共用方式為


Azure 路由伺服器常見問題集 (FAQ)

一般

什麼是 Azure 路由伺服器?

Azure 路由伺服器是完全受控的服務,可讓您輕鬆地管理網路虛擬設備 (NVA) 和虛擬網路之間的路由。

Azure 路由伺服器是否只是虛擬機器?

否。 Azure 路由伺服器是專為高可用性而設計的服務。 如果您將路由伺服器部署在支援可用性區域的 Azure 區域中,則會有區域層級備援。

我需要將每個 NVA 與兩個 Azure 路由伺服器執行個體對等互連嗎?

是,為了確保路由已成功公告至路由伺服器並設定高可用性,您必須將每個 NVA 實例與路由伺服器實例對等互連,並將相同的路由公告至這兩個實例。 此外,也建議將至少 2 個 NVA 實例與路由伺服器的實例對等互連。

注意

在路由伺服器維護事件期間,BGP 對等互連可能會在 NVA 與其中一個路由伺服器實例之間關閉。 因此,如果您將 NVA 設定為與路由伺服器兩個實例對等互連,則您的連線將會在維護事件期間保持啟動並執行。

Azure 路由伺服器是否會儲存客戶資料?

否。 Azure 路由伺服器只會與您的網路虛擬設備 (NVA) 交換 BGP 路由,然後將其傳播至您的虛擬網路。

Azure 路由伺服器是否支援虛擬網路對等互連?

是,如果您將裝載 Azure 路由伺服器的虛擬網路對等互連到另一個虛擬網路,並在第二個虛擬網路上啟用 [使用遠端虛擬網路的閘道或路由伺服器],Azure 路由伺服器會知道對等互連虛擬網路的位址空間,並將其傳送至所有對等互連的網路虛擬設備 (NVA)。 它也會將來自 NVA 的路由編寫成對等互連虛擬網路中虛擬機器的路由表。

為什麼 Azure 路由伺服器需要具有開放連接埠的公用 IP 位址?

Azure 的基礎 SDN 和管理平台需要這些公用端點才能與 Azure 路由伺服器進行通訊。 由於路由伺服器被視為客戶私人網路的一部分,因此出於合規性需求,Azure 的基礎平台無法透過其私人端點直接存取和管理路由伺服器。 與路由伺服器公用端點的連線會透過憑證進行驗證,而且 Azure 會對這些公用端點進行例行安全性稽核。 因此,它們不會構成虛擬網路的安全性暴露風險。

注意

這些憑證是由內部證書頒發機構單位所簽署,因此此憑證鏈結似乎不會由已知的受信任授權單位簽署。 因此,這並不代表 SSL 弱點。

Azure 路由伺服器是否支援 IPv6?

否。 我們將在未來新增 IPv6 支援。 如果您已部署具有 IPv6 位址空間的虛擬網路,然後在相同的虛擬網路中部署 Azure 路由伺服器,則這將中斷 IPv6 流量的連線。

警告

如果您已部署具有 IPv6 位址空間的虛擬網路,然後在相同的虛擬網路中部署 Azure 路由伺服器,則這也將中斷 IPv4 流量的連線。 此問題將在我們的下一個版本中修正,以確保 IPv4 流量繼續按預期運作。

路由

Azure 路由伺服器是否會在我的 NVA 與我的 VM 之間路由資料流量?

否。 Azure 路由伺服器只會與網路虛擬設備 (NVA) 交換 BGP 路由。 資料流量會直接從 NVA 流至目的地虛擬機器 (VM),以及直接從 VM 至 NVA。

Azure 路由伺服器支援哪些路由通訊協定?

Azure 路由伺服器僅支援邊界閘道 (BGP) 協定。 您的網路虛擬設備 (NVA) 必須支援多躍點外部 BGP,因為您必須在虛擬網路的專用子網路中部署路由伺服器。 在 NVA 上設定 BGP 時,您選擇的 ASN 必須與路由伺服器 ASN 不同。

Azure 路由伺服器是否會保留其所收到路由的 BGP AS 路徑?

是,Azure 路由伺服器會完整傳播 BGP AS 路徑的路由。

如果在 NVA 上設定路由伺服器的 AS 路徑首碼,ExpressRoute 線路是否會將 AS 路徑首碼資訊傳遞至內部部署?

當 ExpressRoute 通告路由至內部部署時,會移除私人 BGP ASN 資訊。 內部部署會接收前置詞 AS 12076

Azure 路由伺服器是否會保留其所收到路由的 BGP Community?

是,Azure 路由伺服器會按現狀傳播 BGP Community 的路由。

什麼是 Azure 路由伺服器的 BGP 計時器設定?

Azure 路由伺服器 Keepalive 計時器為 60 秒,保留計時時器為 180 秒。

Azure 路由伺服器是否可以篩選掉來自 NVA 的路由?

Azure 路由伺服器支援 NO_ADVERTISE BGP Community。 如果網路虛擬設備 (NVA) 向路由伺服器公告具有此社群字串的路由,則路由伺服器不會將它公告給其他對等,包括 ExpressRoute 閘道。 此功能有助於減少從 Azure 路由伺服器傳送至 ExpressRoute 的路由數目。

當在我的中樞 VNet 和輪輻 VNet 之間建立 VNet 對等互連時,這是否會導致在 Azure 路由伺服器與其對等互連 NVA 之間的 BGP 軟重設?

是。 如果在中樞 VNet 和輪輻 VNet 之間建立 VNet 對等互連,則 Azure 路由伺服器將透過向其所有對等互連 NVA 傳送路由重新整理要求來執行 BGP 軟重設。 如果 NVA 不支援 BGP 路由重新整理,則 Azure 路由伺服器將使用對等互連的 NVA 來執行 BGP 硬重設,這可能會導致流經 NVA 的流量的連線中斷。

如何計算 NVA 與 Azure 路由伺服器之間 BGP 對等互連工作階段的 1000 條路由限制?

目前,路由伺服器最多可以接受來自單一 BGP 對等體的 1000 條路由。 處理 BGP 路由更新時,此限制的計算方式為目前從 BGP 對等體獲知的路由數加上 BGP 路由更新中傳入的路由數。 例如,如果 NVA 最初向路由伺服器通告 501 條路由,後來在 BGP 路由更新中重新通告這 501 條路由,則路由伺服器會將其計算為 1002 條路由並終止 BGP 工作階段。

我可以使用什麼自發系統編號 (ASN)?

您可以在您的網路虛擬設備 (NVA) 中使用自己的公用 ASN 或私人 ASN。 您不能使用 Azure 或 IANA 所保留的 ASN。

  • Azure 所保留的 ASN:
    • 公用 ASN:8074、8075、12076
    • 私人 ASNs:65515、65517、65518、65519、65520
  • IANA 所保留的 ASN:
    • 23456, 64496-64511, 65535-65551

我可以使用 32 位元 (4 位元組) 的 ASN 嗎?

否,Azure 路由伺服器僅支援 16 位元 (2 位元組) ASN。

如果 Azure 路由伺服器收到來自多個 NVA 的相同路由,其處理方式為何?

如果路由具有相同的 AS 路徑長度,Azure 路由伺服器會編寫路由的多個複本,每個各有不同的下一個躍點,通往虛擬網路中的虛擬機器 (VM)。 當 VM 將流量傳送至此路由的目的地時,VM 主機會使用相同成本的多重路徑 (ECMP) 路由。 不過,如果一個 NVA 傳送的路由具有的 AS 路徑長度較其他 NVA 更短,則 Azure 路由伺服器只會編寫下一個躍點設定為此 NVA 的路由,通往虛擬網路中的 VM。

建立路由伺服器是否會影響現有虛擬網路閘道 (VPN 或 ExpressRoute) 的作業?

是。 當您在包含虛擬網路閘道 (ExpressRoute 或 VPN) 的虛擬網路中建立或刪除路由伺服器時,在作業完成之前預期會停機。 如果您的 ExpressRoute 線路連線到您要建立或刪除路由伺服器的虛擬網路,停機時間不會影響 ExpressRoute 線路或其與其他虛擬網路的連線。

Azure 路由伺服器是否預設在 NVA 與虛擬網路閘道 (VPN 或 ExpressRoute) 之間交換路由?

否。 根據預設,Azure 路由伺服器不會將它從 NVA 和虛擬網路閘道收到的路由傳播給彼此。 在您啟用 [分支對分支] 之後,路由伺服器才會交換這些路由。

當 ExpressRoute、VPN 或 SDWAN 均學習相同的路由時,會偏好哪個網路?

根據預設,透過 ExpressRoute 學習的路由優先於透過 VPN 或 SDWAN 學習的路由。 您可以設定路由喜好設定以影響路由伺服器路由選取。 如需詳細資訊,請參閱路由喜好設定

Azure VPN 閘道與 Azure 路由伺服器搭配運作的需求為何?

Azure VPN 閘道必須以「主動-主動」模式設定,並且將 ASN 設定為 65515。

我需要在 VPN 閘道上啟用 BGP 嗎?

否。 不需要在 VPN 閘道上啟用 BGP,就能與路由伺服器通訊。

我可以在兩個對等互連虛擬網路中建立兩個 Azure 路由伺服器的對等互連,並讓連線至路由伺服器的 NVA 彼此通訊嗎?

拓撲:NVA1 -> RouteServer1 -> (透過 VNet 對等互連) -> RouteServer2 -> NVA2

否,Azure 路由伺服器不會轉送資料流量。 若要透過 NVA 啟用傳輸連線,請設定 NVA 之間的直接連線 (例如,IPsec 通道),並使用路由伺服器進行動態路由傳播。

我可以使用 Azure 路由伺服器將相同虛擬網路中的子網路之間的流量,導向至透過 NVA 的子網路間流量嗎?

否。 Azure 路由伺服器會使用 BGP 來公告路由。 即使 BGP 路由是更為專用的路由,系統仍會慣用與虛擬網路、虛擬網路對等互連或虛擬網路服務端點相關之流量的系統路由。 您必須繼續利用使用者定義的路由 (UDR) 來覆寫系統路由,而且您無法利用 BGP 快速容錯移轉這些路由。 您必須繼續使用第三方解決方案,在容錯移轉情況下透過 API 更新 UDR,或使用具有 HA 連接埠模式的 Azure Load Balancer 來導向流量。

您仍可以使用路由伺服器,將不同虛擬網路中子網路之間的流量導向使用 NVA 來流動。 可能可運作的設計是每個「輪輻」虛擬網路一個子網路,而所有「輪輻」虛擬網路都會對等互連至「中樞」虛擬網路。 此設計的限制很多,而且需要納入調整考量,以及 Azure 對虛擬網路與子網路的最大限制。

啟用 [分支對分支] 時,Azure 路由伺服器是否可以在 ExpressRoute 與點對站 (P2S) VPN 閘道連線之間提供傳輸?

否,啟用 [分支對分支] 設定時,Azure 路由伺服器只會在 ExpressRoute 與站對站 (S2S) VPN 閘道連線之間提供傳輸。

我可以在連線至虛擬 WAN 中樞的輪輻 VNet 中建立 Azure 路由伺服器嗎?

否。 如果輪幅 VNet 連線至虛擬 WAN 中樞,則不能有路由伺服器。

限制

我可以在虛擬網路中建立多少個 Azure 路由伺服器?

您只能在虛擬網路中建立一個路由伺服器。 您必須在名為 RouteServerSubnet 的專用子網路中部署路由伺服器。

我可以將 UDR 與 RouteServerSubnet 產生關聯嗎?

否,Azure 路由伺服器不支援在 RouteServerSubnet 子網路上設定使用者定義的路由 (UDR)。 Azure 路由伺服器不會路由網路虛擬設備 (NVA) 與虛擬機器 (VM) 之間的任何資料流量。

我可以將網路安全性群組 (NSG) 與 RouteServerSubnet 產生關聯嗎?

否,Azure 路由伺服器不支援與 RouteServerSubnet 子網路的網路安全性群組關聯。

Azure 路由伺服器有哪些限制?

Azure 路由伺服器具有下列限制 (每個部署)。

資源 限制
BGP 對等互連數目 8
每個 BGP 對等互連可以向 Azure 路由伺服器通告的路由數目1 1,000
Azure 路由伺服器可支援的虛擬網路中 VM 數目(包括對等互連虛擬網路) 4,000
Azure 路由伺服器可支援的虛擬網路數目 500
Azure 路由伺服器可支援的內部部署和 Azure 虛擬網路首碼總數 10,000

1 如果您 NVA 公告的路由超過限制,則會捨棄 BGP 工作階段。

注意

分支對分支啟用時,從 VNet 位址空間和路由伺服器公告至 ExpressRoute 線路的路由總數不可超過 1,000。 如需詳細資訊,請參閱 ExpressRoute 的路由公告限制

如需針對虛擬機器中的路由問題進行疑難排解的詳細資訊,請參閱診斷 Azure 虛擬機器路由問題

下一步

瞭解如何設定 Azure 路由伺服器