Révision d’Azure Well-Architected Framework - Azure ExpressRoute
Cet article fournit les meilleures pratiques architecturales pour Azure ExpressRoute. Les conseils sont basés sur les cinq piliers de l’excellence de l’architecture :
Nous partons du principe que vous avez une connaissance pratique d’Azure ExpressRoute et que vous connaissez bien toutes ses fonctionnalités. Pour plus d’informations, consultez Azure ExpressRoute.
Prérequis
Pour le contexte, envisagez d’examiner une architecture de référence qui reflète ces considérations dans sa conception. Nous vous recommandons de commencer par les conseils de la méthodologie Cloud Adoption Framework Ready Se connecter à Azure et De l’architecture pour la connectivité hybride avec Azure ExpressRoute. Pour les architectures d’applications à faible code, nous vous recommandons de consulter Activation d’ExpressRoute pour Power Platform lors de la planification et de la configuration d’ExpressRoute pour une utilisation avec Microsoft Power Platform.
Fiabilité
Dans le cloud, nous reconnaissons que des échecs se produisent. Au lieu d’essayer d’empêcher toutes les défaillances, l’objectif est de réduire les répercussions d’une défaillance potentielle au niveau de chaque composant. Utilisez les informations suivantes pour réduire le temps d’arrêt vers et depuis Azure lors de l’établissement de la connectivité à l’aide d’Azure ExpressRoute.
Lorsque vous discutez de la fiabilité avec Azure ExpressRoute, il est important de prendre en compte l’utilisation de la bande passante, la disposition physique du réseau et la récupération d’urgence en cas de défaillance. Azure ExpressRoute est capable de tenir compte de ces considérations de conception et d’avoir des recommandations pour chaque élément de la liste de contrôle.
Dans la liste de contrôle de conception et la liste de recommandations ci-dessous, des informations sont présentées pour vous permettre de concevoir un réseau hautement disponible entre votre environnement Azure et le réseau local.
Check-list pour la conception
Lorsque vous effectuez des choix de conception pour Azure ExpressRoute, passez en revue les principes de conception pour ajouter de la fiabilité à l’architecture.
- Sélectionnez un circuit ExpressRoute ou ExpressRoute Direct pour les besoins de l’entreprise.
- Configurez un réseau de couche physique diversifié pour le fournisseur de services.
- Configurez des circuits ExpressRoute avec différents fournisseurs de services pour avoir des chemins de routage variés.
- Configurez Active-Active connexions ExpressRoute entre l’environnement local et Azure.
- Configurez des passerelles ExpressRoute Réseau virtuel prenant en charge la zone de disponibilité.
- Configurez des circuits ExpressRoute à un emplacement différent du réseau local.
- Configurez des passerelles Réseau virtuel ExpressRoute dans différentes régions.
- Configurez un VPN de site à site en tant que sauvegarde du peering privé ExpressRoute.
- Configurez la surveillance du circuit ExpressRoute et de l’intégrité de la passerelle Réseau virtuel ExpressRoute.
- Configurez l’intégrité du service pour recevoir une notification de maintenance du circuit ExpressRoute.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration ExpressRoute pour la fiabilité.
| Recommandation | Avantage |
|---|---|
| Planifier un circuit ExpressRoute ou ExpressRoute Direct | Pendant la phase de planification initiale, vous souhaitez décider si vous souhaitez configurer un circuit ExpressRoute ou une connexion ExpressRoute Direct. Un circuit ExpressRoute permet une connexion privée dédiée à Azure avec l’aide d’un fournisseur de connectivité. ExpressRoute Direct vous permet d’étendre le réseau local directement au réseau Microsoft à un emplacement de peering. Vous devez également identifier les exigences en matière de bande passante et de type de référence SKU pour vos besoins métier. |
| Diversité des couches physiques | Pour une meilleure résilience, prévoyez d’avoir plusieurs chemins d’accès entre la périphérie locale et les emplacements de peering (emplacements fournisseur/périphérie Microsoft). Cette configuration peut être obtenue en passant par un autre fournisseur de services ou par un autre emplacement à partir du réseau local. |
| Planifier les circuits géoredondants | Pour planifier la récupération d’urgence, configurez des circuits ExpressRoute dans plusieurs emplacements de peering. Vous pouvez créer des circuits dans des emplacements de peering dans le même métro ou dans un métro différent et choisir de travailler avec différents fournisseurs de services pour différents chemins à travers chaque circuit. Pour plus d’informations, consultez Conception pour la récupération d’urgence et Conception pour la haute disponibilité. |
| Planifier la connectivité Active-Active | Les circuits dédiés ExpressRoute garantissent 99.95% la disponibilité lorsqu’une connectivité actif-actif est configurée entre l’environnement local et Azure. Ce mode offre une plus grande disponibilité de votre connexion Expressroute. Il est également recommandé de configurer BFD pour accélérer le basculement en cas d’échec de liaison sur une connexion. |
| Planification des passerelles Réseau virtuel | Créez une zone de disponibilité prenant en charge Réseau virtuel Gateway pour une meilleure résilience et planifiez Réseau virtuel Passerelles dans différentes régions pour la récupération d’urgence et la haute disponibilité. |
| Surveiller l’intégrité des circuits et de la passerelle | Configurez la surveillance et les alertes pour les circuits ExpressRoute et l’intégrité de la passerelle Réseau virtuel en fonction des différentes métriques disponibles. |
| Activer l’intégrité du service | ExpressRoute utilise l’intégrité du service pour notifier les maintenances planifiées et non planifiées. La configuration de l’intégrité du service vous informe des modifications apportées à vos circuits ExpressRoute. |
Pour obtenir d’autres suggestions, consultez Principes du pilier de fiabilité.
Azure Advisor fournit de nombreuses recommandations pour les circuits ExpressRoute en ce qui concerne la fiabilité. Par exemple, Azure Advisor peut détecter :
- Passerelles ExpressRoute dans lesquelles un seul circuit ExpressRoute est déployé, au lieu de plusieurs. Plusieurs circuits ExpressRoute sont recommandés pour ajouter une résilience pour l’emplacement de peering.
- Les circuits ExpressRoute qui ne sont pas observés par Moniteur de connexion, car la surveillance de bout en bout de votre circuit ExpressRoute est essentielle pour obtenir des informations sur la fiabilité.
- Topologies réseau impliquant plusieurs emplacements de peering qui bénéficieraient d’ExpressRoute Global Reach pour améliorer les conceptions de récupération d’urgence pour la connectivité locale afin de prendre en compte les pertes de connectivité non planifiées.
Sécurité
La sécurité est l’un des aspects les plus importants d’une architecture. ExpressRoute fournit des fonctionnalités permettant d’utiliser à la fois le principe des privilèges minimum et la défense dans la défense. Nous vous recommandons de passer en revue les principes de conception de la sécurité.
Check-list pour la conception
- Configurez le journal d’activité pour envoyer les journaux d’activité à l’archive.
- Conservez un inventaire des comptes d’administration ayant accès aux ressources ExpressRoute.
- Configurez le hachage MD5 sur le circuit ExpressRoute.
- Configurez MACSec pour les ressources ExpressRoute Direct.
- Chiffrez le trafic via le peering privé et le peering Microsoft pour le trafic de réseau virtuel.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration ExpressRoute pour la sécurité.
| Recommandation | Avantage |
|---|---|
| Configurer le journal d’activité pour envoyer des journaux d’activité à l’archive | Les journaux d’activité fournissent des insights sur les opérations qui ont été effectuées au niveau de l’abonnement pour les ressources ExpressRoute. Avec les journaux d’activité, vous pouvez déterminer qui et quand une opération a été effectuée sur le plan de contrôle. La conservation des données n’est que de 90 jours et doit être stockée dans Log Analytics, Event Hubs ou un compte de stockage à des fins d’archivage. |
| Gérer l’inventaire des comptes d’administration | Utilisez Azure RBAC pour configurer des rôles afin de limiter les comptes d’utilisateur qui peuvent ajouter, mettre à jour ou supprimer une configuration de peering sur un circuit ExpressRoute. |
| Configurer le hachage MD5 sur un circuit ExpressRoute | Pendant la configuration du peering privé ou du peering Microsoft, appliquez un hachage MD5 pour sécuriser les messages entre l’itinéraire local et les routeurs MSEE. |
| Configurer MACSec pour les ressources ExpressRoute Direct | La sécurité des Access Control multimédias est une sécurité point à point au niveau de la couche de liaison de données. ExpressRoute Direct prend en charge la configuration de MACSec pour empêcher les menaces de sécurité sur les protocoles tels que ARP, DHCP et LACP qui ne sont normalement pas sécurisés sur la liaison Ethernet. Pour plus d’informations sur la configuration de MACSec, consultez MACSec pour les ports ExpressRoute Direct. |
| Chiffrer le trafic à l’aide d’IPsec | Configurez un tunnel VPN de site à site sur votre circuit ExpressRoute pour chiffrer le transfert de données entre votre réseau local et le réseau virtuel Azure. Vous pouvez configurer un tunnel à l’aide du peering privé ou du peering Microsoft. |
Pour plus de suggestions, consultez Principes du pilier de sécurité.
Optimisation des coûts
L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Nous vous recommandons de passer en revue le principe de conception de l’optimisation des coûts et planifier et gérer les coûts pour Azure ExpressRoute.
Check-list pour la conception
- Familiarisez-vous avec la tarification ExpressRoute.
- Déterminez la référence SKU du circuit ExpressRoute et la bande passante requises.
- Déterminez la taille de passerelle de réseau virtuel ExpressRoute requise.
- Surveillez les coûts et créez des alertes de budget.
- Déprovisionner les circuits ExpressRoute qui ne sont plus utilisés.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration ExpressRoute pour l’optimisation des coûts.
| Recommandation | Avantage |
|---|---|
| Familiarisez-vous avec la tarification ExpressRoute | Pour plus d’informations sur la tarification d’ExpressRoute, consultez Comprendre la tarification d’Azure ExpressRoute. Vous pouvez également utiliser la calculatrice de prix. Veillez à ce que les options soient correctement dimensionnées pour répondre à la demande de capacité et fournir les performances attendues, sans gaspillage de ressources. |
| Déterminer la référence SKU et la bande passante requises | La façon dont vous êtes facturé pour votre utilisation d’ExpressRoute varie entre les trois différents types de référence SKU. Avec la référence SKU Local, vous êtes automatiquement facturé avec un forfait de données illimité. Avec la référence SKU Standard et Premium, vous pouvez choisir entre un forfait de données limité ou illimité. Toutes les données d’entrée sont gratuites, sauf lors de l’utilisation du module complémentaire Global Reach. Il est important de comprendre les types de références SKU et le forfait de données qui conviennent le mieux à votre charge de travail pour optimiser les coûts et le budget. Pour plus d’informations sur le redimensionnement du circuit ExpressRoute, consultez Mise à niveau de la bande passante du circuit ExpressRoute. |
| Déterminer la taille de la passerelle de réseau virtuel ExpressRoute | Les passerelles de réseau virtuel ExpressRoute sont utilisées pour transmettre le trafic à un réseau virtuel via le peering privé. Passez en revue les besoins en matière de performances et de mise à l’échelle de votre référence SKU de passerelle d’Réseau virtuel préférée. Sélectionnez la référence SKU de passerelle appropriée sur votre charge de travail locale vers Azure. |
| Surveiller les coûts et créer des alertes budgétaires | Surveillez le coût de votre circuit ExpressRoute et créez des alertes pour les anomalies de dépense et les risques de dépassement. Pour plus d’informations, consultez Supervision des coûts ExpressRoute. |
| Déprovisionner et supprimer les circuits ExpressRoute qui ne sont plus utilisés. | Les circuits ExpressRoute sont facturés à partir du moment où ils sont créés. Pour réduire les coûts inutiles, déprovisionnez le circuit auprès du fournisseur de services et supprimez le circuit ExpressRoute de votre abonnement. Pour connaître les étapes de suppression d’un circuit ExpressRoute, consultez Déprovisionnement d’un circuit ExpressRoute. |
Pour plus de suggestions, consultez Liste de contrôle de révision de conception pour l’optimisation des coûts.
Azure Advisor peut détecter les circuits ExpressRoute qui ont été déployés pendant un temps important, mais dont le fournisseur status non approvisionné. Les circuits dans cet état ne sont pas opérationnels ; et la suppression de la ressource inutilisée réduit les coûts inutiles.
Excellence opérationnelle
La surveillance et les diagnostics sont cruciaux. En plus de pouvoir mesurer les statistiques de performances, vous pouvez les utiliser pour résoudre et corriger rapidement des problèmes. Nous vous recommandons de passer en revue les principes de conception de l’excellence opérationnelle.
Check-list pour la conception
- Configurez la surveillance des connexions entre votre réseau local et Azure.
- Configurez Service Health pour recevoir une notification.
- Passez en revue les métriques et les tableaux de bord disponibles via ExpressRoute Insights à l’aide de Network Insights.
- Passez en revue les métriques de ressources ExpressRoute.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration ExpressRoute pour l’excellence opérationnelle.
| Recommandation | Avantage |
|---|---|
| Configurer la surveillance des connexions | La surveillance des connexions vous permet de surveiller la connectivité entre vos ressources locales et Azure via le peering privé ExpressRoute et la connexion de peering Microsoft. Le moniteur de connexion peut détecter les problèmes réseau en identifiant où se trouve le problème le long du chemin réseau et vous aide à résoudre rapidement les défaillances de configuration ou matérielles. |
| Configurer l’intégrité du service | Configurez les notifications d’intégrité du service pour alerter en cas de maintenance planifiée et à venir sur tous les circuits ExpressRoute de votre abonnement. Service Health affiche également la maintenance passée avec RCA si une maintenance non planifiée devait se produire. |
| Passer en revue les métriques avec Network Insights | ExpressRoute Insights avec Network Insights vous permet de passer en revue et d’analyser les circuits ExpressRoute, les passerelles, les métriques de connexions et les tableaux de bord d’intégrité. ExpressRoute Insights fournit également une vue de topologie de vos connexions ExpressRoute, où vous pouvez afficher les détails de vos composants de peering dans un emplacement unique. Métriques disponibles : -Disponibilité -Débit - Métriques de passerelle |
| Passer en revue les métriques de ressources ExpressRoute | ExpressRoute utilise Azure Monitor pour collecter des métriques et créer des alertes en fonction de votre configuration. Les métriques sont collectées pour les circuits ExpressRoute, les passerelles ExpressRoute, les connexions de passerelle ExpressRoute et ExpressRoute Direct. Ces métriques sont utiles pour diagnostiquer les problèmes de connectivité et comprendre les performances de votre connexion ExpressRoute. |
Pour plus de suggestions, consultez Principes du pilier d’excellence opérationnelle.
Efficacité des performances
L’efficacité des performances est la capacité de votre charge de travail à s’adapter à la demande des utilisateurs de façon efficace. Nous vous recommandons de passer en revue les principes d’efficacité des performances.
Check-list pour la conception
- Testez les performances de la passerelle ExpressRoute pour répondre aux exigences de charge de travail.
- Augmentez la taille de la passerelle ExpressRoute.
- Mettez à niveau la bande passante du circuit ExpressRoute.
- Activez ExpressRoute FastPath pour un débit plus élevé.
- Surveillez les métriques de circuit et de passerelle ExpressRoute.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration ExpressRoute pour l’efficacité des performances.
| Recommandation | Avantage |
|---|---|
| Testez les performances de la passerelle ExpressRoute pour répondre aux exigences de charge de travail. | Utilisez Azure Connectivity Toolkit pour tester les performances de votre circuit ExpressRoute afin de comprendre la capacité de bande passante et la latence de votre connexion réseau. |
| Augmentez la taille de la passerelle ExpressRoute. | Effectuez une mise à niveau vers une référence SKU de passerelle supérieure pour améliorer les performances de débit entre l’environnement local et Azure. |
| Mettre à niveau la bande passante du circuit ExpressRoute | Mettez à niveau la bande passante de votre circuit pour répondre à vos besoins de charge de travail. La bande passante du circuit est partagée entre tous les réseaux virtuels connectés au circuit ExpressRoute. En fonction de votre charge de travail, un ou plusieurs réseaux virtuels peuvent utiliser toute la bande passante sur le circuit. |
| Activer ExpressRoute FastPath pour un débit plus élevé | Si vous utilisez une passerelle de réseau virtuel Ultra ou ErGW3AZ, vous pouvez activer FastPath pour améliorer les performances du chemin de données entre votre réseau local et le réseau virtuel Azure. |
| Surveiller les métriques de passerelle et de circuit ExpressRoute | Configurez des alertes de base sur des métriques ExpressRoute pour vous avertir de manière proactive lorsqu’un certain seuil est atteint. Ces métriques sont utiles pour comprendre les anomalies qui peuvent se produire avec votre connexion ExpressRoute, telles que les pannes et la maintenance de vos circuits ExpressRoute. |
Pour plus de suggestions, consultez Principes du pilier d’efficacité des performances.
Azure Advisor vous recommande de mettre à niveau la bande passante de votre circuit ExpressRoute pour prendre en charge l’utilisation lorsque votre circuit a récemment consommé plus de 90 % de la bande passante achetée. Si votre trafic dépasse la bande passante allouée, vous rencontrerez des paquets supprimés, ce qui peut avoir un impact significatif sur les performances ou la fiabilité.
Azure Policy
Azure Policy ne fournit pas de stratégies intégrées pour ExpressRoute, mais des stratégies personnalisées peuvent être créées pour vous aider à déterminer comment les circuits ExpressRoute doivent correspondre à l’état final souhaité, comme le choix de la référence SKU, le type de peering, les configurations de peering, etc.
Ressources supplémentaires
Guide du Cloud Adoption Framework
Étapes suivantes
Configurez un circuit ExpressRoute ou un port ExpressRoute Direct pour établir la communication entre votre réseau local et Azure.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour