Implementace Azure ExpressRoute

  • 15 min

Tým zabezpečení IT společnosti Contoso se zabývá implementací připojení VPN ze svých datacenter ke cloudu Microsoftu. Při zkoumání možností služby VPN Gateway jste zjistili, že ExpressRoute je jedním z možných řešení. Díky ExpressRoute se připojení neprocházejí přes internet, čímž se snižují možné bezpečnostní hrozby pro přenášená data mezi podnikovou infrastrukturou ve společnosti Contoso a prostředky Azure v datacentrech Microsoftu.

Co je ExpressRoute?

ExpressRoute poskytuje způsob připojení organizace k prostředkům Azure. Při implementaci ExpressRoute můžete implementovat následující možnosti připojení:

  • Připojení VPN typu any-to-any. Umožňuje integraci sítě WAN s Azure. Azure se integruje s připojením WAN a poskytuje bezproblémové připojení. U připojení typu any-to-any nabízejí všichni poskytovatelé sítě WAN připojení vrstvy 3.
  • Ethernetové připojení P2P. Poskytuje připojení vrstvy 2 i vrstvy 3 mezi vaší místní lokalitou a Azure. Svá datacentra nebo pobočky s Azure propojíte pomocí odkazů P2P.
  • Spolulokace CloudExchange Obvykle nabízí připojení vrstvy 2 i vrstvy 3 mezi infrastrukturou vaší organizace, která se nachází ve společném umístění, jako je poskytovatel internetových služeb (ISP) a Microsoft Cloud.

Poznámka:

Připojení ExpressRoute není přes internet, což znamená, že připojení mají nižší latenci, jsou vysokorychlostní a bezpečnější.

Následující obrázek zobrazuje typický scénář pro duální připojení ExpressRoute.

A diagram identifies ways in which you can use ExpressRoute connections. In the graphic, a customer's network is connected to a partner edge network. Two connections, one primary and a secondary, connect to the Microsoft Edge network. Traffic is routed through both circuits to Microsoft Peering for Office 365 and related services, and also to other VNets by using Azure Private peering.

ExpressRoute je jedno ze tří řešení, které můžete použít pro připojení místní sítě k Azure. Další dvě, S2S a P2S, jsou popsány v následující tabulce.

Alternativní řešení Popis
S2S VPN Umožňuje připojit místní síť k Azure prostřednictvím tunelu IPsec/IKE a vytvořit hybridní síť. Pokud chcete povolit připojení S2S, nakonfigurujete místní zařízení VPN s veřejnou IP adresou. Potom toto zařízení připojíte k virtuální síti Azure prostřednictvím brány virtuální sítě Azure.
P2S VPN Umožňuje vytvořit zabezpečené připojení z jednotlivých počítačů k prostředkům umístěným v místní síti. Toto řešení je užitečné pro organizace, které chtějí povolit připojení k Azure ze vzdálených umístění, jako jsou domovy uživatelů. Připojení P2S jsou užitečná, pokud máte jenom několik klientů, kteří se musí připojit k virtuální síti.

Služba Azure ExpressRoute je pravděpodobně vhodnější službou v následujících scénářích:

  • Pro organizace, které migrují podnikové místní systémy do Azure
  • Pro zabezpečené sítě, kde je žádoucí vyhnout se internetu
  • Pro velká datacentra s mnoha uživateli a systémy, které přistupují k systémům a produktům SaaS (software jako služba)

Zvažte použití ExpressRoute v následujících situacích:

  • Implementace připojení s nízkou latencí ke cloudovým službám
  • Přístup k cloudovým systémům s velkým objemem dat, které pracují s velkými objemy dat
  • Připojení ke cloudovým službám Microsoftu, jako jsou Office 365 a Microsoft Dynamics 365

Výhody ExpressRoute

ExpressRoute nabízí řadu výhod oproti jiným možnostem připojení, jak je popsáno v následující tabulce.

Funkce Výhoda
Připojení vrstvy 3 Tato připojení můžou být P2P, libovolná síť nebo můžou být virtuální křížová připojení prostřednictvím výměny.
Integrovaná redundance Každý poskytovatel připojení používá redundantní zařízení, která pomáhají zajistit vysokou dostupnost.
Připojení ke cloudovým službám Microsoftu Podporuje připojení k Office 365, Dynamics 365 a službám Azure, jako jsou virtuální počítače Azure, Azure Cosmos DB a Azure Storage.
Propojení místních lokalit pomocí ExpressRoute Global Reach Umožňuje propojit vaše privátní datacentra prostřednictvím několika okruhů ExpressRoute a umožnit průchod provozu mezi datovými centry přes síť Microsoftu.
Dynamické směrování Umožňuje dynamické směrování mezi místní infrastrukturou a službami běžícími v Microsoft Cloudu. Používá protokol BGP (Border Gateway Protocol), který vyměňuje trasy mezi místními sítěmi a prostředky běžícími v Azure.

Jak to funguje

Pokud chcete implementovat ExpressRoute, musíte spolupracovat s partnerem ExpressRoute. Partner poskytuje autorizované a ověřené připojení označované jako hraniční služba. Je to prostřednictvím této hraniční služby, kterou můžete připojit organizaci ke cloudu Microsoftu. Vybraný partner povolí připojení ke hraničnímu směrovači Cloudu Microsoftu, který se označuje jako koncový bod ExpressRoute. Připojení iony prostřednictvím hraniční služby do koncového bodu ExpressRoute se označují jako okruhy. Okruhy se navazují přes privátní propojení, ne přes internet.

Požadavky

Než budete moct implementovat okruh ExpressRoute, musí vaše organizace splňovat řadu požadavků, mezi které patří:

  • Práce s partnerem připojení ExpressRoute nebo poskytovatelem cloudové výměny

Poznámka:

Tyto organizace usnadňují zřizování okruhu.

  • Registrace předplatného Azure u partnera pro připojení ExpressRoute
  • Vyžádání okruhu ExpressRoute pomocí aktivního účtu Azure
  • Volitelně můžete mít aktivní předplatné Office 365 pro připojení ke službám Office 365.

Vzhledem k tomu, že ExpressRoute funguje na základě partnerského vztahu vaší místní infrastruktury s cloudovými sítěmi Microsoftu, můžou prostředky ve vašich sítích komunikovat přímo s prostředky hostovanými Microsoftem. Pokud však chcete podporovat tyto partnerské vztahy, musíte:

  • Ujistěte se, že jste nakonfigurovali všechny požadované relace protokolu BGP pro domény směrování.
  • Implementujte službu překladu síťových adres (NAT), která přeloží privátní IP adresy používané místně na veřejné IP adresy.
  • Vyhraďte si několik bloků IP adres ve vaší síti pro směrování provozu do Microsoft Cloudu.

Tip

Tyto rezervované bloky nakonfigurujete jako podsíť /29 nebo dvě podsítě /30 v adresovém prostoru IP adres.

Konfigurace ExpressRoute

Pokud chcete usnadnit připojení k prostředkům Microsoftu v Azure pomocí ExpressRoute, musíte provést řadu kroků vysoké úrovně pro dokončení procesu vytvoření připojení ExpressRoute. Musíte:

  • Vytvořte okruh.
  • Vytvořte konfiguraci partnerského vztahu.
  • Připojení virtuální síť k okruhu ExpressRoute.

Vytvoření okruhu

Pokud chcete vytvořit okruh, přihlaste se k webu Azure Portal a pak použijte následující postup:

  1. Na webu Azure Portal vyberte Vytvořit prostředek.

  2. Vyberte Sítě a pak vyberte ExpressRoute.

  3. V okně Vytvořit ExpressRoute vyberte předplatné, skupinu prostředků a oblast a zadejte název okruhu.

  4. Vyberte Další: Konfigurace >.

  5. Na kartě Konfigurace nakonfigurujte následující informace:

    • Typ portu. Vyberte zprostředkovatele.
    • Vyberte zprostředkovatele.
    • Vyberte umístění partnerského vztahu.
    • Zvolte šířku pásma.
    • Vyberte skladovou položku.

    A screenshot of the Create ExpressRoute blade, Configuration tab. The Port type is set to Provider. The Provider is British Telecom. The Peering location is London. The bandwidth is 1 Gbps. The Standard SKU is selected.

  6. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

Dokončení zřizování okruhu bude trvat několik minut. Po dokončení otevřete nově vytvořený prostředek. Na stránce Přehled vašeho okruhu byste si měli všimnout, že je povolený stav okruhu, ale stav poskytovatele není zřízený. Tyto hodnoty znamenají, že strana okruhu Microsoftu je připravená přijímat připojení, ale že poskytovatel ještě nenakonfiguroval svoji stranu okruhu.

