Funktionsweise von Azure ExpressRoute

Abgeschlossen

Sie haben erfahren, zu welchem Zweck und für welche Dienste der Azure ExpressRoute-Dienst eingesetzt wird. Nun erhalten Sie Informationen zur Funktionsweise des Diensts. Untersuchen Sie, wie er mit Azure und lokalen Netzwerken interagiert, um eine sichere und zuverlässige Verbindung zwischen Ihrem lokalen Rechenzentrum und der Microsoft-Cloud herzustellen.

In dieser Lerneinheit erfahren Sie, wie Sie Azure-Leitungen erstellen und zum Herstellen einer Verbindung zwischen Ihren lokalen Netzwerken und der Cloud verwenden. Sie erhalten eine Anleitung mit den Schritten, die Sie zum Erstellen einer Leitung ausführen müssen. Zudem werden die weiteren Komponenten einer ExpressRoute-Verbindung erläutert, die für das Herstellen einer Verbindung zwischen Ihrem lokalen Rechenzentrum und der Microsoft-Cloud erforderlich sind.

ExpressRoute-Architektur

ExpressRoute wird in allen Regionen und an allen Standorten unterstützt. Damit Sie ExpressRoute implementieren können, müssen Sie mit einem ExpressRoute-Partner arbeiten. Der Partner stellt den Edge-Dienst bereit, eine autorisierte und authentifizierte Verbindung, die über einen vom Partner gesteuerten Router betrieben wird. Der Edge-Dienst ist für die Erweiterung Ihres Netzwerks auf die Microsoft-Cloud verantwortlich.

Der Partner richtet Verbindungen mit einem Endpunkt an einem ExpressRoute-Standort ein (implementiert durch einen Microsoft Edge-Router). Diese Verbindungen ermöglichen es Ihnen, Peering Ihrer lokalen Netzwerke mit den über den Endpunkt verfügbaren virtuellen Netzwerken einzurichten. Diese Verbindungen werden als Leitungen bezeichnet.

Hinweis

Im Kontext von ExpressRoute beschreibt Microsoft Edge die Edgerouter auf der Microsoft-Seite der ExpressRoute-Verbindung.

Eine ExpressRoute-Leitung stellt eine physische Verbindung für die Übertragung von Daten zwischen den Edgeroutern des ExpressRoute-Anbieters und den Microsoft-Edgeroutern dar. Sie wird nicht über das öffentliche Internet erstellt, sondern über ein privates Netzwerk. Es wird eine Verbindung zwischen Ihrem lokalen Netzwerk und den Edgeroutern des ExpressRoute-Anbieters hergestellt. Dabei stellen die Microsoft-Edgerouter den Einstiegspunkt für Microsoft Cloud dar.

Voraussetzungen für ExpressRoute

Damit Sie über ExpressRoute eine Verbindung mit Microsoft-Clouddiensten herstellen können, benötigen Sie Folgendes:

• Einen ExpressRoute-Konnektivitätspartner oder Cloud-Exchange-Anbieter zum Einrichten einer Verbindung zwischen Ihren lokalen Netzwerken und Microsoft Cloud.
• Ein Azure-Abonnement, das bei dem von Ihnen gewählten ExpressRoute-Konnektivitätspartner registriert ist.
• Ein aktives Microsoft Azure-Konto zum Anfordern einer ExpressRoute-Leitung.
• Ein aktives Office 365-Abonnement (wenn Sie eine Verbindung mit der Microsoft Cloud herstellen und auf Office 365-Dienste zugreifen möchten).

Mit ExpressRoute wird zwischen Ihren lokalen Netzwerken und den in Microsoft Cloud ausgeführten Netzwerken eine Peerverbindung hergestellt. Dadurch können die Ressourcen in Ihren Netzwerken direkt mit den von Microsoft gehosteten Ressourcen kommunizieren. Um diese Peerings zu unterstützen, verfügt ExpressRoute über verschiedene Netzwerk- und Routinganforderungen:

• Vergewissern Sie sich, dass BGP-Sitzungen für Routingdomänen konfiguriert wurden. Je nach Partner kann diese Konfiguration in Ihrer oder dessen Zuständigkeit liegen. Außerdem erfordert Microsoft für jede ExpressRoute-Leitung redundante BGP-Sitzungen zwischen den Microsoft-Routern und Ihren Peeringroutern.
• Sie oder Ihre Anbieter müssen die privaten, lokal verwendeten IP-Adressen über einen NAT-Dienst in öffentliche IP-Adressen umwandeln. Microsoft lehnt alles außer öffentliche IP-Adressen über Microsoft-Peering ab.
• Reservieren Sie in Ihrem Netzwerk mehrere IP-Adressblöcke für die Weiterleitung von Datenverkehr zu Microsoft Cloud. Konfigurieren Sie die Blöcke im IP-Adressraum entweder als ein /29-Subnetz oder als zwei /30-Subnetze. Eines dieser Subnetze wird zum Konfigurieren des primären Links zu Microsoft Cloud verwendet und das andere zum Implementieren eines sekundären Links. Die erste Adresse in diesen Subnetzen stellt Ihre Seite des BGP-Peers dar, und die zweite Adresse ist die IP-Adresse des BGP-Peers von Microsoft.

ExpressRoute unterstützt zwei Peeringschemas:

• Verwenden Sie privates Peering zum Herstellen einer Verbindung mit Azure IaaS- und PaaS-Diensten, die in virtuellen Azure-Netzwerken bereitgestellt werden. Alle Ressourcen, auf die Sie zugreifen, müssen sich in einem oder mehreren virtuellen Azure-Netzwerken mit privater IP-Adresse befinden. Bei einem privaten Peering ist es nicht möglich, über die öffentliche IP-Adresse auf Ressourcen zuzugreifen.
• Verwenden Sie Microsoft-Peering zum Herstellen einer Verbindung mit Azure PaaS-Diensten, Office 365-Diensten und Dynamics 365.

Hinweis

Sie können auch das Azure-Portal verwenden, um ein öffentliches Peering zu konfigurieren. Diese Art von Peering erlaubt das Herstellen einer Verbindung mit den öffentlichen Adressen, die von Azure-Diensten bereitgestellt werden. Dieses Peering ist jedoch veraltet und für die neuen Leitungen nicht verfügbar. Dieses Modul enthält keine Informationen zu öffentlichen Peerings.

Erstellen einer ExpressRoute-Leitung und eines ExpressRoute-Peerings

Zum Herstellen einer Verbindung mit Azure über ExpressRoute sind mehrere Schritte erforderlich. Viele dieser Schritte können Sie entweder über das Azure-Portal oder über die Befehlszeile mithilfe von PowerShell oder der Azure-Befehlszeilenschnittstelle ausführen. Im folgenden Abschnitt wird die Verwendung des Azure-Portal beschrieben. Informationen zum Herstellen einer Verbindung über PowerShell und die Azure CLI finden Sie im Abschnitt „Weitere Informationen“ am Ende dieses Moduls.

Erstellen einer Leitung

Wählen Sie im Azure-Portal + Ressource erstellen aus, und suchen Sie nach ExpressRoute. Auf der Seite ExpressRoute-Leitung erstellen müssen Sie die folgenden Felder ausfüllen:

Registerkarte „Grundlagen“

Eigenschaft	Wert
Abonnement	Abonnement, das Sie bei Ihrem ExpressRoute-Anbieter registriert haben.
Ressourcengruppe	Name der Azure-Ressourcengruppe, in der die Leitung erstellt werden soll.
Region	Azure-Standort, an dem die Leitung erstellt werden soll.
Name	Aussagekräftiger Name für die Leitung, ohne Leer- oder Sonderzeichen.

Registerkarte „Konfiguration“

Eigenschaft	Wert
Porttyp	Wählen Sie Anbieter aus, wenn Sie eine Verbindung über einen Dienstanbieter herstellen, oder wählen Sie Direkt aus, wenn Sie eine direkte Verbindung mit Microsoft herstellen.
Neu erstellen oder aus klassischem Modell importieren	Erstellen Sie eine neue Leitung, oder wählen Sie Importieren aus, um eine vorhandene Leitung vom klassischen Model zu Resource Manager zu verschieben.
Anbieter	ExpressRoute-Anbieter, bei dem Sie Ihr Abonnement registriert haben.
Peeringstandort	Vom ExpressRoute-Anbieter aktivierter Standort, an dem die Leitung erstellt werden soll.
Bandbreite	Wählen Sie eine Bandbreite zwischen 50 MBit/s und 10 GBits/s aus. Geben Sie für den Anfang einen niedrigen Wert an. Sie können ihn später ohne Unterbrechung des Diensts erhöhen. Eine anfänglich zu hoch gewählte Bandbreite kann jedoch nicht mehr verringert werden.
SKU	Wählen Sie Lokal aus (falls verfügbar), wenn Sie nur eine Verbindung mit einer Azure-Region in ein oder zwei Azure-Region in derselben Metropolregion herstellen müssen. Wenn Sie maximal zehn virtuelle Netzwerke besitzen und ausschließlich eine Verbindung mit Ressourcen in derselben geografischen Region herstellen möchten, wählen Sie Standard aus. Wählen Sie andernfalls Premium aus, wodurch Sie mehr als 10 virtuelle Netzwerke verbinden und globale Konnektivität mit Azure-Ressourcen herstellen können.
Abrechnungsmodell	Wählen Sie für eine nutzungsunabhängige Pauschalgebühr die Option Unbegrenzt aus. Oder wählen Sie Taktung aus, wenn Sie stattdessen entsprechend der Höhe des eingehenden Datenvolumens abrechnen möchten.
Klassische Vorgänge zulassen	Wenn Sie Ja auswählen, können klassische virtuelle Netzwerke eine Verbindung mit der Leitung herstellen. Klicken Sie andernfalls auf Nein.

Das Erstellen der Leitung kann einige Minuten dauern. Nachdem die Leitung bereitgestellt wurde, können Sie die Eigenschaften im Azure-Portal anzeigen. Wie Sie sehen, ist Leitungsstatus aktiviert. Dies bedeutet, dass die Leitung auf Microsoft-Seite bereit ist, Verbindungen zu akzeptieren. Der Anbieterstatus ist zunächst auf Nicht bereitgestellt festgelegt, da der Anbieter seine Seite der Leitung nicht für die Verbindung mit Ihrem Netzwerk konfiguriert hat.

Sie senden dem Anbieter den im Feld Dienstschlüssel angezeigten Wert, damit er die Verbindung konfigurieren kann. Diese Konfiguration kann mehrere Tage dauern. Sie können den Anbieterstatus auf dieser Seite regelmäßig überprüfen.

Erstellen einer Peeringkonfiguration

Sobald der Anbieterstatus Bereitgestellt lautet, können Sie die Peeringweiterleitung konfigurieren. Diese Schritte gelten nur für Leitungen, die über Dienstanbieter mit einer Layer 2-Konnektivität erstellt werden. Für Layer 3-Leitungen kann die Weiterleitung möglicherweise vom Anbieter konfiguriert werden.

Auf der weiter oben dargestellten Seite ExpressRoute-Verbindung werden alle Peerings mit ihren jeweiligen Eigenschaften aufgelistet. Wenn Sie die Eigenschaften konfigurieren möchten, klicken Sie auf das entsprechende Peering.

Konfigurieren des privaten Peerings

Sie können privates Peering verwenden, um eine Verbindung zwischen Ihrem Netzwerk und Ihren virtuellen Netzwerken in Azure herzustellen. Zur Konfiguration eines privaten Peerings müssen Sie die folgenden Informationen angeben:

• Peer-ASN: Autonome Systemnummer für Ihre Seite des Peerings. Die ASN kann öffentlich oder privat sein und aus 16 oder 32 Bits bestehen.
• Subnetze: Wählen Sie aus, ob Sie IPv4, IPv6 oder beides für die Peeringsubnetze verwenden möchten.
• Primäres Subnetz: Dies ist der Adressbereich des primären /30-Subnetzes, das Sie in Ihrem Netzwerk erstellt haben. Sie verwenden die erste IP-Adresse in diesem Subnetz für Ihren Router. Microsoft verwendet die zweite für seinen Router.
• Sekundäres Subnetz: Dies ist der Adressbereich des sekundären /30-Subnetzes. In diesem Subnetz wird eine sekundäre Verknüpfung mit Microsoft bereitgestellt. Die ersten beiden Adressen enthalten die IP-Adressen für Ihren und den Microsoft-Router.
• IPv4-Peering aktivieren: Mit dieser Option können Sie die private BGP-Peeringsitzung aktivieren und deaktivieren.
• VLAN-ID: Dies ist die ID des virtuellen lokalen Netzwerks, in dem das Peering erstellt werden soll. Die VLAN-ID wird von der primären und sekundären Verknüpfung verwendet.
• Gemeinsam verwendeter Schlüssel: Dieser Schlüssel ist ein optionaler MD5-Hash für die Codierung von Nachrichten, die über die Verbindung übergeben werden.

Konfigurieren des Microsoft-Peerings

Über Microsoft-Peering können Sie eine Verbindung mit Office 365 und den zugehörigen Diensten herstellen. Bei der Konfiguration des Microsoft-Peerings geben Sie einen Großteil der Informationen an, die für ein privates Peering beschrieben werden: eine Peer-ASN, einen primären Subnetzadressbereich, einen sekundären Subnetzadressbereich, eine Subnetz-IP-Version, eine VLAN-ID und einen optionalen gemeinsam verwendeten Schlüssel. Zusätzlich müssen Sie die folgenden Informationen angeben:

• Angekündigte öffentliche Präfixe: Dies ist eine Liste der Adresspräfixe, die Sie während der BGP-Sitzung verwenden. Diese Präfixe müssen für Sie registriert und für öffentliche Adressbereiche gültig sein.
• Benutzerdefinierte ASN: Dies ist eine optionale clientseitige autonome Systemnummer zur Ankündigung von Präfixen, die nicht für die Peer-ASN registriert sind.
• Routingregistrierungsname: Identifiziert die Registrierung, in der die Kunden-ASN und öffentliche Präfixe registriert sind.

Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung

Nachdem die ExpressRoute-Verbindung hergestellt wurde, wird das private Azure-Peering für Ihre Verbindung konfiguriert. Die BGP-Sitzung zwischen Ihrem Netzwerk und Microsoft ist aktiv, sodass Sie die Verbindung zwischen Ihrem lokalen Netzwerk und Azure aktivieren können.

Vor dem Herstellen einer Verbindung mit einer privaten Leitung müssen Sie über ein Subnetz in einem Ihrer virtuellen Azure-Netzwerke ein Gateway für virtuelle Azure-Netzwerke erstellen. Dieses Gateway stellt den Einstiegspunkt für eingehenden Datenverkehr aus Ihrem lokalen Netzwerk dar. Es leitet eingehenden Datenverkehr durch das virtuelle Netzwerk zu Ihren Azure-Ressourcen.

Sie können Netzwerksicherheitsgruppen und Firewallregeln konfigurieren, um den von Ihrem lokalen Netzwerk weitergeleiteten Datenverkehr zu steuern. Sie können ebenfalls Anforderungen von nicht autorisierten Adressen in Ihrem lokalen Netzwerk blockieren.

Hinweis

Beim Erstellen des Gateways für virtuelle Netzwerke muss der Gatewaytyp auf ExpressRoute festgelegt sein (und nicht auf VPN).

Es können bis zu zehn virtuelle Netzwerke mit einer ExpressRoute-Leitung verknüpft werden, sofern sich diese bei Verwendung einer Standard SKU in derselben geopolitischen Region wie die ExpressRoute-Leitung befinden. Sie können ein einzelnes virtuelles Netzwerk bei Bedarf mit vier ExpressRoute-Verbindungen verknüpfen. Die ExpressRoute-Verbindung kann sich im gleichen Abonnement wie das virtuelle Netzwerk oder in einem anderen Abonnement befinden.

Wenn Sie die Verbindung zwischen einem Peering und einem Gateway für virtuelle Netzwerke über das Azure-Portal herstellen möchten, gehen Sie folgendermaßen vor:

1. Wählen Sie auf der Seite ExpressRoute-Leitung für Ihre Leitung die Option Verbindungen aus.
2. Wählen Sie auf der Seite Verbindungen die Option Hinzufügen aus.
3. Geben Sie auf der Seite Verbindung hinzufügen für Ihre Verbindung einen Namen ein. Wählen Sie anschließend Ihr Gateway für virtuelle Netzwerke aus. Nach Abschluss des Vorgangs besteht zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Netzwerk in Azure über das Gateway für virtuelle Netzwerke eine Verbindung. Die Verbindung erfolgt dabei über die ExpressRoute-Verbindung.

Hochverfügbarkeit und Failover mit ExpressRoute

In jeder ExpressRoute-Leitung existieren zwei Verbindungen zwischen dem Konnektivitätsanbieter und zwei verschiedenen Microsoft-Edgeroutern. Diese Konfiguration erfolgt automatisch. Dadurch wird an einem bestimmten Standort eine gewisse Verfügbarkeit garantiert.

Zur Gewährleistung der Hochverfügbarkeit und zum Schutz vor einem regionalen Ausfall können Sie ggf. ExpressRoute-Leitungen an unterschiedlichen Peeringstandorten einrichten. So könnten Sie beispielsweise Leitungen in den Regionen „USA, Osten“ und „USA, Mitte“ erstellen und diese mit Ihrem virtuellen Netzwerk verbinden. Sollte dann eine der ExpressRoute-Verbindungen ausfallen, bleibt die Verbindung mit Ihrer Ressource bestehen, und Sie können ein Failover für die Verbindung zu einer anderen ExpressRoute-Verbindung ausführen.

Sie können auch mehrere Leitungen bei verschiedenen Anbietern einrichten, damit Ihr Netzwerk auch bei einem Ausfall aller Leitungen eines einzelnen genehmigten Anbieters verfügbar bleibt. Über die Eigenschaft Verbindungsgewichtung können Sie einer Leitung den Vorzug geben.

ExpressRoute Direct und FastPath

Microsoft bietet auch eine ultraschnelle Option namens ExpressRoute Direct. Dieser Dienst ermöglicht eine duale Konnektivität von 100 GBit/s. Dies eignet sich für Szenarios, die eine massive und häufige Datenerfassung umfassen. Es ist ebenso geeignet für Lösungen, die eine extrem hohe Skalierbarkeit erfordern (z. B. Bankwesen, Behörden und Einzelhandel).

Sie können Ihr Abonnement bei Microsoft registrieren, um ExpressRoute Direct zu aktivieren. Weitere Informationen finden Sie im Artikel zu ExpressRoute im Abschnitt „Weitere Informationen“ am Ende dieses Moduls.

ExpressRoute Direct unterstützt FastPath. Ist FastPath aktiviert, wird Netzwerkdatenverkehr direkt an den virtuellen Computer gesendet, der das beabsichtigte Ziel ist. Indem der Datenverkehr das Gateway für virtuelle Netzwerke umgeht, kann die Leistung zwischen den virtuellen Azure-Netzwerken und den lokalen Netzwerken gesteigert werden.

FastPath unterstützt Peering von virtuellen Netzwerken (bei dem virtuelle Netzwerke miteinander verbunden werden). Benutzerdefinierte Routen im Gatewaysubnetz werden ebenfalls unterstützt.

Überprüfen Sie Ihr Wissen

1.

Was ist Microsoft-Peering?

Es stellt eine direkte Verbindung zwischen Ihrem lokalen Netzwerk und einem Azure-Rechenzentrum her.

Damit können Sie eine Verbindung zwischen Ihrem lokalen Netzwerk und Office 365-Diensten sowie Dynamics 365 herstellen.

Es stellt eine Verbindung zwischen Ihrem lokalen Netzwerk und einem ExpressRoute-Anbieter her.

Es stellt eine Point-to-Site-Verbindung zwischen Computern an Ihrem lokalen Standort und Office 365-Diensten her.

2.

Was ist eine ExpressRoute-Leitung?

Eine ExpressRoute-Leitung implementiert über eine VPN-Verbindung eine Site-to-Site-Verbindung mit einem Azure-Rechenzentrum.

Eine ExpressRoute-Leitung ist eine direkte und feste Verbindung zwischen Ihrem lokalen Rechenzentrum und dem Azure-Rechenzentrum.

Ein Sicherungsdienst für das Herstellen einer Verbindung mit Microsoft Cloud, falls bei Ihrer VPN-Verbindung ein Fehler auftritt.

Eine ExpressRoute-Leitung stellt eine physische Verbindung für die Übertragung von Daten zwischen den Edgeroutern des ExpressRoute-Anbieters und den Microsoft-Edgeroutern dar.

3.

Welche Sicherheitsvorteile bietet Azure ExpressRoute?

Eine ExpressRoute-Verbindung wird automatisch verschlüsselt und schützt so den Datenverkehr über das Internet zu Microsoft Cloud.

Aufgrund der Geschwindigkeit des Datenverkehrs über eine ExpressRoute-Verbindung können die Daten nicht von Netzwerkmonitoren und Paketsniffern abgefangen werden.

ExpressRoute verwendet ein dediziertes privates Netzwerk, um eine Verbindung mit Microsoft Cloud herzustellen. Der Datenverkehr erfolgt nicht über das öffentliche Internet, wodurch Abfangversuche erschwert werden.

ExpressRoute verwendet ein proprietäres, sich ständig veränderndes Übertragungsprotokoll, wodurch das Abfangen von Daten erschwert wird.

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.