Azure 路由服务器常见问题解答 (FAQ)
常规
什么是 Azure 路由服务器?
Azure 路由服务器是一项完全托管的服务,可让你轻松管理网络虚拟设备 (NVA) 和虚拟网络之间的路由。
Azure 路由服务器只是一个虚拟机吗?
不是。 Azure 路由服务器是一项旨在提供高可用性的服务。 如果你在支持可用性区域的 Azure 区域中部署路由服务器,它会具有区域级冗余。
我是否需要将每个 NVA 与两个 Azure 路由服务器实例对等互连?
是的,为了确保将路由成功播发到路由服务器并配置高可用性,需要将每个 NVA 实例同时与路由服务器的两个实例对等互连并将相同的路由播发到这两个实例。 另外,建议将至少 2 个 NVA 实例同时与路由服务器的两个实例对等互连。
注意
在路由服务器维护事件期间,BGP 对等互连可能会在 NVA 和路由服务器的某个实例之间关闭。 因此,如果将 NVA 配置为与路由服务器的两个实例对等互连,则连接将在维护事件期间保持正常运行。
Azure 路由服务器是否存储客户数据?
不是。 Azure 路由服务器仅与你的网络虚拟设备 (NVA) 交换 BGP 路由,然后将其传播到虚拟网络。
Azure 路由服务器是否支持虚拟网络对等互连?
是,如果你将托管了 Azure 路由服务器的虚拟网络对等互连到另一个虚拟网络,并在第二个虚拟网络上启用了“使用远程虚拟网络的网关或路由服务器”,则 Azure 路由服务器将获知该虚拟网络的地址空间,并将其发送到所有已对等互连的网络虚拟设备 (NVA)。 它还会将来自 NVA 的路由编入已对等互连的虚拟网络中虚拟机的路由表。
为什么 Azure 路由服务器需要具有开放端口的公共 IP 地址?
Azure 的基础 SDN 和管理平台需要这些公共终结点才能与 Azure 路由服务器通信。 由于路由服务器被视为客户专用网的一部分,因此出于合规性要求,Azure 的基础平台无法通过其专用终结点直接访问和管理路由服务器。 与路由服务器的公共终结点的连接通过证书进行身份验证,Azure 会对这些公共终结点进行例行安全审核。 因此,它们不会给虚拟网络带来安全隐患。
Azure 路由服务器是否支持 IPv6?
不是。 我们未来会增加 IPv6 支持。 如果已部署具有 IPv6 地址空间的虚拟网络,然后在同一虚拟网络中部署 Azure 路由服务器,则会中断 IPv6 流量的连接。
警告
如果已部署具有 IPv6 地址空间的虚拟网络,然后在同一虚拟网络中部署 Azure 路由服务器,则也会中断 IPv4 流量的连接。 此问题将在我们的下一个版本中修复,以确保 IPv4 流量继续按预期工作。
路由
Azure 路由服务器是否会在我的 NVA 和 VM 之间路由数据流量?
不是。 Azure 路由服务器仅与你的网络虚拟设备 (NVA) 交换 BGP 路由。 数据流量直接从 NVA 流入目标虚拟机 (VM),并直接从 VM 流入 NVA。
Azure 路由服务器支持哪些路由协议?
Azure 路由服务器仅支持边界网关 (BGP) 协议。 你的网络虚拟设备 (NVA) 必须支持多跃点外部 BGP,因为你将需要在虚拟网络的专用子网中部署路由服务器。 在 NVA 上配置 BGP 时,所选 ASN 必须与路由服务器 ASN 不同。
Azure 路由服务器是否会保留其接收的路由的 BGP AS 路径?
会,Azure 路由服务器会在 BGP AS 路径完整的情况下传播路由。
如果在 NVA 上为路由服务器配置了 AS 路径前预置,ExpressRoute 线路是否会将 AS 路径前预置信息传递到本地?
当 ExpressRoute 将路由播发到本地时,它会删除专用的 BGP ASN 信息。 本地会接收前缀,为 AS 12076。
Azure 路由服务器是否保留其接收的路由的 BGP 社区?
是的,Azure 路由服务器按原样传播路由及 BGP 社区。
Azure 路由服务器的 BGP 计时器设置是什么?
Azure 路由服务器的保活计时器为 60 秒,保持计时器为 180 秒。
Azure 路由服务器是否可以筛选出来自 NVA 的路由?
Azure 路由服务器支持 NO_ADVERTISE BGP 社区。 如果网络虚拟设备 (NVA) 使用此社区字符串向路由服务器播发路由,路由服务器不会将其播发到包括 ExpressRoute 网关在内的其他对等机。 此功能有助于减少要从 Azure 路由服务器发送到 ExpressRoute 的路由数。
当在中心 VNet 和辐射 VNet 之间创建了 VNet 对等互连时,这是否会导致 Azure 路由服务器与其对等互连的 NVA 之间的 BGP 软重置?
是的。 如果在中心 VNet 和辐射 VNet 之间创建了 VNet 对等互连,Azure 路由服务器将通过向所有对等互连的 NVA 发送路由刷新请求来执行 BGP 软重置。 如果 NVA 不支持 BGP 路由刷新,则 Azure 路由服务器将执行与对等互连的 NVA 的 BGP 硬重置,这可能会导致遍历 NVA 的流量的连接中断。
如何计算 NVA 和 Azure 路由服务器之间的 BGP 对等互连会话的 1000 条路由限制?
目前,路由服务器最多可以接受来自单个 BGP 对等机的 1000 条路由。 在处理 BGP 路由更新时,此限制的计算方式为当前从 BGP 对等机获知的路由数加上 BGP 路由更新中传入的路由数。 例如,如果 NVA 最初将 501 条路由播发到路由服务器,稍后在 BGP 路由更新中重新播发这 501 条路由,则路由服务器会将其计算为 1002 条路由并终止 BGP 会话。
我可以使用哪些自治系统编号 (ASN)?
可以在网络虚拟设备 (NVA) 中使用自己的公共 ASN 或专用 ASN。 不能使用 Azure 或 IANA 保留的 ASN。
- 由 Azure 保留的 ASN:
- 公用 ASN:8074、8075、12076
- 专用 ASN:65515、65517、65518、65519、65520
- 由 IANA 保留的 ASN:
- 23456、64496-64511、65535-65551
能否使用 32 位(4 字节)ASN?
不能,Azure 路由服务器仅支持 16 位(2 字节)ASN。
如果 Azure 路由服务器接收来自多个 NVA 的相同路由,它会如何处理这些路由?
如果路由的 AS 路径长度相同,Azure 路由服务器会将路由的多个副本(每个副本有不同的下一个跃点)编入虚拟网络中的虚拟机 (VM)。 当 VM 将流量发送到此路由的目标时,VM 主机会使用等价多路径 (ECMP) 路由。 但是,如果一个 NVA 发送的路由的 AS 路径长度比其他 NVA 的短,则 Azure 路由服务器只会将下一个跃点设置为此 NVA 的路由编入虚拟网络中的 VM。
创建路由服务器是否影响现有虚拟网关(VPN 或 ExpressRoute)的运行?
是的。 如果在包含虚拟网络网关(ExpressRoute 或 VPN)的虚拟网络中创建或删除路由服务器,预计在操作完成之前会出现停机。 如果 ExpressRoute 线路连接到你要在其中创建或删除路由服务器的虚拟网络,则停机时间不会影响 ExpressRoute 线路或它与其他虚拟网络的连接。
默认情况下,Azure 路由服务器是否在 NVA 与虚拟网络网关之间(VPN 或 ExpressRoute)之间交换路由?
不是。 默认情况下,Azure 路由服务器不会将它从 NVA 和虚拟网络网关接收的路由传播给对方。 启用分支到分支后,路由服务器将交换这些路由。
当通过 ExpressRoute、VPN 或 SDWAN 获知相同的路由时,首选哪个网络?
默认情况下,通过 ExpressRoute 学习的路由优先于通过 VPN 或 SDWAN 学习的路由。 你可以配置路由优先级来影响路由服务器的路由选择。 有关详细信息,请参阅路由首选项。
Azure VPN 网关与 Azure 路由服务器配合使用的要求是什么?
必须在主动-主动模式下配置 Azure VPN 网关,并将 ASN 设置为 65515。
是否需要在 VPN 网关上启用 BGP?
不是。 不需要在 VPN 网关上启用 BGP 来与路由服务器通信。
是否可以在两个对等互连的虚拟网络中将两个 Azure 路由服务器对等互连,从而支持连接到路由服务器的 NVA 相互通信?
拓扑:NVA1 -> RouteServer1 ->(通过 VNet 对等互连)-> RouteServer2 -> NVA2
不能,Azure 路由服务器不会转发数据流量。 要通过 NVA 启用传输连接,请在 NVA 之间设置直接连接(例如,IPsec 隧道),并使用路由服务器进行动态路由传播。
是否可以使用 Azure 路由服务器在同一虚拟网络中的子网之间定向流量以使子网间流量流经 NVA?
不是。 Azure 路由服务器使用 BGP 来播发路由。 即使 BGP 路由更具体,与虚拟网络、虚拟网络对等互连或虚拟网络服务终结点相关的流量的系统路由也仍是首选路由。 必须继续使用用户定义的路由 (UDR) 来替代系统路由,并且不能利用 BGP 快速故障转移这些路由。 在故障转移情况下,必须继续使用第三方解决方案来通过 API 更新 UDR,或使用具有 HA 端口模式的 Azure 负载均衡器来定向流量。
你仍可以使用路由服务器将不同虚拟网络中子网之间的流量定向到使用 NVA 的流。 可能可行的设计是每个“分支”虚拟网络一个子网,并且所有“分支”虚拟网络都对等互连到“中心”虚拟网络。 此设计非常有限,需要考虑到缩放注意事项以及 Azure 对虚拟网络与子网的最大限制。
启用了分支到分支时,Azure 路由服务器能否在 ExpressRoute 与点到站点 (P2S) VPN 网关连接之间提供传输?
否,启用了分支到分支设置时,Azure 路由服务器仅在 ExpressRoute 与站点到站点 (S2S) VPN 网关连接之间提供传输。
是否可以在连接到虚拟 WAN 中心的辐射 VNet 中创建 Azure 路由服务器?
不是。 如果分支 VNet 连接到虚拟 WAN 中心,则无法使用路由服务器。
限制
可以在虚拟网络中创建多少个 Azure 路由服务器?
只能在虚拟网络中创建一个路由服务器。 必须将路由服务器部署在名为 RouteServerSubnet 的专用子网中。
是否可以将 UDR 关联到 RouteServerSubnet?
否,Azure 路由服务器不支持在 RouteServerSubnet 子网上配置用户定义的路由 (UDR)。 Azure 路由服务器不会在网络虚拟设备 (NVA) 和虚拟机 (VM) 之间路由任何数据流量。
是否可以将网络安全组 (NSG) 关联到 RouteServerSubnet?
否,Azure 路由服务器不支持将网络安全组关联到 RouteServerSubnet 子网。
什么是 Azure 路由服务器限制?
Azure 路由服务器具有以下限制(对于每个部署)。
资源 | 限制 |
---|---|
BGP 对等机的数量 | 8 |
每个 BGP Peer 可以播发到 Azure 路由服务器的路由数1 | 1,000 |
Azure 路由服务器可支持的虚拟网络(包括对等互连虚拟网络)中的 VM 数量 | 4,000 |
Azure 路由服务器可以支持的虚拟网络数量 | 500 |
Azure 路由服务器可以支持的本地和 Azure 虚拟网络前缀总数 | 10,000 |
1 如果 NVA 播发的路由数超出了限制,会删除 BGP 会话。
若要了解如何排查虚拟机中的路由问题,请参阅诊断 Azure 虚拟机路由问题。
后续步骤
了解如何配置 Azure 路由服务器。