Připojení místní sítě k Azure pomocí ExpressRoute

Tato referenční architektura ukazuje, jak připojit místní síť k virtuální síti Azure pomocí Azure ExpressRoute s virtuální privátní sítí typu site-to-site (VPN) jako připojení s podporou převzetí služeb při selhání.

Architektura

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Tato architektura se skládá z následujících součástí.

• Místní síť: Privátní místní síť fungující v organizaci
• Zařízení VPN. Zařízení nebo služba poskytující externí připojení k místní síti. Zařízení VPN může být hardwarové zařízení nebo může jít o softwarové řešení, jako je služba Směrování a vzdálený přístup (RRAS) ve Windows Serveru 2012. Seznam podporovaných zařízení VPN a informace o konfiguraci vybraných zařízení VPN pro připojení k Azure najdete v článku o zařízeních VPN pro připojení typu site-to-site ke službě VPN Gateway.
• Okruh ExpressRoute. Okruh vrstvy 2 nebo vrstvy 3 dodaný poskytovatelem připojení, který se připojí k místní síti s Azure přes hraniční směrovače. Okruh používá hardwarovou infrastrukturu spravovanou poskytovatelem připojení.
• Brána virtuální sítě ExpressRoute. Brána virtuální sítě ExpressRoute umožňuje virtuální síti Azure připojit se k okruhu ExpressRoute, který se používá pro připojení k místní síti.
• Brána virtuální sítě VPN. Brána virtuální sítě VPN umožňuje virtuální síti Azure připojit se k zařízení VPN v místní síti. Brána virtuální sítě VPN je nakonfigurovaná tak, aby přijímala požadavky z místní sítě jenom prostřednictvím zařízení VPN. Další informace najdete v článku o připojení místní sítě k virtuální síti Microsoft Azure.
• Připojení VPN. Připojení má vlastnosti, které určují typ připojení (IPSec) a klíč sdílený s místním zařízením VPN k šifrování přenosů.
• Virtuální síť Azure. Každá virtuální síť se nachází v jedné oblasti Azure a může hostovat více aplikačních vrstev. Aplikační vrstvy je možné segmentovat pomocí podsítí v každé virtuální síti.
• Podsíť brány. Brány virtuální sítě se nacházejí ve stejné podsíti.

Komponenty

• Azure ExpressRoute
• Azure VPN Gateway
• Azure Virtual Network

Podrobnosti scénáře

Tato referenční architektura ukazuje, jak připojit místní síť k virtuální síti Azure pomocí ExpressRoute s virtuální privátní sítí typu site-to-site (VPN) jako připojení s podporou převzetí služeb při selhání. Provoz prochází mezi místní sítí a virtuální sítí Azure prostřednictvím připojení ExpressRoute. Pokud dojde ke ztrátě připojení v okruhu ExpressRoute, provoz se směruje přes tunel VPN IPSec. Nasaďte toto řešení.

Upozorňujeme, že pokud okruh ExpressRoute není dostupný, bude trasa VPN zpracovávat pouze privátní připojení peeringu. Veřejné partnerské vztahy a připojení peeringu Microsoftu procházejí přes internet.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Virtuální síť a Podsíť brány

Vytvořte připojení brány virtuální sítě ExpressRoute a připojení brány virtuální sítě VPN ve stejné virtuální síti s objektem brány, který už je na místě. Obě budou sdílet stejnou podsíť s názvem GatewaySubnet.

Pokud už virtuální síť obsahuje podsíť s názvem GatewaySubnet, ujistěte se, že má adresní prostor /27 nebo větší. Pokud je stávající podsíť příliš malá, pomocí následujícího příkazu PowerShellu podsíť odeberte:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Pokud virtuální síť neobsahuje podsíť s názvem GatewaySubnet, vytvořte novou pomocí následujícího příkazu PowerShellu:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN a brány ExpressRoute

Ověřte, jestli vaše organizace splňuje požadavky ExpressRoute pro připojení k Azure.

Pokud už ve virtuální síti Azure máte bránu virtuální sítě VPN, odeberte ji pomocí následujícího příkazu PowerShellu:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Postupujte podle pokynů v tématu Konfigurace hybridní síťové architektury pomocí Azure ExpressRoute a vytvořte připojení ExpressRoute.

Postupujte podle pokynů v tématu Konfigurace hybridní síťové architektury s Azure a místní sítí VPN a vytvořte připojení brány virtuální sítě VPN.

Po vytvoření připojení brány virtuální sítě otestujte prostředí následujícím způsobem:

1. Ujistěte se, že se můžete připojit z místní sítě k virtuální síti Azure.
2. Obraťte se na svého poskytovatele připojení, aby pro testování zastavil ExpressRoute.
3. Pomocí připojení brány virtuální sítě VPN ověřte, že se stále můžete připojit z místní sítě k virtuální síti Azure.
4. Obraťte se na svého poskytovatele připojení, aby připojení ExpressRoute znovu aktivoval.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Obecné požadavky na zabezpečení Azure najdete v článku o cloudových službách Microsoftu a zabezpečení sítí.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

Důležité informace o nákladech na ExpressRoute najdete v těchto článcích:

• Aspekty nákladů při konfiguraci hybridní síťové architektury pomocí Azure ExpressRoute

Provozní dokonalost

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Důležité informace o ExpressRoute DevOps najdete v doprovodných materiálech ke konfiguraci hybridní síťové architektury s využitím Azure ExpressRoute .

Důležité informace o site-to-site VPN DevOps najdete v tématu Konfigurace hybridní síťové architektury s využitím Azure a místních pokynů k síti VPN .

Nasazení tohoto scénáře

Požadavky. Musíte už mít nakonfigurovanou existující místní infrastrukturu s vhodným síťovým zařízením.

K nasazení řešení proveďte následující kroky.

1. Vyberte odkaz níže.

   

2. Počkejte, až se odkaz otevře na webu Azure Portal, a pak vyberte skupinu prostředků, do které chcete tyto prostředky nasadit, nebo vytvořte novou skupinu prostředků. Oblast a umístění se automaticky změní tak, aby odpovídaly skupině prostředků.

3. Pokud chcete změnit názvy prostředků, poskytovatele, skladové položky nebo síťové IP adresy pro vaše prostředí, aktualizujte zbývající pole.

4. Vyberte Zkontrolovat a vytvořit a pak vytvořit a nasaďte tyto prostředky.

5. Počkejte, až se nasazení dokončí.

   Poznámka:

   Toto nasazení šablony nasadí pouze následující prostředky:

   • Skupina prostředků (pokud vytvoříte novou)
   • Okruh ExpressRoute
   • Virtuální síť Azure
   • Brána virtuální sítě ExpressRoute

   Aby bylo možné úspěšně navázat připojení privátního partnerského vztahu z místního prostředí k okruhu ExpressRoute, budete muset spojit poskytovatele služeb s klíčem služby okruhu. Klíč služby najdete na stránce přehledu prostředku okruhu ExpressRoute. Další informace o konfiguraci okruhu ExpressRoute najdete v tématu Vytvoření nebo úprava konfigurace partnerského vztahu. Po úspěšné konfiguraci privátního partnerského vztahu můžete propojit bránu virtuální sítě ExpressRoute s okruhem. Další informace najdete v tématu Kurz: Připojení virtuální síť k okruhu ExpressRoute pomocí webu Azure Portal.

6. Pokud chcete dokončit nasazení sítě VPN typu site-to-site jako zálohy do ExpressRoute, přečtěte si téma Vytvoření připojení VPN typu site-to-site.

7. Jakmile úspěšně nakonfigurujete připojení VPN ke stejné místní síti, kterou jste nakonfigurovali ExpressRoute, dokončíte nastavení zálohování připojení ExpressRoute, pokud dojde k celkovému selhání v umístění partnerského vztahu.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Sarah Parkes | Vedoucí architekt cloudových řešení

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Dokumentace ke službě ExpressRoute
• Standardní hodnoty zabezpečení Azure pro ExpressRoute
• Jak vytvořit okruh ExpressRoute
• Blog o sítích Azure
• Konfigurace společně existujících připojení ExpressRoute a Site-to-Site pomocí PowerShellu

Související prostředky

• Návrh hybridní architektury
• Možnosti hybridního využití Azure
• Hvězdicová síťová topologie v Azure
• Paprskové sítě
• Připojení místní síti do Azure
• Rozšíření místní sítě pomocí ExpressRoute
• Implementace zabezpečené hybridní sítě
• Integrace místní služby AD s Azure