Přehled dobře architektuře Azure – Azure ExpressRoute
Tento článek obsahuje osvědčený postup architektury pro Azure ExpressRoute. Pokyny vycházejí z pěti pilířů efektivity architektury:
Předpokládáme, že máte pracovní znalosti o Azure ExpressRoute a jsou dobře obeznámeni se všemi jeho funkcemi. Další informace najdete v tématu Azure ExpressRoute.
Požadavky
Pro kontext zvažte kontrolu referenční architektury, která odráží tyto aspekty v návrhu. Doporučujeme začít s metodikou připravenosti architektury přechodu na cloud pro připojení k Azure a architektem pro hybridní připojení s Azure ExpressRoute. V případě architektur aplikací s nízkým kódem doporučujeme při plánování a konfiguraci ExpressRoute pro použití s platformou Microsoft Power Platform zkontrolovat povolení ExpressRoute pro Power Platform .
Spolehlivost
V cloudu bereme na vědomí, že k selháním dochází. Místo snahy kompletně zabránit selháním je cílem minimalizace dopadu selhání jedné komponenty. Následující informace použijte k minimalizaci doby mimo provoz do a z Azure při navazování připojení pomocí Azure ExpressRoute.
Při diskuzi o spolehlivosti s Azure ExpressRoute je důležité vzít v úvahu využití šířky pásma, fyzické rozložení sítě a zotavení po havárii, pokud dojde k selháním. Azure ExpressRoute dokáže tyto aspekty návrhu splnit a mít doporučení pro každou položku v kontrolním seznamu.
V kontrolním seznamu pro návrh a v seznamu níže uvedených doporučení se zobrazí informace, abyste mohli navrhnout vysoce dostupnou síť mezi prostředím Azure a místní sítí.
Kontrolní seznam návrhu
Při rozhodování o návrhu pro Azure ExpressRoute si projděte principy návrhu pro přidání spolehlivosti architektury.
- Vyberte mezi okruhem ExpressRoute nebo ExpressRoute Direct pro obchodní požadavky.
- Nakonfigurujte pro poskytovatele služeb různorodou fyzickou síť vrstvy.
- Nakonfigurujte okruhy ExpressRoute s různými poskytovateli služeb tak, aby měly různé cesty směrování.
- Nakonfigurujte připojení Active-Active ExpressRoute mezi místním prostředím a Azure.
- Nastavte brány virtuální sítě ExpressRoute podporující zónu dostupnosti.
- Nakonfigurujte okruhy ExpressRoute v jiném umístění než v místní síti.
- Konfigurace bran virtuální sítě ExpressRoute v různých oblastech
- Nakonfigurujte síť VPN typu site-to-site jako zálohu privátního partnerského vztahu ExpressRoute.
- Nastavte monitorování pro okruh ExpressRoute a stav brány virtuální sítě ExpressRoute.
- Nakonfigurujte stav služby pro příjem oznámení o údržbě okruhu ExpressRoute.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro spolehlivost.
| Doporučení | Výhoda |
|---|---|
| Plánování okruhu ExpressRoute nebo ExpressRoute Direct | Během počáteční fáze plánování se chcete rozhodnout, jestli chcete nakonfigurovat okruh ExpressRoute nebo připojení ExpressRoute Direct. Okruh ExpressRoute umožňuje privátní vyhrazené připojení k Azure pomocí poskytovatele připojení. ExpressRoute Direct umožňuje rozšířit místní síť přímo do sítě Microsoftu v umístění partnerského vztahu. Musíte také identifikovat požadavek na šířku pásma a požadavek na typ skladové položky pro vaše obchodní potřeby. |
| Fyzická rozmanitost vrstev | Pokud chcete zlepšit odolnost, naplánujte si, že budete mít více cest mezi místním hraničním zařízením a umístěním partnerského vztahu (umístění poskytovatele nebo hraničních umístění Microsoftu). Tuto konfiguraci lze dosáhnout prostřednictvím jiného poskytovatele služeb nebo prostřednictvím jiného umístění z místní sítě. |
| Plánování geograficky redundantních okruhů | Pokud chcete naplánovat zotavení po havárii, nastavte okruhy ExpressRoute ve více než jednom umístění partnerského vztahu. Okruhy můžete vytvořit v umístěních partnerského vztahu ve stejném metro nebo jiném metro a zvolit, že budete pracovat s různými poskytovateli služeb pro různé cesty přes jednotlivé okruhy. Další informace najdete v tématu Návrh pro zotavení po havárii a návrh pro zajištění vysoké dostupnosti. |
| Plánování připojení typu Active-Active | Vyhrazené okruhy ExpressRoute zaručují 99.95% dostupnost, když je nakonfigurované připojení aktivní-aktivní mezi místním prostředím a Azure. Tento režim poskytuje vyšší dostupnost připojení ExpressRoute. Doporučujeme také nakonfigurovat BFD pro rychlejší převzetí služeb při selhání, pokud u připojení dojde k selhání propojení. |
| Plánování bran virtuální sítě | Vytvořte bránu virtuální sítě podporující zónu dostupnosti pro zajištění vyšší odolnosti a naplánujte brány virtuální sítě v jiné oblasti pro zotavení po havárii a vysokou dostupnost. |
| Monitorování okruhů a stavu brány | Nastavte monitorování a výstrahy pro okruhy ExpressRoute a stav brány virtuální sítě na základě různých dostupných metrik. |
| Povolení stavu služby | ExpressRoute používá stav služby k upozornění na plánovanou a neplánovanou údržbu. Konfigurace stavu služby vás upozorní na změny provedené v okruhech ExpressRoute. |
Další návrhy najdete v tématu Principy pilíře spolehlivosti.
Azure Advisor poskytuje řadu doporučení pro okruhy ExpressRoute, které souvisejí se spolehlivostí. Azure Advisor může například zjistit:
- Brány ExpressRoute, ve kterých je nasazený jenom jeden okruh ExpressRoute, a ne více. Pro zvýšení odolnosti umístění partnerského vztahu se doporučuje více okruhů ExpressRoute.
- Okruhy ExpressRoute, které nejsou pozorovány Monitorování připojení, protože kompletní monitorování okruhu ExpressRoute je pro přehledy o spolehlivosti důležité.
- Topologie sítě zahrnující několik umístění peeringu, která by byla přínosem služby ExpressRoute Global Reach, aby se zlepšily návrhy zotavení po havárii pro místní připojení, které by mohly zohledňovat neplánovanou ztrátu připojení.
Zabezpečení
Zabezpečení je nejdůležitějším aspektem jakékoli architektury. ExpressRoute poskytuje funkce, které využívají princip nejnižších oprávnění i ochrany před obranou. Doporučujeme vám projít si principy návrhu zabezpečení.
Kontrolní seznam návrhu
- Nakonfigurujte protokol aktivit tak, aby odesílal protokoly do archivu.
- Udržujte inventář účtů pro správu s přístupem k prostředkům ExpressRoute.
- Nakonfigurujte hodnotu hash MD5 v okruhu ExpressRoute.
- Nakonfigurujte MACSec pro prostředky ExpressRoute Direct.
- Zašifrujte provoz přes privátní partnerský vztah a partnerský vztah Microsoftu pro provoz virtuální sítě.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro zabezpečení.
| Doporučení | Výhoda |
|---|---|
| Konfigurace protokolu aktivit pro odesílání protokolů do archivu | Protokoly aktivit poskytují přehled o operacích provedených na úrovni předplatného pro prostředky ExpressRoute. Pomocí protokolů aktivit můžete určit, kdo a kdy byla operace provedena v řídicí rovině. Uchovávání dat je jenom 90 dnů a musí být uložené v Log Analytics, Event Hubs nebo účtu úložiště pro archivaci. |
| Údržba inventáře účtů pro správu | Pomocí Azure RBAC můžete nakonfigurovat role pro omezení uživatelských účtů, které můžou přidávat, aktualizovat nebo odstraňovat konfiguraci partnerského vztahu v okruhu ExpressRoute. |
| Konfigurace hodnoty hash MD5 v okruhu ExpressRoute | Během konfigurace privátního partnerského vztahu nebo partnerského vztahu Microsoftu použijte hodnotu hash MD5 pro zabezpečení zpráv mezi místní trasou a směrovači MSEE. |
| Konfigurace MACSec pro prostředky ExpressRoute Direct | Zabezpečení řízení přístupu k médiím je zabezpečení typu point-to-point ve vrstvě datového propojení. ExpressRoute Direct podporuje konfiguraci MACSec, aby se zabránilo bezpečnostním hrozbám pro protokoly, jako jsou ARP, DHCP, LACP, které nejsou na ethernetovém propojení normálně zabezpečené. Další informace o konfiguraci macSec naleznete v tématu MACSec pro porty ExpressRoute Direct. |
| Šifrování provozu pomocí protokolu IPsec | Nakonfigurujte tunel VPN typu Site-to-Site přes okruh ExpressRoute a zašifrujte přenos dat mezi vaší místní sítí a virtuální sítí Azure. Tunel můžete nakonfigurovat pomocí privátního partnerského vztahu nebo pomocí partnerského vztahu Microsoftu. |
Další návrhy najdete v tématu Principy pilíře zabezpečení.
Optimalizace nákladů
Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Doporučujeme projít si princip návrhu optimalizace nákladů a naplánovat a spravovat náklady na Azure ExpressRoute.
Kontrolní seznam návrhu
- Seznamte se s cenami ExpressRoute.
- Určete požadovanou skladovou položku okruhu ExpressRoute a požadovanou šířku pásma.
- Určete požadovanou velikost brány virtuální sítě ExpressRoute.
- Monitorování nákladů a vytváření upozornění na rozpočet
- Zrušení zřízení okruhů ExpressRoute se už nepoužívá.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro optimalizaci nákladů.
| Doporučení | Výhoda |
|---|---|
| Seznámení s cenami ExpressRoute | Informace o cenách ExpressRoute najdete v tématu Vysvětlení cen Pro Azure ExpressRoute. Můžete také použít cenovou kalkulačku. Ujistěte se, že jsou možnosti dostatečně velké tak, aby splňovaly poptávku po kapacitě a poskytovaly očekávaný výkon bez plýtvání prostředky. |
| Určení požadované skladové položky a šířky pásma | Způsob, jakým se vám účtují poplatky za využití ExpressRoute, se liší mezi třemi různými typy skladových položek. S místní skladovou jednotkou se vám automaticky účtuje neomezený datový tarif. S skladovou jednotkou Standard a Premium si můžete vybrat mezi měřeným nebo neomezeným datovým tarifem. Všechna příchozí data jsou bezplatná s výjimkou použití doplňku Global Reach. Je důležité vědět, které typy skladových položek a datový plán nejlépe vyhovují vašim úlohům, abyste optimalizovali náklady a rozpočet. Další informace o změně velikosti okruhu ExpressRoute najdete v tématu upgrade šířky pásma okruhu ExpressRoute. |
| Určení velikosti brány virtuální sítě ExpressRoute | Brány virtuální sítě ExpressRoute slouží k předávání provozu do virtuální sítě přes privátní partnerský vztah. Zkontrolujte požadavky na výkon a škálování upřednostňované skladové položky brány virtuální sítě. Vyberte příslušnou skladovou položku brány v místním prostředí pro úlohy Azure. |
| Monitorování nákladů a vytváření upozornění rozpočtu | Monitorujte náklady na okruh ExpressRoute a vytvářejte upozornění na anomálie útraty a rizika nadměrného přespívání. Další informace najdete v tématu Monitorování nákladů na ExpressRoute. |
| Zrušení zřízení a odstranění okruhů ExpressRoute se už nepoužívá. | Okruhy ExpressRoute se účtují od okamžiku jejich vytvoření. Pokud chcete snížit zbytečné náklady, zrušte zřízení okruhu u poskytovatele služeb a odstraňte okruh ExpressRoute z vašeho předplatného. Postup odebrání okruhu ExpressRoute najdete v tématu Zrušení zřízení okruhu ExpressRoute. |
Další návrhy najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.
Azure Advisor dokáže zjistit okruhy ExpressRoute, které byly nasazeny po určitou dobu, ale mají stav poskytovatele Nenařazeno. Okruhy v tomto stavu nejsou funkční; a odebrání nevyužitého prostředku sníží zbytečné náklady.
Provozní dokonalost
Monitorování a diagnostika jsou zásadní. Můžete nejen měřit statistiky výkonu, ale také rychle řešit a opravovat problémy pomocí metrik. Doporučujeme vám zkontrolovat principy návrhu efektivity provozu.
Kontrolní seznam návrhu
- Nakonfigurujte monitorování připojení mezi vaší místní sítí a sítí Azure.
- Nakonfigurujte service Health pro příjem oznámení.
- Projděte si metriky a řídicí panely dostupné prostřednictvím přehledů ExpressRoute pomocí Služby Network Insights.
- Projděte si metriky prostředků ExpressRoute.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro efektivitu provozu.
| Doporučení | Výhoda |
|---|---|
| Konfigurace monitorování připojení | Monitorování připojení umožňuje monitorovat připojení mezi místními prostředky a Azure prostřednictvím privátního partnerského vztahu ExpressRoute a připojení peeringu Microsoftu. Monitorování připojení dokáže rozpoznat problémy se sítěmi tím, že identifikuje, kde je problém v síťové cestě, a pomůže vám rychle vyřešit selhání konfigurace nebo hardwaru. |
| Konfigurace služby Service Health | Nastavte oznámení služby Service Health tak, aby upozorňovala na plánované a nadcházející údržby všech okruhů ExpressRoute ve vašem předplatném. Service Health také zobrazuje předchozí údržbu spolu s RCA, pokud došlo k neplánované údržbě. |
| Kontrola metrik pomocí Služby Network Insights | Přehledy ExpressRoute se službou Network Insights umožňují kontrolovat a analyzovat okruhy ExpressRoute, brány, metriky připojení a řídicí panely stavu. Přehledy ExpressRoute také poskytují zobrazení topologie připojení ExpressRoute, kde můžete zobrazit podrobnosti o komponentách partnerského vztahu na jednom místě. Dostupné metriky: -Dostupnost -Propustnost – Metriky brány |
| Kontrola metrik prostředků ExpressRoute | ExpressRoute využívá Azure Monitor ke shromažďování metrik a vytváření upozornění na základě vaší konfigurace. Metriky se shromažďují pro okruhy ExpressRoute, brány ExpressRoute, připojení brány ExpressRoute a ExpressRoute Direct. Tyto metriky jsou užitečné pro diagnostiku problémů s připojením a pochopení výkonu připojení ExpressRoute. |
Další návrhy najdete v tématu Principy pilíře efektivity provozu.
Efektivita výkonu
Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Doporučujeme vám projít si principy efektivity výkonu.
Kontrolní seznam návrhu
- Otestujte výkon brány ExpressRoute tak, aby splňoval požadavky na zatížení práce.
- Zvětšete velikost brány ExpressRoute.
- Upgradujte šířku pásma okruhu ExpressRoute.
- Povolte ExpressRoute FastPath pro vyšší propustnost.
- Monitorujte metriky okruhu ExpressRoute a brány.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro zajištění efektivity výkonu.
| Doporučení | Výhoda |
|---|---|
| Otestujte výkon brány ExpressRoute tak, aby splňoval požadavky na zatížení práce. | Využijte sadu Azure Connectivity Toolkit k otestování výkonu napříč okruhem ExpressRoute, abyste porozuměli kapacitě šířky pásma a latenci síťového připojení. |
| Zvětšete velikost brány ExpressRoute. | Upgradujte na vyšší skladovou položku brány, abyste zlepšili výkon propustnosti mezi místním prostředím a prostředím Azure. |
| Upgrade šířky pásma okruhu ExpressRoute | Upgradujte šířku pásma okruhu tak, aby splňovala vaše požadavky na pracovní zatížení. Šířka pásma okruhu se sdílí mezi všemi virtuálními sítěmi připojenými k okruhu ExpressRoute. V závislosti na pracovním zatížení může jedna nebo více virtuálních sítí využívat veškerou šířku pásma okruhu. |
| Povolení ExpressRoute FastPath pro vyšší propustnost | Pokud používáte výkon úrovně Ultra nebo bránu virtuální sítě ErGW3AZ, můžete povolit FastPath ke zlepšení výkonu cesty k datům mezi vaší místní sítí a virtuální sítí Azure. |
| Monitorování metrik okruhu ExpressRoute a brány | Nastavte upozornění na základě metrik ExpressRoute, která vás proaktivně upozorní, když se splní určitá prahová hodnota. Tyto metriky jsou užitečné k pochopení anomálií, ke kterým může dojít u připojení ExpressRoute, jako jsou výpadky a údržba, ke kterým dochází u okruhů ExpressRoute. |
Další návrhy najdete v tématu Principy pilíře efektivity výkonu.
Azure Advisor nabídne doporučení k upgradu šířky pásma okruhu ExpressRoute tak, aby vyhovovala využití, pokud váš okruh v poslední době spotřebovává více než 90 % vaší rezervované šířky pásma. Pokud váš provoz překročí přidělenou šířku pásma, dojde k zahozeným paketům, což může vést k významnému dopadu na výkon nebo spolehlivost.
Azure Policy
Azure Policy neposkytuje žádné předdefinované zásady pro ExpressRoute, ale můžete vytvořit vlastní zásady, které vám pomůžou řídit, jak by okruhy ExpressRoute měly odpovídat požadovanému koncovému stavu, jako je volba skladové položky, typ partnerského vztahu, konfigurace partnerského vztahu atd.
Další materiály
Pokyny k architektuře Cloud Adoption Framework
Další kroky
Nakonfigurujte okruh ExpressRoute nebo port ExpressRoute Direct pro navázání komunikace mezi vaší místní sítí a Azure.