Azure 路由伺服器的運作方式為何?

  • 10 分鐘

當您準備在組織中部署 Azure 路由伺服器時,您必須深入了解其運作方式。 雖然 Azure 路由伺服器是完全受控的服務,仍請務必了解它在各種案例中的運作方式。

最常見的情況,是將 Azure 路由伺服器用於一或多個網路設備。 例如,您可以將 Azure 路由伺服器連線至防火牆 NVA 和 SD-WAN 設備,如下圖所示:

圖表顯示在具有應用程式子網路以及 SD-WAN 及防火牆設備的虛擬網路中的 Azure 路由伺服器。

在此範例中,有一個具有 10.1.0.0/16 位址空間的虛擬網路。 在該網路內,有一個應用程式子網路裝載了 VM 和其他資源。 相同的網路內也有一個 Azure 路由伺服器子網路,可管理 10.1.0.0/16 位址空間的路由表。 在相同網路中部署的兩個虛擬裝置,是防火牆和 SD-WAN 設備。 所有網際網路流量都會透過防火牆設備進行路由傳送,因為該設備管理了預設路由 0.0.0.0/0。

另一個設備 SD-WAN 則透過 10.250.0.0/16 位址空間來管理對內部部署網路的連線。 SD-WAN 和防火牆這兩個設備會設定為 Azure 路由伺服器的 BGP 對等互連。 因此,其路由表會傳播至 Azure 路由伺服器。 此外,10.1.0.0/16 網路的路由表會傳播至網路設備。 由於 Azure 路由伺服器設定於與 VM 相同的虛擬網路中,因此這些路由會在虛擬網路中的 VM 上自動設定。

因此,當應用程式子網路中的 VM 需要與位於內部部署網路中的資源通訊時,會知道流量應傳送至 SD-WAN 設備。 如有需要,它會透過由防火牆設備管理的預設路由來存取網際網路。 由於 SD-WAN 設備具有 10.1.0.0./16 位址空間之路由的相關資訊,任何位於內部部署的資源都將能與應用程式子網路中的資源通訊。 每當任何連線至 Azure 路由伺服器之元件中的路由或位址空間發生變更時,都會自動傳播至所有設備與路由表。

我們來回顧一下,在部署 Azure 路由伺服器時,如何控制通過 SD-WAN NVA 的流量。 在下列案例中,Azure 路由伺服器會啟用路徑選取,可讓您將 SD-WAN NVA 設定為使用慣用的路由與內部部署網路進行通訊。 SD-WAN NVA 與 Azure 路由伺服器搭配使用以建立內部部署網路的連線時,可透過兩種方式來建立路徑,如下圖所示:

圖表顯示將 Azure 資源連線到本機網路的兩個路徑。一個路徑是透過 Microsoft 骨幹,另一個路徑則是使用 ISP 基礎結構。

路由喜好設定可讓您選擇流量在 Azure 與網際網路之間的路由方式。 您可以選擇透過 Microsoft 網路或 ISP 網路 (公用網際網路) 來路由傳送流量。 這些選項也分別稱為冷馬鈴薯路由熱馬鈴薯路由

SD-WAN NVA 部署在與 Azure 路由伺服器相同的虛擬網路時,會使用 Microsoft 網路 IP 位址進行設定。 內部部署網路的流量路徑會使用 Microsoft 全域網路,因而退出最接近目的地的 Microsoft 網路。 來自內部部署網路的路由,會進入傳回路徑最接近使用者的 Microsoft 網路。 此路由方法具有最佳效能,並以最高的性價比提供最佳體驗。

為了達到最佳成本,第二個路由方法會藉由為 SD WAN NVA 指派網際網路 IP 位址來執行。 流量路由在傳送至您的內部部署網路時,將會退出服務裝載所在區域中的 Microsoft 網路。 接著將會使用 ISP 的網路,透過網際網路進行路由傳送。 來自內部部署的路由,會進入與裝載的服務區域最接近的 Microsoft 網路。 此路由方法會提供完成特定工作 (例如傳輸大量資料) 的最佳整體價格。

Azure 路由伺服器與 ExpressRoute 和 Azure VPN 整合

在某些情況下,您會在具有 ExpressRoute 閘道或 Azure VPN 閘道的虛擬網路中實作 Azure 路由伺服器,如下圖所示:

圖表顯示在具有快速路由閘道及 Azure VPN 閘道的虛擬網路中實作 Azure 路由伺服器。

在此案例中,Azure VPN 閘道和 ExpressRoute 閘道用來連線至內部部署網路。 但不同於 NVA 物件 (您設定為 Azure 路由伺服器的 BGP 對等互連),您不需要在閘道與 Azure 路由伺服器之間設定或管理 BGP 對等互連。 您應啟用閘道與 Azure 路由伺服器之間的路由交換。 為此,請在 Azure 入口網站中,在 Azure 路由伺服器的 [設定] 頁面中進行下列設定:

已啟用分支對分支設定的螢幕擷取畫面。

或者,您可以使用 Update-AzRouteServer Cmdlet 搭配 -AllowBranchToBranchTraffic 旗標,以啟用 Azure 路由伺服器與一或多個閘道之間的路由交換。

完成此動作後,ExpressRoute 閘道與 Azure VPN 閘道之間即會透過 Azure 路由伺服器來交換路由資訊。 這表示 Azure VPN 閘道將接收內部部署 2 網路的路由,而 ExpressRoute 閘道將會接收內部部署 1 網路的路由。 不過,這兩個閘道也會接收 Azure 路由伺服器所在之虛擬網路的路由。

Azure 路由伺服器價格

Azure 路由伺服器是典型的依用量付費服務。 此服務沒有任何形式的預付成本,也沒有任何終止費用。 此服務只有在作用時才會產生費用。