ExpressRoute-kapcsolatcsoport Csatlakozás virtuális hálózathoz

  • 5 perc

Az ExpressRoute-kapcsolatcsoportok logikai kapcsolatot jelentenek a helyszíni infrastruktúra és a Microsoft felhőszolgáltatásai között egy kapcsolatszolgáltatón keresztül. Több ExpressRoute-kapcsolatcsoportot is rendelhet. Minden kapcsolatcsoport ugyanabban vagy különböző régiókban lehet, és különböző kapcsolatszolgáltatókon keresztül csatlakoztatható a helyszínhez. Az ExpressRoute-kapcsolatcsoportok nem képeznek le fizikai entitásokat. A kapcsolatcsoportokat egyedileg azonosítja egy szabványos GUID, amelyet szolgáltatáskulcsként (s-key) hívunk meg.

Az előző gyakorlatokban létrehozott egy ExpressRoute-átjárót és egy ExpressRoute-kapcsolatcsoportot. Ezután megtanulta, hogyan konfigurálhatja a társviszony-létesítést egy expressz útvonalcsoporthoz. Most megtudhatja, hogyan hozhat létre kapcsolatot az ExpressRoute-kapcsolatcsoport és az Azure-beli virtuális hálózat között.

Virtuális hálózat összekapcsolása egy ExpressRoute-kapcsolatcsoporttal

  • Egy aktív ExpressRoute-kapcsolatcsoportra lesz szüksége.
  • Győződjön meg arról, hogy az Azure privát társviszony-létesítés konfigurálva van a kapcsolatcsoporthoz.
  • Győződjön meg arról, hogy az Azure privát társviszony-létesítés konfigurálva van, és BGP-társviszonyt létesít a hálózat és a Microsoft között a teljes körű kapcsolat érdekében.
  • Győződjön meg arról, hogy rendelkezik egy virtuális hálózat és egy virtuális hálózati átjáró létrehozásával és teljes kiépítésével. Az ExpressRoute virtuális hálózati átjárója az "ExpressRoute" GatewayType-et használja, nem VPN-t.
  • Legfeljebb 10 virtuális hálózatot csatolhat egy szabványos ExpressRoute-kapcsolatcsoporthoz. Standard ExpressRoute-kapcsolatcsoport használatakor minden virtuális hálózatnak ugyanabban a geopolitikai régióban kell lennie.
  • Egyetlen virtuális hálózat legfeljebb 16 ExpressRoute-kapcsolatcsoporthoz csatolható. Az alábbi eljárással hozzon létre egy új kapcsolatobjektumot minden egyes ExpressRoute-kapcsolatcsoporthoz, amelyhez csatlakozik. Az ExpressRoute-kapcsolatcsoportok lehetnek ugyanabban az előfizetésben, különböző előfizetésekben vagy a kettő kombinációjában.
  • Ha engedélyezi az ExpressRoute prémium szintű bővítményt, összekapcsolhatja az ExpressRoute-kapcsolatcsoport geopolitikai régióján kívüli virtuális hálózatokat. A prémium szintű bővítmény lehetővé teszi, hogy a kiválasztott sávszélességtől függően több mint 10 virtuális hálózatot csatlakozzon az ExpressRoute-kapcsolatcsoporthoz.
  • Az ExpressRoute-kapcsolatcsoport és a cél ExpressRoute virtuális hálózati átjáró közötti kapcsolat létrehozásához a helyi vagy társhálózati virtuális hálózatokból meghirdetett címterek számának legalább 200-nak kell lennie. A kapcsolat sikeres létrehozása után további, legfeljebb 1000 címteret adhat hozzá a helyi vagy társhálózati virtuális hálózatokhoz.

VPN hozzáadása az ExpressRoute-környezethez

Ez a szakasz segít biztonságos titkosított kapcsolatot konfigurálni a helyszíni hálózat és az Azure-beli virtuális hálózatok (VNetek) között egy ExpressRoute privát kapcsolaton keresztül. A Microsoft társviszony-létesítéssel létrehozhat egy helyek közötti IPsec/IKE VPN-alagutat a kiválasztott helyszíni hálózatok és az Azure-beli virtuális hálózatok között. A biztonságos alagút ExpressRoute-on keresztül történő konfigurálása lehetővé teszi az adatcserét bizalmassággal, visszajátszás elleni védelemmel, hitelességgel és integritással.

Feljegyzés

Ha a helyek közötti VPN-t Microsoft-társviszony-létesítésen keresztül állítja be, a VPN-átjáróért és a VPN-kimenő forgalomért kell fizetnie.

A magas rendelkezésre állás és a redundancia érdekében több alagutat is konfigurálhat egy ExpressRoute-kapcsolatcsoport két M Standard kiadás E-PE párja felett, és engedélyezheti a terheléselosztást az alagutak között.

A Microsoft-társviszony-létesítésen keresztüli VPN-alagutak vpn-átjáróval vagy az Azure Marketplace-en elérhető megfelelő hálózati virtuális berendezés (NVA) használatával szüntethetők meg. Az útvonalakat statikusan vagy dinamikusan cserélheti a titkosított alagutakon anélkül, hogy az útvonalcserét az alapul szolgáló Microsoft-társviszony-létesítésnek tárja fel. Ebben a szakaszban a BGP (eltér a Microsoft társviszony-létesítés létrehozásához használt BGP-munkamenettől) az előtagok dinamikus cseréjére szolgál a titkosított alagutakon.

Fontos

A helyszíni oldalon általában a Microsoft társviszony-létesítése leáll a DMZ-ben, a privát társviszony-létesítés pedig a központi hálózati zónában fejeződik be. A két zóna tűzfalak használatával lenne elkülönítve. Ha kizárólag az ExpressRoute-on keresztüli biztonságos bújtatás engedélyezéséhez konfigurálja a Microsoft-társviszony-létesítést, ne feledje, hogy csak a Microsoft-társviszony-létesítéssel meghirdetett nyilvános IP-címekre szűrjön.

Lépések

  • Konfigurálja a Microsoft-társviszonyt az ExpressRoute-kapcsolatcsoporthoz.
  • A kijelölt Azure-beli regionális nyilvános előtagok meghirdetése a helyszíni hálózaton a Microsoft társviszony-létesítésen keresztül.
  • VPN-átjáró konfigurálása és IPsec-alagutak létrehozása
  • Konfigurálja a helyszíni VPN-eszközt.
  • Hozza létre a helyek közötti IPsec/IKE-kapcsolatot.
  • (Nem kötelező) Tűzfalak/szűrés konfigurálása a helyszíni VPN-eszközön.
  • Tesztelje és ellenőrizze az IPsec-kommunikációt az ExpressRoute-kapcsolatcsoporton keresztül.