Perguntas frequentes sobre o Servidor de Rota do Azure
Geral
O que é o Servidor de Rota do Azure?
O Servidor de Rota do Azure é um serviço totalmente gerenciado que permite que você gerencie facilmente o roteamento entre sua NVA (solução de virtualização de rede) e rede virtual.
O Servidor de Rota do Azure é apenas uma máquina virtual?
Não. O Servidor de Rota do Azure é um serviço projetado com alta disponibilidade. Seu servidor de rota terá redundância no nível da zona se você implantá-lo em uma região do Azure que dá suporte à Zonas de Disponibilidade.
Preciso emparelhar cada NVA com ambas as instâncias do Servidor de Rota do Azure?
Sim, para garantir que as rotas sejam anunciadas com sucesso para o Servidor de Rota e para configurar alta disponibilidade, é necessário fazer o emparelhamento de cada instância NVA com ambas as instâncias do Servidor de Rota e anunciar as mesmas rotas para ambas as instâncias. Também é recomendável emparelhar pelo menos duas instâncias de NVA com ambas as instâncias do Servidor de Rota.
Observação
Durante eventos de manutenção do Servidor de Rota, o emparelhamento BGP pode ficar inoperante entre sua NVA e uma das instâncias do Servidor de Rota. Como resultado, se você configurar sua NVA para emparelhar com ambas as instâncias do Servidor de Rota, sua conectividade permanecerá ativa durante eventos de manutenção.
O Servidor de Rota do Azure armazena dados do cliente?
Não. O Servidor de Rota do Azure apenas troca rotas BGP com seu dispositivo de rede virtual (NVA) e as propaga para sua rede virtual.
O Servidor de Rota do Azure dá suporte ao emparelhamento de rede virtual?
Sim, se você emparelhar uma rede virtual hospedando o Servidor de Rota do Azure para outra rede virtual e habilitar Usar Gateway Remoto na segunda rede virtual, o Servidor de Rota aprenderá os espaços de endereço dessa rede virtual e os enviará para todos os dispositivos de rede virtual (NVAs) emparelhados. Ele também programará as rotas dos NVAs para a tabela de roteamento das máquinas virtuais na rede virtual emparelhada.
Por que o Servidor de Rota do Azure requer um endereço IP público com portas abertas?
Esses pontos de extremidade públicos são necessários para que o SDN e a plataforma de gerenciamento subjacentes do Azure se comuniquem com o Servidor de Rota do Azure. Como o Servidor de Rota é considerado parte da rede privada do cliente, a plataforma subjacente do Azure não consegue acessar e gerenciar diretamente o Servidor de Rota por meio de seus pontos de extremidade privados devido aos requisitos de conformidade. A conectividade com os pontos de extremidade públicos do Servidor de Rota é autenticada por meio de certificados, e o Azure realiza auditorias de segurança rotineiras desses pontos de extremidade públicos. Como resultado, eles não constituem uma exposição de segurança da sua rede virtual.
Observação
Esses certificados são assinados por uma autoridade de certificação interna, portanto, essa cadeia de certificados parecerá não ser assinada por uma autoridade confiável conhecida. Como resultado, isso não representa uma vulnerabilidade SSL.
O Servidor de Rota do Azure dá suporte a IPv6?
Não. Adicionaremos suporte a IPv6 no futuro. Caso tenha implantado uma rede virtual com um espaço de endereço do IPv6 e posteriormente implantar um Servidor de Rota do Azure na mesma rede virtual, isso interromperá a conectividade para o tráfego do IPv6.
Aviso
Caso tenha implantado uma rede virtual com um espaço de endereço do IPv6 e posteriormente implantar um Servidor de Rota do Azure na mesma rede virtual, isso também interromperá a conectividade para o tráfego do IPv4. Este problema será corrigido em nossa próxima versão para garantir que o tráfego IPv4 continue funcionando conforme o esperado.
Roteamento
O Servidor de Rota do Azure roteia o tráfego de dados entre meu NVA e minhas VMs?
Não. O Servidor de Rota do Azure só troca rotas BGP com sua solução de virtualização de rede (NVA). O tráfego de dados passa diretamente da NVA para a máquina virtual (VM) e da VM para a NVA.
Para quais protocolos de roteamento o Servidor de Rota do Azure dá suporte?
O Servidor de Rota do Azure dá suporte apenas ao Border Gateway Protocol (BGP) Seu dispositivo de rede virtual (NVA) precisa dar suporte ao BGP externo de vários saltos, porque você precisará implantar o Servidor de Rota do Azure em uma sub-rede dedicada na sua rede virtual. Ao configurar o BGP no seu NVA, a ASN escolhida deve ser diferente da ASN do Servidor de Rota.
O Servidor de Rota do Azure preserva o caminho do sistema autônomo BGP da rota que recebe?
Sim, o Servidor de Rota do Azure propaga a rota com o caminho do sistema autônomo BGP intacto.
Se o prefixo do caminho AS estiver configurado em uma NVA para o servidor de rota, o circuito ExpressRoute passará as informações de prefixo do caminho AS para o local?
Quando o ExpressRoute anuncia rotas para o local, ele remove as informações privadas do ASN do BGP. O local recebe o prefixo com AS 12076.
O Servidor de Rota do Azure preserva as comunidades BGP da rota que recebe?
Sim, o Servidor de Rota do Azure propaga a rota com as comunidades BGP como está.
Qual é a configuração de temporizador BGP do Servidor de Rota do Azure?
O temporizador do Keep Alive do Servidor de Rota do Azure é de 60 segundos e o temporizador de espera é de 180 segundos.
O Servidor de Rota do Azure pode filtrar as rotas do NVAs?
O Servidor de Rota do Azure dá suporte à comunidade BGP NO_ADVERTISE. Se um dispositivo de rede virtual (NVA) anunciar rotas com essa cadeia de caracteres de comunidade para o servidor de rota, o servidor de rota não o anunciará para outros pares, incluindo o gateway do ExpressRoute. Esse recurso pode ajudar a reduzir o número de rotas a serem enviadas do Servidor de Rota do Azure para o ExpressRoute.
Quando um emparelhamento de VNet é criado entre a VNet hub e a VNet spoke, isso causa uma redefinição reversível de BGP entre o Servidor de Rota do Azure e suas NVAs emparelhados?
Sim. Se um emparelhamento de VNet for criado entre a VNet hub e a VNet spoke, o Servidor de Rota do Azure executará uma redefinição reversível de BGP enviando solicitações de atualização de rota para todos os suas NVAs emparelhadas. Se as NVAs não derem suporte à atualização de rota BGP, o Servidor de Rota do Azure executará uma redefinição completa de protocolo BGP com as NVAs emparelhadas, o que pode causar interrupção na conectividade para o tráfego que atravessa as NVAs.
Como o limite de rotas 1000 é calculado em uma sessão de emparelhamento BGP entre um NVA e um Servidor de Rota do Azure?
Atualmente, o Servidor de Rota pode aceitar no máximo 1000 rotas de um único par BGP. Ao processar atualizações de rota BGP, este limite é calculado como o número de rotas atuais aprendidas com um par BGP mais o número de rotas que chegam na atualização de rota BGP. Por exemplo, se uma NVA anunciar inicialmente 501 rotas para o Servidor de Rota e posteriormente anunciar novamente essas 501 rotas em uma atualização de rota BGP, o servidor de rota calculará isso como 1002 rotas e derrubará a sessão BGP.
Quais ASNs (Números do Sistema Autônomo) posso usar?
Você pode usar os próprios ASNs públicos ou privados no seu dispositivo de rede virtual (NVA). Você não pode usar ASNs reservados pelo Azure ou IANA.
- ASNs reservados pelo Azure:
- ASNs públicos: 8074, 8075, 12076
- ASNs privados: 65515, 65517, 65518, 65519, 65520
- Os ASNs reservados pela IANA:
- 23456, 64496-64511, 65535-65551
Posso usar os ASNs de 32 bits (4 bytes)?
Não, o Servidor de Rota do Azure dá suporte apenas aos ASNs de 16 bits (2 bytes).
Se o Servidor de Rota do Azure receber a mesma rota de mais de um NVA, como ele resolve a situação?
Se a rota tiver o mesmo tamanho do caminho de AS, o Servidor de Rota do Azure programará várias cópias da rota, cada uma com um próximo salto diferente, para as máquinas virtuais (VMs) na rede virtual. Quando uma VM envia tráfego para o destino dessa rota, o host da VM usa roteamento Equal-Cost Multi-Path (ECMP). No entanto, se um NVA enviar a rota com um tamanho do caminho menor do que outros NVAs, o Servidor de Rota do Azure programará apenas a rota que tem o próximo salto definido para esse NVA para as VMs na rede virtual.
A criação de um Servidor de Rota afeta a operação de gateways de rede virtual existentes (VPN ou ExpressRoute)?
Sim. Ao criar ou excluir um Servidor de Rota em uma rede virtual que contenha um gateway de rede virtual (ExpressRoute ou VPN), você pode esperar que haja um tempo de inatividade até a operação ser concluída. Se você tiver um circuito do ExpressRoute conectado à rede virtual em que está criando ou excluindo o Servidor de Rota, o tempo de inatividade não afetará o circuito do ExpressRoute ou conexões com outras redes virtuais.
O Servidor de Rota do Azure troca rotas por padrão entre NVAs e os gateways de rede virtual (VPN ou ExpressRoute)?
Não. Por padrão, o Servidor de Rota do Azure não propaga as rotas recebidas de um NVA e de um gateway de rede virtual entre eles. O Servidor de Rota troca essas rotas depois de você habilitar o recurso branch a branch no servidor.
Quando a mesma rota é definida no ExpressRoute, na VPN ou na SDWAN, qual rede é a preferencial?
Por padrão, a rota aprendida pelo ExpressRoute é preferencial em relação às aprendidas por VPN ou SDWAN. Você pode configurar a preferência de roteamento para influenciar a seleção de rota do Servidor de Rota. Para obter mais informações, confira Preferência de roteamento.
Quais são os requisitos para que um gateway de VPN do Azure funcione com o Servidor de Rota do Azure?
O gateway da VPN do Azure deve ser configurado no modo ativo-ativo com o ASN definido como 65515.
Preciso habilitar o BGP no gateway de VPN?
Não. Não é obrigatório ter o BGP habilitado no gateway de VPN para se comunicar com o Servidor de Rota.
Posso emparelhar dois Servidores de Rota do Azure em duas redes virtuais emparelhadas e habilitar os NVAs conectados aos Servidores de Rota a conversarem entre si?
Topologia: NVA1 -> RouteServer1 -> (via Emparelhamento VNet) -> RouteServer2 -> NVA2
Não, o Servidor de Rota do Azure não encaminha o tráfego de dados. Para habilitar a conectividade de trânsito por meio do NVA, configure uma conexão direta (por exemplo, um túnel IPsec) entre os NVAs e use os Servidores de Rota para a propagação de rota dinâmica.
Posso usar o Azure Route Server para direcionar o tráfego entre sub-redes na mesma rede virtual para fluir o tráfego entre sub-redes por meio da NVA?
Não. O Servidor de Rota do Azure usa o BGP para anunciar rotas. As rotas de sistema para o tráfego relativas à rede virtual, aos emparelhamentos de rede virtual ou aos pontos de extremidade de serviço de rede virtual são rotas preferenciais, mesmo que as rotas BGP sejam mais específicas. Você deve continuar a usar UDRs (rotas definidas pelo usuário) para substituir rotas do sistema e não pode utilizar o BGP para fazer failover dessas rotas rapidamente. Você precisa continuar a usar uma solução de terceiros para atualizar os UDRs por meio da API em uma situação de failover ou usar um Azure Load Balancer com o modo de portas HA para direcionar o tráfego.
Você ainda pode usar o Servidor de Rota para direcionar o tráfego entre sub-redes em diferentes redes virtuais para fluir usando a NVA. Um design possível que pode funcionar é uma sub-rede por rede virtual "spoke" e todas as redes virtuais "spoke" são emparelhadas com uma rede virtual "hub". Esse design é muito limitador e precisa levar em considerações sobre dimensionamento e os limites máximos do Azure em redes virtuais versus sub-redes.
O Servidor de Rota do Azure pode fornecer trânsito entre o ExpressRoute e uma conexão de gateway VPN ponto a site (P2S) se a configuração branch a branch estiver habilitada?
Não, o Servidor de Rota do Azure fornece trânsito apenas entre o ExpressRoute e conexões de gateway VPN S2S site a site (S2S) se a configuração branch a branch estiver habilitada.
Posso criar um Servidor de Rota do Azure em uma VNet spoke conectada a um hub WAN Virtual?
Não. A VNet spoke não poderá ter um Servidor de Rota se estiver conectada ao hub virtual WAN.
Limitações
Quantos Servidores de Rota do Azure posso criar em uma rede virtual?
Você pode criar apenas um Servidor de Rota em uma rede virtual. Você deve implantar o servidor de rota em uma sub-rede dedicada, denominada RouteServerSubnet.
Posso associar uma UDR à RouteServerSubnet?
Não, o Servidor de Rota do Azure não dá suporte à configuração de uma rota definida pelo usuário (UDR) na sub-rede RouteServerSubnet. O Servidor de Rota do Azure não roteia nenhum tráfego de dados entre NVAs (soluções de virtualização de rede) e VMs (máquinas virtuais).
Posso associar um Grupo de Segurança de Rede (NSG) a uma RouteServerSubnet?
Não. O Servidor de Rota do Azure não dá suporte à associação do grupo de segurança de rede à sub-rede RouteServerSubnet.
Quais são os limites de Servidor de Rota do Azure?
O Servidor de Rota do Azure tem os seguintes limites (por implantação).
Recurso | Limite |
---|---|
Número de pares de BGP | 8 |
Número de rotas que cada par no nível de protocolo BGP pode anunciar para o Servidor de Rota do Azure 1 | 1.000 |
Número de VMs na rede virtual (incluindo redes virtuais emparelhadas) às quais o Servidor de Rota do Azure pode dar suporte | 4.000 |
Número de redes virtuais que o Servidor de Rota do Azure pode suportar | 500 |
Número total de prefixos de rede virtual no local e no Azure que o Servidor de Rota do Azure pode oferecer suporte | 10.000 |
1 Se o seu NVA anunciar mais rotas do que o limite, a sessão BGP é removida.
Observação
O número total de rotas anunciadas do espaço de endereço de VNet e do Servidor de Rota para o circuito do ExpressRoute, quando a Ramificação para ramificação está habilitada, não deve exceder 1.000. Para obter mais informações, consulte Rotear limites de anúncio do ExpressRoute.
Para obter informações sobre como solucionar problemas de roteamento em uma máquina virtual, confira Diagnosticar um problema de roteamento da máquina virtual do Azure.
Próximas etapas
Saiba como configurar o Servidor de Rota do Azure.