Prozkoumání Azure ExpressRoute
Vzhledem k tomu, že vaše společnost pracuje s vysoce citlivými daty a má velké množství informací, které budou ukládat v Azure, existují určité obavy týkající se zabezpečení a spolehlivosti připojení přes veřejný internet. Firma nechce hromadně migrovat do Azure, dokud nezíská prokazatelně vyšší úroveň připojení, zabezpečení a spolehlivosti.
Tady přesahujeme připojení, která běží přes internet, na vyhrazené linky přímo do datacenter Azure.
Azure ExpressRoute
Microsoft Azure ExpressRoute umožňuje organizacím rozšířit jejich místní sítě do Microsoft Cloudu prostřednictvím privátního připojení implementovaného poskytovatelem připojení. Toto uspořádání znamená, že připojení k datacentrům Azure neprochází přes internet, ale přes vyhrazený odkaz. ExpressRoute také usnadňuje efektivní připojení k dalším cloudovým službám Microsoftu, jako je Microsoft 365 a Dynamics 365.
Mezi výhody, které ExpressRoute poskytuje, patří:
Vyšší rychlost 50 MB/s až 10 GB/s s dynamickým škálováním šířky pásma
Nižší latence
Větší spolehlivost díky integrovanému peeringu
Vysoce bezpečné
ExpressRoute přináší další výhody, například:
Možnosti připojení ke všem podporovaným službám Azure
Možnosti globálního připojení ke všem oblastem (vyžaduje doplněk Premium)
Dynamické směrování přes protokol BGP (Border Gateway Protocol)
Smlouvy o úrovni služeb (SLA) na dostupnost připojení
Technologie QoS (Quality of Service) pro Skype pro firmy
K dispozici je také doplněk ExpressRoute Premium, který nabízí výhody, jako jsou zvýšené limity tras, globální připojení ke službám a vyšší počet linek virtuálních sítí na jeden okruh.
Modely připojení ExpressRoute
Připojení k ExpressRoute můžou probíhat následujícími způsoby:
Síť IPVPN (typu any-to-any)
Virtuální křížové připojení prostřednictvím ethernetové výměny
Ethernetové připojení typu point-to-point
Funkce a možnosti ExpressRoute jsou u všech výše uvedených modelů připojení identické.
Co je připojení vrstvy 3?
Microsoft používá k výměně tras mezi vaší místní sítí, vašimi instancemi v Azure a veřejnými adresami Microsoftu protokol dynamického směrování (BGP), který se považuje za oborový standard. S vaší sítí navážeme u různých profilů přenosu několik relací protokolu BGP.
Sítě typu any-to-any (IPVPN)
Poskytovatelé sítě IPVPN obvykle poskytují připojení mezi pobočkami a podnikovým datacentrem přes spravovaná připojení vrstvy 3. Díky ExpressRoute se datacentra Azure jeví jako další pobočka.
Virtuální křížové připojení prostřednictvím ethernetové výměny
Pokud se vaše organizace nachází společně se zařízením cloudové výměny, požádáte o křížová připojení ke cloudu Microsoft Cloud prostřednictvím ethernetové výměny vašeho poskytovatele. Tato křížová připojení k Microsoft Cloudu se můžou provozovat na připojeních vrstvy 2 nebo spravovaných připojeních vrstvy 3 stejně jako v modelu sítí OSI.
Ethernetové připojení typu point-to-point
Ethernetové propojení typu point-to-point můžou poskytovat připojení vrstvy 2 nebo spravované vrstvy 3 mezi místními datacentry nebo pobočkami do Microsoft Cloudu.
Jak funguje ExpressRoute
Azure ExpressRoute poskytuje připojení k Microsoft Cloudu s velkou šířkou pásma s využitím kombinace okruhů ExpressRoute a domén směrování.
Co jsou okruhy ExpressRoute
Okruh ExpressRoute je logické propojení mezi vaší místní infrastrukturou a Microsoft Cloudem. Toto propojení implementuje poskytovatel připojení, i když některé organizace z důvodu zajištění redundance využívají více poskytovatelů připojení. Každý okruh má pevnou šířku pásma 50, 100, 200 nebo 500 Mb/s a 1 Gb/s nebo 10 Gb/s a každý z těchto okruhů se mapuje na poskytovatele připojení a peeringové umístění. Kromě toho platí pro každý okruh ExpressRoute výchozí kvóty a omezení.
Okruh Express Route neodpovídá síťovému připojení ani síťovému zařízení. Každý okruh má definovaný identifikátor GUID, který se označuje jako služba nebo klíč s-key. Tento klíč s-key zajišťuje propojení mezi Microsoftem, vaším poskytovatelem připojení a vaší organizací, ale nejde o kryptografický tajný klíč. Každý klíč s-key se mapuje na okruh Azure ExpressRoute ve vztahu 1:1.
V každém okruhu můžou být až dva peeringy, což jsou páry relací protokolu BGP nakonfigurované kvůli redundanci. Mezi ně patří:
- Privátní Azure
- Microsoft
Domény směrování
Okruhy ExpressRoute se pak mapují na domény směrování, přičemž každý okruh ExpressRoute má několik domén směrování. Tyto domény jsou stejné jako dva dříve uvedené partnerské vztahy. V konfiguraci aktivní-aktivní má každá dvojice směrovačů nakonfigurované všechny domény směrování stejně, aby byla zajištěna vysoká dostupnost. Názvy privátního peeringu Azure představují schémata přidělování IP adres.
Privátní partnerský vztah s Azure
Privátní peering Azure se připojuje k výpočetním službám Azure, jako jsou virtuální počítače a cloudové služby nasazené prostřednictvím virtuální sítě. Co se týče zabezpečení, doména soukromého partnerského vztahu je jednoduše rozšířením místní sítě do Azure. Potom povolíte obousměrné připojení mezi touto sítí a jakoukoli virtuální sítí Azure, a tím zviditelníte IP adresy virtuálních počítačů Azure v rámci interní sítě.
K doméně privátního peeringu můžete připojit jen jednu virtuální síť.
Partnerský vztah s Microsoftem
Partnerský vztah Microsoftu podporuje připojení ke cloudovým nabídkám SaaS, jako jsou Microsoft 365 a Dynamics 365. Tato možnost partnerského vztahu zajišťuje obousměrné připojení mezi sítí WAN vaší společnosti a cloudovými službami Microsoftu.
Stav ExpressRoute
Stejně jako u většiny funkcí v Microsoft Azure můžete monitorovat připojení ExpressRoute, abyste měli jistotu, že fungují uspokojivě. Monitorování zahrnuje pokrytí následujících oblastí:
- Dostupnost
- Připojení k virtuálním sítím
- Využití šířky pásma
Klíčovým nástrojem pro tuto aktivitu monitorování je síťová Sledování výkonu, zejména pro ExpressRoute.
Azure ExpressRoute slouží k vytváření privátních připojení mezi datacentry Azure a infrastrukturou ve vašem místním prostředí nebo v prostředí ve společném umístění. Připojení ExpressRoute neprobíhají přes veřejný internet a nabízí větší spolehlivost, vyšší rychlost a nižší latenci než typická internetová připojení.