Funktionsweise von Azure ExpressRoute
- 10 Minuten
In der vorherigen Einheit haben Sie den Zweck des Azure ExpressRoute-Diensts und die Dienste kennengelernt, für die Sie ihn verwenden können. Jetzt können Sie mit dem Erlernen der Funktionsweise des Diensts beginnen. Sehen wir uns an, wie es mit Azure und lokalen Netzwerken interagiert, um eine sichere und zuverlässige Verbindung zwischen Ihrem lokalen Rechenzentrum und der Microsoft-Cloud zu schaffen.
In dieser Lektion erfahren Sie, wie Sie Azure-Schaltkreise erstellen und verwenden, um Ihre lokalen Netzwerke mit der Cloud zu verbinden. Sie sehen die Schritte, die Sie ausführen müssen, um einen Schaltkreis zu erstellen. Außerdem erfahren Sie mehr über die anderen Komponenten einer ExpressRoute-Verbindung, die zusammenarbeiten, um eine Verbindung von Ihrem lokalen Rechenzentrum mit der Microsoft-Cloud herzustellen.
Architektur von ExpressRoute
ExpressRoute wird in allen Regionen und Standorten unterstützt. Um ExpressRoute zu implementieren, müssen Sie mit einem ExpressRoute-Partner arbeiten. Der Partner stellt den Edgedienst bereit: eine autorisierte und authentifizierte Verbindung, die über einen partnergesteuerten Router ausgeführt wird. Der Edgedienst ist für die Erweiterung Ihres Netzwerks auf die Microsoft-Cloud verantwortlich.
Der Partner richtet Verbindungen mit einem Endpunkt an einem ExpressRoute-Standort ein (implementiert von einem Microsoft-Edge-Router). Diese Verbindungen ermöglichen es Ihnen, Ihre lokalen Netzwerke mit den virtuellen Netzwerken zu peeren, die über den Endpunkt verfügbar sind. Diese Verbindungen werden als Schaltkreise bezeichnet.
Hinweis
Im Kontext von ExpressRoute beschreibt Microsoft Edge die Edgerouter auf der Microsoft-Seite der ExpressRoute-Verbindung.
Ein Schaltkreis stellt eine physische Verbindung zum Übertragen von Daten über die Edgerouter des ExpressRoute-Anbieters an die Microsoft Edge-Router bereit. Ein Schaltkreis wird über ein privates Kabel und nicht über das öffentliche Internet hergestellt. Ihr lokales Netzwerk ist mit den Edgeroutern des ExpressRoute-Anbieters verbunden. Die Microsoft Edge-Router stellen den Einstiegspunkt in die Microsoft-Cloud bereit.
Voraussetzungen für ExpressRoute
Bevor Sie mithilfe von ExpressRoute eine Verbindung mit Microsoft-Clouddiensten herstellen können, müssen Sie folgendes haben:
- Ein ExpressRoute-Konnektivitätspartner oder Cloud-Exchange-Anbieter, der eine Verbindung von Ihren lokalen Netzwerken zur Microsoft-Cloud einrichten kann.
- Ein Azure-Abonnement, das bei Ihrem ausgewählten ExpressRoute-Konnektivitätspartner registriert ist.
- Ein aktives Microsoft Azure-Konto, das zum Anfordern eines ExpressRoute-Schaltkreises verwendet werden kann.
- Ein aktives Office 365-Abonnement (wenn Sie eine Verbindung mit der Microsoft-Cloud herstellen und auf Office 365-Dienste zugreifen möchten).
ExpressRoute funktioniert durch Peering Ihrer lokalen Netzwerke mit Netzwerken, die in der Microsoft-Cloud ausgeführt werden. Ressourcen in Ihren Netzwerken können direkt mit Ressourcen kommunizieren, die von Microsoft gehostet werden. Zur Unterstützung dieser Peerings verfügt ExpressRoute über mehrere Netzwerk- und Routinganforderungen:
- Stellen Sie sicher, dass BGP-Sitzungen (Border Gateway Protocol) für Routing-Domänen konfiguriert sind. Je nach Partner ist diese Konfiguration möglicherweise ihre oder Ihre Verantwortung. Darüber hinaus erfordert Microsoft für jeden ExpressRoute-Schaltkreis redundante BGP-Sitzungen zwischen den Routern von Microsoft und Ihren Peeringroutern.
- Sie oder Ihre Anbieter müssen die privaten IP-Adressen, die lokal verwendet werden, mithilfe eines NAT-Diensts in öffentliche IP-Adressen übersetzen. Microsoft lehnt alles außer öffentlichen IP-Adressen über Microsoft-Peering ab.
- Reservieren Sie mehrere IP-Adressenblöcke in Ihrem Netzwerk, um Datenverkehr an die Microsoft-Cloud weiterzuleiten. Sie konfigurieren diese Blöcke entweder als /29-Subnetz oder als zwei /30 Subnetze im IP-Adressraum. Eines dieser Subnetze wird verwendet, um die primäre Verknüpfung mit der Microsoft-Cloud zu konfigurieren, und die andere implementiert eine sekundäre Verknüpfung. Die erste Adresse in diesen Subnetzen stellt Ihr Ende des BGP-Peers dar, und die zweite Adresse ist die BGP-Peer-IP von Microsoft.
ExpressRoute unterstützt zwei Peeringschemas:
- Verwenden Sie privates Peering, um eine Verbindung mit Azure IaaS- und PaaS-Diensten herzustellen, die in virtuellen Azure-Netzwerken bereitgestellt werden. Die Ressourcen, auf die Sie zugreifen, müssen sich alle in einem oder mehreren virtuellen Azure-Netzwerken mit privaten IP-Adressen befinden. Sie können nicht über ihre öffentliche IP-Adresse über einen privaten Peering auf Ressourcen zugreifen.
- Verwenden Sie Microsoft-Peering, um eine Verbindung mit Azure PaaS-Diensten, Office 365-Diensten und Dynamics 365 herzustellen.
Hinweis
Sie können auch das Azure-Portal verwenden, um öffentliche Peering zu konfigurieren. Mit dieser Form von Peering können Sie eine Verbindung mit den öffentlichen Adressen herstellen, die von Azure-Diensten verfügbar gemacht werden. Dieses Peering ist jedoch veraltet und für die neuen Leitungen nicht verfügbar. Dieses Modul enthält keine Informationen zu öffentlichen Peerings.
Erstellen einer ExpressRoute-Leitung und eines ExpressRoute-Peerings
Das Herstellen einer Verbindung mit Azure über ExpressRoute ist ein mehrstufiger Prozess. Sie können viele dieser Schritte entweder über das Azure-Portal oder über die Befehlszeile mithilfe von PowerShell oder der Azure CLI ausführen. In diesem Abschnitt wird der Prozess der Verwendung des Azure-Portals beschrieben. Anweisungen zu PowerShell und CLI finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Moduls.
Erstellen einer Leitung
Wenn Sie das Azure-Portal verwenden, wählen Sie + Ressource erstellen aus und suchen Sie nach ExpressRoute. Die Seite "ExpressRoute-Schaltkreis erstellen" erfordert, dass Sie die folgenden Felder ausführen:
Grundlagen-Tab
| Eigentum | Wert |
|---|---|
| Abonnement | Das Abonnement, das Sie bei Ihrem ExpressRoute-Anbieter registriert haben. |
| Ressourcengruppe | Die Azure-Ressourcengruppe, in der der Schaltkreis erstellt werden soll. |
| Region | Der Azure-Standort, an dem der Schaltkreis erstellt werden soll. |
| Name | Ein aussagekräftiger Name für Ihren Schaltkreis, ohne Leerzeichen oder Sonderzeichen. |
Registerkarte "Konfiguration"
| Eigentum | Wert |
|---|---|
| Porttyp | Wählen Sie "Anbieter" aus, wenn Sie eine Verbindung über einen Dienstanbieter herstellen oder "Direct " auswählen, wenn Sie eine direkte Verbindung mit Microsoft herstellen. |
| Neu erstellen oder aus klassischem Format importieren | Erstellen Sie einen neuen Schaltkreis, oder wählen Sie "Importieren" aus, um einen vorhandenen Schaltkreis aus dem klassischen Modell in den Ressourcen-Manager zu verschieben. |
| Anbieter | Der ExpressRoute-Anbieter, bei dem Sie Ihr Abonnement registriert haben. |
| Peeringstandort | Ein Standort, der vom ExpressRoute-Anbieter aktiviert ist, in dem Sie Ihren Schaltkreis erstellen können. |
| Bandbreite | Wählen Sie Ihre Bandbreite von 50 MBit/s bis zu 10 GBit/s aus. Beginnen Sie mit einem niedrigen Wert. Sie können ihn später ohne Dienstunterbrechung erhöhen. Sie können die Bandbreite jedoch nicht reduzieren, wenn Sie sie anfangs zu hoch festlegen. |
| SKU | Wählen Sie "Lokal " (sofern verfügbar) aus, wenn Sie nur eine Verbindung mit azure-Ressource in 1 oder 2 Azure-Regionen in derselben Metro herstellen müssen. Wählen Sie "Standard" aus, wenn Sie über bis zu 10 virtuelle Netzwerke verfügen und nur eine Verbindung mit Ressourcen in derselben geografischen Region herstellen müssen. Wählen Sie andernfalls Premium aus, mit dem Sie mehr als 10 virtuelle Netzwerke und globale Konnektivität mit Azure-Ressourcen herstellen können. |
| Abrechnungsmodell | Wählen Sie "Unbegrenzt" aus, um eine Pauschalgebühr unabhängig von der Nutzung zu bezahlen. Oder wählen Sie Taktung aus, wenn Sie stattdessen entsprechend der Höhe des eingehenden Datenvolumens abrechnen möchten. |
| Klassische Vorgänge zulassen | Wählen Sie "Ja " aus, damit klassische virtuelle Netzwerke eine Verbindung mit dem Schaltkreis herstellen können. Klicken Sie andernfalls auf Nein. |
Die Schaltkreiserstellung kann mehrere Minuten dauern. Nachdem der Schaltkreis bereitgestellt wurde, können Sie das Azure-Portal verwenden, um die Eigenschaften anzuzeigen. Sie können sehen, dass der Schaltkreisstatusaktiviert ist, was bedeutet, dass die Microsoft-Seite des Schaltkreises bereit ist, Verbindungen zu akzeptieren. Zunächst wird der Anbieterstatus auf "Nicht bereitgestellt " festgelegt, bis der Anbieter seine Seite des Schaltkreises für die Verbindung mit Ihrem Netzwerk konfiguriert.
Sie senden dem Anbieter den Wert im Feld "Dienstschlüssel ", damit er die Verbindung konfigurieren kann. Diese Konfiguration kann mehrere Tage dauern. Sie können diese Seite erneut aufrufen, um den Anbieterstatus zu überprüfen.
Erstellen einer Peeringkonfiguration
Nachdem der Anbieterstatus als bereitgestellt gemeldet wurde, können Sie das Routing für die Peerings konfigurieren. Diese Schritte gelten nur für Schaltkreise, die mit Dienstanbietern erstellt werden, die Layer 2-Konnektivität bieten. Für alle Schaltkreise, die auf Layer 3 ausgeführt werden, kann der Anbieter möglicherweise das Routing für Sie konfigurieren.
Auf der oben gezeigten ExpressRoute-Schaltkreisseite werden die einzelnen Peerings und ihre Eigenschaften aufgelistet. Sie können einen Peering auswählen, um diese Eigenschaften zu konfigurieren.
Konfigurieren des privaten Peerings
Sie können private Peering verwenden, um Ihr Netzwerk mit Ihren virtuellen Netzwerken zu verbinden, die in Azure ausgeführt werden. Zur Konfiguration eines privaten Peerings müssen Sie die folgenden Informationen angeben:
- Peer-ASN: Hier wird die autonome Systemnummer (ASN) für Ihre Seite des Peerings angegeben. Dieser ASN kann öffentlich oder privat und 16 Bit oder 32 Bit sein.
- Subnetze: Wählen Sie aus, ob Sie IPv4, IPv6 oder beides für die Peering-Subnetze verwenden möchten.
- Primäres Subnetz: Der Adressbereich des primären /30-Subnetzes, das Sie in Ihrem Netzwerk erstellt haben. Sie verwenden die erste IP-Adresse in diesem Subnetz für Ihren Router. Microsoft verwendet den zweiten für seinen Router.
- Sekundäres Subnetz: Der Adressbereich Ihres sekundären /30-Subnetzes. Dieses Subnetz stellt eine sekundäre Verbindung zu Microsoft bereit. Die ersten beiden Adressen werden verwendet, um die IP-Adresse Ihres Routers und des Microsoft-Routers zu speichern.
- IPv4-Peering aktivieren: Mit dieser Option können Sie die private BGP-Sitzung für Peering aktivieren und deaktivieren.
- VLAN-ID: Die ID des VLAN, für das das Peering hergestellt werden soll. Die primären und sekundären Verknüpfungen verwenden beide diese VLAN-ID.
- Freigegebener Schlüssel: Dieser Schlüssel ist ein optionaler MD5-Hash, der zum Codieren von Nachrichten verwendet wird, die über den Schaltkreis übergeben werden.
Konfigurieren des Microsoft-Peerings
Sie verwenden Microsoft-Peering, um eine Verbindung mit Office 365 und den zugehörigen Diensten herzustellen. Um Microsoft-Peering zu konfigurieren, stellen Sie einen Großteil der Informationen bereit, die für ein privates Peering beschrieben werden: Ein Peer-ASN, ein primärer Subnetzadressenbereich, ein sekundärer Subnetzadressenbereich, eine Subnetz-IP-Version, eine VLAN-ID und ein optionaler gemeinsam genutzter Schlüssel. Sie müssen auch die folgenden Informationen angeben:
- Angekündigte öffentliche Präfixe: Eine Liste der Adresspräfixe, die Sie für die BGP-Sitzung verwenden. Diese Präfixe müssen für Sie registriert werden und müssen Präfixe für öffentliche Adressbereiche sein.
- Kunden-ASN: Eine optionale clientseitige autonome Systemnummer, die verwendet werden soll, wenn Sie Präfixe anzeigen, die nicht für den Peer-ASN registriert sind.
- Routing-Registrierungsname: Dieser Name identifiziert die Registrierung, in der die Kunden-ASN und die öffentlichen Präfixe registriert sind.
Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung
Nachdem der ExpressRoute-Schaltkreis eingerichtet wurde, wird Azure private Peering für Ihren Schaltkreis konfiguriert. Die BGP-Sitzung zwischen Ihrem Netzwerk und Microsoft ist aktiv, sodass Sie die Konnektivität von Ihrem lokalen Netzwerk zu Azure aktivieren können.
Bevor Sie eine Verbindung mit einem privaten Schaltkreis herstellen können, müssen Sie ein virtuelles Azure-Netzwerkgateway erstellen, indem Sie ein Subnetz in einem Ihrer virtuellen Azure-Netzwerke verwenden. Das virtuelle Netzwerkgateway stellt den Einstiegspunkt zum Netzwerkdatenverkehr bereit, der aus Ihrem lokalen Netzwerk eingeht. Er leitet eingehenden Datenverkehr über das virtuelle Netzwerk an Ihre Azure-Ressourcen weiter.
Sie können Netzwerksicherheitsgruppen und Firewallregeln konfigurieren, um den Datenverkehr zu steuern, der von Ihrem lokalen Netzwerk weitergeleitet wird. Sie können Anforderungen auch von nicht autorisierten Adressen in Ihrem lokalen Netzwerk blockieren.
Hinweis
Sie müssen das virtuelle Netzwerkgateway mit dem Typ ExpressRoute und nicht mit VPN erstellen.
Bis zu 10 virtuelle Netzwerke können mit einem ExpressRoute-Schaltkreis verknüpft werden. Diese virtuellen Netzwerke müssen sich jedoch in derselben geopolitischen Region wie der ExpressRoute-Schaltkreis befinden, wenn sie eine Standard-SKU verwenden. Sie können bei Bedarf ein einzelnes virtuelles Netzwerk mit vier ExpressRoute-Schaltkreisen verknüpfen. Der ExpressRoute-Schaltkreis kann sich im selben Abonnement für das virtuelle Netzwerk oder in einem anderen befinden.
Wenn Sie das Azure-Portal verwenden, verbinden Sie wie folgt ein Peering mit einem virtuellen Netzwerkgateway:
- Wählen Sie auf der ExpressRoute-Schaltkreisseite für Ihren Schaltkreis "Verbindungen" aus.
- Wählen Sie auf der Seite "Verbindungen" die Option "Hinzufügen" aus.
- Geben Sie auf der Seite " Verbindung hinzufügen " einen Namen für die Verbindung ein, und wählen Sie dann Ihr virtuelles Netzwerkgateway aus. Nach Abschluss des Vorgangs wird Ihr lokales Netzwerk über das virtuelle Netzwerkgateway mit Ihrem virtuellen Netzwerk in Azure verbunden. Die Verbindung erfolgt über die ExpressRoute-Verbindung.
Hohe Verfügbarkeit und Failover mit ExpressRoute
In jedem ExpressRoute-Schaltkreis gibt es zwei Verbindungen vom Verbindungsanbieter zu zwei verschiedenen Microsoft Edge-Routern. Diese Konfiguration erfolgt automatisch. Es bietet einen Grad an Verfügbarkeit innerhalb eines einzigen Standorts.
Um hohe Verfügbarkeit bereitzustellen und vor einem regionalen Ausfall zu schützen, erwägen Sie das Einrichten von ExpressRoute-Schaltkreisen an verschiedenen Peeringstandorten. Sie können z. B. Schaltkreise in den Regionen "OSTEN" und "US Central" erstellen und diese Schaltkreise mit Ihrem virtuellen Netzwerk verbinden. Auf diese Weise verlieren Sie keine Verbindung zu Ihrer Ressource, wenn ein ExpressRoute-Schaltkreis ausfällt, und Sie können die Verbindung auf einen anderen ExpressRoute-Schaltkreis umschalten.
Sie können auch über mehrere Schaltungen über verschiedene Anbieter hinweg verfügen, um sicherzustellen, dass Ihr Netzwerk verfügbar bleibt, auch wenn sich ein Ausfall auf alle Schaltkreise eines einzigen genehmigten Anbieters auswirkt. Sie können die Verbindungsgewichtung so festlegen, um eine Schaltung gegenüber einer anderen zu bevorzugen.
ExpressRoute Direct und FastPath
Microsoft bietet auch eine ultraschnelle Option namens ExpressRoute Direct. Dieser Dienst ermöglicht duale 100-GBit/s-Konnektivität. Es eignet sich für Szenarien, die massive und häufige Datenaufnahme beinhalten. Es eignet sich auch für Lösungen, die extreme Skalierbarkeit erfordern, z. B. Banken, Behörden und Einzelhandel.
Sie können Ihr Abonnement bei Microsoft registrieren, um ExpressRoute Direct zu aktivieren. Weitere Informationen finden Sie im ExpressRoute-Artikel im Abschnitt "Weitere Informationen" am Ende dieses Moduls.
ExpressRoute Direct unterstützt FastPath. Wenn FastPath aktiviert ist, sendet er Netzwerkdatenverkehr direkt an einen virtuellen Computer, der das beabsichtigte Ziel ist. Der Datenverkehr umgeht das virtuelle Netzwerkgateway und verbessert die Leistung zwischen virtuellen Azure-Netzwerken und lokalen Netzwerken.
FastPath unterstützt virtuelle Netzwerk-Peering (in denen Virtuelle Netzwerke miteinander verbunden sind). Außerdem werden benutzerdefinierte Routen im Gatewaysubnetz unterstützt.