A screenshot of the ContosoExpressRoute page in the Azure portal. The Circuit status is enabled but Provider status is Not provisioned.

Vytvoření konfigurace peeringu

Dalším krokem je konfigurace partnerských vztahů. Partnerské vztahy okruhu můžete zkontrolovat na kartě Přehled . Můžete vytvořit privátní partnerský vztah Azure, veřejný partnerský vztah Azure a partnerský vztah Microsoftu. V tomto případě budete muset vytvořit privátní partnerský vztah Azure a partnerský vztah Microsoftu.

Konfigurace privátního peeringu

Privátní partnerský vztah použijete k připojení sítě k virtuálním sítím běžícím v Azure. Při konfiguraci privátního peeringu je nutné zadat následující informace:

  • Partnerské číslo ASN. Číslo autonomního systému (ASN) pro vaši stranu partnerského vztahu.
  • Primární podsíť. Jedná se o rozsah adres primární podsítě /30, kterou vytvoříte v síti.
  • Sekundární podsíť. Rozsah adres vaší sekundární podsítě /30.
  • ID VLAN. Jedná se o virtuální místní síť (VLAN), na které chcete povolit partnerský vztah.
  • Sdílený klíč. Jedná se o volitelný klíč, který slouží ke kódování zpráv předávaných okruhem.

Pokud chcete upravit privátní partnerský vztah Azure, v okně okruhu ExpressRoute na stránce Partnerské vztahy vyberte privátní Azure a pak nakonfigurujte požadované hodnoty.

Konfigurace peeringu s Microsoftem

Partnerský vztah Microsoftu používáte k připojení k Office 365 a jeho souvisejícím službám. Pokud chcete nakonfigurovat partnerský vztah Microsoftu, zadáte stejné podrobnosti jako u privátního partnerského vztahu, ale musíte také zadat následující informace:

  • Inzerované veřejné prefixy. Seznam předpon adres, které použijete v relaci protokolu BGP.
  • Zákaznické číslo ASN. Volitelná hodnota.
  • Název registru směrování. Identifikuje registr, ve kterém registrujete ASN zákazníka a veřejné předpony.

Poznámka:

Partnerský vztah můžete nakonfigurovat jenom v případech, kdy je stav zprostředkovatele nastavený na Zřízeno.

Pokud chcete změnit partnerský vztah Microsoftu, v okně okruhuExpressRoute na stránce Partnerské vztahy vyberte Microsoft a potom nakonfigurujte požadované hodnoty.

A screenshot pf the Microsoft peering blade. No values can be configured as the circuit is not provisioned. However, configurable values are as previously described.

Připojení virtuální síť k okruhu

Po zřízení stavu poskytovatele a po nakonfigurování partnerských vztahů můžete k okruhu připojit virtuální síť. Pro vykonání této akce použijte tento postup:

  1. Na webu Azure Portal vyberte Vytvořit prostředek.

  2. Vyhledejte a vyberte bránu virtuální sítě.

  3. V okně Brána virtuální sítě vyberte Vytvořit.

  4. V okně Vytvořit bránu virtuální sítě vytvořte bránu zadáním příslušných vlastností: Předplatné, Název a Oblast.

  5. Jako typ brány vyberte ExpressRoute.

    A screenshot of the Create virtual network gateway blade. The administrator has configured the values described in the preceding text.

  6. Vyberte skladovou položku a pak vyberte virtuální síť , ke které se chcete připojit.

  7. Nakonfigurujte rozsah adres podsítě brány a nastavení veřejné IP adresy.

  8. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

Nakonec můžete partnerský vztah připojit k bráně virtuální sítě následujícím způsobem:

  1. Na stránce Okruh ExpressRoute pro váš okruh vyberte Připojení.
  2. Na stránce Připojení vyberte Přidat.
  3. Na stránce Přidat připojení zadejte své připojení s názvem a pak vyberte bránu virtuální sítě.

Po dokončení operace se vaše místní síť připojí přes bránu virtuální sítě k vaší virtuální síti v Azure. Připojení bude provedené přes připojení ExpressRoute.

Poznámka:

Tento poslední krok můžete provést pouze v případě, že je stav zprostředkovatele nastavený na Zřízeno.

Další čtení

Další informace najdete v následujících dokumentech: