Сеть в нескольких регионах с помощью Azure Route Server

2025-09-17

Современные приложения часто требуют развертывания в нескольких регионах Azure для удовлетворения требований к высокой доступности, аварийному восстановлению и производительности. Сервер маршрутизации Azure обеспечивает сложные сетевые архитектуры с несколькими регионами, которые обеспечивают возможности динамической маршрутизации, сохраняя централизованный сетевой контроль с помощью виртуальных сетевых устройств (NVAs).

В этой статье объясняется, как разрабатывать и реализовывать топологии с несколькими регионами с помощью сервера маршрутизации Azure, включая интеграцию с ExpressRoute и рекомендации по предотвращению циклов маршрутизации.

Основные понятия

Сетевая работа с несколькими регионами с Azure Route Server включает в себя несколько важных понятий:

Динамическое распространение маршрутов: Azure Route Server автоматически обменивается данными о маршрутизации между регионами через протокол BGP, устраняя необходимость ручного управления таблицами маршрутов по мере развития топологии сети.
Централизованный сетевой контроль: в отличие от прямого пиринга виртуальных сетей между регионами, Сервер маршрутов позволяет трафику передаваться через концентраторные сетевые устройства NVAs, поддерживая политики безопасности и видимость сети в разных регионах.
Автоматическая адаптация: архитектура автоматически адаптируется к изменениям топологии, таким как добавление новых периферийных сетей или изменение подключения без вмешательства вручную.

Обзор архитектуры

Архитектура с несколькими регионами использует топологию концентратора и периферийной сети в каждом регионе, подключенную через пиринг глобальной виртуальной сети и координируемую экземплярами сервера маршрутизации Azure:

Схема, на которой показана архитектура сети с несколькими регионами с сервером маршрутизации Azure в каждой виртуальной сети концентратора.

Основные компоненты

Архитектура с несколькими регионами состоит из нескольких ключевых компонентов, которые совместно работают для обеспечения возможностей динамической маршрутизации. Каждый регион содержит центральную виртуальную сеть, в которую размещаются сервер маршрутизации Azure и виртуальные сетевые устройства (NVA) для управления решениями о маршрутизации. Рабочие нагрузки приложений развертываются в периферийных виртуальных сетях в каждом регионе, поддерживая разделение между сетевой инфраструктурой и приложениями. Виртуальные сети концентратора подключаются между регионами с помощью глобального пиринга виртуальных сетей для обеспечения межрегиональной связи. Сетевые устройства взаимодействуют между регионами с помощью безопасных туннелей для поддержания синхронизации сведений о маршрутизации.

Поток трафика

Поток трафика следует структурированной схеме, которая обеспечивает эффективную маршрутизацию в топологии с несколькими регионами. Сервер маршрутизации изучает маршруты как из локальных периферийных сетей, так и виртуальных сетей в пределах региона для создания комплексной таблицы маршрутизации. NVA создают безопасные туннели между регионами для совместного использования сведений о маршрутизации и обеспечения подключения между регионами. Каждый сервер маршрутов распространяет изученные маршруты в локальные периферийные сети, гарантируя, что нагрузки могут достигать пунктов назначения в удаленных регионах. Когда происходят изменения топологии, например добавление новых периферийных сетей или изменение подключения, архитектура автоматически активирует обновления маршрутов во всех регионах, не требуя ручного вмешательства.

Требования настройки

Чтобы успешно реализовать эту архитектуру, настройте следующие компоненты:

Параметры пиринга виртуальной сети

Включите параметр использования шлюза удаленной виртуальной сети или сервера маршрутизации при соединении спицевых сетей с центральными сетями. Эта конфигурация позволяет:

Сервер маршрутизации для распространения префиксов периферийных сетей в NVAs
Полученные маршруты для внедрения в таблицы маршрутов удаленных сетей
Динамическое распространение маршрутов по всей топологии

Конфигурация туннеля NVA

Обеспечение безопасного взаимодействия между NVAs с помощью технологий инкапсуляции:

Туннели IPsec: обеспечение зашифрованной связи между региональными NVAs
Наложения VXLAN: Включите расширение уровня 2 в разных регионах

Обработка пути BGP AS

Настройте NVAs для изменения путей BGP AS, чтобы предотвратить циклы маршрутизации:

Это важно

NVAs должны удалить номер автономной системы (ASN) 65515 из пути AS, когда объявляют маршруты, полученные из удаленных регионов. Этот процесс, известный как переопределение AS или перезапись as-path, запрещает механизмы предотвращения циклов BGP блокировать обучение маршрутов. Без этой конфигурации сервер маршрутизации не узнает маршруты, содержащие собственные ASN (65515).

Распространенные методы пути AS

Предустановка пути AS — делает пути более длинными, чтобы повлиять на решения о маршрутизации:

# Example for Cisco NVA
route-map PREPEND-AS permit 10
 set as-path prepend 65001 65001

Фильтрация путей AS — блокирует маршруты с определенными путями AS:

# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
 match as-path 1

Интеграция ExpressRoute

Архитектуры сервера маршрутизации с несколькими регионами могут интегрироваться с каналами ExpressRoute для расширения подключения к локальным сетям:

Схема, показывающая архитектуру с несколькими регионами с подключением Azure Route Server и ExpressRoute к локальным сетям.

Преимущества интеграции ExpressRoute

Упрощенная маршрутизация: локальные префиксы отображаются только в Azure через объявления NVA
Централизованный контроль: весь трафик передается через сетевые сети концентратора для согласованного применения политик.
Оптимизация наложения: канал ExpressRoute поддерживает наложение сетей между NVAs

Альтернативная конструкция без наложения сетей

Хотя туннели наложения являются рекомендуемым подходом, вы можете реализовать подключение с несколькими регионами без туннелей с помощью определяемых пользователем маршрутов (UDR):

Почему рекомендуется использовать туннели

Туннели наложения обеспечивают необходимую защиту от циклов маршрутизации в архитектурах с несколькими регионами. Без наложения туннелей циклы маршрутизации могут возникать, когда NVA в регионе 1 изучает префиксы из региона 2 и объявляет их локальному серверу маршрутов. Затем сервер маршрутов настраивает эти маршруты в подсетях региона 1, используя NVA как следующий узел. Когда NVA пытается отправить трафик в регион 2, собственные маршруты подсети указывают обратно к себе, создавая цикл маршрутизации, который предотвращает успешное взаимодействие между регионами. Туннели наложения решают эту проблему путем создания логического разделения между подложной сетью (используемой для создания туннеля) и сетью наложения (используемой для трафика приложения), обеспечивая правильное движение трафика между регионами без создания циклов.

Альтернатива на основе UDR

Если туннели наложения в вашей среде недоступны, вы можете использовать альтернативный подход с помощью определяемых пользователем маршрутов. Этот метод требует отключения распространения маршрутов BGP в подсетях NVA, чтобы предотвратить автоматическое обучение маршрутов, которое может вызвать конфликты. Затем необходимо настроить статические маршруты, создав UDR, которые явно направляют трафик между регионами через соответствующие сетевые пути. Хотя этот подход может работать, следует принять операционные расходы на обслуживание этих статических маршрутов вручную при изменении топологии сети с течением времени.

Trade-offs

Подход	Advantages	Disadvantages
Оверлей туннели	Динамическая маршрутизация, автоматическая адаптация, безопасность	Больше сложности конфигурации
На основе UDR	Упрощенная начальная настройка	Ручное управление маршрутами, ограниченная масштабируемость

Дальнейшие шаги

Изучите эти ресурсы для реализации и оптимизации архитектуры сервера маршрутизации с несколькими регионами: