Informationen zu Azure ExpressRoute
Mit ExpressRoute können Sie Ihre lokalen Netzwerke über eine private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, auf die Cloud von Microsoft ausdehnen. Mit ExpressRoute können Sie Verbindungen mit verschiedenen Microsoft-Clouddiensten herstellen, z. B. Microsoft Azure und Microsoft 365. Die Konnektivität kann über ein Any-to-Any-Netzwerk (IP VPN), ein Point-to-Point-Ethernet-Netzwerk oder eine virtuelle Querverbindung über einen Konnektivitätsanbieter in einer Co-Location-Einrichtung bereitgestellt werden. Da ExpressRoute-Verbindungen nicht über das öffentliche Internet erfolgen, ermöglicht dieser Ansatz ExpressRoute-Verbindungen mit höherer Zuverlässigkeit, höherer Geschwindigkeit, konsistenter Latenz und höherer Sicherheit.
ExpressRoute-Funktionen
Einige wichtige Vorteile von ExpressRoute:
- Layer 3-Konnektivität zwischen Ihrem lokalen Netzwerk und der Microsoft Cloud über einen Konnektivitätsanbieter
- Die Konnektivität kann über ein Any-to-Any-Netzwerk (IPVPN), eine Point-to-Point-Ethernet-Verbindung oder eine virtuelle Querverbindung über einen Ethernet-Exchange bereitgestellt werden.
- Verbindung mit Microsoft-Clouddiensten in allen Regionen einer geopolitischen Region
- Globale Konnektivität mit Microsoft-Diensten in allen Regionen mit dem ExpressRoute Premium-Add-On
- Integrierte Redundanz an jedem Peeringort, um eine höhere Zuverlässigkeit zu erzielen
Mit Azure ExpressRoute können Sie private Verbindungen zwischen Azure-Rechenzentren und einer Infrastruktur in Ihrer lokalen Umgebung oder in einer Serverhousingumgebung erstellen. ExpressRoute-Verbindungen werden nicht über das öffentliche Internet hergestellt und bieten mehr Zuverlässigkeit, eine höhere Geschwindigkeit und weniger Latenz als herkömmliche Internetverbindungen.
Grundlegendes zu Anwendungsfällen für Azure ExpressRoute
Schnellere und zuverlässige Verbindung mit Azure-Diensten: Organisationen, die Azure-Dienste nutzen, wünschen zuverlässige Verbindungen mit Azure-Diensten und -Rechenzentren. Das öffentliche Internet ist von vielen Faktoren abhängig und eignet sich möglicherweise nicht für ein Unternehmen. Mit Azure ExpressRoute können Sie private Verbindungen zwischen Azure-Rechenzentren und einer Infrastruktur in Ihrer lokalen Umgebung oder in einer Colocationumgebung erstellen. Die Verwendung von ExpressRoute-Verbindungen zum Übertragen von Daten zwischen lokalen Systemen und Azure kann zudem erhebliche Kostenvorteile bringen.
Speicherung, Sicherung und Wiederherstellung: Sicherung und Wiederherstellung sind für eine Organisation wichtige Funktionen, um Geschäftskontinuität und die Fortsetzung des ordnungsgemäßen Betriebs nach einem Ausfall zu gewährleisten. ExpressRoute bietet Ihnen eine schnelle und zuverlässige Verbindung mit Azure, mit Bandbreiten von bis zu 100 GBit/s. Dadurch eignet sich ExpressRoute hervorragend für Szenarien wie regelmäßige Datenmigration, Replikation für Geschäftskontinuität, Notfallwiederherstellung und andere Hochverfügbarkeitsstrategien.
Erweiterung von Rechenzentrumsfunktionen: ExpressRoute kann verwendet werden, um eine Verbindung mit vorhandenen Rechenzentren herzustellen und diesen Compute- und Speicherkapazität hinzuzufügen. Aufgrund des hohen Durchsatzes und der geringen Latenz wirkt Azure wie eine natürliche Erweiterung Ihrer Rechenzentren, sodass Sie die Skalierung und Wirtschaftlichkeit der öffentlichen Cloud nutzen können, ohne Abstriche bei der Netzwerkleistung machen zu müssen.
