Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
В этой статье приведены ответы на часто задаваемые вопросы о сервере маршрутизации Azure, сведения о общих службах, возможностях маршрутизации и текущих ограничениях.
Общие
Что такое Azure Route Server?
Azure Route Server — это полностью управляемая служба, которая позволяет легко управлять маршрутизацией между виртуальным сетевым устройством (NVA) и вашей виртуальной сетью.
Сервер маршрутизации Azure — это только виртуальная машина?
№ Azure Route Server — это служба, разработанная с высоким уровнем доступности. Сервер маршрутов имеет избыточность на уровне зоны при развертывании в регионе Azure, поддерживающем зоны доступности.
Нужно ли выполнять пиринг каждого NVA с обоими экземплярами Azure Route Server?
Да, необходимо выполнить пиринг каждого экземпляра NVA с обоими экземплярами сервера маршрутизации, чтобы убедиться, что сервер маршрутизации успешно получает маршруты и настраивает высокий уровень доступности. Вы также должны объявлять одни и те же маршруты для обоих экземпляров. Мы также рекомендуем сопрягать как минимум два экземпляра NVA с обоими экземплярами сервера маршрутизации.
Примечание.
Во время технического обслуживания сервера маршрутизации пиринг BGP может прерваться между вашей NVA и одним из инстансов сервера маршрутизации. Если вы настроите NVA на пиринг с обоими экземплярами сервера маршрутизации, подключение остается доступным во время событий обслуживания.
Можно ли получить расширенное уведомление об обслуживании?
В настоящее время невозможно получить расширенное уведомление о обслуживании сервера маршрутов Azure.
Хранятся ли данные клиентов на Azure Route Server?
№ Azure Route Server обменивается маршрутами BGP только с виртуальным сетевым устройством (NVA), а затем распространяет их в виртуальную сеть.
Поддерживает ли сервер маршрутизации Azure Route Server пиринг между виртуальными сетями?
Да. Если вы подключаете виртуальную сеть, хостинг сервера маршрутизации Azure, к другой виртуальной сети и включаете настройку использовать шлюз удаленной виртуальной сети или сервер маршрутизации на второй виртуальной сети, сервер маршрутизации Azure обнаруживает адресные пространства подключенной виртуальной сети и отправляет их всем подключенным сетевым виртуальным устройствам (NVA). Сервер маршрутизации также программизирует маршруты из NVA в таблицу маршрутов виртуальных машин в пиринговой виртуальной сети.
Почему для сервера маршрутизации Azure требуется общедоступный IP-адрес с открытыми портами?
Эти общедоступные конечные точки необходимы для базовой программно-определяемой сети Azure (SDN) и платформы управления для взаимодействия с Сервером маршрутов Azure. Так как сервер маршрутизации считается частью частной сети клиента, базовая платформа Azure не может напрямую обращаться к серверу маршрутизации и управлять ими через частные конечные точки из-за требований соответствия требованиям. Подключение к общедоступным конечным точкам сервера маршрутизации проходит проверку подлинности с помощью сертификатов, а Azure проводит обычные аудиты безопасности этих общедоступных конечных точек. В результате они не представляют собой уязвимость для вашей виртуальной сети.
Примечание.
Azure подписывает эти сертификаты внутренним центром сертификации, поэтому эта цепочка сертификатов, как представляется, не подписана известным доверенным центром. Это не представляет уязвимость SSL.
Поддерживает ли Azure Route Server протокол IPv6?
№ При развертывании виртуальной сети с адресным пространством IPv6 и последующем развертывании сервера маршрутизации Azure в той же виртуальной сети это нарушает подключение к трафику IPv6.
Можно однорангово связать виртуальную сеть с адресным пространством IPv6 с виртуальной сетью Route Server, и подключение IPv4 к этой связанным двухстековым виртуальным сетям остаётся функциональным. Подключение IPv6 к этой одноранговой виртуальной сети не поддерживается.
Что такое единицы инфраструктуры маршрутизации?
По умолчанию сервер маршрутизации Azure развертывается с емкостью двух единиц инфраструктуры маршрутизации. Это развертывание по умолчанию поддерживает 4000 подключенных виртуальных машин, развернутых в виртуальной сети route Server и всех пиринговых виртуальных сетей.
Можно указать больше единиц инфраструктуры маршрутизации для увеличения емкости сервера маршрутизации на 1000 виртуальных машин. Каждая дополнительная единица инфраструктуры маршрутизации стоит 0,10 долл. США в час. Цены в других регионах могут отличаться. Полные цены, включая региональные различия, будут доступны в середине декабря на официальной странице цен Azure.
Маршрутизация
Перенаправляет ли Azure Route Server трафик данных между моим NVA и моими виртуальными машинами?
№ Azure Route Server обменивается маршрутами BGP только с виртуальным сетевым устройством (NVA). Трафик данных передается непосредственно из NVA на целевую виртуальную машину (виртуальную машину) и непосредственно из виртуальной машины в NVA.
Какие протоколы маршрутизации поддерживает Azure Route Server?
Azure Route Server поддерживает только протокол BGP. Сетевое виртуальное устройство (NVA) должно поддерживать многохоповую внешнюю BGP, так как необходимо развернуть сервер маршрутизации в выделенной подсети в виртуальной сети. При настройке BGP в NVA выбранный ASN должен отличаться от ASN сервера маршрутов.
Сохраняет ли сервер маршрутизации Azure путь BGP AS для маршрута, который он получает?
Да, сервер маршрутизации Azure распространяет маршрут с помощью пути BGP AS без изменений.
Если дополнение пути AS настроено на NVA в сторону сервера маршрутизации, передает ли канал ExpressRoute информацию о дополнении пути AS в локальную среду?
Когда ExpressRoute объявляет маршруты в локальную среду, он удаляет частные сведения asN BGP. Локальная среда получает префикс с AS 12076.
Сохраняет ли служба Azure Route Server сообществ BGP маршрута, которые она получает?
Да, Azure Route Server распространяет маршрут, сохраняя при этом сообщества BGP без изменений.
Как настроен таймер BGP для Azure Route Server?
Таймер Keepalive для Azure Route Server составляет 60 секунд, а таймер Hold — 180 секунд.
Может ли Azure Route Server отфильтровывать маршруты в виртуальных сетевых модулях?
Azure Route Server поддерживает сообщество BGP NO_ADVERTISE. Если сетевое виртуальное устройство (NVA) анонсирует маршруты с этой строкой сообщества на сервере маршрутизации, сервер маршрутизации не анонсирует их другим пиринговым узлам, включая шлюз ExpressRoute. Эта функция может помочь уменьшить количество маршрутов, отправляемых с сервера маршрутов Azure в ExpressRoute.
Когда пиринг создается между моей концентраторной виртуальной сетью и спицевой виртуальной сетью, вызывает ли это мягкий сброс BGP между сервером маршрутизации Azure и его пиринговыми виртуальными сетевыми устройствами?
Да. Если пиринг создается между вашей виртуальной сетью концентратора и периферийной виртуальной сетью, Azure Route Server выполняет мягкую перезагрузку BGP, отправляя запросы на обновление маршрута всем его подключенным сетевым виртуальным устройствам. Если NVAs не поддерживают BGP обновление маршрута, то сервер маршрутизации Azure выполняет жесткий сброс BGP с партнёрскими NVAs, что может привести к нарушению подключения для трафика, проходящего через NVAs.
Как вычисляется ограничение маршрута 4000 на сеансе пиринга BGP между NVA и сервером маршрутизации Azure?
В настоящее время сервер маршрутизации может принимать не более 4000 маршрутов из одного однорангового узла BGP. Когда сервер маршрутизации обрабатывает обновления маршрутов BGP, этот предел вычисляется как количество текущих маршрутов, полученных от однорангового узла BGP, плюс количество маршрутов, поступающих с обновлением маршрута BGP. Например, если NVA изначально объявляет 2001 маршрут на сервер маршрутизации, а затем повторно объявляет эти 2001 маршруты в обновлении маршрутов BGP, сервер маршрутов расценивает это как 4002 маршрута и завершает сеанс BGP.
Какие номера автономной системы (ASN) можно использовать?
Вы можете использовать собственные общедоступные ASN или частные ASN в виртуальном сетевом устройстве (NVA). Вы не можете использовать ASN, зарезервированные Azure или центром назначения номеров Интернета (IANA)..
ASN, зарезервированные Azure:
- Общедоступные ASN: 8074, 8075, 12076.
- Частные ASN: 65515, 65517, 65518, 65519, 65520.
ASN зарезервированы IANA:
- 23456, 64496-64511, 65535-65551
Можно ли использовать 32-разрядный (4-байтовый) номер ASN?
Нет, Azure Route Server поддерживает только 16-разрядные (2-байтовые) номера ASN.
Если служба Azure Route Server получает один и тот же маршрут от нескольких виртуальных сетевых модулей, как она их обрабатывает?
Если маршрут имеет ту же длину пути AS, Azure Route Server программирует несколько копий маршрута, каждая с разным следующим шагом, для виртуальных машин в виртуальной сети. Когда виртуальная машина отправляет трафик в место назначения этого маршрута, узел виртуальной машины использует маршрутизацию с равными затратами (ECMP). Однако, если один NVA отправляет маршрут с более короткой длиной пути AS, чем другие NVA, сервер маршрутизации Azure программирует только маршрут с установленным следующим переходом к этому NVA для виртуальных машин в виртуальной сети.
Влияет ли создание сервера маршрутизации на работу существующих шлюзов виртуальной сети (VPN или ExpressRoute)?
Да. При создании или удалении сервера маршрутизации в виртуальной сети, содержащей шлюз виртуальной сети (ExpressRoute или VPN), ожидается время простоя до 10 минут. Фактическое развертывание сервера маршрутов может занять 30–60 минут, поэтому рекомендуется планировать период обслуживания в 60 минут для развертывания. Если у вас есть канал ExpressRoute, подключенный к виртуальной сети, в которой вы создаете или удаляете сервер маршрутизации, время простоя не влияет на подключения канала ExpressRoute к другим виртуальным сетям.
По умолчанию обмениваются маршрутами Сервера маршрутизации Azure между виртуальными сетями и шлюзами виртуальной сети (VPN или ExpressRoute)?
№ По умолчанию сервер маршрутизации Azure не распространяет маршруты, получаемые от NVA и шлюза виртуальной сети друг к другу. Сервер маршрутов обменивается этими маршрутами после включения ветви в ветви .
Распространяются ли анонсированные NVA маршруты от одного сервера маршрутов к другому серверу маршрутов через ExpressRoute MSEE?
№ Если объединение ветвей включено, то маршруты, объявленные NVA, будут переданы в локальные сети, подключенные через ExpressRoute. Однако маршруты, объявленные NVA, будут удалены вторым сервером маршрутов. Чтобы проиллюстрировать это, на схеме ниже показана локальная реклама SDWAN 10.3.0.0/16 в NVA SDWAN. Этот маршрут узнается с помощью первого сервера маршрутизации и поэтому все рабочие нагрузки в виртуальной сети 1 (или пиринговые подключения к виртуальной сети 1) также учатся этому маршруту. Кроме того, в локальной среде, подключенной через ExpressRoute, изучается маршрут 10.3.0.0/16, если включена функция соединение между филиалами. Однако второй сервер маршрутизации (в виртуальной сети 2) не узнает маршрут 10.3.0.0/16, поэтому этот маршрут не будет изучаться любыми рабочими нагрузками в виртуальной сети 2. Таким образом, локальная сеть 10.3.0.0/16 станет недоступной из любых нагрузок в Виртуальной сети 2 и в одноранговых сетях, подключенных к Виртуальной сети 2.
Когда тот же маршрут изучается через ExpressRoute, VPN или SD-WAN, какую сеть предпочтительнее?
По умолчанию маршруты, полученные через ExpressRoute, имеют приоритет над теми, которые получены через VPN или SD-WAN. Вы можете настроить параметры маршрутизации, чтобы повлиять на выбор маршрута сервера маршрутизации. Дополнительные сведения см. в разделе "Параметры маршрутизации".
Каковы требования для VPN-шлюза Azure для работы с Сервером маршрутизации Azure?
VPN-шлюз Azure должен быть настроен в режиме активный — активный, а его ASN должен иметь значение 65515.
Нужно ли включить BGP в VPN-шлюзе?
№ Это не обязательно включить BGP в VPN-шлюзе для взаимодействия с сервером маршрутизации.
Можно ли подключить два сервера маршрутизации Azure в двух одноранговых виртуальных сетях и включить NVAs, подключенные к серверам маршрутов, взаимодействовать друг с другом?
Топология: NVA1 —> RouteServer1 —> (через пиринг между виртуальными сетями) —> RouteServer2 —> NVA2
Нет, Azure Route Server не перенаправляет трафик данных. Чтобы включить транзитное подключение через NVA, настройте прямое подключение (например, туннель IPsec) между NVAs и используйте серверы маршрутов для динамического распространения маршрутов.
Можно ли использовать Azure Route Server, чтобы направлять трафик между подсетями одной виртуальной сети с целью передачи трафика между подсетями через виртуальный сетевой модуль?
№ Сервер маршрутов Azure использует BGP для объявления маршрутов. Системные маршруты для трафика, связанного с виртуальной сетью, пиринговыми подключениями между виртуальными сетями или конечными точками служб для виртуальной сети, являются предпочтительными, даже если маршруты BGP более четко определены. Для переопределения системных маршрутов необходимо продолжать использовать определяемые пользователем маршруты, и вы не можете использовать BGP для быстрой переключения на резерв этих маршрутов. Необходимо продолжать использовать стороннее решение для обновления определяемых пользователем пользователей через API в ситуации отработки отказа или использовать Azure Load Balancer с режимом портов высокой доступности для прямого трафика.
Вы по-прежнему можете использовать Route Server, чтобы направлять трафик между подсетями в разных виртуальных сетях с помощью виртуального сетевого модуля. Возможный подход к проектированию, который может работать, состоит в использовании одной подсети на каждую "спицевую" виртуальную сеть, и все "спицевые" виртуальные сети объединены через пиринг с "концентратором". Эта конструкция очень ограничивается и необходимо учитывать рекомендации по масштабированию и максимальные ограничения Azure для виртуальных сетей и подсетей.
Может ли сервер маршрутизации Azure предоставлять транзит между ExpressRoute и VPN-шлюзом типа "точка — сеть" (P2S) при включении параметра "ветвь — ветвь"?
Нет, сервер маршрутизации Azure предоставляет транзит только между ExpressRoute и VPN-шлюзом типа "сеть — сеть" (S2S) при включении параметра "ветвь — ветвь ".
Можно ли создать сервер маршрутизации Azure в периферийной виртуальной сети, которая подключается к концентратору виртуальной глобальной сети?
№ Периферийная виртуальная сеть не может иметь сервер маршрутизации, если он подключен к концентратору виртуальной глобальной сети.
Ограничения
Сколько серверов маршрутизации Azure можно создать в виртуальной сети?
В виртуальной сети можно создать только один сервер маршрутизации. Необходимо развернуть сервер маршрутизации в выделенной подсети с именем RouteServerSubnet.
Можно ли связать UDR с RouteServerSubnet?
Нет, Azure Route Server не поддерживает настройку определяемого пользователем маршрута (UDR) в подсети RouteServerSubnet . Сервер маршрутизации Azure не направляет трафик данных между сетевыми виртуальными устройствами (NVAs) и виртуальными машинами (виртуальными машинами).
Можно ли связать группу безопасности сети (NSG) с RouteServerSubnet?
Нет, Azure Route Server не поддерживает связь группы безопасности сети с подсетью RouteServerSubnet .
Что такое ограничения сервера маршрутизации Azure?
Azure Route Server имеет следующие ограничения (на каждое развертывание).
| Ресурс | Ограничение |
|---|---|
| Число одноранговых узлов BGP | 8 |
| Число маршрутов, которые может объявить каждый узел BGP на Azure Route Server 1 | 4000 |
| Число виртуальных машин в виртуальной сети (включая связанные пирингом виртуальные сети), которое может поддерживать Azure Route Server | 50,000 |
| Количество виртуальных сетей, которые может поддерживать сервер маршрутизации Azure | 500 |
| Общее количество локальных и виртуальная сеть префиксов Azure, которые может поддерживать сервер маршрутизации Azure | 10 000 |
1 Если NVA объявляет больше маршрутов, чем ограничение, сеанс BGP удаляется.
Примечание.
Общее количество маршрутов, объявленных из адресного пространства виртуальной сети и сервера маршрутов к каналу ExpressRoute, если включена ветвь , не должно превышать 1000. Дополнительные сведения см. в разделе "Ограничения рекламы маршрута" ExpressRoute.
Сведения об устранении неполадок с маршрутизацией на виртуальной машине см. в статье Диагностика проблемы с маршрутизацией виртуальной машины Azure.
Почему возникает ошибка о недопустимой области и авторизации для выполнения операций с ресурсами сервера маршрутизации?
Если вы видите ошибку в следующем формате, убедитесь, что у вас есть следующие разрешения: роли и разрешения сервера маршрутизации.
Формат сообщения об ошибке: "Клиент с идентификатором объекта {} не имеет авторизации для выполнения действия {} над областью {} или область недопустима." Дополнительные сведения о необходимых разрешениях см. на сайте {}. Если доступ был недавно предоставлен, обновите свои учетные данные.
Следующие шаги
Узнайте, как настраивать Azure Route Server.