Como funciona o Servidor de Rota do Azure?
À medida que você começa a se preparar para implantar o Servidor de Rota do Azure na sua organização, precisa saber mais sobre como ele funciona. Embora o Servidor de Rota do Azure seja um serviço totalmente gerenciado, é importante que você entenda como ele funciona em vários cenários.
Normalmente, o Servidor de Rota do Azure é usado com um ou mais dispositivos de rede. Por exemplo, você pode conectar o Servidor de Rota do Azure a uma NVA de firewall e a um dispositivo SD-WAN, como no seguinte diagrama:
Este exemplo tem uma rede virtual com o espaço de endereço 10.1.0.0/16. Dentro dessa rede, uma sub-rede do aplicativo hospeda VMs e outros recursos. A mesma rede também tem uma sub-rede do Servidor de Rota do Azure que gerencia a tabela de rotas para o espaço de endereço 10.1.0.0/16. Dois dispositivos virtuais implantados na mesma rede são um firewall e um dispositivo SD-WAN. Todo o tráfego da Internet é roteado por meio do dispositivo de firewall porque gerencia a rota padrão 0.0.0.0/0.
Outro dispositivo, a SD-WAN, gerencia a conexão com a rede local com o espaço de endereço 10.250.0.0/16. Dois dispositivos, a SD-WAN e o firewall, são configurados como pares no nível de protocolo BGP para o Servidor de Rota do Azure. Por causa disso, as tabelas de rotas deles são propagadas para o Servidor de Rota do Azure. A tabela de rotas da rede 10.1.0.0/16 também é propagada para os dispositivos de rede. Como o Servidor de Rota do Azure está configurado na mesma rede virtual das VMs, essas rotas são configuradas automaticamente nas VMs, na rede virtual.
Como resultado, quando uma VM da sub-rede do aplicativo precisar se comunicar com um recurso localizado em uma rede local, ela saberá que o tráfego deve ser enviado ao dispositivo SD-WAN. Se quiser, ela acessará a Internet por meio da rota padrão, gerenciada pelo dispositivo de firewall. Como o dispositivo SD-WAN tem informações sobre as rotas para o espaço de endereço 10.1.0.0./16, qualquer recurso local poderá se comunicar com os recursos na sub-rede do aplicativo. Sempre que ocorrer uma alteração nas rotas ou nos espaços de endereço em qualquer componente conectado ao Servidor de Rota do Azure, ela será propagada para todos os dispositivos e as tabelas de rotas automaticamente.
Vamos analisar como o tráfego por meio da NVA SD-WAN é controlado quando o Servidor de Rota do Azure é implantado. No cenário a seguir, o Servidor de Rota do Azure habilita a seleção de caminho, o que permite que você configure a NVA SD-WAN para que ela tenha uma preferência de roteamento ao se comunicar com a rede local. Quando a NVA SD-WAN é usada com o Servidor de Rota do Azure para estabelecer uma conexão com uma rede local, o caminho pode ser estabelecido de duas maneiras, conforme mostra o seguinte diagrama:
A preferência de roteamento permite que você escolha as rotas de tráfego entre o Azure e a Internet. Você pode optar por rotear o tráfego por meio do backbone de rede da Microsoft ou da rede do ISP (Internet pública). Essas opções também são conhecidas como roteamento cold potato e roteamento hot potato, respectivamente.
Quando você implanta uma NVA SD-WAN na mesma rede virtual do Servidor de Rota do Azure, ela é configurada com um endereço IP de rede da Microsoft. O caminho de tráfego para sua rede local usará a rede global da Microsoft e, como resultado, sairá da rede da Microsoft mais próxima do destino. O roteamento da sua rede local entrará na rede da Microsoft mais próxima do usuário no caminho de retorno. Esse método de roteamento é otimizado para desempenho e fornece a melhor experiência possível a um custo.
Como uma forma de otimizar o custo, um segundo método de roteamento é feito pela atribuição de um IP da Internet à NVA SD-WAN. Quando o tráfego é roteado para sua rede local, ele sai da rede da Microsoft na mesma região em que o serviço está hospedado. Em seguida, ele será roteado pela Internet usando a rede do ISP. O roteamento do local entrará na rede da Microsoft mais próxima da região do serviço hospedado. Esse método de roteamento fornecerá o melhor preço geral ao concluir uma tarefa, como transferir uma grande quantidade de dados.
Integração do Servidor de Rota do Azure ao ExpressRoute e à VPN do Azure
Em alguns cenários, você implementará o Servidor de Rota do Azure em redes virtuais com um gateway do ExpressRoute ou um Gateway de VPN do Azure, conforme demonstrado no seguinte diagrama:
Nesse caso, o Gateway de VPN do Azure e o gateway do ExpressRoute são usados para se conectar a redes locais. No entanto, ao contrário dos objetos NVA, que são configurados como pares BGP para o Servidor de Rota do Azure, você não precisa configurar nem gerenciar o emparelhamento via BGP entre o gateway e o Servidor de Rota do Azure. Em vez disso, você deve habilitar a troca de rotas entre o gateway e o Servidor de Rota do Azure. Para fazer isso, defina a seguinte configuração na página Configuração do Servidor de Rotas do Azure no portal do Azure:
Como alternativa, você pode habilitar a troca de rotas entre o Servidor de Rota do Azure e o gateway (ou os gateways) usando o cmdlet Update-AzRouteServer com o sinalizador -AllowBranchToBranchTraffic.
Depois que você fizer isso, as informações de roteamento serão trocadas entre o gateway do ExpressRoute e o Gateway de VPN do Azure, por meio do Servidor de Rota do Azure. Isso significa que o Gateway de VPN do Azure receberá as rotas da rede local 2 e o gateway do ExpressRoute receberá as rotas da rede local 1. No entanto, os dois gateways também receberão as rotas da rede virtual em que o Servidor de Rota do Azure está localizado.
Preço do Servidor de Rota do Azure
O Servidor de Rota do Azure é um serviço típico de pagamento por uso. Ele não tem nenhum custo inicial de qualquer tipo, nem valores de término. Você paga por esse serviço somente enquanto ele está ativo.