Vorhersagbare und zuverlässige Verbindungen mit hohem Durchsatz: Mit vorhersagbaren und zuverlässigen ExpressRoute-Verbindungen mit hohem Durchsatz können Unternehmen Anwendungen erstellen, die die lokale Infrastruktur und Azure umfassen, ohne den Datenschutz oder die Leistung zu beeinträchtigen. Sie können beispielsweise eine Unternehmensintranetanwendung in Azure ausführen, die Ihre Kunden mit einem lokalen Active Directory-Dienst authentifiziert und für alle Ihre Unternehmenskunden verfügbar ist, ohne dass Datenverkehr jemals über das öffentliche Internet geleitet wird.
ExpressRoute-Konnektivitätsmodelle
Sie können eine Verbindung zwischen Ihrem lokalen Netzwerk und der Microsoft-Cloud auf vier verschiedene Arten erstellen: CloudExchange-Zusammenstellung, Point-to-Point-Ethernet-Verbindung, Any-to-Any-Verbindung (IPVPN) und ExpressRoute Direct. Konnektivitätsanbieter können ein oder mehrere Konnektivitätsmodelle bereitstellen.
Cloud-Exchange-Colocation
Wenn Sie sich in einer Einrichtung mit einem Cloud Exchange befinden, können Sie virtuelle Querverbindungen zur Microsoft Cloud über den Ethernet Exchange des Co-Location-Anbieters bestellen. Co-Location-Anbieter stellen entweder Layer 2-Querverbindungen oder verwaltete Layer 3-Querverbindungen zwischen Ihrer Infrastruktur in der Co-Location-Einrichtung und der Microsoft Cloud bereit.
Point-to-Point-Ethernet-Verbindungen
Sie können Ihre lokalen Rechenzentren/Büros über Point-to-Point-Ethernet-Links mit der Microsoft Cloud verbinden. Point-to-Point-Ethernet-Anbieter können Layer 2-Verbindungen oder verwaltete Layer 3-Verbindungen zwischen Ihrem Standort und der Microsoft Cloud bereitstellen.
Any-to-Any-Netzwerke (IPVPN)
Sie können Ihr WAN in die Microsoft Cloud integrieren. IPVPN-Anbieter (normalerweise MPLS VPN) bieten Any-to-Any-Konnektivität zwischen Ihren Niederlassungen und den Rechenzentren an. Die Microsoft Cloud kann mit Ihrem WAN verbunden werden, um sie wie eine normale Niederlassung erscheinen zu lassen. WAN-Anbieter stellen in der Regel verwaltete Layer 3-Konnektivität bereit.
Direkt von ExpressRoute-Standorten
Sie können sich direkt mit dem globalen Netzwerk von Microsoft verbinden, und zwar an strategisch über die ganze Welt verteilten Peeringstandorten. ExpressRoute Direct bietet duale Konnektivität mit 100 oder 10 GBit/s, die eine Aktiv/Aktiv-Konnektivität nach Maß unterstützt.
Entwurfsüberlegungen für ExpressRoute-Bereitstellungen
Bei der Planung einer ExpressRoute-Bereitstellung müssen viele Entscheidungen getroffen werden. In diesem Abschnitt werden einige wichtige Bereiche erläutert, die Sie beim Entwerfen Ihrer Bereitstellung berücksichtigen müssen.
Auswählen zwischen Anbietermodell und direktem Modell (ExpressRoute Direct)
ExpressRoute Direct
ExpressRoute Direct bietet Ihnen die Möglichkeit, sich direkt mit dem globalen Netzwerk von Microsoft zu verbinden, und zwar an strategisch über die ganze Welt verteilten Peeringstandorten. ExpressRoute Direct bietet duale Konnektivität mit 100 oder 10 GBit/s, die eine Aktiv/Aktiv-Konnektivität nach Maß unterstützt. Sie können mit jedem beliebigen Dienstanbieter für ExpressRoute Direct arbeiten.
Wichtige von ExpressRoute Direct bereitgestellte Features:
- Umfangreiche Datenerfassung in Diensten wie Azure Storage und Cosmos DB
- Physische Isolierung für Branchen, die Regulierung sowie dedizierte und isolierte Konnektivität erfordern, z. B. das Bankwesen, Behörden und der Einzelhandel.
- Präzise Steuerung der Leitungsverteilung basierend auf Unternehmensbereichen
Verwenden von ExpressRoute Direct oder Verwenden eines Dienstanbieters
| ExpressRoute mit einem Dienstanbieter | ExpressRoute Direct |
|---|---|
| Verwendet Dienstanbieter, um schnelles Onboarding und schnelle Konnektivität mit der vorhandenen Infrastruktur zu ermöglichen | Erfordert eine Infrastruktur mit 100GBit/s bzw. 10GBit/s und die vollständige Verwaltung aller Ebenen |
| Integration mit Hunderten von Dienstanbietern, einschließlich Ethernet und MPLS | Direkte/Dedizierte Kapazität für regulierte Branchen und Erfassung sehr umfangreicher Datenmengen |
| Leitungs-SKUs zwischen 50 MBit/s und 10 GBit/s | Kunden können eine Kombination der folgenden Verbindungs-SKUs für ExpressRoute Direct mit 100 GBit/s auswählen: 5 GBit/s, 10 GBit/s, 40 GBit/s und 100 GBit/s. Für ExpressRoute Direct mit 10 GBit/s können Kunden eine Kombination der folgenden Verbindungs-SKUs auswählen: 1 GBit/s, 2 GBit/s, 5 GBit/s und 10 GBit/s. |
| Für Einzelmandanten optimiert | Optimiert für einen einzelnen Mandanten mit mehreren Geschäftseinheiten und mehreren Arbeitsumgebungen |
Routenankündigung
Wenn das Microsoft-Peering in Ihrer ExpressRoute-Leitung konfiguriert wird, richten die Microsoft Edge-Router über Ihren Konnektivitätsanbieter ein BGP-Sitzungspaar (Border Gateway Protocol) mit den Edge-Routern ein. Ihrem Netzwerk werden keine Routen angekündigt. Um Routenankündigungen für Ihr Netzwerk zu aktivieren, müssen Sie einen Routenfilter zuordnen.
So ordnen Sie einen Routenfilter zu:
- Sie benötigen eine aktive ExpressRoute-Verbindung, für die das Microsoft-Peering bereitgestellt ist.
- Erstellen Sie eine ExpressRoute-Leitung, und lassen Sie die Leitung von Ihrem Konnektivitätsanbieter aktivieren, bevor Sie fortfahren. Die ExpressRoute-Verbindung muss den Zustand „Provisioned“ und „Enabled“ aufweisen.
- Erstellen Sie das Microsoft-Peering, wenn Sie die BGP-Sitzung direkt verwalten. Überlassen Sie die Bereitstellung des Microsoft-Peerings für Ihre Verbindung wahlweise Ihrem Konnektivitätsanbieter.
Abrufen einer Liste von BGP-Communitywerten
BGP-Communitywerte, die Diensten zugeordnet sind, die über Microsoft-Peering verfügbar sind, finden Sie auf der Seite ExpressRoute-Routinganforderungen.
Erstellen einer Liste der zu verwendenden Werte
Erstellen Sie eine Liste mit BGP-Communitywerten, die Sie im Routenfilter verwenden möchten.
Erkennung von bidirektionaler Weiterleitung
ExpressRoute unterstützt Bidirectional Forwarding Detection (BFD) sowohl über privates als auch Microsoft-Peering. Wenn Sie BFD über ExpressRoute aktivieren, können Sie die Erkennung von Verbindungsfehlern zwischen MSEE-Geräten (Microsoft Enterprise Edge) und den Routern beschleunigen, auf denen die ExpressRoute-Leitung konfiguriert wird (CE/PE). Sie können ExpressRoute über Ihre Edgeroutinggeräte oder über Edgeroutinggeräte von Partnern konfigurieren (wenn Sie den verwalteten Layer 3-Verbindungsdienst verwenden). In diesem Abschnitt werden die Notwendigkeit von BFD und die Vorgehensweise zur Aktivierung von BFD über ExpressRoute erläutert.
Sie können die ExpressRoute-Leitung entweder über Layer 2-Verbindungen oder über verwaltete Layer 3-Verbindungen aktivieren. In beiden Fällen ist die übergeordnete BGP-Sitzung für die Erkennung von Verbindungsfehlern im Pfad verantwortlich, wenn sich im ExpressRoute-Verbindungspfad mehrere Layer 2-Geräte befinden.
Auf den MSEE-Geräten sind die BGP-Werte „keep-alive“ und „hold-time“ in der Regel mit 60 bzw. 180 Sekunden konfiguriert. Aus diesem Grund kann es bei einem Verbindungsfehler bis zu drei Minuten dauern, um den Fehler zu erkennen und den Datenverkehr über eine alternative Verbindung weiterzuleiten.
Sie können die BGP-Zeitgeber steuern, indem Sie auf Ihrem Edgepeeringgerät niedrigere Werte für „keep-alive“ und „hold-time“ konfigurieren. Wenn auf den beiden Peeringgeräten nicht dieselben BGP-Zeitgeberwerte verwendet werden, wird die BGP-Sitzung mit dem kleineren Wert festgelegt. Der BGP-Wert für „keep-alive“ kann auf nur drei Sekunden, der Wert für „hold-time“ auf nur zehn Sekunden festgelegt werden. Das Festlegen eines sehr aggressiven BGP-Zeitgeberwerts wird nicht empfohlen, weil das Protokoll prozessintensiv ist.
In diesem Szenario kann BFD helfen. Mit BFD können Verbindungsfehler mit geringem Mehraufwand in einem Zeitintervall von unter einer Sekunde erkannt werden.
Das folgende Diagramm zeigt den Vorteil der Aktivierung von BFD über eine ExpressRoute-Leitung:
Aktivieren von BFD
BFD wird standardmäßig unter allen neu erstellten privaten ExpressRoute-Peeringschnittstellen auf den MSEE-Geräten konfiguriert. Um BFD zu aktivieren, müssen Sie das Feature nur auf Ihren primären und sekundären Geräten konfigurieren. Die Konfiguration von BFD erfolgt in zwei Schritten. Sie konfigurieren BFD in der Schnittstelle und verknüpfen das Feature anschließend mit der BGP-Sitzung.
Wenn Sie ein Peering deaktivieren, wird die BGP-Sitzung (Border Gateway Protocol) der primären und sekundären Verbindung Ihrer ExpressRoute-Verbindung heruntergefahren. Wenn Sie das Peering aktivieren, wird die BGP-Sitzung jeweils auf der primären und sekundären Verbindung Ihrer ExpressRoute-Verbindung wiederhergestellt.
Hinweis
Wenn Sie Peering zum ersten Mal für die ExpressRoute-Leitung konfigurieren, wird Peering standardmäßig aktiviert.
Das Zurücksetzen der ExpressRoute-Peerings kann in folgenden Szenarien hilfreich sein:
Sie testen Ihren Entwurf und die Implementierung der Notfallwiederherstellung. Sie verfügen beispielsweise über zwei ExpressRoute-Verbindungen. Sie können die Peerings einer Leitung deaktivieren und erzwingen, dass der Netzwerkdatenverkehr die andere Leitung verwendet.
Sie möchten die bidirektionale Weiterleitungserkennung (Bidirectional Forwarding Detection, BFD) für das private Azure-Peering oder Microsoft-Peering aktivieren. Wenn Ihre ExpressRoute-Verbindung vor dem 1. August 2018 für das private Azure-Peering oder vor dem 10. Januar 2020 für das Microsoft-Peering erstellt wurde, war BFD standardmäßig nicht aktiviert. Setzen Sie das Peering zurück, um BFD zu aktivieren.
Konfigurieren der Verschlüsselung über ExpressRoute
In diesem Abschnitt erfahren Sie, wie Sie mit Azure Virtual WAN über das private Peering einer Azure ExpressRoute-Leitung eine IPsec/IKE-VPN-Verbindung von Ihrem lokalen Netzwerk zu Azure herstellen. Mit dieser Methode kann eine verschlüsselte Übertragung zwischen den lokalen Netzwerken und virtuellen Azure-Netzwerken über ExpressRoute ermöglicht werden, ohne dass die Übertragung über das öffentliche Internet erfolgt oder öffentliche IP-Adressen verwendet werden.
Topologie und Routing
Das folgende Diagramm zeigt ein Beispiel für eine VPN-Verbindung über privates ExpressRoute-Peering:
Das Diagramm zeigt ein Netzwerk innerhalb des lokalen Netzwerks, das über privates ExpressRoute-Peering mit dem VPN-Gateway des Azure-Hubs verbunden ist. Die Einrichtung de Verbindung ist unkompliziert:
- Richten Sie eine ExpressRoute-Verbindung mit einer ExpressRoute-Leitung und privatem Peering ein.
- Stellen Sie die VPN-Konnektivität her.
Ein wichtiger Aspekt dieser Konfiguration ist das Routing zwischen den lokalen Netzwerken und Azure über die ExpressRoute- und VPN-Pfade.
Datenverkehr von lokalen Netzwerken zu Azure
Für den Datenverkehr von lokalen Netzwerken zu Azure werden die Azure-Präfixe (einschließlich des virtuellen Hubs und aller mit dem Hub verbundenen virtuellen Netzwerke) über das BGP für das private ExpressRoute-Peering und über das VPN-BGP angekündigt. Dies führt zu zwei Netzwerkrouten (Pfaden) zu Azure aus den lokalen Netzwerken:
- Eine über den durch IPSec geschützten Pfad.
- Eine direkt über ExpressRoute ohne IPSec-Schutz.
Um die Kommunikation zu verschlüsseln, muss für das VPN-verbundene Netzwerk im Diagramm sichergestellt werden, dass die Azure-Routen über das lokale VPN-Gateway dem direkten ExpressRoute-Pfad gegenüber bevorzugt werden.
Datenverkehr von Azure zu lokalen Netzwerken
Die gleiche Anforderung gilt für den Datenverkehr von Azure zu lokalen Netzwerken. Damit der IPsec-Pfad dem direkten ExpressRoute-Pfad (ohne IPsec) gegenüber bevorzugt wird, haben Sie zwei Möglichkeiten:
- Kündigen Sie in der VPN-BGP-Sitzung für das VPN-verbundene Netzwerk spezifischere Präfixe an. Sie können einen größeren Bereich, der das VPN-verbundene Netzwerk über privates ExpressRoute-Peering umfasst, und dann spezifischere Bereiche in der VPN-BGP-Sitzung ankündigen. Kündigen Sie z. B. 10.0.0.0/16 über ExpressRoute und 10.0.1.0/24 über das VPN an.
- Kündigen Sie getrennte Präfixe für VPN und ExpressRoute an. Wenn die Bereiche für das VPN-verbundene Netzwerk von anderen ExpressRoute-verbundenen Netzwerken getrennt sind, können Sie die Präfixe in den VPN- bzw. ExpressRoute-BGP-Sitzungen ankündigen. Kündigen Sie z. B. 10.0.0.0/24 über ExpressRoute und 10.0.1.0/24 über das VPN an.
In beiden Beispielen sendet Azure den Datenverkehr über die VPN-Verbindung und nicht ohne VPN-Schutz direkt über ExpressRoute an 10.0.1.0/24.
[!WARNUNG]
Wenn Sie die gleichen Präfixe über ExpressRoute- und VPN-Verbindungen ankündigen, verwendet Azure den ExpressRoute-Pfad direkt ohne VPN-Schutz.
Entwerfen der Redundanz für eine ExpressRoute-Bereitstellung
Es gibt zwei Methoden, Redundanz für eine ExpressRoute-Bereitstellung zu planen.
- Konfigurieren von parallel bestehenden ExpressRoute- und Site-to-Site-Verbindungen
- Erstellen eines zonenredundanten VNet-Gateways in Azure-Verfügbarkeitszonen
Konfigurieren von parallel bestehenden ExpressRoute- und Site-to-Site-Verbindungen
In diesem Abschnitt wird beschrieben, wie Sie parallel bestehende ExpressRoute- und Site-to-Site-VPN-Verbindungen konfigurieren. Die Möglichkeit zum Konfigurieren von Standort-zu-Standort-VPN und ExpressRoute bietet mehrere Vorteile. Sie können ein Site-to-Site-VPN als sicheren Failoverpfad für ExpressRoute konfigurieren oder für Verbindungen mit Websites nutzen, die nicht über ExpressRoute verbunden sind.
Das Konfigurieren paralleler Site-to-Site-VPN- und ExpressRoute-Verbindungen bietet mehrere Vorteile:
- Sie können ein Site-to-Site-VPN als sicheren Failoverpfad für ExpressRoute konfigurieren.
- Alternativ hierzu können Sie Site-to-Site-VPNs nutzen, um Standorte zu verbinden, die nicht per ExpressRoute verbunden sind.
Sie können ein beliebiges Gateway zuerst konfigurieren. Beim Hinzufügen eines neuen Gateways oder einer Gatewayverbindung treten in der Regel keine Ausfallzeiten auf.
Netzwerkgrenzwerte und -einschränkungen
- Nur das routenbasierte VPN-Gateway wird unterstützt. Sie müssen ein routenbasiertes VPN-Gateway verwenden. Sie können auch ein routenbasiertes VPN-Gateway mit einer VPN-Verbindung verwenden, die für die richtlinienbasierte Datenverkehrsauswahl konfiguriert ist.
- Die ASN von Azure VPN Gateway muss auf „65515“ festgelegt werden. Azure VPN Gateway unterstützt das BGP-Routingprotokoll. Damit ExpressRoute und Azure-VPN zusammenarbeiten können, müssen Sie die autonome Systemnummer (ASN) Ihres Azure VPN-Gateways mit dem Standardwert „65515“ beibehalten. Wenn Sie zuvor eine andere ASN als „65515“ ausgewählt haben und die Einstellung auf „65515“ ändern, müssen Sie das VPN-Gateway zurücksetzen, damit die Einstellung wirksam wird.
- Das Gatewaysubnetz muss /27 oder ein kürzeres Präfix sein (z. B. /26 oder /25), andernfalls erhalten Sie eine Fehlermeldung, wenn Sie das Gateway für das virtuelle ExpressRoute-Netzwerk hinzufügen.
- Die Koexistenz in einem Dual-Stack-VNet wird nicht unterstützt. Wenn Sie die IPv6-Unterstützung von ExpressRoute und ein ExpressRoute-Gateway mit dualem Stapel verwenden, ist eine Koexistenz mit VPN Gateway nicht möglich.
Erstellen eines zonenredundanten VNet-Gateways in Azure-Verfügbarkeitszonen
Sie können VPN- und ExpressRoute-Gateways in Azure-Verfügbarkeitszonen bereitstellen. So erzielen Sie Stabilität, Skalierbarkeit und eine höhere Verfügbarkeit für die Gateways des virtuellen Netzwerks. Durch die Bereitstellung von Gateways in Azure-Verfügbarkeitszonen werden die Gateways innerhalb einer Region physisch und logisch getrennt. Gleichzeitig wird die Konnektivität Ihres lokalen Netzwerks mit Azure vor Ausfällen auf Zonenebene geschützt.
Zonenredundante Gateways
Um Ihre Gateways für virtuelle Netzwerke automatisch über Verfügbarkeitszonen hinweg bereitzustellen, können Sie zonenredundante Gateways für virtuelle Netzwerke verwenden. Mit zonenredundanten Gateways können Sie von Zonenresilienz profitieren, um auf Ihre unternehmenskritischen, skalierbaren Dienste in Azure zuzugreifen.
Zonenbasierte Gateways
Um Gateways in einer bestimmten Zone bereitzustellen, verwenden Sie zonenbasierte Gateways. Wenn Sie ein zonenbasiertes Gateway bereitstellen, werden alle Instanzen des Gateways in derselben Verfügbarkeitszone bereitgestellt.
Gateway-SKUs
Zonenredundante und zonenbasierte Gateways sind als Gateway-SKUs verfügbar. In Regionen der Azure-Verfügbarkeitszonen gibt es neue SKUs für Gateways virtueller Netzwerke. Diese SKUs ähneln den entsprechenden SKUs für ExpressRoute und VPN Gateway, sind aber speziell auf zonenredundante und zonenbasierte Gateways ausgelegt. Sie können diese SKUs am „AZ“ im SKU-Namen identifizieren.
SKUs für öffentliche IP-Ressourcen
Zonenredundante und zonenbasierte Gateways verwenden die Azure-SKU für öffentliche IP-Ressourcen vom Typ Standard. Die Konfiguration der öffentlichen Azure-IP-Ressource bestimmt, ob Sie ein zonenredundantes oder zonenbasiertes Gateway bereitstellen. Wenn Sie eine öffentliche IP-Ressource mit einer Basic-SKU erstellen, verfügt das Gateway nicht über Zonenredundanz, und die Gatewayressourcen sind auf eine Region begrenzt.
Zonenredundante Gateways
- Wenn Sie eine öffentliche IP-Adresse mit der Standard-SKU für öffentliche IP-Adressen erstellen, ohne eine Zone anzugeben, ändert sich das Verhalten, je nachdem, ob es sich um ein VPN-Gateway oder ein ExpressRoute-Gateway handelt.
- Im Fall eines VPN-Gateways werden die beiden Gatewayinstanzen in zwei beliebigen der drei Zonen bereitgestellt, um für Zonenredundanz zu sorgen.
- Da es bei einem ExpressRoute-Gateway mehr als zwei Instanzen geben kann, kann sich das Gateway über alle drei Zonen erstrecken.
Zonenbasierte Gateways
- Wenn Sie eine öffentliche IP-Adresse mit der Standard-SKU für öffentliche IP-Adressen erstellen und die Zone (1, 2 oder 3) angeben, werden alle Gatewayinstanzen in derselben Zone bereitgestellt.
Regionsbezogene Gateways
- Wenn Sie eine öffentliche IP-Adresse mit der Basic-SKU für öffentliche IP-Adressen erstellen, wird das Gateway als regionsbezogenes Gateway bereitgestellt und bietet keine in das Gateway integrierte Zonenredundanz.
Konfigurieren eines Standort-zu-Standort-VPN als Failoverpfad für ExpressRoute
Sie können eine Standort-zu-Standort-VPN-Verbindung als Sicherung für ExpressRoute konfigurieren. Diese Verbindung gilt nur für virtuelle Netzwerke, die mit dem privaten Azure-Peeringpfad verknüpft sind. Es gibt keine VPN-basierte Failoverlösung für Dienste, auf die per Azure Microsoft-Peering zugegriffen wird. Die ExpressRoute-Verbindung ist immer der primäre Link. Daten durchlaufen den Pfad des Site-to-Site-VPNs nur, wenn bei der ExpressRoute-Verbindung ein Fehler auftritt. Zur Vermeidung des asymmetrischen Routings sollte für die Konfiguration Ihres lokalen Netzwerks auch die ExpressRoute-Verbindung dem Site-to-Site-VPN vorgezogen werden. Sie können dem ExpressRoute-Pfad Vorrang einräumen, indem Sie für die Routen, die über ExpressRoute verlaufen, einen höheren lokalen Präferenzwert festlegen.
Hinweis
Wenn Sie ExpressRoute-Microsoft-Peering aktiviert haben, können Sie die öffentliche IP-Adresse Ihres Azure VPN-Gateways über die ExpressRoute-Verbindung erhalten. Zum Einrichten der Site-to-Site-VPN-Verbindung als Sicherung müssen Sie Ihr lokales Netzwerk so konfigurieren, dass die VPN-Verbindung an das Internet weitergeleitet wird.
Hinweis
Die ExpressRoute-Verbindung wird dem Site-to-Site-VPN vorgezogen, doch wenn beide Verbindungen identisch sind, verwendet Azure die längste Präfixübereinstimmung, um die Route zum Ziel des Pakets auszuwählen.