关于具有 Azure 路由服务器的双宿主网络
在典型的中心辐射型体系结构中,应用程序工作负荷部署在分支虚拟网络 (VNet) 中。 这些分支与单个中心 VNet 对等互连,其中包含共享网络资源,例如 VPN 和 ExpressRoute 网关。 在某些情况下,可能需要将分支与多个中心 VNet 对等互连,例如,如果出于某种原因需要多个 VPN 或 ExpressRoute 网关。 Azure 路由服务器启用此体系结构,以便分支 VNet 中的工作负荷可以通过它所连接到的任一中心 VNet 进行通信。
设置方法
如下图所示,需执行以下操作:
- 在每个中心虚拟网络中部署网络虚拟设备 (NVA),在分支虚拟网络中部署路由服务器。
- 在中心和分支虚拟网络之间启用 VNet 对等互连。
- 在路由服务器和部署的每个 NVA 之间配置 BGP 对等互连。
工作原理
在控制平面中,NVA 和路由服务器将交换路由,就好像两者部署在同一虚拟网络中一样。 NVA 将从路由服务器获取分支 VNet 地址。 路由服务器将从每个 NVA 获取路由。 然后,路由服务器将使用所获取的路由对分支 VNet 中的所有虚拟机进行编程。
在数据平面中,分支 VNet 中的虚拟机会将中心内的安全 NVA 或 VPN NVA 视为下一个跃点。 发往 Internet 的流量或混合跨界流量现在将通过中心 VNet 中的 NVA 进行路由。 可以将这两个中心配置为主动/主动或主动/被动。 如果主动中心出现故障,前往/来自虚拟机的流量会将故障转移到另一个中心。 这些故障包括但不限于:NVA 故障或服务连接故障。 此设置可确保网络配置为高可用性。
与 ExpressRoute 集成
可以生成含两个或更多 ExpressRoute 连接的双宿主网络。 除上述步骤外,还需执行以下操作:
- 在每个具有 ExpressRoute 网关的中心 VNet 中创建一个路由服务器。
- 在中心 VNet 中的 NVA 和路由服务器之间配置 BGP 对等互连。
- 在中心 VNet 中的 ExpressRoute 网关和路由服务器之间启用路由交换。
- 确保分支虚拟网络 VNet 对等互连配置中禁用了“使用远程网关或远程路由服务器”。
工作原理
在控制平面中,中心 VNet 中的 NVA 将通过与中心内的路由服务器进行路由交换从 ExpressRoute 网关获取本地路由。 作为交换,NVA 将通过同一路由服务器将分支 VNet 地址发送到 ExpressRoute 网关。 然后,分支和中心 VNet 中的路由服务器将编写各自虚拟网络中虚拟机的本地网络地址。
重要
BGP 通过验证 AS 路径中的 AS 编号来阻止循环。 如果接收路由服务器在收到的 BGP 数据包的 AS 路径中发现自己的 AS 编号,则它将丢弃该数据包。 在本示例中,这两个路由服务器具有同一 AS 编号,即 65515。 为防止每个路由服务器丢弃来自另一路由服务器的路由,NVA 必须在与每个路由服务器对等互连时应用 as-override BGP 策略。
在数据平面中,分支 VNet 中的虚拟机会先将所有发往本地网络的流量发送到中心 VNet 中的 NVA。 然后,NVA 会通过 ExpressRoute 将流量转发到本地网络。 来自本地的流量将以相反的方向遍历同一数据路径。 你会注意到这两个路由服务器均不位于该数据路径中。