Előző

Következő

Az ExpressRoute működése

Befejeződött

Megismerte az Azure ExpressRoute szolgáltatás célját, valamint azokat a szolgáltatásokat, amelyekhez használhatja. Most már készen áll arra, hogy megismerje a szolgáltatás működését. Vizsgáljuk meg, hogyan működik együtt az Azure-ral és a helyszíni hálózatokkal, hogy biztonságos és megbízható kapcsolatot hozzon létre a helyszíni adatközpont és a Microsoft-felhő között.

Ebben a leckében megtudhatja, hogyan hozhat létre és használhat Azure-kapcsolatcsoportokat a helyszíni hálózatok felhőhöz való csatlakoztatásához. Láthatja a kapcsolatcsoport létrehozásához szükséges lépéseket. Megismerheti az ExpressRoute-kapcsolat egyéb összetevőit is, amelyek közösen alkotnak kapcsolatot a helyszíni adatközpontból a Microsoft-felhőbe.

Az ExpressRoute architektúrája

Az ExpressRoute az összes régióban és helyen támogatott. Az ExpressRoute megvalósításához egy ExpressRoute-partnerrel kell együttműködnie. A partner biztosítja a peremhálózati szolgáltatást: ez az engedélyezett és hitelesített kapcsolat egy partner által vezérelt útválasztón keresztül működik. A peremhálózati szolgáltatás feladata a hálózat kiterjesztése a Microsoft-felhőre.

A partner állítja be a kapcsolatotokat egy ExpressRoute-helyen lévő végponttal (a Microsoft egy peremhálózati útválasztójával megvalósítva). Ezek a kapcsolatok lehetővé teszik a helyszíni hálózatok és a végponton keresztül elérhető virtuális hálózatok közötti társviszonyt. Ezek a kapcsolatok az úgynevezett kapcsolatcsoportok.

Megjegyzés:

Az ExpressRoute kontextusában a Microsoft Edge az ExpressRoute-kapcsolatcsoport Microsoft-oldalán található peremhálózati útválasztókat írja le.

A kapcsolatcsoport fizikai kapcsolatot létesít az ExpressRoute-szolgáltató peremhálózati útválasztói és a Microsoft peremhálózati útválasztói közötti adatátvitelhez. A kapcsolatcsoportok privát összeköttetésen, és nem az interneten jönnek létre. A helyszíni hálózat az ExpressRoute-szolgáltató peremhálózati útválasztóihoz kapcsolódik. A Microsoft Edge-útválasztók biztosítják a belépési pontot a Microsoft-felhőbe.

Az ExpressRoute előfeltételei

Ahhoz, hogy az ExpressRoute használatával tudjon csatlakozni a Microsoft-felhőszolgáltatásokhoz, a következőkkel kell rendelkeznie:

• Egy ExpressRoute-kapcsolatszolgáltató vagy felhőalapú adatcsere-szolgáltató, amely beállítja a helyszíni hálózatok és a Microsoft-felő közötti kapcsolatot.
• Egy Azure-előfizetés, amely regisztrálva van a kiválasztott ExpressRoute-kapcsolati partnerrel.
• Egy aktív Microsoft Azure-fiók, amely ExpressRoute-kapcsolatcsoport igénylésére használható.
• Aktív Office 365-előfizetés (ha csatlakozni szeretne a Microsoft-felhőhöz, és hozzá szeretne férni az Office 365-szolgáltatásokhoz).

Az ExpressRoute társviszonyt létesíti a helyszíni hálózatok és a Microsoft-felhőben futó hálózatok között. A saját hálózati erőforrások közvetlenül kommunikálhatnak a Microsoft által üzemeltetett erőforrásokkal. A társviszonyok támogatásához az ExpressRoute több hálózati és útválasztási követelményt is kielégít:

• Győződjön meg arról, hogy az útválasztási tartományokhoz tartozó BGP-munkamenetek konfigurálva vannak. A partnerétől függően ez a konfiguráció lehet az ő vagy az Ön felelőssége. Emellett minden ExpressRoute-kapcsolatcsoporthoz szükség van egy redundáns BGP-munkamenetre a Microsoft útválasztói és a társviszony-útválasztók között.
• Önnek vagy a szolgáltatóknak NAT-szolgáltatás használatával nyilvános IP-címekre kell fordítaniuk a helyszínen használt privát IP-címeket. A Microsoft elutasít mindent, kivéve a nyilvános IP-címeket a Microsoft-társviszony-létesítésen keresztül.
• Foglaljon le több IP-címblokkot a hálózatban, amelyekkel a Microsoft-felhőbe irányíthatja a forgalmat. Ezeket a blokkokat /29-es alhálózatként vagy két /30-as alhálózatként konfigurálja az IP-címtartományban. Az egyik alhálózat a Microsoft-felhőre mutató elsődleges hivatkozás konfigurálására szolgál, a másik pedig egy másodlagos hivatkozást implementál. Az alhálózatok első címe a BGP-társ végét jelöli, a második pedig a Microsoft BGP-társ IP-címe.

Az ExpressRoute két társviszony-létesítési sémát támogat:

• Privát társviszony-létesítéssel kapcsolódhat az Azure virtuális hálózataiban üzembe helyezett Azure IaaS- és PaaS-szolgáltatásokhoz. Az elért erőforrások mindegyikének egy vagy több Azure-beli virtuális hálózatban kell elhelyezkedniük, privát IP-címmel. Privát társhálózaton át nem érhet el erőforrásokat azok nyilvános IP-címével.
• Microsoft-társviszony-létesítéssel Azure PaaS-szolgáltatásokhoz, Office 365-szolgáltatásokhoz és a Dynamic 365-höz csatlakozhat.

Megjegyzés:

Nyilvános társviszony-létesítést az Azure Portalon is konfigurálhat. A társviszony-létesítés ezen formájával az Azure szolgáltatásai által közzétett nyilvános címekhez csatlakozhat. Ez a fajta társviszony-létesítés azonban már elavult, és új kapcsolatcsoportokhoz nem használható. Ez a modul nem foglalkozik a nyilvános társviszony-létesítéssel.

ExpressRoute-kapcsolatcsoport és -társviszony-létesítés létrehozása

Egy Azure-kapcsolat létrehozása az ExpressRoute-tal több lépésből álló folyamat. Ezen lépések nagy részét az Azure Portal használatával, vagy a parancssorból végezheti el a PowerShell vagy az Azure CLI használatával. Ez a szakasz az Azure Portallal használatával végrehajtott folyamatot ismerteti. A PowerShellre és a CLI-re vonatkozó útmutatást a modul végén található „További információ” című szakaszban tekintheti meg.

Kapcsolatcsoport létrehozása

Amikor az Azure Portalt használja, válassza a + Erőforrás létrehozása lehetőséget, és keressen rá az ExpressRoute-ra. Az ExpressRoute-kapcsolatcsoport létrehozása nevű lapon meg kell adnia a következő adatokat:

Alapvető beállítások lap

Tulajdonság	Érték
Előfizetés	Az ExpressRoute-szolgáltatóval regisztrált előfizetés.
Erőforráscsoport	Az az Azure-erőforráscsoport, amelyben létre kívánja hozni a kapcsolatcsoportot.
Region	Az az Azure-hely, ahol létre kívánja hozni a kapcsolatcsoportot.
Név	A kapcsolatcsoport kifejező neve, szóköz és különleges karakterek nélkül.

Konfiguráció lap

Tulajdonság	Érték
Port típusa	Válassza a Szolgáltató lehetőséget, ha egy szolgáltatón keresztül csatlakozik, vagy ha közvetlenül a Microsofthoz csatlakozik, válassza a Közvetlen lehetőséget.
Új vagy importálás klasszikusból	Hozzon létre egy új kapcsolatcsoportot, vagy válassza az Importálás lehetőséget egy meglévő kapcsolatcsoport áthelyezéséhez a klasszikus modellből a Resource Managerbe.
Szolgáltató	Az az ExpressRoute-szolgáltató, amellyel regisztrálta az előfizetését.
Társviszony helye	Az ExpressRoute-szolgáltató által engedélyezett hely, amelyben létre szeretné hozni a kapcsolatcsoportot.
Sávszélesség	Válassza ki a sávszélességet (50 Mb/s – 10 GB/s). Kezdje egy alacsony értékkel. Ezt később növelheti szolgáltatáskimaradás nélkül. Azonban ha először túl magas értéket ad meg, később nem csökkentheti a sávszélességet.
Termékváltozat	Válassza a Helyi (ha elérhető) lehetőséget, ha csak 1 vagy 2 Azure-régióban kell csatlakoznia az Azure-erőforráshoz ugyanabban a metróban. Válassza a Standard lehetőséget, ha legfeljebb 10 virtuális hálózattal rendelkezik, és csak ugyanabban a földrajzi régióban lévő erőforrásokhoz kell csatlakoznia. Ellenkező esetben válassza a Prémium lehetőséget, amely lehetővé teszi több mint 10 virtuális hálózat és az Azure-erőforrásokhoz való globális kapcsolat csatlakoztatását.
Számlázási modell	Válassza a Korlátlan lehetőséget, hogy a felhasználástól független, állandó díjat fizethessen. Ha a Mért lehetőséget választja, akkor a kapcsolatcsoport bejövő és kimenő forgalmának megfelelő díjat fog fizetni.
Klasszikus műveletek engedélyezése	Az Igen lehetőséget választva a klasszikus virtuális hálózatok csatlakozhatnak a kapcsolatcsoporthoz. Egyéb esetben a Nem választógombot jelölje be.

A kapcsolatcsoportok létrehozása eltarthat néhány percig. A kapcsolatcsoport kiépítése után az Azure Portalon megtekintheti annak tulajdonságait. Láthatja, hogy a kapcsolatcsoport állapota engedélyezve van, ami azt jelenti, hogy a kapcsolatcsoport Microsoft-oldala készen áll a kapcsolatok elfogadására. A szolgáltató állapota kezdetben Nem kiépítve állapotra van állítva, mert a szolgáltató nem konfigurálta a kapcsolatcsoport oldalát a hálózathoz való csatlakozáshoz.

Elküldi a szolgáltatónak a Szolgáltatáskulcs mezőben szereplő értéket, hogy lehetővé tegye számukra a kapcsolat konfigurálását. Ez a konfiguráció több napot is igénybe vehet. A szolgáltató állapotát ezen az oldalon ellenőrizheti.

Társviszony-létesítési konfiguráció létrehozása

Miután a szolgáltató állapota Kiépítve értékre változik, konfigurálhatóvá válnak a társviszonyok útválasztási beállításai. A lépések csak 2. rétegbeli kapcsolatot kínáló szolgáltatóknál létrehozott kapcsolatcsoportokra vonatkoznak. A 3. rétegben működő kapcsolatcsoportok esetén a szolgáltató konfigurálhatja az útválasztást.

A korábban bemutatott ExpressRoute-kapcsolatcsoportlap felsorolja az egyes társviszony-létesítéseket és azok tulajdonságait. A társviszonyok kiválasztásával konfigurálhatja azok tulajdonságait.

Privát társviszony konfigurálása

Privát társviszony-létesítéssel csatlakoztathatja a hálózatot az Azure-ban futó virtuális hálózatokhoz. A privát társviszony konfigurálásához adja meg a következő adatokat:

• Társ ASN: A társviszony-létesítés önvezető rendszerszáma. Ez az ASN lehet nyilvános vagy privát, valamint 16 bites vagy 32 bites.
• Alhálózatok: Válassza ki, hogy az IPv4, az IPv6 vagy mindkettőt szeretné-e használni a társviszony-létesítési alhálózatokhoz.
• Elsődleges alhálózat: A hálózatban létrehozott elsődleges /30 alhálózat címtartománya. Ebben az alhálózatban az első IP-címet használja az útválasztóhoz. A Microsoft a másodikat használja a saját útválasztójához.
• Másodlagos alhálózat: A másodlagos /30 alhálózat címtartománya. Ez az alhálózat egy másodlagos hivatkozást biztosít a Microsoft számára. Az első két cím az útválasztó és a Microsoft-útválasztó IP-címét tárolja.
• IPv4-társviszony-létesítés engedélyezése: Ezzel a beállítással engedélyezheti és letilthatja a privát társviszony-létesítési BGP-munkamenetet.
• VLAN-azonosító: Annak a VLAN-nak az azonosítója, amelyen létre kívánja hozni a társviszony-létesítést. Az elsődleges és a másodlagos kapcsolatok is ezt a VLAN-azonosítót használják.
• Megosztott kulcs: Ez a kulcs egy opcionális MD5 kivonat, amely a kapcsolatcsoporton áthaladó üzenetek kódolására szolgál.

A Microsoft-társviszony konfigurálása

Microsoft-társviszonnyal az Office 365-höz és annak társszolgáltatásaihoz csatlakozhat. A Microsoft-társviszony konfigurálásához meg kell adnia a privát társviszony-létesítéshez leírt információk nagy részét: egy társhálózati ASN-t, egy elsődleges alhálózati címtartományt, egy másodlagos alhálózati címtartományt, egy alhálózati IP-verziót, egy VLAN-azonosítót és egy opcionális megosztott kulcsot. Emellett a következő adatokat is meg kell adnia:

• Meghirdetett nyilvános előtagok: A BGP-munkamenetben használt címelőtagok listája. Az előtagokat Önhöz kell regisztrálni, és csak nyilvános címtartományok előtagjai lehetnek.
• Ügyfél ASN: Opcionális ügyféloldali autonóm rendszerszám, amelyet akkor használhat, ha olyan előtagokat hirdet, amelyek nincsenek regisztrálva a társ ASN-ben.
• Útválasztási beállításjegyzék neve: Ez a név azonosítja azt a beállításjegyzéket, amelyben az ügyfél ASN-je és a nyilvános előtagok regisztrálva vannak.

Virtuális hálózat összekapcsolása egy ExpressRoute-kapcsolatcsoporttal

Az ExpressRoute-kapcsolatcsoport létrehozása után az Azure privát társviszony-létesítés konfigurálva lesz a kapcsolatcsoporthoz. A hálózat és a Microsoft közötti BGP-munkamenet aktív, így engedélyezheti a helyszíni hálózat és az Azure közötti kapcsolatot.

Mielőtt egy privát kapcsolatcsoporthoz csatlakozna, létre kell hoznia egy Azure-beli virtuális hálózati átjárót az egyik Azure-beli virtuális hálózat alhálózatával. A virtuális hálózati átjáró biztosítja a belépési pontot a helyszíni hálózatról beérkező hálózati forgalomhoz. A beérkező forgalmat a virtuális hálózaton át az Azure-erőforrásokhoz irányítja.

A helyszíni hálózatból irányított forgalom szabályozásához hálózati biztonsági csoportokat és tűzfalszabályokat konfigurálhat. A helyszíni hálózat nem engedélyezett címeiről érkező kéréseket is letilthatja.

Megjegyzés:

Létre kell hoznia az ExpressRoute (és nem VPN) típusú virtuális hálózati átjárót.

Egy ExpressRoute-kapcsolatcsoporthoz legfeljebb 10 virtuális hálózat csatolható, de ezeknek a virtuális hálózatoknak ugyanabban a geopolitikai régióban kell lenniük, mint az ExpressRoute-kapcsolatcsoport standard termékváltozat használata esetén. Egyetlen virtuális hálózatot szükség esetén négy ExpressRoute-kapcsolatcsoporthoz is csatolhat. Az ExpressRoute-kapcsolatcsoport lehet a virtuális hálózatéval azonos előfizetésben, vagy attól különbözőben is.

Ha a Azure Portalt használja, a következőképpen csatlakoztathat egy társviszonyt egy virtuális hálózati átjáróhoz:

1. Az ExpressRoute-kapcsolatcsoport lapon válassza a Kapcsolatok lehetőséget.
2. A Kapcsolatok lapon válassza a Hozzáadás lehetőséget.
3. A Kapcsolat hozzáadása lapon adjon egy nevet a kapcsolatnak, majd válassza ki a virtuális hálózati átjárót. Ha a művelet befejeződött, a helyszíni hálózat a virtuális hálózati átjárón keresztül csatlakozik az Azure-beli virtuális hálózathoz. A kapcsolat az ExpressRoute-kapcsolaton keresztül jön létre.

Magas rendelkezésre állás és feladatátvétel az ExpressRoute használatával

Minden egyes ExpressRoute-kapcsolatcsoport két kapcsolattal rendelkezik a kapcsolatszolgáltató és két különböző Microsoft-peremhálózati útválasztó között. Ez a konfiguráció automatikusan előáll. Egy helyen belül bizonyos mértékű elérhetőséget biztosít.

Érdemes lehet az ExpressRoute-kapcsolatcsoportokat különböző, egymástól eltérő helyen beállítani, hogy magas rendelkezésre állást biztosítson és hozzájáruljon a regionális kimaradások elleni védelemhez. Például létrehozhat áramköröket az USA keleti régiójában és az USA középső régióiban, majd összekapcsolhatja ezeket a virtuális hálózattal. Így, ha egy ExpressRoute-kapcsolatcsoport leáll, nem veszíti el az erőforráshoz való kapcsolatot, és feladatátvételt végezhet egy másik ExpressRoute-kapcsolatcsoporttal.

Emellett több kapcsolatcsoportot beállíthat különböző szolgáltatóknál, így meggyőződhet arról, hogy a hálózat elérhető marad akkor is, ha egy szolgáltatáskimaradás egy jóváhagyott szolgáltató minden kapcsolatcsoportját érinti. A Kapcsolat súlya tulajdonsággal megadhatja a kapcsolatcsoportok fontossági sorrendjét.

ExpressRoute Direct és FastPath

A Microsoft egy ExpressRoute Direct nevű, rendkívül nagy sebességű lehetőséget is biztosít. Ez a szolgáltatás lehetővé teszi a kettős 100 GB/s sebességű kapcsolat használatát. Nagy tömegű és rendszeres adatbetöltéssel járó helyzetekhez alkalmas. Olyan, szélsőséges méretezhetőséget igénylő megoldásokhoz is megfelel, mint a banki, kormányzati és kereskedelmi rendszerek.

Az ExpressRoute Direct aktiválásához regisztrálhatja előfizetését a Microsofttal. További információkért tekintse meg a modul végén található ExpressRoute-cikket a „További információ” szakaszban.

Az ExpressRoute Direct támogatja a FastPath funkciót. Ha a FastPath engedélyezve van, közvetlenül a célnak szánt virtuális gépre küldi a hálózati forgalmat. A forgalom megkerüli a virtuális hálózati átjárót, ezzel javítja az Azure-beli virtuális hálózatok és a helyszíni hálózatok közötti átvitelt.

A FastPath támogatja a virtuális hálózatok közötti társviszony-létesítést (ahol a virtuális hálózatok össze vannak kapcsolva). Emellett támogatja a felhasználó által megadott útvonalakat az átjáró alhálózatán.

Tesztelje tudását

1.

Mi a Microsoft-társviszony-létesítés?

Közvetlen kapcsolatot biztosít a helyszíni hálózat és az Azure-adatközpont között.

Helyszíni hálózatait az Office 365-szolgáltatásokhoz és a Dynamics 365-höz csatlakoztathatja.

Kapcsolatot biztosít a helyszíni hálózat és egy ExpressRoute-szolgáltató között.

Pont-hely típusú kapcsolatot biztosít a helyszíni számítógépek és az Office 365-szolgáltatások között.

2.

Mi az az ExpressRoute-kapcsolatcsoport?

Az ExpressRoute-kapcsolatcsoport helyek közötti kapcsolatot létesít egy VPN-kapcsolat és egy Azure-adatközpont között.

Az ExpressRoute-kapcsolatcsoport közvetlen kapcsolatot létesít a helyszíni adatközpont és egy Azure-adatközpont között.

Egy biztonsági szolgáltatás, amely kapcsolatot létesít a Microsoft Clouddal, ha a VPN-kapcsolat megszakad.

A kapcsolatcsoport fizikai kapcsolatot létesít az ExpressRoute-szolgáltató peremhálózati útválasztói és a Microsoft peremhálózati útválasztói közötti adatátvitelhez.

3.

Milyen biztonsági előnyöket biztosít az Azure ExpressRoute?

Az ExpressRoute-kapcsolatot a rendszer automatikusan titkosítja, így hozzájárul az interneten a Microsoft Cloud felé haladó forgalom védelméhez.

Az ExpressRoute-kapcsolaton áthaladó adatok sebessége miatt hálózati figyelők és csomagelemzők számára lehetetlen hozzáférni azokhoz.

Az ExpressRoute dedikált, privát hálózaton kapcsolódik a Microsoft-felhőhöz. A forgalom nem halad át a nyilvános interneten, így ahhoz nehéz hozzáférni.

A ExpressRoute olyan kizárólagos átviteli protokollt használ, amely folyamatosan változik, így a forgalomhoz nehéz illetéktelenül hozzáférni.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás