Migrace na nový okruh ExpressRoute

Pokud chcete přepnout z jednoho okruhu ExpressRoute na jiný, můžete to provést hladce s minimálním přerušením služeb. Tento dokument vás provede postupem migrace produkčního provozu, aniž by to způsobilo velké přerušení nebo rizika. Tato metoda se použije bez ohledu na to, jestli přecházíte na nové nebo stejné umístění partnerského vztahu.

Pokud máte okruh ExpressRoute prostřednictvím poskytovatele služeb vrstvy 3, vytvořte nový okruh v rámci předplatného na webu Azure Portal. S vaším poskytovatelem služeb můžete bezproblémově přepnout provoz na nový okruh. Jakmile poskytovatel služeb zruší zřízení vašeho starého okruhu, odstraňte ho z webu Azure Portal.

Zbytek článku platí, pokud máte okruh ExpressRoute prostřednictvím poskytovatele služeb vrstvy 2 nebo přímých portů ExpressRoute.

Kroky pro bezproblémovou migraci okruhu ExpressRoute

Předchozí diagram znázorňuje proces migrace z existujícího okruhu ExpressRoute označovaného jako Okruh A na nový okruh ExpressRoute, který se označuje jako Okruh B. Okruh B může být ve stejném umístění nebo v jiném umístění partnerského vztahu jako okruh A. Proces migrace se skládá z následujících kroků:

1. Nasazení okruhu B izolovaně: Zatímco provoz pokračuje v toku přes okruh A, nasaďte nový okruh B, aniž by to mělo vliv na produkční prostředí.

2. Zablokujte tok produkčního provozu přes okruh B: Zabrání veškerému provozu v používání okruhu B, dokud se plně neotestuje a neověří.

3. Dokončení a ověření kompletního připojení okruhu B: Zajistěte, aby okruh B mohl navázat a udržovat stabilní a zabezpečené připojení se všemi požadovanými koncovými body.

4. Přepnutí provozu: Přesměrujte tok provozu z okruhu A do okruhu B a zablokujte tok provozu přes okruh A.

5. Vyřazení okruhu A z provozu: Odeberte okruh A ze sítě a uvolněte jeho prostředky.

Nasazení nového okruhu v izolaci

Pro nahrazení existujícího okruhu 1:1 vyberte možnost Standardní odolnost a postupujte podle kroků uvedených v průvodci Vytvořit okruh s ExpressRoute a vytvořte nový okruh ExpressRoute (okruh B) v požadovaném umístění partnerského vztahu. Potom postupujte podle kroků v části Konfigurace partnerského vztahu pro okruh ExpressRoute a nakonfigurujte požadované typy peeringu: privátní a Microsoft.

Pokud chcete zabránit tomu, aby privátní partnerský vztah produkčního provozu před testováním a ověřením používal okruh B, nepropojujte bránu virtuální sítě, která má produkční nasazení do okruhu B. Podobně, abyste se vyhnuli produkčnímu provozu partnerského vztahu Microsoftu z použití okruhu B, nepřidružujte k okruhu B filtr tras.

Blokování toku produkčního provozu přes nově vytvořený okruh

Zabrání inzerování trasy přes jeden nebo více nových partnerských vztahů na zařízeních CE.

Pro Cisco IOS můžete použít route-map a a prefix-list k filtrování tras inzerovaných přes partnerský vztah protokolu BGP. Následující příklad ukazuje, jak vytvořit a použít a route-map a pro prefix-list tento účel:

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Pomocí zásad exportu/importu můžete filtrovat trasy inzerované a přijaté v novém partnerském vztahu na zařízeních Junos. Následující příklad ukazuje, jak nakonfigurovat zásady exportu a importu pro tento účel:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

Ověření kompletního připojení nově vytvořeného okruhu

Soukromý peering

Pokud chcete nový okruh propojit s bránou testovací virtuální sítě a ověřit připojení privátního partnerského vztahu, postupujte podle kroků v části Připojení virtuální sítě k okruhu ExpressRoute. Po propojení virtuálních sítí s okruhem zkontrolujte směrovací tabulku privátního partnerského vztahu a ujistěte se, že je zahrnutý adresní prostor virtuální sítě. Následující příklad ukazuje směrovací tabulku privátního partnerského vztahu okruhu ExpressRoute na portálu pro správu Azure:

Následující diagram znázorňuje testovací virtuální počítač v testovací virtuální síti a místní testovací zařízení sloužící k ověření připojení přes privátní partnerský vztah ExpressRoute.

Upravte konfiguraci mapování tras nebo zásad tak, aby filtrovala inzerované trasy a povolovala konkrétní IP adresu místního testovacího zařízení. Podobně povolte testovací adresní prostor virtuální sítě z Azure.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Pokud chcete povolit konkrétní ip předpony pro testovací zařízení v Junosu, nakonfigurujte seznam předpon. Pak nakonfigurujte zásadu importu nebo exportu protokolu BGP tak, aby povolala tyto předpony a odmítla všechno ostatní.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Ověřte kompletní připojení přes privátní partnerský vztah. Můžete například otestovat virtuální počítač v Azure pomocí příkazu ping z místního testovacího zařízení a zkontrolovat výsledky. Podrobné ověření najdete v tématu Ověření připojení ExpressRoute.

Partnerský vztah s Microsoftem

Ověření partnerského vztahu Microsoftu vyžaduje pečlivé plánování, aby nedošlo k ovlivnění produkčního provozu. Pokud chcete zajistit hladký proces, postupujte takto:

1. Použijte jedinečné předpony: Nakonfigurujte partnerský vztah Microsoftu pro Okruh B s předponami odlišnými od předpon používaných pro Okruh A, aby se zabránilo konfliktům směrování. Pokyny najdete v tématu vytvoření partnerského vztahu Microsoftu.
2. Samostatné filtry tras: Propojte partnerský vztah okruhu B od Microsoftu s jiným filtrem tras než okruh A. Postupujte podle kroků v konfiguraci filtrů tras pro partnerský vztah Microsoftu.
3. Vyhněte se běžným trasám: Zajistěte, aby filtry tras pro oba okruhy nesdílely společné trasy, aby se zabránilo asymetrickým směrováním. Můžete to udělat takto:
   • Výběr služby nebo oblasti Azure pro testování okruhu B, který není používán produkčním provozem okruhu A.
   • Minimalizace překrývání mezi těmito dvěma filtry tras a povolení pouze konkrétních testovacích veřejných koncových bodů prostřednictvím okruhu B.

Po propojení filtru tras zkontrolujte inzerované a přijaté trasy přes partnerský vztah protokolu BGP na zařízení CE. Upravte konfiguraci zásad route-map nebo Junos tak, aby filtrovala inzerované trasy a umožňovala testování jenom místní předpony partnerského vztahu Microsoftu a konkrétní IP adresy vybraných veřejných koncových bodů Microsoftu.

Pokud chcete otestovat připojení ke koncovým bodům Microsoftu 365, postupujte podle kroků v implementaci ExpressRoute pro Microsoft 365 – sestavte testovací postupy. U veřejných koncových bodů Azure začněte základními testy připojení, jako je traceroute z místního prostředí, abyste zajistili, že požadavky přejdou přes koncové body ExpressRoute. Kromě koncových bodů ExpressRoute se zprávy ICMP potlačí přes síť Microsoftu. Kromě toho otestujte připojení na úrovni aplikace. Pokud máte například virtuální počítač Azure s veřejnou IP adresou, na které běží webový server, zkuste získat přístup k veřejné IP adrese webového serveru z místní sítě prostřednictvím připojení ExpressRoute. To potvrzuje, že složitý provoz, jako jsou požadavky HTTP, se může spojit se službami Azure.

Soukromý peering

1. Odpojte okruh B od všech testovacích bran virtuální sítě.
2. Odeberte všechny výjimky provedené v zásadách Cisco route-maps nebo Junos.
3. Připojte Okruh B k bráně produkční virtuální sítě podle kroků v části Připojení virtuální sítě k okruhu ExpressRoute.
4. Ujistěte se, že okruh B je připravený inzerovat všechny trasy aktuálně inzerované přes okruh A. Ověřte, zda jsou rozhraní okruhu B přidružená k příslušné instanci VRF nebo směrování.
5. Odeberte trasy mapy nebo zásady v rozhraních okruhu B a použijte je u rozhraní okruhu A, aby se blokovaly inzerování tras přes okruh A, a přepněte tok provozu na Okruh B.
6. Ověřte tok provozu přes okruh B. Pokud se ověření nezdaří, vraťte změny a přepněte tok provozu zpět na Okruh A.
7. Pokud je ověření úspěšné, odstraňte okruh A.

Partnerský vztah s Microsoftem

1. Odeberte okruh B z jakéhokoli testovacího filtru tras Azure.
2. Odeberte všechny výjimky provedené v mapách tras nebo zásadách.
3. Ujistěte se, že jsou rozhraní okruhu B přidružená k příslušné instanci VRF nebo směrování.
4. Ověřte a potvrďte inzerované předpony u partnerského vztahu Microsoftu.
5. Přidružte partnerský vztah OkruhU B Microsoftu k filtru tras Azure, který je aktuálně přidružený k okruhu A.
6. Odeberte trasové mapy nebo zásady exportu/importu v rozhraních okruhu B a použijte je u rozhraní okruhu A, abyste blokovali inzerování tras přes okruh A a přepnuli tok provozu na Okruh B.
7. Ověřte tok provozu přes okruh B. Pokud se ověření nezdaří, vraťte změny a přepněte tok provozu zpět na Okruh A.
8. Pokud je ověření úspěšné, odstraňte okruh A.

Další krok

Další informace o konfiguraci směrovače naleznete v tématu Ukázky konfigurace směrovače pro nastavení a správu směrování.