route Server
В типичной архитектуре концентратора и периферийной архитектуры рабочие нагрузки приложений развертываются в периферийных виртуальных сетях (виртуальных сетях). Эти периферийные серверы связаны пирингом с одной центральной виртуальной сетью, которая содержит общие сетевые ресурсы, такие как шлюзы VPN и ExpressRoute. В некоторых случаях желательно устанавливать пиринг периферийных серверов больше чем с одной центральной виртуальной сетью, например, если по какой-либо причине требуется несколько шлюзов VPN или ExpressRoute. Сервер маршрутизации Azure включает эту архитектуру, чтобы рабочие нагрузки в периферийной виртуальной сети могли взаимодействовать через любую из виртуальных сетей концентратора, к которым он подключен.
Настройка
Как видно на приведенной ниже схеме, вам необходимо:
- Разверните сетевое виртуальное устройство (NVA) в каждой виртуальной сети концентратора и сервер маршрутизации в периферийной виртуальной сети.
- включить пиринг между центральными и периферийными виртуальными сетями;
- Настройте пиринг BGP между сервером маршрутов и каждой развернутой NVA.
Как это работает?
В плоскости управления NVA и сервер маршрутов обмениваются маршрутами, как если бы они были развернуты в той же виртуальной сети. NVA узнает о периферийных виртуальных сетевых адресах с сервера маршрутов. Сервер маршрутов будет изучать маршруты из каждого NVA. Затем сервер маршрутов программует все виртуальные машины в периферийной виртуальной сети с помощью маршрутов, которые он узнал.
В плоскости данных виртуальные машины в периферийной виртуальной сети увидят безопасность NVA или VPN-NVA в концентраторе в качестве следующего прыжка. Трафик, предназначенный для трафика, привязанного к Интернету, или гибридный кросс-локальный трафик теперь будет направляться через NVAs в центральной виртуальной сети. Оба концентратора можно настроить по шаблону “активный — активный” или “активный — пассивный”. В случае сбоя активного концентратора трафик, отправляемый с виртуальных машин и адресованный им, передается на другой концентратор в ходе отработки отказа. Эти сбои включают, помимо прочего, сбои NVA и ошибки подключения к службам. Такая конфигурация гарантирует высокий уровень доступности сети.
Интеграция с ExpressRoute
Вы можете создать сеть с двумя сетевыми интерфейсами, включающую два или более подключения ExpressRoute. Помимо вышеописанных действий, вам потребуется:
- Создайте сервер маршрутизации в каждой виртуальной сети концентратора с шлюзом ExpressRoute.
- Настройте пиринг BGP между NVA и сервером маршрутов в центральной виртуальной сети.
- Включите обмен маршрутами между шлюзом ExpressRoute и сервером маршрутов в центральной виртуальной сети.
- убедиться, что параметр “Использовать удаленный шлюз или удаленный сервер маршрутизации” отключен в конфигурации пиринга виртуальных сетей.
Как это работает?
В плоскости управления NVA в виртуальной сети концентратора узнает о локальных маршрутах из шлюза ExpressRoute через обмен маршрутами с сервером маршрутов в концентраторе. В обратном случае NVA отправит периферийные виртуальные сети в шлюз ExpressRoute с помощью того же сервера маршрутизации. Затем сервер маршрутизации в периферийных и центральных виртуальных сетях будет программировать локальные сетевые адреса виртуальным машинам в соответствующей виртуальной сети.
Важно!
Протокол BGP предотвращает цикличность, проверяя номер AS в пути AS. Если получающий сервер маршрутизации видит свой собственный номер AS в пути AS полученного пакета BGP, он упадет пакет. В этом примере оба сервера маршрутов имеют одинаковый номер AS, 65515. Чтобы запретить каждому серверу маршрутизации удалять маршруты с другого сервера маршрутов, NVA должен применять политику BGP как переопределения при пиринге с каждым сервером маршрутов.
В плоскости данных виртуальные машины в периферийной виртуальной сети сначала будут отправлять весь трафик, предназначенный для локальной сети, в NVA в центральной виртуальной сети. Затем NVA будет перенаправлять трафик в локальную сеть при помощи ExpressRoute. Трафик из локальной сети будет проходить тот же путь данных, но в обратном направлении. Вы заметите, что ни один из серверов маршрутов не отображается в пути к данным.