Szerkesztés

Helyszíni hálózat csatlakoztatása az Azure-hoz ExpressRoute használatával

Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

Ez a referenciaarchitektúra bemutatja, hogyan csatlakoztathat helyszíni hálózatot egy Azure-beli virtuális hálózathoz az Azure ExpressRoute használatával, feladatátvételi kapcsolatként pedig egy helyek közötti virtuális magánhálózattal (VPN).

Architektúra

Referenciaarchitektúra az ExpressRoute-t és VPN-átjárót használó, magas rendelkezésre állású hibrid hálózati architektúrához.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

Az architektúra a következőkben leírt összetevőkből áll.

  • Helyszíni hálózat. A cégen belül futó helyi magánhálózat.
  • VPN-berendezés. A helyszíni hálózat számára külső kapcsolatot biztosító eszköz vagy szolgáltatás. A VPN-berendezés lehet hardvereszköz, vagy lehet szoftveres megoldás, például a Windows Server 2012 Útválasztási és távelérési szolgáltatása (RRAS). A támogatott VPN-berendezések listáját és az egyes VPN-berendezések Azure-hoz való csatlakoztatásra történő konfigurálásával kapcsolatos információkat az Információk a helyek közötti VPN Gateway-kapcsolatok VPN-eszközeiről című cikkben találja.
  • ExpressRoute-kapcsolatcsoport. A kapcsolatszolgáltató által biztosított 2. vagy 3. rétegbeli kapcsolatcsoport, amely a peremhálózati útválasztókon keresztül kapcsolja össze a helyszíni hálózatot az Azure-ral. A kapcsolatcsoport a kapcsolatszolgáltató által felügyelt hardveres infrastruktúrát használja.
  • ExpressRoute virtuális hálózati átjáró. Az ExpressRoute virtuális hálózati átjáró lehetővé teszi, hogy az Azure-beli virtuális hálózat csatlakozzon a helyszíni hálózattal való kapcsolathoz használt ExpressRoute-kapcsolatcsoporthoz.
  • VPN virtuális hálózati átjáró. A VPN virtuális hálózati átjáró lehetővé teszi, hogy az Azure-beli virtuális hálózat csatlakozzon a helyszíni hálózaton található VPN-berendezéshez. A VPN virtuális hálózati átjáró úgy van konfigurálva, hogy kizárólag a VPN-berendezésen keresztül fogadjon el kéréseket a helyszíni hálózattól. További információért tekintse át a helyszíni hálózat és a Microsoft Azure Virtual Network csatlakoztatásával foglalkozó cikket.
  • VPN-kapcsolat. A kapcsolat olyan tulajdonságokkal rendelkezik, amelyek megadják a kapcsolat típusát (IPSec) és a helyszíni VPN-berendezéssel megosztott kulcsot a forgalom titkosításához.
  • Azure-beli virtuális hálózat. Minden virtuális hálózat egyetlen Azure-régióban található, és több alkalmazásszintet is üzemeltethet. Az alkalmazásszintek az egyes virtuális hálózatok alhálózatainak használatával szegmentáltak.
  • Átjáró-alhálózat. A virtuális hálózati átjárók ugyanazon az alhálózaton találhatók.

Összetevők

Forgatókönyv részletei

Ez a referenciaarchitektúra bemutatja, hogyan csatlakoztathat helyszíni hálózatot egy Azure-beli virtuális hálózathoz az ExpressRoute használatával, feladatátvételi kapcsolatként pedig egy helyek közötti virtuális magánhálózattal (VPN). A helyszíni hálózat és az Azure-beli virtuális hálózat közötti forgalom expressRoute-kapcsolaton keresztül áramlik. Ha megszakad a kapcsolat az ExpressRoute-kapcsolatcsoportban, a forgalom egy IPSec VPN-alagúton keresztül lesz irányítva. A megoldás üzembe helyezése.

Vegye figyelembe, hogy ha az ExpressRoute-kapcsolatcsoport nem érhető el, a VPN-útvonal csak a privát társviszony-létesítési kapcsolatokat fogja kezelni. A nyilvános társviszony-létesítés és a Microsoft-társviszony-létesítési kapcsolatok az interneten keresztül haladnak át.

Ajánlások

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.

A virtuális hálózat és a GatewaySubnet

Hozza létre az ExpressRoute virtuális hálózati átjárókapcsolatot és a VPN virtuális hálózati átjárókapcsolatot ugyanabban a virtuális hálózaton egy már meglévő átjáróobjektummal. Mindkettő ugyanazt az alhálózatot fogja megosztani, amelyet GatewaySubnetnek hívnak.

Ha a virtuális hálózat már tartalmaz egy GatewaySubnet nevű alhálózatot, győződjön meg arról, hogy /27 vagy nagyobb címtérrel rendelkezik. Ha a meglévő alhálózat túl kicsi, távolítsa el az alábbi PowerShell-paranccsal:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Ha a virtuális hálózat nem tartalmaz GatewaySubnet nevű alhálózatot, hozzon létre egy újat a következő PowerShell-paranccsal:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN- és ExpressRoute-átjárók

Gondoskodjon róla, hogy a cég megfeleljen az ExpressRoute előfeltételeinek, mert ezek hiányában nem tud az Azure-hoz csatlakozni.

Ha már rendelkezik VPN virtuális hálózati átjáróval az Azure-beli virtuális hálózatában, távolítsa el a következő PowerShell-parancsot:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Az ExpressRoute-kapcsolat létrehozásához kövesse a hibrid hálózati architektúra Konfigurálása az Azure ExpressRoute-tal című témakör utasításait.

Kövesse a hibrid hálózati architektúra Azure-ral és helyszíni VPN-sel való konfigurálásának utasításait a VPN virtuális hálózati átjáró kapcsolatának létrehozásához.

Miután létrehozta a virtuális hálózati átjáró kapcsolatait, tesztelje a környezetet az alábbiak szerint:

  1. Győződjön meg arról, hogy a helyszíni hálózatról tud csatlakozni az Azure-beli virtuális hálózathoz.
  2. Kérje meg a szolgáltatót az ExpressRoute-kapcsolat leállítására tesztelés céljából.
  3. Ellenőrizze, hogy továbbra is tud-e csatlakozni a helyszíni hálózatról az Azure-beli virtuális hálózathoz a VPN virtuális hálózati átjáró kapcsolatával.
  4. Kérje meg a szolgáltatót az ExpressRoute-kapcsolat újbóli létrehozására.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

Az Azure-biztonsággal kapcsolatos általános szempontokat a Microsoft Cloud Services szolgáltatásokkal és a hálózati biztonsággal foglalkozó cikkben találja.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

Az ExpressRoute költségére vonatkozó szempontokat az alábbi cikkekben talál:

Működés eredményessége

Az üzemeltetési kiválóság azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben tartják azt. További információ: A működési kiválósági pillér áttekintése.

Az ExpressRoute DevOps-szempontokat a Hibrid hálózati architektúra konfigurálása az Azure ExpressRoute útmutatásával című témakörben talál.

A helyek közötti VPN DevOps-szempontokért tekintse meg a hibrid hálózati architektúra azure-beli és helyszíni VPN-útmutatóval való konfigurálását ismertető témakört.

A forgatókönyv üzembe helyezése

Előfeltételek. Rendelkeznie kell egy megfelelő hálózati berendezéssel konfigurált meglévő helyszíni infrastruktúrával.

A megoldás üzembe helyezéséhez hajtsa végre az alábbi lépéseket.

  1. Kattintson az alábbi hivatkozásra.

    Üzembe helyezés az Azure-ban

  2. Várja meg, amíg a hivatkozás megnyílik az Azure Portalon, majd válassza ki azt az erőforráscsoportot , amelyben üzembe szeretné helyezni ezeket az erőforrásokat, vagy hozzon létre egy új erőforráscsoportot. A régió és a hely automatikusan az erőforráscsoportnak megfelelően változik.

  3. Frissítse a fennmaradó mezőket, ha módosítani szeretné a környezet erőforrásneveit, szolgáltatóit, termékváltozatát vagy hálózati IP-címét.

  4. Az erőforrások üzembe helyezéséhez válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

  5. Várjon, amíg az üzembe helyezés befejeződik.

    Feljegyzés

    Ez a sablon üzembe helyezése csak a következő erőforrásokat helyezi üzembe:

    • Erőforráscsoport (ha újat hoz létre)
    • ExpressRoute-kapcsolatcsoport
    • Azure-beli virtuális hálózat
    • ExpressRoute virtuális hálózati átjáró

    Ahhoz, hogy sikeresen létesíthessen privát társviszony-létesítési kapcsolatot a helyszíni és az ExpressRoute-kapcsolatcsoport között, kapcsolatba kell hoznia a szolgáltatót a kapcsolatcsoport szolgáltatáskulcsával. A szolgáltatáskulcs az ExpressRoute-kapcsolatcsoport erőforrásának áttekintési oldalán található. Az ExpressRoute-kapcsolatcsoport konfigurálásáról további információt a társviszony-létesítési konfiguráció létrehozása vagy módosítása című témakörben talál. Miután sikeresen konfigurálta a privát társviszony-létesítést, összekapcsolhatja az ExpressRoute virtuális hálózati átjárót a kapcsolatcsoporttal. További információ: Oktatóanyag: virtuális hálózat Csatlakozás ExpressRoute-kapcsolatcsoportba az Azure Portal használatával.

  6. A helyek közötti VPN ExpressRoute-ra történő biztonsági mentésként történő üzembe helyezésének befejezéséhez tekintse meg a helyek közötti VPN-kapcsolat létrehozása című témakört.

  7. Miután sikeresen konfigurálta a VPN-kapcsolatot ugyanarra a helyszíni hálózatra, amelybe az ExpressRoute-ot konfigurálta, a telepítést befejezve biztonsági másolatot készít az ExpressRoute-kapcsolatról, ha a társviszony-létesítési helyen teljes hiba történt.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések