Memperluas jaringan lokal menggunakan ExpressRoute

Arsitektur referensi ini menunjukkan cara menyambungkan jaringan lokal ke jaringan virtual di Azure, menggunakan Azure ExpressRoute. Koneksi ExpressRoute menggunakan koneksi privat dan khusus melalui penyedia konektivitas pihak ketiga. Koneksi privat memperluas jaringan lokal Anda ke Azure.

Arsitektur

Unduh file Visio arsitektur ini.

Alur kerja

Arsitektur ini terdiri dari komponen berikut.

• Jaringan perusahaan lokal. Jaringan area lokal privat yang berjalan dalam suatu organisasi.

• Sirkuit ExpressRoute. Sirkuit lapisan 2 atau lapisan 3 yang disediakan oleh penyedia konektivitas yang bergabung dengan jaringan lokal dengan Azure melalui router edge. Sirkuit ini menggunakan infrastruktur perangkat keras yang dikelola oleh penyedia konektivitas.

• Router edge lokal. Router yang menyambungkan jaringan lokal ke sirkuit yang dikelola oleh penyedia. Tergantung pada bagaimana koneksi Anda tersedia, Anda mungkin perlu memberikan alamat IP publik yang digunakan oleh router.

• Router edge Microsoft. Dua router dalam konfigurasi aktif-aktif sangat tersedia. Router ini memungkinkan penyedia konektivitas untuk menyambungkan sirkuitnya langsung ke pusat datanya. Tergantung pada bagaimana koneksi Anda tersedia, Anda mungkin perlu memberikan alamat IP publik yang digunakan oleh router.

• Jaringan virtual Azure (VNet). Setiap VNet berada di satu wilayah Azure, dan dapat menghosting beberapa tingkat aplikasi. Tingkat aplikasi dapat disegmentasi menggunakan subnet di setiap VNet.

• Layanan publik Azure. Layanan Azure yang dapat digunakan dalam aplikasi hibrida. Layanan ini juga tersedia melalui internet, tetapi mengaksesnya menggunakan sirkuit ExpressRoute memberikan latensi rendah dan performa yang lebih dapat diprediksi, karena lalu lintas tidak melalui internet.

• Layanan Microsoft 365. Aplikasi dan layanan Microsoft 365 yang tersedia untuk umum yang disediakan oleh Microsoft. Koneksi dilakukan menggunakan peering Microsoft, dengan alamat yang dimiliki oleh organisasi Anda atau disediakan oleh penyedia konektivitas Anda. Anda juga dapat tersambung langsung ke Microsoft CRM Online melalui peering Microsoft.

• Penyedia konektivitas (tidak ditampilkan). Perusahaan yang menyediakan koneksi menggunakan konektivitas lapisan 2 atau lapisan 3 antara pusat data Anda dan pusat data Azure.

Komponen

• Azure ExpressRoute. ExpressRoute memungkinkan Anda memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat, dengan bantuan penyedia konektivitas. Dengan ExpressRoute, Anda dapat membuat koneksi ke layanan cloud Microsoft, seperti Azure, Microsoft 365, dan Dynamics 365.

• Azure Jaringan Virtual. Azure Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan pribadi Anda di Azure. VNet memungkinkan banyak jenis sumber daya Azure, seperti Azure Virtual Machines (VM), untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang menimpanya.

Penyedia konektivitas

Pilih penyedia konektivitas ExpressRoute yang sesuai untuk lokasi Anda. Untuk mendapatkan daftar penyedia konektivitas yang tersedia di lokasi Anda, gunakan perintah Azure PowerShell berikut:

Get-AzExpressRouteServiceProvider

Penyedia konektivitas ExpressRoute menyambungkan pusat data Anda ke Microsoft dengan cara berikut:

• Ditempatkan bersama di pertukaran cloud. Jika Anda ditempatkan bersama di fasilitas dengan pertukaran cloud, Anda dapat memesan koneksi silang virtual ke Azure melalui pertukaran Ethernet penyedia lokasi bersama. Penyedia lokasi bersama dapat menawarkan koneksi silang lapisan 2, atau koneksi silang lapisan 3 terkelola antara infrastruktur Anda di fasilitas lokasi bersama dan Azure.
• Koneksi Ethernet titik ke titik. Anda dapat menyambungkan pusat data/kantor lokal Anda ke Azure melalui tautan Ethernet titik ke titik. Penyedia Ethernet titik ke titik dapat menawarkan koneksi lapisan 2, atau koneksi lapisan 3 terkelola antara situs Anda dan Azure.
• Jaringan (IPVPN) any-to-any. Anda dapat mengintegrasikan jaringan area luas (WAN) Anda dengan Azure. Penyedia jaringan privat maya protokol Internet (IPVPN) (biasanya VPN pengalih label multiprotokol) menawarkan konektivitas any-to-any antara kantor cabang dan pusat data Anda. Azure dapat saling terhubung ke WAN Anda agar terlihat seperti kantor cabang lainnya. Penyedia WAN biasanya menawarkan konektivitas lapisan 3 terkelola.

Untuk informasi selengkapnya tentang penyedia konektivitas, lihat pengantar ExpressRoute.

Sirkuit ExpressRoute

Pastikan organisasi Anda telah memenuhi persyaratan prasyarat ExpressRoute untuk menyambungkan ke Azure.

Jika Anda belum melakukannya, tambahkan subnet bernama GatewaySubnet ke Azure VNet Anda dan buat gateway jaringan virtual ExpressRoute menggunakan layanan gateway VPN Azure. Untuk informasi selengkapnya tentang proses ini, lihat Alur kerja ExpressRoute untuk provisi sirkuit dan status sirkuit.

Buat sirkuit ExpressRoute sebagai berikut:

1. Jalankan perintah PowerShell berikut:

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. Kirim ServiceKey untuk sirkuit baru ke penyedia layanan.

3. Tunggu penyedia memprovisikan sirkuit. Untuk memverifikasi status penyediaan sirkuit, jalankan perintah PowerShell berikut:

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   Bidang Provisioning state di bagian Service Provider output akan berubah dari NotProvisioned menjadi Provisioned saat sirkuit siap.

   Catatan

   Jika Anda menggunakan koneksi lapisan 3, penyedia harus mengonfigurasi dan mengelola perutean untuk Anda. Anda memberikan informasi yang diperlukan untuk memungkinkan penyedia menerapkan rute yang sesuai.

4. Jika Anda menggunakan koneksi lapisan 2:

   1. Cadangan dua subnet /30 yang terdiri dari alamat IP publik yang valid untuk setiap jenis peering yang ingin Anda terapkan. Subnet /30 ini akan digunakan untuk memberikan alamat IP untuk router yang digunakan untuk sirkuit. Jika Anda menerapkan peering privat dan Microsoft, Anda memerlukan 4 subnet /30 dengan alamat IP publik yang valid.

   2. Konfigurasikan perutean untuk sirkuit ExpressRoute. Jalankan perintah PowerShell berikut untuk setiap jenis peering yang ingin Anda konfigurasikan (privat dan Microsoft). Untuk informasi selengkapnya, lihat Membuat dan memodifikasi perutean untuk sirkuit ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. Cadangan kumpulan lain dari alamat IP publik yang valid untuk digunakan untuk terjemahan alamat jaringan (NAT) untuk peering Microsoft. Sebaiknya miliki kumpulan yang berbeda untuk setiap peering. Tentukan kumpulan ke penyedia konektivitas Anda, sehingga dapat mengonfigurasi iklan protokol gateway perbatasan (BGP) untuk rentang tersebut.

5. Jalankan perintah PowerShell berikut untuk menautkan VNet privat Anda ke sirkuit ExpressRoute. Untuk informasi selengkapnya, lihat Menautkan jaringan virtual ke sirkuit ExpressRoute.

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

Anda dapat menyambungkan beberapa VNet yang terletak di wilayah yang berbeda ke sirkuit ExpressRoute yang sama, selama semua VNet dan sirkuit ExpressRoute berada dalam wilayah geopolitik yang sama.

Pemecahan Masalah

Jika sirkuit ExpressRoute yang sebelumnya berfungsi sekarang gagal tersambung, karena tidak ada perubahan konfigurasi di tempat atau di dalam VNet privat Anda, Anda mungkin perlu menghubungi penyedia konektivitas dan bekerja dengannya untuk memperbaiki masalah tersebut. Gunakan perintah PowerShell berikut untuk memverifikasi bahwa sirkuit ExpressRoute telah tersedia:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Output dari perintah ini menunjukkan beberapa properti untuk sirkuit Anda, termasuk ProvisioningState, CircuitProvisioningState, dan ServiceProviderProvisioningState seperti yang ditunjukkan di bawah ini.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Jika ProvisioningState tidak diatur ke Succeeded setelah Anda mencoba membuat sirkuit baru, hapus sirkuit dengan menggunakan perintah di bawah dan coba buat lagi.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Jika penyedia Anda telah memprovisikan sirkuit, dan ProvisioningState diatur ke Failed, atau CircuitProvisioningState tidak Enabled, hubungi penyedia Anda untuk bantuan lebih lanjut.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Skalabilitas

Sirkuit ExpressRoute menyediakan jalur bandwidth tinggi antar jaringan. Umumnya, makin tinggi bandwidth makin besar biayanya.

ExpressRoute menawarkan dua paket harga kepada pelanggan, paket terukur, dan paket data tak terbatas. Biaya bervariasi sesuai dengan bandwidth sirkuit. Bandwidth yang tersedia kemungkinan akan bervariasi dari satu penyedia ke penyedia lainnya. Gunakan cmdlet Get-AzExpressRouteServiceProvider untuk melihat penyedia yang tersedia di wilayah Anda dan bandwidth yang ditawarkan.

Sirkuit ExpressRoute tunggal dapat mendukung sejumlah peering dan tautan VNet tertentu. Lihat Batas ExpressRoute untuk informasi selengkapnya.

Dengan biaya tambahan, add-on ExpressRoute Premium menyediakan beberapa kemampuan tambahan:

• Peningkatan batas rute untuk peering privat.
• Peningkatan jumlah tautan VNet per sirkuit ExpressRoute.
• Konektivitas global untuk layanan.

Lihat Harga ExpressRoute untuk detailnya.

Sirkuit ExpressRoute didesain untuk memungkinkan jaringan sementara meledak hingga dua kali batas bandwidth yang Anda dapatkan tanpa biaya tambahan. Ini dicapai dengan menggunakan tautan redundan. Namun, tidak semua penyedia konektivitas mendukung fitur ini. Pastikan penyedia konektivitas Anda mengaktifkan fitur ini sebelum bergantung padanya.

Meskipun beberapa penyedia mengizinkan Anda untuk mengubah bandwidth Anda, pastikan Anda memilih bandwidth awal yang melebihi kebutuhan Anda dan memberikan ruang untuk pertumbuhan. Jika Anda perlu meningkatkan bandwidth di masa mendatang, Anda memiliki dua opsi:

• Tingkatkan bandwidth. Anda harus menghindari opsi ini sebanyak mungkin, dan tidak semua penyedia mengizinkan Anda untuk meningkatkan bandwidth secara dinamis. Tetapi jika peningkatan bandwidth diperlukan, hubungi penyedia Anda untuk memverifikasi bahwa penyedia tersebut mendukung perubahan properti bandwidth ExpressRoute melalui perintah PowerShell. Jika penyedia mendukungnya, jalankan perintah di bawah ini.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Anda dapat meningkatkan bandwidth tanpa kehilangan konektivitas. Menurunkan bandwidth akan mengakibatkan gangguan konektivitas, karena Anda harus menghapus sirkuit dan membuatnya kembali dengan konfigurasi baru.

• Ubah paket harga Anda dan/atau tingkatkan ke Premium. Untuk melakukannya, jalankan perintah berikut. Properti Sku.Tier dapat berupa Standard atau Premium; properti Sku.Name dapat berupa MeteredData atau UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Penting

  Pastikan properti Sku.Name cocok dengan Sku.Tier dan Sku.Family. Jika Anda mengubah keluarga dan tingkat, tetapi bukan namanya, koneksi Anda akan dinonaktifkan.

  Anda dapat meningkatkan SKU tanpa gangguan, tetapi Anda tidak dapat beralih dari paket harga tak terbatas ke berbayar. Saat menurunkan SKU, penggunaan bandwidth Anda harus tetap dalam batas default SKU standar.

Ketersediaan

ExpressRoute tidak mendukung protokol redundansi router seperti hot standby routing protocol (HSRP) dan virtual router redundancy protocol (VRRP) untuk menerapkan ketersediaan tinggi. Sebagai gantinya, ExpressRoute menggunakan sepasang sesi BGP redundan per peering. Untuk memfasilitasi koneksi yang sangat tersedia ke jaringan Anda, Azure memberi Anda dua port redundan pada dua router (bagian dari Microsoft edge) dalam konfigurasi aktif-aktif.

Secara default, sesi BGP menggunakan nilai batas waktu diam 60 detik. Jika waktu sesi habis tiga kali (total 180 detik), router ditandai sebagai tidak tersedia, dan semua lalu lintas dialihkan ke router yang tersisa. Batas waktu 180 detik ini mungkin terlalu lama untuk aplikasi penting. Jika demikian, Anda dapat mengubah pengaturan batas waktu BGP di router lokal ke nilai yang lebih kecil. ExpressRoute juga mendukung Deteksi Penerusan Dua Arah (BFD) melalui peering privat. Dengan mengaktifkan BFD melalui ExpressRoute, Anda dapat mempercepat deteksi kegagalan tautan antara perangkat edge Microsoft Enterprise (MSEE) dan router tempat Anda menghentikan sirkuit ExpressRoute (PE). Anda dapat menghentikan ExpressRoute melalui perangkat perutean Customer Edge atau perangkat perutean Partner Edge (jika Anda menggunakan layanan koneksi Lapisan 3 terkelola).

Anda dapat mengonfigurasi ketersediaan tinggi untuk koneksi Azure Anda dengan cara yang berbeda, tergantung pada jenis penyedia yang Anda gunakan, dan jumlah sirkuit ExpressRoute dan koneksi gateway jaringan virtual yang ingin Anda konfigurasikan. Berikut ini ringkasan opsi ketersediaan Anda:

• Jika Anda menggunakan koneksi lapisan 2, sebarkan router redundan di jaringan lokal Anda dalam konfigurasi aktif-aktif. Sambungkan sirkuit utama ke satu router, dan sirkuit sekunder ke yang lain. Ini akan memberi Anda koneksi yang sangat tersedia di kedua ujung koneksi. Ini diperlukan jika Anda memerlukan perjanjian tingkat layanan ExpressRoute (SLA). Lihat SLA untuk Azure ExpressRoute untuk detailnya.

  Diagram berikut menunjukkan konfigurasi dengan router lokal redundan yang tersambung ke sirkuit utama dan sekunder. Setiap sirkuit menangani lalu lintas untuk peering privat (setiap peering ditunjuk sebagai sepasang ruang alamat /30, seperti yang dijelaskan di bagian sebelumnya).

  

• Jika Anda menggunakan koneksi lapisan 3, pastikan koneksi tersebut menyediakan sesi BGP redundan yang menangani ketersediaan untuk Anda.

• Sambungkan VNet ke beberapa sirkuit ExpressRoute, yang disediakan oleh penyedia layanan yang berbeda. Strategi ini memberikan tambahan ketersediaan tinggi dan kemampuan pemulihan bencana.

• Konfigurasikan VPN site-to-site sebagai jalur failover untuk ExpressRoute. Untuk informasi selengkapnya tentang opsi ini, lihat Menyambungkan jaringan lokal ke Azure menggunakan ExpressRoute dengan failover VPN. Opsi ini hanya berlaku untuk peering privat. Untuk layanan Azure dan Microsoft 365, internet adalah satu-satunya jalur failover.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

Anda dapat mengonfigurasi opsi keamanan untuk koneksi Azure Anda dengan cara yang berbeda, tergantung pada masalah keamanan dan kebutuhan kepatuhan Anda.

ExpressRoute beroperasi di layer 3. Ancaman di lapisan aplikasi dapat dicegah dengan menggunakan alat keamanan jaringan yang membatasi lalu lintas ke sumber daya yang sah.

Untuk memaksimalkan keamanan, tambahkan peralatan keamanan jaringan antara jaringan lokal dan router edge penyedia. Ini akan membantu membatasi arus masuk lalu lintas tidak sah dari VNet:

Untuk tujuan audit atau kepatuhan, mungkin perlu untuk melarang akses langsung dari komponen yang berjalan di VNet ke internet dan menerapkan penerowongan paksa. Dalam situasi ini, lalu lintas internet harus dialihkan kembali melalui proksi yang berjalan di lingkungan lokal yang dapat diaudit. Proksi dapat dikonfigurasi untuk memblokir lalu lintas tidak sah yang mengalir keluar, dan memfilter lalu lintas masuk yang berpotensi berbahaya.

Untuk memaksimalkan keamanan, jangan aktifkan alamat IP publik untuk VM Anda, dan gunakan NSG untuk memastikan bahwa VM ini tidak dapat diakses secara publik. VM seharusnya hanya tersedia menggunakan alamat IP internal. Alamat ini dapat diakses melalui jaringan ExpressRoute, memungkinkan staf DevOps lokal untuk melakukan konfigurasi atau pemeliharaan.

Jika Anda harus mengekspos titik akhir manajemen untuk VM ke jaringan eksternal, gunakan NSG atau daftar kontrol akses untuk membatasi visibilitas port ini ke daftar alamat IP atau jaringan yang diizinkan.

Pemantauan jaringan

Gunakan Network Watcher untuk memantau dan memecahkan masalah komponen jaringan, alat seperti Analitik Lalu Lintas akan menunjukkan sistem di jaringan virtual Anda yang menghasilkan sebagian besar lalu lintas, sehingga Anda dapat mengidentifikasi penyempitan secara visual sebelum berubah menjadi masalah. Manajer Performa Jaringan memiliki kemampuan untuk memantau informasi tentang sirkuit Microsoft ExpressRoute.

Anda juga dapat menggunakan Azure Connectivity Toolkit (AzureCT) untuk memantau konektivitas antara pusat data lokal dan Azure.

Untuk informasi selengkapnya, lihat bagian DevOps di Microsoft Azure Well-Architected Framework. Untuk informasi khusus untuk pemantauan, lihat Pemantauan Untuk DevOps.

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

Gunakan kalkulator harga Azure untuk memperkirakan biaya.

Bagian berikutnya menjelaskan biaya layanan yang digunakan dalam arsitektur ini.

Azure ExpressRoute

Dalam arsitektur ini, sirkuit ExpressRoute digunakan untuk bergabung dengan jaringan lokal dengan Azure melalui router edge.

Ada dua paket utama. Dalam paket Data Terukur, semua transfer data masuk gratis. Semua transfer data keluar dikenakan biaya berdasarkan tarif yang telah ditentukan.

Anda juga dapat memilih paket Data Tak Terbatas yang semua transfer data masuk dan keluarnya gratis. Pengguna dikenakan biaya port bulanan tetap berdasarkan ketersediaan port ganda yang tinggi.

Hitung penggunaan Anda dan pilih paket penagihan yang sesuai. Paket Data Tak Terbatas direkomendasikan jika Anda melebihi sekitar 68% pemanfaatan.

Untuk informasi selengkapnya, lihat Harga Azure ExpressRoute.

Microsoft Azure Virtual Network

Semua tingkat aplikasi dihosting dalam satu jaringan virtual dan disegmentasikan menggunakan subnet.

Azure Virtual Network gratis. Setiap langganan diizinkan untuk membuat hingga 50 jaringan virtual di semua wilayah. Semua lalu lintas yang terjadi dalam batas jaringan virtual gratis. Jadi, komunikasi antara dua VM dalam jaringan virtual yang sama gratis.

Langkah berikutnya

Dokumentasi produk:

• Layanan Microsoft 365
• Apa itu Azure ExpressRoute?
• Apa itu Azure Virtual Network?

Modul Microsoft Learn:

• Mengonfigurasi ExpressRoute dan Virtual WAN
• Mengonfigurasi peering jaringan virtual
• Merancang dan mengimplementasikan Azure ExpressRoute
• Menjelajahi layanan platform Microsoft 365

Sumber daya terkait

• Desain arsitektur hibrid
• Menyambungkan jaringan lokal ke Azure menggunakan ExpressRoute
• Memperluas jaringan lokal menggunakan VPN