Az Azure Well-Architected Framework áttekintése – Azure ExpressRoute
Ez a cikk az Azure ExpressRoute architekturális ajánlott eljárásait ismerteti. Az útmutató az architektúra kiválóságának öt pillérén alapul:
Feltételezzük, hogy ismeri az Azure ExpressRoute-ot, és jól ismeri annak összes funkcióját. További információ: Azure ExpressRoute.
Előfeltételek
A kontextus szempontjából érdemes lehet áttekinteni egy referenciaarchitektúrát, amely a tervezés során figyelembe veszi ezeket a szempontokat. Javasoljuk, hogy kezdje a felhőadaptálási keretrendszer Ready módszertani útmutatóval, amely a Csatlakozás az Azure-hoz és a Tervezőhöz az Azure ExpressRoute-tal való hibrid kapcsolatokhoz című útmutatót használja. Alacsony kódszámú alkalmazásarchitektúrák esetén javasoljuk, hogy tekintse át az ExpressRoute powerplatformhoz való engedélyezését az ExpressRoute tervezésekor és konfigurálásakor a Microsoft Power Platformmal való használatra.
Megbízhatóság
A felhőben elismerjük, hogy hibák történnek. Az összes hiba megakadályozása helyett a cél egyetlen hibás összetevő hatásának minimálisra csökkentése. Az alábbi információk segítségével minimalizálhatja az Azure-ba és az Azure-ból való leállás idejét, amikor kapcsolatot létesít az Azure ExpressRoute-tal.
Amikor az Azure ExpressRoute megbízhatóságáról beszél, fontos figyelembe venni a sávszélesség használatát, a hálózat fizikai elrendezését és a vészhelyreállítást, ha hibák történnek. Az Azure ExpressRoute képes megvalósítani ezeket a tervezési szempontokat, és az ellenőrzőlista minden eleméhez javaslatokat ad.
Az alábbi tervezési ellenőrzőlistában és javaslatok listájában információkat talál, amelyek segítségével magas rendelkezésre állású hálózatot tervezhet az Azure-környezet és a helyszíni hálózat között.
Tervezési ellenőrzőlista
Amikor tervezési döntéseket hoz az Azure ExpressRoute-hoz, tekintse át a tervezési alapelveket , amelyek segítségével megbízhatóságot adhat az architektúrához.
- Válasszon az ExpressRoute-kapcsolatcsoport vagy az ExpressRoute Direct között az üzleti követelményeknek megfelelően.
- Konfiguráljon egy különböző fizikai rétegbeli hálózatot a szolgáltatónak.
- Konfigurálja az ExpressRoute-kapcsolatcsoportokat különböző szolgáltatóval, hogy különböző útválasztási útvonalakkal rendelkezzenek.
- Konfigurálja Active-Active ExpressRoute-kapcsolatokat a helyszíni és az Azure között.
- Állítsa be a rendelkezésre állási zónát ismerő ExpressRoute-Virtual Network-átjárókat.
- ExpressRoute-kapcsolatcsoportok konfigurálása a helyszíni hálózattól eltérő helyen.
- ExpressRoute-Virtual Network-átjárók konfigurálása különböző régiókban.
- Konfigurálja a helyek közötti VPN-t az ExpressRoute privát társviszony-létesítés biztonsági másolataként.
- Állítson be monitorozást az ExpressRoute-kapcsolatcsoporthoz és az ExpressRoute Virtual Network átjáró állapotához.
- Konfigurálja a szolgáltatás állapotát az ExpressRoute-kapcsolatcsoport karbantartási értesítésének fogadásához.
Javaslatok
Tekintse át az alábbi javaslatokat az ExpressRoute megbízhatósági konfigurációjának optimalizálásához.
Ajánlás | Előny |
---|---|
ExpressRoute-kapcsolatcsoport vagy ExpressRoute Direct tervezése | A kezdeti tervezési fázisban el szeretné dönteni, hogy ExpressRoute-kapcsolatcsoportot vagy ExpressRoute Direct-kapcsolatot szeretne-e konfigurálni. Az ExpressRoute-kapcsolatcsoport privát dedikált kapcsolatot tesz lehetővé az Azure-ba egy kapcsolatszolgáltató segítségével. Az ExpressRoute Direct lehetővé teszi a helyszíni hálózat kiterjesztését közvetlenül a Microsoft-hálózatra egy társviszony-létesítési helyen. Emellett azonosítania kell a sávszélességre vonatkozó követelményt és az üzleti igényekhez tartozó termékváltozat-típusra vonatkozó követelményt. |
A fizikai réteg sokfélesége | A nagyobb rugalmasság érdekében tervezze meg, hogy több útvonal legyen a helyszíni peremhálózat és a társviszony-létesítési helyek (szolgáltató/Microsoft peremhálózati helyek) között. Ez a konfiguráció egy másik szolgáltatón vagy a helyszíni hálózattól eltérő helyen keresztül érhető el. |
Georedundáns kapcsolatcsoportok tervezése | A vészhelyreállítás megtervezéséhez állítson be ExpressRoute-kapcsolatcsoportokat több társviszony-létesítési helyen. Létrehozhat kapcsolatcsoportokat társviszony-létesítési helyeken ugyanabban a metróban vagy más metróhálózaton, és dönthet úgy, hogy különböző szolgáltatókkal dolgozik az egyes kapcsolatcsoportok különböző útvonalain. További információ: Vészhelyreállítás tervezése és magas rendelkezésre állású tervezés. |
Active-Active kapcsolat tervezése | A dedikált ExpressRoute-kapcsolatcsoportok akkor garantálják 99.95% a rendelkezésre állást, ha aktív-aktív kapcsolat van konfigurálva a helyszíni és az Azure között. Ez a mód magasabb rendelkezésre állást biztosít az Expressroute-kapcsolathoz. Azt is javasoljuk, hogy konfigurálja a BFD-t a gyorsabb feladatátvételhez, ha kapcsolathiba történt egy kapcsolaton. |
Virtual Network-átjárók tervezése | A nagyobb rugalmasság érdekében hozzon létre rendelkezésreállási zónával Virtual Network Gatewayt, és tervezze meg a különböző régiókban található Virtual Network átjárókat vészhelyreállítás és magas rendelkezésre állás érdekében. |
Kapcsolatcsoportok és átjáró állapotának monitorozása | Monitorozás és riasztások beállítása ExpressRoute-kapcsolatcsoportokhoz és Virtual Network átjáró állapotához különböző elérhető metrikák alapján. |
Szolgáltatás állapotának engedélyezése | Az ExpressRoute szolgáltatásállapot használatával értesíti a tervezett és nem tervezett karbantartásokról. A szolgáltatás állapotának konfigurálása értesíti az ExpressRoute-kapcsolatcsoportok módosításairól. |
További javaslatokért lásd a megbízhatósági pillér alapelveit.
Az Azure Advisor számos javaslatot tesz az ExpressRoute-kapcsolatcsoportokhoz a megbízhatósággal kapcsolatban. Az Azure Advisor például képes észlelni a következőket:
- ExpressRoute-átjárók, amelyekben több helyett csak egyetlen ExpressRoute-kapcsolatcsoport van üzembe helyezve. A társviszony-létesítési hely rugalmasságának növeléséhez több ExpressRoute-kapcsolatcsoport használata javasolt.
- A kapcsolatfigyelő által nem megfigyelt ExpressRoute-kapcsolatcsoportok, mivel az ExpressRoute-kapcsolatcsoport végpontok közötti monitorozása kritikus fontosságú a megbízhatósági elemzésekhez.
- Több társviszony-létesítési helyet tartalmazó hálózati topológiák, amelyek az ExpressRoute Global Reach előnyeit élveznék a helyszíni kapcsolatok vészhelyreállítási terveinek javítása érdekében, hogy figyelembe vegyék a nem tervezett kapcsolatvesztést.
Biztonság
A biztonság minden architektúra esetében az egyik legfontosabb szempont. Az ExpressRoute olyan funkciókat biztosít, amelyek a minimális jogosultság és a védelem elvét egyaránt alkalmazzák. Javasoljuk, hogy tekintse át a biztonsági tervezési alapelveket.
Tervezési ellenőrzőlista
- Konfigurálja a tevékenységnaplót a naplók archiválásra való küldéséhez.
- Az ExpressRoute-erőforrásokhoz hozzáféréssel rendelkező felügyeleti fiókok leltárának karbantartása.
- Konfigurálja az MD5-kivonatot az ExpressRoute-kapcsolatcsoporton.
- Konfigurálja a MACSec-et az ExpressRoute Direct-erőforrásokhoz.
- Titkosítsa a privát társviszony-létesítés és a Microsoft-társviszony-létesítés forgalmát a virtuális hálózati forgalom számára.
Javaslatok
Az ExpressRoute-konfiguráció biztonságra való optimalizálásához tekintse meg az alábbi javaslatokat.
Ajánlás | Előny |
---|---|
Tevékenységnapló konfigurálása naplók archiválásra való küldéséhez | A tevékenységnaplók betekintést nyújtanak az ExpressRoute-erőforrások előfizetési szintjén végrehajtott műveletekbe. A Tevékenységnaplók segítségével meghatározhatja, hogy ki és mikor hajtott végre egy műveletet a vezérlősíkon. Az adatmegőrzés csak 90 nap, és a Log Analyticsben, az Event Hubsban vagy egy tárfiókban kell tárolni az archiváláshoz. |
Felügyeleti fiókok leltárának karbantartása | Az Azure RBAC használatával szerepköröket konfigurálhat az ExpressRoute-kapcsolatcsoportok társviszony-létesítési konfigurációjának hozzáadására, frissítésére vagy törlésére képes felhasználói fiókok korlátozására. |
MD5-kivonat konfigurálása ExpressRoute-kapcsolatcsoporton | A privát társviszony-létesítés vagy a Microsoft-társviszony konfigurálása során MD5-kivonatot kell alkalmazni a helyszíni útvonal és az MSEE-útválasztók közötti üzenetek védelméhez. |
MACSec konfigurálása ExpressRoute Direct-erőforrásokhoz | A media Access Control biztonság egy pont–pont biztonság az adatkapcsolati rétegben. Az ExpressRoute Direct támogatja a MACSec konfigurálását, hogy megakadályozza az olyan protokollok biztonsági fenyegetéseit, mint az ARP, a DHCP vagy a LACP, amelyek általában nem védettek az Ethernet-kapcsolaton. További információ a MACSec konfigurálásáról: MACSec for ExpressRoute Direct portok. |
Forgalom titkosítása IPsec használatával | Konfiguráljon egy helyek közötti VPN-alagutat az ExpressRoute-kapcsolatcsoporton keresztül a helyszíni hálózat és az Azure-beli virtuális hálózat közötti adatátvitel titkosításához. Az alagutat privát társviszony-létesítés vagy Microsoft-társviszony-létesítés használatával konfigurálhatja. |
További javaslatokért lásd a biztonsági pillér alapelveit.
Költségoptimalizálás
A költségoptimalizálás célja a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjainak megvizsgálása. Javasoljuk, hogy tekintse át a költségoptimalizálás tervezési elvét , valamint az Azure ExpressRoute költségeinek tervezését és kezelését.
Tervezési ellenőrzőlista
- Ismerkedjen meg az ExpressRoute díjszabásával.
- Határozza meg az ExpressRoute-kapcsolatcsoport szükséges termékváltozatát és sávszélességét.
- Határozza meg az ExpressRoute virtuális hálózati átjáró szükséges méretét.
- A költségek monitorozása és költségvetési riasztások létrehozása.
- Az ExpressRoute-kapcsolatcsoportok megszüntetése már nincs használatban.
Javaslatok
Tekintse át az alábbi javaslatokat, hogy optimalizálja az ExpressRoute-konfigurációt a költségoptimalizáláshoz.
Ajánlás | Előny |
---|---|
Ismerkedjen meg az ExpressRoute díjszabásával | További információ az ExpressRoute díjszabásáról: Az Azure ExpressRoute díjszabásának ismertetése. A Díjkalkulátort is használhatja. Győződjön meg arról, hogy a lehetőségek mérete megfelelő ahhoz, hogy megfeleljen a kapacitásigénynek, és az erőforrások elsiklása nélkül biztosítsa a várt teljesítményt. |
A szükséges termékváltozat és sávszélesség meghatározása | Az ExpressRoute-használat díjának felszámítása a három különböző termékváltozattípus között változik. A helyi termékváltozat esetén automatikusan korlátlan adatforgalmi díjcsomaggal kell fizetnie. A Standard és a Prémium termékváltozattal választhat a Forgalmi díjas vagy a Korlátlan adatcsomagok közül. Minden bejövő adat ingyenes, kivéve, ha a Global Reach bővítményt használja. Fontos tisztában lenni azzal, hogy mely termékváltozat-típusok és adattervek működnek a legjobban a számítási feladatokhoz a költségek és a költségvetés optimális optimalizálása érdekében. További információ az ExpressRoute-kapcsolatcsoport átméretezéséről: Az ExpressRoute-kapcsolatcsoport sávszélességének frissítése. |
Az ExpressRoute virtuális hálózati átjáró méretének meghatározása | Az ExpressRoute virtuális hálózati átjárókkal privát társviszony-létesítésen keresztül továbbítják a forgalmat egy virtuális hálózatba. Tekintse át az előnyben részesített Virtual Network átjáró termékváltozatának teljesítményét és méretezési igényeit. Válassza ki a megfelelő átjáró-termékváltozatot a helyszíni és az Azure-beli számítási feladat között. |
Költségek monitorozása és költségvetési riasztások létrehozása | Monitorozza az ExpressRoute-kapcsolatcsoport költségeit, és hozzon létre riasztásokat a költési anomáliákhoz és a túlköltekezéshez. További információ: Az ExpressRoute költségeinek monitorozása. |
Megszüntetheti és törölheti a már használatban lévő ExpressRoute-kapcsolatcsoportokat. | Az ExpressRoute-kapcsolatcsoportokat a létrehozásuk pillanatától számítjuk fel. A szükségtelen költségek csökkentése érdekében bontsa le a kapcsolatcsoportot a szolgáltatóval, és törölje az ExpressRoute-kapcsolatcsoportot az előfizetésből. Az ExpressRoute-kapcsolatcsoportok eltávolításának lépéseiért lásd: ExpressRoute-kapcsolatcsoport megszüntetése. |
További javaslatokért tekintse meg a Költségoptimalizálás tervezési felülvizsgálati ellenőrzőlistát.
Az Azure Advisor képes észlelni azokat az ExpressRoute-kapcsolatcsoportokat, amelyek jelentős ideje vannak üzembe helyezve, de szolgáltatói állapotuk Nincs kiépítve. Az ebben az állapotban lévő kapcsolatcsoportok nem működnek; és a nem használt erőforrás eltávolítása csökkenti a szükségtelen költségeket.
Működésbeli kiválóság
A monitorozás és a diagnosztika létfontosságú. Nemcsak a teljesítménystatisztikákat mérheti, hanem a metrikák hibaelhárítását és a problémák gyors szervizelését is. Javasoljuk, hogy tekintse át az operatív kiválóság tervezési alapelveit.
Tervezési ellenőrzőlista
- Konfigurálja a kapcsolatfigyelést a helyszíni és az Azure-hálózat között.
- Konfigurálja a Service Health szolgáltatást az értesítések fogadásához.
- Tekintse át az ExpressRoute Insightson keresztül elérhető metrikákat és irányítópultokat a Network Insights használatával.
- Tekintse át az ExpressRoute-erőforrásmetrikákat.
Javaslatok
Tekintse át az alábbi javaslatokat, hogy optimalizálja az ExpressRoute-konfigurációt az operatív kiválóság érdekében.
Ajánlás | Előny |
---|---|
Kapcsolatfigyelés konfigurálása | A kapcsolatfigyelés lehetővé teszi a helyszíni erőforrások és az Azure közötti kapcsolat figyelését az ExpressRoute privát társviszony-létesítés és a Microsoft társviszony-létesítési kapcsolaton keresztül. A kapcsolatfigyelő képes észlelni a hálózati problémákat, ha azonosítja a hálózati útvonal mentén a problémát, és segít a konfigurációs vagy hardverhibák gyors megoldásában. |
A Service Health konfigurálása | Állítsa be a Service Health-értesítéseket , hogy riasztást adjanak meg, ha az előfizetésében lévő összes ExpressRoute-kapcsolatcsoporton tervezett és közelgő karbantartás történik. A Service Health a korábbi karbantartásokat is megjeleníti az RCA-val együtt, ha nem tervezett karbantartásra került sor. |
Metrikák áttekintése a Network Insights használatával |
Az ExpressRoute Insights és a Network Insights lehetővé teszi az ExpressRoute-kapcsolatcsoportok, átjárók, kapcsolatok metrikáinak és állapot-irányítópultok áttekintését és elemzését. Az ExpressRoute Insights emellett az ExpressRoute-kapcsolatok topológiai nézetét is biztosítja, ahol a társviszony-létesítési összetevők részleteit egyetlen helyen tekintheti meg. Elérhető metrikák: -Elérhetőség -Átmenő – Átjárómetrikák |
ExpressRoute-erőforrásmetrikák áttekintése | Az ExpressRoute az Azure Monitorral gyűjt metrikákat, és riasztásokat hoz létre a konfiguráció alapján. Metrikákat gyűjtünk az ExpressRoute-kapcsolatcsoportokhoz, az ExpressRoute-átjárókhoz, az ExpressRoute-átjárókapcsolatokhoz és az ExpressRoute Directhez. Ezek a metrikák hasznosak a csatlakozási problémák diagnosztizálásához és az ExpressRoute-kapcsolat teljesítményének megértéséhez. |
További javaslatokért lásd a működési kiválósági pillér alapelveit.
Teljesítménybeli hatékonyság
A teljesítménybeli hatékonyság lehetővé teszi, hogy a számítási feladatok hatékonyan méretezhetők legyenek a felhasználók igényei szerint. Javasoljuk, hogy tekintse át a teljesítményhatékonyság alapelveit.
Tervezési ellenőrzőlista
- Tesztelje az ExpressRoute-átjáró teljesítményét a munkaterhelési követelményeknek való megfelelés érdekében.
- Növelje az ExpressRoute-átjáró méretét.
- Frissítse az ExpressRoute-kapcsolatcsoport sávszélességét.
- Engedélyezze az ExpressRoute FastPath-ot a nagyobb átviteli sebesség érdekében.
- Az ExpressRoute-kapcsolatcsoport és az átjáró metrikáinak monitorozása.
Javaslatok
Tekintse át az alábbi javaslatokat, hogy optimalizálja az ExpressRoute-konfigurációt a teljesítményhatékonyság érdekében.
Ajánlás | Előny |
---|---|
Tesztelje az ExpressRoute-átjáró teljesítményét a munkaterhelési követelményeknek való megfelelés érdekében. | Az Azure Connectivity Toolkit használatával tesztelheti az ExpressRoute-kapcsolatcsoport teljesítményét a hálózati kapcsolat sávszélesség-kapacitásának és késésének megismeréséhez. |
Növelje az ExpressRoute-átjáró méretét. | Frissítsen magasabb átjáró-termékváltozatra a helyszíni és az Azure-környezet közötti jobb átviteli sebesség érdekében. |
ExpressRoute-kapcsolatcsoport sávszélességének frissítése | Frissítse a kapcsolatcsoport sávszélességét , hogy megfeleljen a munkahelyi terhelési követelményeknek. A kapcsolatcsoport sávszélessége az ExpressRoute-kapcsolatcsoporthoz csatlakoztatott összes virtuális hálózat között meg van osztva. A munkaterheléstől függően egy vagy több virtuális hálózat használhatja fel a kapcsolatcsoport összes sávszélességét. |
Az ExpressRoute FastPath engedélyezése nagyobb átviteli sebességhez | Ha Ultra teljesítményt vagy ErGW3AZ virtuális hálózati átjárót használ, engedélyezheti a FastPath szolgáltatást a helyszíni hálózat és az Azure-beli virtuális hálózat közötti adatelérési út teljesítményének javításához. |
ExpressRoute-kapcsolatcsoport és átjárómetrikák monitorozása | Állítson be riasztásokat az ExpressRoute-metrikák alapján, hogy proaktívan értesítse Önt egy bizonyos küszöbérték elérésekor. Ezek a metrikák hasznosak az ExpressRoute-kapcsolattal kapcsolatos anomáliák, például az ExpressRoute-kapcsolatcsoportok kimaradásainak és karbantartásának megértéséhez. |
További javaslatokért lásd a teljesítményhatékonysági pillér alapelveit.
Az Azure Advisor javaslatot tesz az ExpressRoute-kapcsolatcsoport sávszélességének frissítésére, hogy megfeleljen a használatnak, ha a kapcsolatcsoport a közelmúltban a beszerzett sávszélesség több mint 90%-át felhasználta. Ha a forgalom meghaladja a lefoglalt sávszélességet, megszakadt csomagokat fog tapasztalni, ami jelentős teljesítmény- vagy megbízhatósági hatáshoz vezethet.
Azure Policy
Azure Policy nem biztosít beépített szabályzatokat az ExpressRoute-hoz, de egyéni szabályzatok hozhatók létre annak szabályozásához, hogy az ExpressRoute-kapcsolatcsoportok hogyan feleljenek meg a kívánt befejezési állapotnak, például termékváltozat kiválasztása, társviszony-létesítés típusa, társviszony-létesítési konfigurációk stb.
További források
Útmutató a felhőbevezetési keretrendszerhez
Következő lépések
Konfiguráljon egy ExpressRoute-kapcsolatcsoportot vagy ExpressRoute Direct-portot a helyszíni hálózat és az Azure közötti kommunikáció kialakításához.