本文提供有关 Azure 路由服务器的常见问题的解答,包括常规服务信息、路由功能和当前限制。
常规
什么是 Azure 路由服务器?
Azure 路由服务器是一项完全托管的服务,可让你轻松管理网络虚拟设备 (NVA) 和虚拟网络之间的路由。
Azure 路由服务器只是一个虚拟机吗?
不是。 Azure 路由服务器是一项旨在提供高可用性的服务。 如果在支持 可用性区域的 Azure 区域中部署路由服务器,则路由服务器具有区域级冗余。
我是否需要将每个 NVA 与两个 Azure 路由服务器实例对等互连?
是的,必须将每个 NVA 实例与路由服务器的两个实例对等互连,以确保路由服务器成功接收路由并配置高可用性。 您还必须向这两个实例同时发布相同的路由。 我们还建议至少将两个 NVA 实例分别与路由服务器的两个实例进行对等互连。
注意
在路由服务器维护期间,BGP 对等连接可能会在 NVA 与路由服务器的某个实例之间中断。 如果将 NVA 配置为与路由服务器的两个实例对等互连,则连接在维护事件期间仍可用。
是否可以获取高级维护通知?
目前,无法获取 Azure 路由服务器维护的高级通知。
Azure 路由服务器是否存储客户数据?
不是。 Azure 路由服务器仅与你的网络虚拟设备 (NVA) 交换 BGP 路由,然后将其传播到虚拟网络。
Azure 路由服务器是否支持虚拟网络对等互连?
是的。 如果将托管 Azure 路由服务器的虚拟网络连接到另一个虚拟网络,并在第二个虚拟网络上启用 使用远程虚拟网络网关或路由服务器,Azure 路由服务器将获取对等虚拟网络的地址空间,并将这些地址空间发送到所有对等网络虚拟设备(网络虚拟设备)。 路由服务器还会将来自 NVA 的路由编入已对等互连的虚拟网络中虚拟机的路由表。
为什么 Azure 路由服务器需要具有开放端口的公共 IP 地址?
Azure 的基础软件定义网络(SDN)和管理平台需要这些公共终结点才能与 Azure 路由服务器通信。 由于路由服务器被视为客户的专用网络的一部分,因此 Azure 的基础平台由于合规性要求而无法通过其专用终结点直接访问和管理路由服务器。 与路由服务器的公共终结点的连接通过证书进行身份验证,Azure 会对这些公共终结点进行例行安全审核。 因此,它们不会构成虚拟网络的安全泄露。
注意
Azure 使用内部证书颁发机构对这些证书进行签名,因此此证书链似乎不是由已知的受信任机构签名的。 这不表示 SSL 漏洞。
Azure 路由服务器是否支持 IPv6?
不是。 如果使用 IPv6 地址空间部署虚拟网络,稍后在同一虚拟网络中部署 Azure 路由服务器,这会中断 IPv6 流量的连接。
可以将具有 IPv6 地址空间的虚拟网络与路由服务器的虚拟网络对等互连,并且在这种双堆栈对等互连中,IPv4 连接将继续正常运行。 不支持与此对等虚拟网络建立 IPv6 连接。
路由
Azure 路由服务器是否会在我的 NVA 和 VM 之间路由数据流量?
不是。 Azure 路由服务器仅与你的网络虚拟设备 (NVA) 交换 BGP 路由。 数据流量直接从 NVA 流入目标虚拟机 (VM),并直接从 VM 流入 NVA。
Azure 路由服务器支持哪些路由协议?
Azure 路由服务器仅支持边界网关协议(BGP)。 你的网络虚拟设备 (NVA) 必须支持多跃点外部 BGP,因为你将需要在虚拟网络的专用子网中部署路由服务器。 在 NVA 上配置 BGP 时,所选的 ASN 必须与路由服务器 ASN 不同。
Azure 路由服务器是否会保留其接收的路由的 BGP AS 路径?
会,Azure 路由服务器会在 BGP AS 路径完整的情况下传播路由。
如果在 NVA 上针对路由服务器配置了 AS 路径前置,ExpressRoute 线路是否会将 AS 路径前置信息传递到本地网络?
当 ExpressRoute 将路由播发到本地时,它会删除专用的 BGP ASN 信息。 本地会接收前缀,为 AS 12076。
Azure 路由服务器是否保留其接收的路由的 BGP 社区?
是的,Azure 路由服务器会随 BGP 社区一起传播路由。
Azure 路由服务器的 BGP 计时器设置是什么?
Azure Route Server 存活计时器为 60 秒,保持计时器为 180 秒。
Azure 路由服务器是否可以筛选出来自 NVA 的路由?
Azure 路由服务器支持 NO_ADVERTISE BGP 社区。 如果网络虚拟设备(NVA)通过此社区字符串播发路由到路由服务器,那么路由服务器不会将其再播发给其他对等连接的设备,包括 ExpressRoute 网关。 此功能有助于减少要从 Azure 路由服务器发送到 ExpressRoute 的路由数。
在中心虚拟网络和分支虚拟网络之间创建虚拟网络对等互连时,这是否会导致 Azure 路由服务器与其对等互连 NVA 之间的 BGP 软重置?
是的。 如果在中心虚拟网络和辐射虚拟网络之间创建了虚拟网络对等互连,Azure 路由服务器会通过将路由刷新请求发送到其所有对等互连 NVA 来执行 BGP 软重置。 如果 NVAs 不支持 BGP 路由刷新,Azure 路由服务器就会对对等的 NVAs 执行 BGP 硬重置,这可能导致流经 NVAs 的流量连接中断。
如何在 NVA 和 Azure 路由服务器之间的 BGP 对等会话中计算 4000 路由数量限制?
目前,路由服务器最多可以接受来自单个 BGP 对等方的 4,000 个路由。 路由服务器处理 BGP 路由更新时,此限制计算为从 BGP 对等方学习的当前路由数以及 BGP 路由更新中传入的路由数。 例如,如果 NVA 最初将 2001 个路由播发到路由服务器,并在 BGP 路由更新中重新播发这 2001 个路由,路由服务器会将其计算为 4,002 个路由并断开 BGP 会话。
我可以使用哪些自治系统编号 (ASN)?
可以在网络虚拟设备 (NVA) 中使用自己的公共 ASN 或专用 ASN。 不能使用 Azure 或 Internet 分配号码颁发机构(IANA)保留的 ASN。
Azure 保留的 ASN:
- 公用 ASN:8074、8075、12076
- 专用 ASN:65515、65517、65518、65519、65520
IANA 保留的 ASN:
- 23456、64496-64511、65535-65551
能否使用 32 位(4 字节)ASN?
不能,Azure 路由服务器仅支持 16 位(2 字节)ASN。
如果 Azure 路由服务器接收来自多个 NVA 的相同路由,它会如何处理这些路由?
如果路由具有相同的 AS 路径长度,则 Azure 路由服务器将路由的多个副本(每个副本具有不同的下一跃点)复制到虚拟网络中的虚拟机(VM)。 当 VM 将流量发送到此路由的目标时,VM 主机会使用等价多路径 (ECMP) 路由。 但是,如果一个 NVA 发送的路由的 AS 路径长度比其他 NVA 短,Azure 路由服务器只会将具有此 NVA 作为下一跃点的路由配置到虚拟网络中的 VM。
创建路由服务器是否影响现有虚拟网关(VPN 或 ExpressRoute)的运行?
是的。 在包含虚拟网络网关(ExpressRoute 或 VPN)的虚拟网络中创建或删除路由服务器时,预计停机时间将持续 10 分钟。 实际的路由服务器部署可能需要 30-60 分钟才能完成,因此我们建议计划 60 分钟的维护时段进行部署。 如果 ExpressRoute 线路连接到你要在其中创建或删除路由服务器的虚拟网络,则停机时间不会影响 ExpressRoute 线路与其他虚拟网络的连接。
默认情况下,Azure 路由服务器是否在 NVA 与虚拟网络网关之间(VPN 或 ExpressRoute)之间交换路由?
不是。 默认情况下,Azure 路由服务器不会将它从 NVA 和虚拟网络网关接收的路由传播给对方。 启用分支到分支后,路由服务器将交换这些路由。
通过 ExpressRoute MSEE,NVA 播发的路由是否能从一个路由服务器传播到另一个路由服务器?
不是。 如果启用了分支到分支功能,则 NVA 播发的路由会播发到通过 ExpressRoute 连接的本地网络。 但是,NVA 播发的路由将由第二个路由服务器删除。 为了说明这一点,下面的关系图显示了 SDWAN 内部部署向 SDWAN NVA 播发 10.3.0.0/16。 此路由被第一个路由服务器采纳,因此 VNet 1(或与 VNet 1 具有对等互连关系的网络)中的任何工作负载也会获知此路由。 此外,如果启用了 分支到分支,则 ExpressRoute 连接的本地环境获取 10.3.0.0/16 路由。 但是,第二个路由服务器(在 VNet 2 中)不了解 10.3.0.0/16 路由,因此 VNet 2 中的任何工作负荷都不会学习此路由。 因此,10.3.0.0/16 本地网络对于 VNet 2 内的任何工作负荷以及与 VNet 2 建立对等互连的工作负荷都将不可达。
通过 ExpressRoute、VPN 或 SD-WAN 了解同一路由时,首选哪种网络?
默认情况下,通过 ExpressRoute 学习的路由优先于通过 VPN 或 SD-WAN 学习的路由。 你可以配置路由优先级来影响路由服务器的路由选择。 有关详细信息,请参阅路由首选项。
Azure VPN 网关与 Azure 路由服务器配合使用的要求是什么?
必须在主动-主动模式下配置 Azure VPN 网关,并将 ASN 设置为 65515。
是否需要在 VPN 网关上启用 BGP?
不是。 不需要在 VPN 网关上启用 BGP 来与路由服务器通信。
是否可以在两个对等互连的虚拟网络中将两个 Azure 路由服务器对等互连,从而支持连接到路由服务器的 NVA 相互通信?
拓扑:NVA1 - RouteServer1 - >(通过虚拟网络对等互连)- RouteServer2 - NVA2>>>
不能,Azure 路由服务器不会转发数据流量。 要通过 NVA 启用传输连接,请在 NVA 之间设置直接连接(例如,IPsec 隧道),并使用路由服务器进行动态路由传播。
是否可以使用 Azure 路由服务器在同一虚拟网络中的子网之间定向流量以使子网间流量流经 NVA?
不是。 Azure 路由服务器使用 BGP 来播发路由。 即使 BGP 路由更具体,与虚拟网络、虚拟网络对等互连或虚拟网络服务终结点相关的流量的系统路由也仍是首选路由。 必须继续使用用户定义的路由(UDR)来替代系统路由,并且不能利用 BGP 快速故障转移这些路由。 在故障转移情况下,必须继续使用第三方解决方案来通过 API 更新 UDR,或使用具有 HA 端口模式的 Azure 负载均衡器来定向流量。
你仍可以使用路由服务器将不同虚拟网络中子网之间的流量定向到使用 NVA 的流。 可能可行的设计是每个“分支”虚拟网络一个子网,并且所有“分支”虚拟网络都对等互连到“中心”虚拟网络。 此设计非常有限,需要考虑到缩放注意事项以及 Azure 对虚拟网络与子网的最大限制。
启用分支到分支设置时,Azure 路由服务器能否在 ExpressRoute 与点到站点 (P2S) VPN 网关连接之间提供传输?
否,启用 分支到分支 设置时,Azure 路由服务器仅在 ExpressRoute 与站点到站点(S2S)VPN 网关连接之间提供传输。
是否可以在连接到虚拟 WAN 中心的分支虚拟网络中创建 Azure 路由服务器?
不是。 如果发散虚拟网络已连接到虚拟广域网中心,则不能配置路由服务器。
限制
可以在虚拟网络中创建多少个 Azure 路由服务器?
只能在虚拟网络中创建一个路由服务器。 必须在名为 RouteServerSubnet 的专用子网中部署路由服务器。
是否可以将 UDR 关联到 RouteServerSubnet?
否,Azure 路由服务器不支持在 RouteServerSubnet 子网上配置用户定义的路由(UDR)。 Azure 路由服务器不会在网络虚拟设备 (NVA) 和虚拟机 (VM) 之间路由任何数据流量。
是否可以将网络安全组 (NSG) 关联到 RouteServerSubnet?
否,Azure 路由服务器不支持将网络安全组关联到 RouteServerSubnet 子网。
什么是 Azure 路由服务器限制?
Azure 路由服务器具有以下限制(对于每个部署)。
| 资源 | 限制 |
|---|---|
| BGP 对等机的数量 | 8 |
| 每个 BGP Peer 可以播发到 Azure 路由服务器的路由数1 | 4,000 |
| Azure 路由服务器可支持的虚拟网络(包括对等互连虚拟网络)中的 VM 数量 | 4,000 |
| Azure 路由服务器可以支持的虚拟网络数量 | 500 |
| Azure 路由服务器可以支持的本地和 Azure 虚拟网络前缀总数 | 1万 |
1 如果 NVA 播发的路由数超出了限制,会删除 BGP 会话。
若要了解如何排查虚拟机中的路由问题,请参阅诊断 Azure 虚拟机路由问题。
为什么我会看到一个关于在路由服务器资源上执行操作的权限范围和授权无效的错误?
如果看到以下格式的错误,请确保已配置以下权限: 路由服务器角色和权限。
错误消息格式:“具有对象 ID {} 的客户端无权在作用域{}内执行作{}或作用域无效。 有关所需权限的详细信息,请访问 {}。 如果最近已授予访问权限,请刷新凭据。”
后续步骤
了解如何配置 Azure 路由服务器。