Verbinden eines lokalen Netzwerks mit Azure über ExpressRoute

Diese Referenzarchitektur zeigt, wie ein lokales Netzwerk unter Verwendung von Azure ExpressRoute mit einem virtuellen Azure-Netzwerk verbunden wird, wobei ein Site-to-Site-VPN (Virtual Private Network) als Failoververbindung dient.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Die Architektur umfasst die folgenden Komponenten.

• Lokales Netzwerk. Ein in einer Organisation betriebenes privates lokales Netzwerk.
• VPN-Gerät. Ein Gerät oder ein Dienst, das bzw. der externe Konnektivität mit dem lokalen Netzwerk bereitstellt. Bei dem VPN-Gerät kann es sich um ein Hardwaregerät oder eine Softwarelösung handeln, z. B. den Routing- und RAS-Dienst unter Windows Server 2012. Eine Liste der unterstützten VPN-Geräte und Informationen zur Konfiguration ausgewählter VPN-Geräte für die Verbindung mit Azure finden Sie unter Informationen zu VPN-Geräten für VPN Gateway-Verbindungen zwischen Standorten.
• ExpressRoute-Verbindung. Eine vom Konnektivitätsanbieter bereitgestellte Layer 2- oder Layer 3-Verbindung, die das lokale Netzwerk über die Edgerouter mit Azure verbindet. Für die Verbindung wird die vom Konnektivitätsanbieter verwaltete Hardwareinfrastruktur verwendet.
• ExpressRoute-Gateway für virtuelle Netzwerke. Das ExpressRoute-Gateway für virtuelle Netzwerke ermöglicht es dem virtuellen Azure-Netzwerk, mit der ExpressRoute-Leitung eine Verbindung herzustellen, die für die Konnektivität mit Ihrem lokalen Netzwerk verwendet wird.
• VPN-Gateway für virtuelle Netzwerke. Das VPN-Gateway für virtuelle Netzwerke ermöglicht es dem virtuellen Azure-Netzwerk, eine Verbindung mit dem VPN-Gerät im lokalen Netzwerk herzustellen. Die VPN-Gateway für virtuelle Netzwerke ist so konfiguriert, dass es Anforderungen aus dem lokalen Netzwerk nur über das VPN-Gerät akzeptiert. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit einem Microsoft Azure Virtual Network.
• VPN-Verbindung. Die Verbindung verfügt über Eigenschaften, die den Verbindungstyp (IPSec) und den Schlüssel angeben, der für das lokale VPN-Gerät freigegeben wird, um Datenverkehr zu verschlüsseln.
• Virtuelles Azure-Netzwerk. Jedes virtuelle Netzwerk befindet sich in einer einzelnen Azure-Region und kann mehrere Anwendungsebenen hosten. Anwendungsebenen können mithilfe von Subnetzen in jedem virtuellen Netzwerk segmentiert werden.
• Gatewaysubnetz. Die Gateways für virtuelle Netzwerke befinden sich in demselben Subnetz.

Komponenten

• Azure ExpressRoute
• Azure VPN Gateway
• Azure Virtual Network

Szenariodetails

Diese Referenzarchitektur zeigt, wie ein lokales Netzwerk unter Verwendung von ExpressRoute mit einem virtuellen Azure-Netzwerk verbunden wird, wobei ein Site-to-Site-VPN (Virtual Private Network) als Failoververbindung dient. Der Datenverkehr zwischen dem lokalen Netzwerk und dem virtuellen Azure-Netzwerk wird über eine ExpressRoute-Verbindung übertragen. Wenn die ExpressRoute-Verbindung ausfällt, wird der Datenverkehr über einen IPSec-VPN-Tunnel weitergeleitet. Stellen Sie diese Lösung bereit.

Beachten Sie, dass die VPN-Route nur Private Peering-Verbindungen behandelt, wenn die ExpressRoute-Verbindung nicht verfügbar ist. Public Peering- und Microsoft-Peering-Verbindungen werden über das Internet geleitet.

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Das virtuelle Netzwerk und GatewaySubnet

Erstellen Sie eine Verbindung mit dem ExpressRoute-Gateway und dem VPN-Gateway für virtuelle Netzwerke im selben virtuellen Netzwerk wie ein bereits vorhandenes Gatewayobjekt. Diese teilen sich ein Subnetz mit dem Namen GatewaySubnet.

Wenn das virtuelle Netzwerk bereits ein Subnetz mit dem Namen GatewaySubnet enthält, stellen Sie sicher, dass es einen /27-Adressraum oder einen größeren Adressraum aufweist. Wenn das vorhandene Subnetz zu klein ist, entfernen Sie es mit dem folgenden PowerShell-Befehl:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Wenn das virtuelle Netzwerk kein Subnetz mit dem Namen GatewaySubnet enthält, erstellen Sie mit dem folgenden PowerShell-Befehl ein neues Subnetz:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN- und ExpressRoute-Gateways

Stellen Sie sicher, dass Ihre Organisation die ExpressRoute-Voraussetzungen zum Herstellen der Verbindung mit Azure erfüllt.

Falls Sie im virtuellen Azure-Netzwerk bereits über ein VPN-Gateway für virtuelle Netzwerke verfügen, entfernen Sie es mithilfe des folgenden PowerShell-Befehls:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Befolgen Sie die Anweisungen in Konfigurieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure ExpressRoute, um eine sichere ExpressRoute-Verbindung herzustellen.

Befolgen Sie die Anweisungen in Konfigurieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure und lokalem VPN, um eine Verbindung mit dem VPN-Gateway für virtuelle Netzwerke herzustellen.

Nachdem Sie die Verbindung mit dem Gateway für virtuelle Netzwerke hergestellt haben, testen Sie die Umgebung wie folgt:

1. Stellen Sie sicher, dass Sie vom lokalen Netzwerk eine Verbindung mit dem virtuellen Azure-Netzwerk herstellen können.
2. Wenden Sie sich an Ihren Anbieter, um die ExpressRoute-Konnektivität zu Testzwecken zu beenden.
3. Stellen Sie sicher, dass Sie weiterhin über das VPN-Gateway für virtuelle Verbindungen eine Verbindung vom lokalen Netzwerk mit dem virtuellen Azure-Netzwerk herstellen können.
4. Wenden Sie sich an Ihren Anbieter, um die ExpressRoute-Konnektivität wiederherzustellen.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Informationen zu allgemeinen Sicherheitsaspekten für Azure finden Sie unter Microsoft-Clouddienste und Netzwerksicherheit.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Informationen zu den ExpressRoute-Kostenaspekten finden Sie in diesen Artikeln:

• Konfigurieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure ExpressRoute: Überlegungen zu den Kosten

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Informationen zu DevOps-Aspekten im Zusammenhang mit ExpressRoute finden Sie im Leitfaden Konfigurieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure ExpressRoute.

Informationen zu DevOps-Aspekten im Zusammenhang mit Site-to-Site-VPNs finden Sie im Leitfaden Konfigurieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure und lokalem VPN.

Bereitstellen dieses Szenarios

Voraussetzungen Sie müssen über eine lokale Infrastruktur verfügen, die bereits mit einer geeigneten Netzwerkappliance konfiguriert ist.

Führen Sie die folgenden Schritte aus, um die Lösung bereitzustellen.

1. Wählen Sie den folgenden Link.

   

2. Warten Sie, bis der Link im Azure-Portal geöffnet wird, und wählen Sie dann die Ressourcengruppe aus, die Sie in diese Ressourcen bereitstellen möchten, oder erstellen Sie eine neue Ressourcengruppe. Die Region und der Standort werden automatisch geändert, um der Ressourcengruppe zu entsprechen.

3. Aktualisieren Sie die verbleibenden Felder, wenn Sie die Ressourcennamen, Anbieter, SKU oder Netzwerk-IP-Adressen für Ihre Umgebung ändern möchten.

4. Wählen Sie Überprüfen und erstellen und dann Erstellen aus, um die Ressourcen bereitzustellen.

5. Warten Sie, bis die Bereitstellung abgeschlossen ist.

   Hinweis

   Diese Vorlagenbereitstellung stellt nur die folgenden Ressourcen bereit:

   • Eine Ressourcengruppe (wenn Sie eine neue erstellen)
   • Eine ExpressRoute-Verbindung
   • Ein virtuelles Azure-Netzwerk
   • Ein Gateway für ein virtuelles ExpressRoute-Netzwerk

   Damit Sie die Konnektivität für das private Peering von Ihrem Standort zur ExpressRoute-Verbindung aufbauen können, müssen Sie Ihren Dienstanbieter mit dem Schlüssel für die Verbindung beauftragen. Der Dienstschlüssel finden Sie auf der Übersichtsseite der ExpressRoute-Verbindungsressource. Weitere Informationen zum Konfigurieren Ihrer ExpressRoute-Verbindung finden Sie unter Erstellen oder Ändern der Peeringkonfiguration. Nachdem Sie das private Peering erfolgreich konfiguriert haben, können Sie das virtuelle ExpressRoute-Netzwerkgateway mit der Leitung verknüpfen. Weitere Informationen finden Sie unter Tutorial: Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Leitung über das Portal.

6. Informationen zum Abschließen der Bereitstellung von Site-to-Site-VPN als Sicherung zu ExpressRoute finden Sie unter Erstellen einer Site-to-Site-VPN-Verbindung.

7. Sobald Sie erfolgreich eine VPN-Verbindung zu demselben lokalen Netzwerk konfiguriert haben, in dem Sie ExpressRoute konfiguriert haben, haben Sie die Einrichtung abgeschlossen, um Ihre ExpressRoute-Verbindung zu sichern, falls es zu einem Totalausfall am Peering-Standort kommt.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Sarah Parkes | Senior Cloud Solution Architect

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

• ExpressRoute-Dokumentation
• Azure-Sicherheitsbaseline für ExpressRoute
• Erstellen und Ändern einer ExpressRoute-Verbindung
• Blog zum Azure-Netzwerk
• Konfigurieren von parallel bestehenden ExpressRoute- und Standort-zu-Standort-Verbindungen mithilfe von PowerShell

Zugehörige Ressourcen

• Entwurf einer Hybridarchitektur
• Azure-Hybridoptionen
• Hub-Spoke-Netzwerktopologie in Azure
• Spoke-to-Spoke Netzwerke
• Verbinden eines lokalen Netzwerks mit Azure
• Erweitern eines lokalen Netzwerks per ExpressRoute
• Implementieren eines sicheren Hybridnetzwerks
• Integrieren eines lokalen AD-Verzeichnisses in Azure