Come funziona Server di route di Azure?

Completato

Quando ci si prepara a distribuire Server di route di Azure all'interno dell'organizzazione, è necessario ottenere altre informazioni sul suo funzionamento. Anche se Server di route di Azure è un servizio completamente gestito, è importante comprenderne il funzionamento in vari scenari.

Più comunemente, si usa Server di route di Azure con una o più appliance di rete. Ad esempio, è possibile connettere Server di route di Azure a un'appliance virtuale di rete del firewall e a un'appliance SD-WAN, come illustrato nel diagramma seguente:

Diagram showing Azure Route Server in a virtual network that has an app subnet as well as SD-WAN and firewall appliances.

Questo esempio ha una rete virtuale con lo spazio indirizzi 10.1.0.0/16. All'interno di tale rete una subnet dell'applicazione (subnet dell'app) ospita le macchine virtuali e altre risorse. La stessa rete ha anche una subnet di Server di route di Azure che gestisce la tabella di routing per lo spazio indirizzi 10.1.0.0/16. Due appliance virtuali distribuite nella stessa rete sono un firewall e un'appliance SD-WAN. Tutto il traffico Internet viene instradato attraverso l'appliance del firewall perché questa gestisce la route predefinita 0.0.0.0/0.

Un'altra appliance, SD-WAN, gestisce la connessione alla rete locale con lo spazio indirizzi 10.250.0.0/16. Due appliance, SD-WAN e firewall, sono configurate come peer BGP per Server di route di Azure. Per questo motivo, le tabelle di routing vengono propagate in Server di route di Azure. Inoltre, la tabella di routing per la rete 10.1.0.0/16 viene propagata alle appliance di rete. Poiché Server di route di Azure è configurato nella stessa rete virtuale delle macchine virtuali, queste route vengono quindi configurate automaticamente nelle macchine virtuali della rete virtuale.

Di conseguenza, quando una macchina virtuale della subnet dell'app deve comunicare con una risorsa che si trova in una rete locale, saprà che il traffico deve essere inviato all'appliance SD-WAN. Se vuole, accederà a Internet tramite la route predefinita, gestita dall'appliance del firewall. Poiché l'appliance SD-WAN contiene informazioni sulle route per lo spazio indirizzi 10.1.0.0./16, qualsiasi risorsa che si trova in locale sarà in grado di comunicare con le risorse nella subnet dell'app. Ogni volta che si verifica una modifica alle route o agli spazi degli indirizzi in un componente connesso a Server di route di Azure, questa viene propagata automaticamente a tutte le appliance e alle tabelle di routing.

Si esamini ora come viene controllato il traffico tramite un'appliance virtuale di rete SD-WAN quando viene distribuito Server di route di Azure. Nello scenario seguente Server di route di Azure abilita la selezione del percorso, che consente di configurare l'appliance virtuale di rete SD-WAN in modo da avere una preferenza di routing durante la comunicazione con la rete locale. Quando l'appliance virtuale di rete SD-WAN viene usata con Server di route di Azure per stabilire una connessione a una rete locale, il percorso può essere stabilito in due modi, come illustrato nel diagramma seguente:

Diagram showing two paths for connecting Azure resources to a local network. One path is over the Microsoft backbone, while another path uses ISP infrastructure.

La preferenza di routing consente di scegliere il modo in cui il traffico viene instradato tra Azure e Internet. È possibile scegliere di instradare il traffico tramite il backbone della rete Microsoft o tramite la rete dell'ISP (Internet pubblico). Queste opzioni sono anche dette rispettivamente routing cold potato e routing hot potato.

Quando si distribuisce un'appliance virtuale di rete SD-WAN nella stessa rete virtuale del server di route di Azure, viene configurata con un indirizzo IP di rete Microsoft. Il percorso del traffico verso la rete locale usa la rete globale Microsoft e, di conseguenza, esce dalla rete Microsoft più vicina alla destinazione. Il routing dalla rete locale immetterà la rete Microsoft più vicina all'utente nel percorso di ritorno. Questo metodo di routing è ottimizzato per le prestazioni e offre la migliore esperienza possibile a un determinato costo.

Per ottimizzare i costi, viene eseguito un secondo metodo di routing assegnando all'appliance virtuale di rete WAN SD un indirizzo IP Internet . Quando il traffico viene instradato alla rete locale, esce dalla rete Microsoft nella stessa area in cui è ospitato il servizio. Verrà quindi instradato attraverso Internet usando la rete dell'ISP. Il routing da locale immetterà la rete Microsoft più vicina all'area del servizio ospitato. Questo metodo di routing offrirà il miglior prezzo complessivo durante il completamento di un'attività, ad esempio il trasferimento di grandi quantità di dati.

Integrazione di Server di route di Azure con ExpressRoute e VPN di Azure

In alcuni scenari si implementa Server di route di Azure nelle reti virtuali con un gateway ExpressRoute o Gateway VPN di Azure, come illustrato nel diagramma seguente:

Diagram showing implementation of Azure Route Server in virtual networks with Express Route gateway or Azure VPN gateway.

In questo caso Gateway VPN di Azure e il gateway ExpressRoute vengono usati per connettersi alle reti locali. Tuttavia, a differenza degli oggetti dell'appliance virtuale di rete, configurati come peer BGP al server di route di Azure, non è necessario configurare o gestire il peering BGP tra il gateway e il server di route di Azure. È invece necessario abilitare lo scambio di route tra il gateway e Server di route di Azure. A tale scopo, configurare l'impostazione seguente nella pagina Configurazione del server di route di Azure nel portale di Azure:

Screenshot of the branch-to-branch setting enabled.

In alternativa, è possibile abilitare lo scambio di route tra Server di route di Azure e il gateway (o i gateway) usando il cmdlet Update-AzRouteServer con il flag -AllowBranchToBranchTraffic.

Al termine dell'operazione, le informazioni di routing vengono scambiate tra il gateway ExpressRoute e Gateway VPN di Azure tramite Server di route di Azure. Ciò significa che Gateway VPN di Azure riceverà le route per la rete locale 2 e il gateway ExpressRoute riceverà le route per la rete locale 1. Tuttavia, entrambi i gateway riceveranno anche le route per la rete virtuale in cui si trova Server di route di Azure.

Prezzi di Server di route Azure

Server di route di Azure è un tipico servizio con pagamento in base al consumo. Non ha alcun costo iniziale, né alcuna tariffa di terminazione. Si paga per questo servizio solo quando è attivo.