Ulasan Azure Well-Architected Framework - Azure ExpressRoute
Artikel ini menyediakan praktik terbaik arsitektur untuk Azure ExpressRoute. Panduan ini didasarkan pada lima pilar keunggulan arsitektur:
Kami berasumsi bahwa Anda memiliki pengetahuan kerja tentang Azure ExpressRoute dan berpengalaman dengan semua fiturnya. Untuk informasi selengkapnya, lihat Azure ExpressRoute.
Prasyarat
Untuk konteksnya, pertimbangkan untuk meninjau arsitektur referensi yang mencerminkan pertimbangan ini dalam desainnya. Kami menyarankan agar Anda mulai dengan panduan metodologi Cloud Adoption Framework Ready Hubungkan ke Azure dan Arsitek untuk konektivitas hibrid dengan Azure ExpressRoute. Untuk arsitektur aplikasi kode rendah, sebaiknya tinjau Mengaktifkan ExpressRoute untuk Power Platform saat merencanakan dan mengonfigurasi ExpressRoute untuk digunakan dengan Microsoft Power Platform.
Keandalan
Di cloud, kami mengakui bahwa kegagalan terjadi. Alih-alih mencoba mencegah kegagalan sama sekali, tujuannya adalah untuk meminimalkan efek dari satu komponen yang gagal. Gunakan informasi berikut untuk meminimalkan waktu henti ke dan dari Azure saat membuat konektivitas menggunakan Azure ExpressRoute.
Saat membahas tentang keandalan dengan Azure ExpressRoute, penting untuk mempertimbangkan penggunaan bandwidth, tata letak fisik jaringan, dan pemulihan bencana jika ada kegagalan. Azure ExpressRoute mampu mencapai pertimbangan desain ini dan memiliki rekomendasi untuk setiap item dalam daftar periksa.
Dalam daftar periksa desain dan daftar rekomendasi di bawah ini, informasi disajikan agar Anda dapat merancang jaringan yang sangat tersedia antara lingkungan Azure dan jaringan lokal Anda.
Daftar periksa desain
Saat Anda membuat pilihan desain untuk Azure ExpressRoute, tinjau prinsip desain untuk menambahkan keandalan ke arsitektur.
- Pilih antara sirkuit ExpressRoute atau ExpressRoute Direct untuk persyaratan bisnis.
- Konfigurasikan beragam jaringan lapisan fisik ke penyedia layanan.
- Konfigurasikan sirkuit ExpressRoute dengan penyedia layanan yang berbeda untuk memiliki jalur perutean yang beragam.
- Konfigurasikan Active-Active koneksi ExpressRoute antara lokal dan Azure.
- Siapkan ExpressRoute Virtual Network Gateway yang sadar zona ketersediaan.
- Konfigurasikan sirkuit ExpressRoute di lokasi yang berbeda dari jaringan lokal.
- Mengonfigurasi Gateway Virtual Network ExpressRoute di berbagai wilayah.
- Konfigurasikan VPN situs-ke-situs sebagai cadangan ke peering privat ExpressRoute.
- Siapkan pemantauan untuk sirkuit ExpressRoute dan kesehatan ExpressRoute Virtual Network Gateway.
- Konfigurasikan kesehatan layanan untuk menerima pemberitahuan pemeliharaan sirkuit ExpressRoute.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi ExpressRoute Anda untuk Keandalan.
| Rekomendasi | Manfaat |
|---|---|
| Merencanakan sirkuit ExpressRoute atau ExpressRoute Direct | Selama fase perencanaan awal, Anda ingin memutuskan apakah Anda ingin mengonfigurasi sirkuit ExpressRoute atau koneksi ExpressRoute Direct. Sirkuit ExpressRoute memungkinkan koneksi khusus privat ke Azure dengan bantuan penyedia konektivitas. ExpressRoute Direct memungkinkan Anda memperluas jaringan lokal langsung ke jaringan Microsoft di lokasi peering. Anda juga perlu mengidentifikasi persyaratan bandwidth dan persyaratan jenis SKU untuk kebutuhan bisnis Anda. |
| Keragaman lapisan fisik | Untuk ketahanan yang lebih baik, rencanakan untuk memiliki beberapa jalur antara tepi lokal dan lokasi peering (lokasi edge penyedia/Microsoft). Konfigurasi ini dapat dicapai dengan melalui penyedia layanan yang berbeda atau melalui lokasi yang berbeda dari jaringan lokal. |
| Merencanakan sirkuit geo-redundan | Untuk merencanakan pemulihan bencana, siapkan sirkuit ExpressRoute di lebih dari satu lokasi peering. Anda dapat membuat sirkuit di lokasi peering di metro yang sama atau metro yang berbeda dan memilih untuk bekerja dengan penyedia layanan yang berbeda untuk jalur yang beragam melalui setiap sirkuit. Untuk informasi selengkapnya, lihat Merancang untuk pemulihan bencana dan Merancang untuk ketersediaan tinggi. |
| Merencanakan konektivitas Active-Active | Sirkuit khusus ExpressRoute menjamin 99.95% ketersediaan saat konektivitas aktif-aktif dikonfigurasi antara lokal dan Azure. Mode ini memberikan ketersediaan koneksi Expressroute yang lebih tinggi. Disarankan juga untuk mengonfigurasi BFD untuk failover yang lebih cepat jika ada kegagalan tautan pada koneksi. |
| Merencanakan gateway Virtual Network | Buat zona ketersediaan yang sadar Virtual Network Gateway untuk ketahanan dan rencana yang lebih tinggi untuk Gateway Virtual Network di berbagai wilayah untuk pemulihan bencana dan ketersediaan tinggi. |
| Memantau sirkuit dan kesehatan gateway | Siapkan pemantauan dan pemberitahuan untuk sirkuit ExpressRoute dan Virtual Network kesehatan Gateway berdasarkan berbagai metrik yang tersedia. |
| Mengaktifkan kesehatan layanan | ExpressRoute menggunakan kesehatan layanan untuk memberi tahu tentang pemeliharaan yang direncanakan dan tidak direncanakan. Mengonfigurasi kesehatan layanan akan memberi tahu Anda tentang perubahan yang dilakukan pada sirkuit ExpressRoute Anda. |
Untuk saran lainnya, lihat Prinsip pilar keandalan.
Azure Advisor memberikan banyak rekomendasi untuk sirkuit ExpressRoute karena berkaitan dengan keandalan. Misalnya, Azure Advisor dapat mendeteksi:
- Gateway ExpressRoute di mana hanya satu sirkuit ExpressRoute yang disebarkan, bukan beberapa. Beberapa sirkuit ExpressRoute direkomendasikan untuk menambahkan ketahanan untuk lokasi peering.
- Sirkuit ExpressRoute yang tidak diamati oleh Pemantau Koneksi, karena pemantauan menyeluruh sirkuit ExpressRoute Anda sangat penting untuk wawasan keandalan.
- Topologi jaringan yang melibatkan beberapa lokasi peering yang akan mendapat manfaat dari ExpressRoute Global Reach untuk meningkatkan desain pemulihan bencana untuk konektivitas lokal untuk memperhitungkan kehilangan konektivitas yang tidak diencana.
Keamanan
Keamanan adalah salah satu aspek terpenting dari arsitektur apa pun. ExpressRoute menyediakan fitur untuk menggunakan prinsip hak istimewa paling sedikit dan pertahanan dalam pertahanan. Kami sarankan Anda meninjau prinsip desain Keamanan.
Daftar periksa desain
- Konfigurasikan log Aktivitas untuk mengirim log ke arsip.
- Pertahankan inventaris akun administratif dengan akses ke sumber daya ExpressRoute.
- Konfigurasikan hash MD5 di sirkuit ExpressRoute.
- Mengonfigurasi MACSec untuk sumber daya ExpressRoute Direct.
- Enkripsi lalu lintas melalui peering privat dan peering Microsoft untuk lalu lintas jaringan virtual.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi ExpressRoute Anda untuk keamanan.
| Rekomendasi | Manfaat |
|---|---|
| Mengonfigurasi log Aktivitas untuk mengirim log ke arsip | Log aktivitas memberikan wawasan tentang operasi yang dilakukan pada tingkat langganan untuk sumber daya ExpressRoute. Dengan log Aktivitas, Anda dapat menentukan siapa dan kapan operasi dilakukan di sarana kontrol. Retensi data hanya 90 hari dan harus disimpan di Log Analytics, Event Hubs, atau akun penyimpanan untuk arsip. |
| Pertahankan inventarsi akun administratif | Gunakan Azure RBAC untuk mengonfigurasi peran untuk membatasi akun pengguna yang dapat menambahkan, memperbarui, atau menghapus konfigurasi peering di sirkuit ExpressRoute. |
| Mengonfigurasi hash MD5 di sirkuit ExpressRoute | Selama konfigurasi peering privat atau peering Microsoft, terapkan hash MD5 untuk mengamankan pesan antara rute lokal dan router MSEE. |
| Mengonfigurasi MACSec untuk sumber daya ExpressRoute Direct | Keamanan Access Control media adalah keamanan titik-ke-titik di lapisan tautan data. ExpressRoute Direct mendukung konfigurasi MACSec untuk mencegah ancaman keamanan terhadap protokol seperti ARP, DHCP, LACP yang biasanya tidak diamankan pada tautan Ethernet. Untuk informasi selengkapnya tentang cara mengonfigurasi MACSec, lihat MACSec untuk port ExpressRoute Direct. |
| Mengenkripsi lalu lintas menggunakan IPsec | Konfigurasikan terowongan VPN Situs-ke-situs melalui sirkuit ExpressRoute Anda untuk mengenkripsi transfer data antara jaringan lokal Anda dan jaringan virtual Azure. Anda dapat mengonfigurasi terowongan menggunakan peering privat atau menggunakan peering Microsoft. |
Untuk saran selengkapnya, lihat Prinsip pilar keamanan.
Pengoptimalan biaya
Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Sebaiknya tinjau prinsip desain pengoptimalan biaya dan Rencanakan dan kelola biaya untuk Azure ExpressRoute.
Daftar periksa desain
- Biasakan diri Anda dengan harga ExpressRoute.
- Tentukan SKU sirkuit ExpressRoute dan bandwidth yang diperlukan.
- Tentukan ukuran gateway jaringan virtual ExpressRoute yang diperlukan.
- Pantau biaya dan buat pemberitahuan anggaran.
- Sirkuit ExpressRoute deprovision tidak lagi digunakan.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi ExpressRoute Anda untuk pengoptimalan Biaya.
| Rekomendasi | Manfaat |
|---|---|
| Biasakan diri Anda dengan harga ExpressRoute | Untuk informasi tentang harga ExpressRoute, lihat Memahami harga untuk Azure ExpressRoute. Anda juga dapat menggunakan Kalkulator harga. Pastikan opsi memiliki ukuran yang memadai untuk memenuhi permintaan kapasitas dan memberikan performa yang diharapkan tanpa membuang-buang sumber daya. |
| Menentukan SKU dan bandwidth yang diperlukan | Cara Anda ditagih untuk penggunaan ExpressRoute bervariasi di antara tiga jenis SKU yang berbeda. Dengan SKU Lokal, Anda secara otomatis dikenakan paket data Tanpa Batas. Dengan SKU Standar dan Premium, Anda dapat memilih antara paket data Terukur atau Tidak Terbatas. Semua data ingress tidak dikenakan biaya kecuali saat menggunakan add-on Jangkauan Global. Penting untuk memahami jenis dan paket data SKU mana yang paling sesuai untuk beban kerja Anda untuk mengoptimalkan biaya dan anggaran dengan sebaik-baiknya. Untuk informasi selengkapnya tentang mengubah ukuran sirkuit ExpressRoute, lihat meningkatkan bandwidth sirkuit ExpressRoute. |
| Menentukan ukuran gateway jaringan virtual ExpressRoute | Gateway jaringan virtual ExpressRoute digunakan untuk meneruskan lalu lintas ke jaringan virtual melalui peering privat. Tinjau kebutuhan performa dan skala Virtual Network Gateway SKU pilihan Anda. Pilih SKU gateway yang sesuai di beban kerja lokal Anda ke Azure. |
| Memantau biaya dan membuat pemberitahuan anggaran | Pantau biaya sirkuit ExpressRoute Anda dan buat pemberitahuan untuk menghabiskan anomali dan risiko pengeluaran berlebih. Untuk informasi selengkapnya, lihat Memantau biaya ExpressRoute. |
| Deprovisi dan hapus sirkuit ExpressRoute tidak lagi digunakan. | Sirkuit ExpressRoute dibebankan sejak dibuat. Untuk mengurangi biaya yang tidak perlu, batalkan penyediaan sirkuit dengan penyedia layanan dan hapus sirkuit ExpressRoute dari langganan Anda. Untuk langkah-langkah tentang cara menghapus sirkuit ExpressRoute, lihat Mencabut akses sirkuit ExpressRoute. |
Untuk saran lainnya, lihat Daftar periksa tinjauan desain untuk Pengoptimalan Biaya.
Azure Advisor dapat mendeteksi sirkuit ExpressRoute yang telah disebarkan untuk waktu yang signifikan tetapi memiliki status penyedia Tidak Disediakan. Sirkuit dalam keadaan ini tidak beroperasi; dan menghapus sumber daya yang tidak digunakan akan mengurangi biaya yang tidak perlu.
Keunggulan operasional
Pemantauan dan diagnostik sangat penting. Anda tidak hanya dapat mengukur statistik performa tetapi juga menggunakan metrik memecahkan dan memulihkan masalah dengan cepat. Kami sarankan Anda meninjau prinsip desain Keunggulan operasional.
Daftar periksa desain
- Konfigurasikan pemantauan koneksi antara jaringan lokal dan Azure Anda.
- Mengonfigurasi Service Health untuk menerima pemberitahuan.
- Tinjau metrik dan dasbor yang tersedia melalui ExpressRoute Insights menggunakan Wawasan Jaringan.
- Tinjau metrik sumber daya ExpressRoute.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi ExpressRoute Anda untuk Keunggulan operasional.
| Rekomendasi | Manfaat |
|---|---|
| Mengonfigurasi pemantauan koneksi | Pemantauan koneksi memungkinkan Anda memantau konektivitas antara sumber daya lokal dan Azure melalui peering privat ExpressRoute dan koneksi peering Microsoft. Pemantau koneksi dapat mendeteksi masalah jaringan dengan mengidentifikasi di mana sepanjang jalur jaringan masalahnya dan membantu Anda mengatasi kegagalan konfigurasi atau perangkat keras dengan cepat. |
| Mengonfigurasi Service Health | Siapkan pemberitahuan Service Health untuk memperingatkan saat pemeliharaan terencana dan yang akan datang terjadi pada semua sirkuit ExpressRoute dalam langganan Anda. Service Health juga menampilkan pemeliharaan sebelumnya bersama dengan RCA jika pemeliharaan yang tidak diencana terjadi. |
| Meninjau metrik dengan Wawasan Jaringan | ExpressRoute Insights dengan Wawasan Jaringan memungkinkan Anda meninjau dan menganalisis sirkuit ExpressRoute, gateway, metrik koneksi, dan dasbor kesehatan. ExpressRoute Insights juga menyediakan tampilan topologi koneksi ExpressRoute tempat Anda dapat melihat detail semua komponen peering Anda di satu tempat. Metrik tersedia: -Ketersediaan -Throughput - Metrik gateway |
| Meninjau metrik sumber daya ExpressRoute | ExpressRoute menggunakan Azure Monitor untuk mengumpulkan metrik dan membuat basis pemberitahuan pada konfigurasi Anda. Metrik dikumpulkan untuk sirkuit ExpressRoute, gateway ExpressRoute, koneksi gateway ExpressRoute, dan ExpressRoute Direct. Metrik ini berguna untuk mendiagnosis masalah konektivitas dan memahami performa koneksi ExpressRoute Anda. |
Untuk saran selengkapnya, lihat Prinsip pilar keunggulan operasional.
Efisiensi performa
Efisiensi performa adalah kemampuan beban kerja Anda untuk menskalakan untuk memenuhi tuntutan yang diberikan oleh pengguna dengan cara yang efisien. Kami sarankan Anda meninjau prinsip Efisiensi performa.
Daftar periksa desain
- Uji performa gateway ExpressRoute untuk memenuhi persyaratan beban kerja.
- Tingkatkan ukuran gateway ExpressRoute.
- Tingkatkan bandwidth sirkuit ExpressRoute.
- Aktifkan ExpressRoute FastPath untuk throughput yang lebih tinggi.
- Pantau metrik sirkuit dan gateway ExpressRoute.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi ExpressRoute Anda demi efisiensi performa.
| Rekomendasi | Manfaat |
|---|---|
| Uji performa gateway ExpressRoute untuk memenuhi persyaratan beban kerja. | Gunakan Azure Connectivity Toolkit untuk menguji performa di seluruh sirkuit ExpressRoute Anda untuk memahami kapasitas bandwidth dan latensi koneksi jaringan Anda. |
| Tingkatkan ukuran gateway ExpressRoute. | Tingkatkan ke SKU gateway yang lebih tinggi untuk meningkatkan performa throughput antara lingkungan lokal dan Azure. |
| Meningkatkan bandwidth sirkuit ExpressRoute | Tingkatkan bandwidth sirkuit Anda untuk memenuhi persyaratan beban kerja Anda. Bandwidth sirkuit dibagi antara semua jaringan virtual yang terhubung ke sirkuit ExpressRoute. Bergantung pada beban kerja Anda, satu atau beberapa jaringan virtual dapat menggunakan semua bandwidth di sirkuit. |
| Mengaktifkan ExpressRoute FastPath untuk throughput yang lebih tinggi | Jika Anda menggunakan performa Ultra atau gateway jaringan virtual ErGW3AZ, Anda dapat mengaktifkan FastPath untuk meningkatkan performa jalur data antara jaringan lokal dan jaringan virtual Azure Anda. |
| Memantau metrik sirkuit dan gateway ExpressRoute | Siapkan basis pemberitahuan pada metrik ExpressRoute untuk memberi tahu Anda secara proaktif saat ambang batas tertentu terpenuhi. Metrik ini berguna untuk memahami anomali yang dapat terjadi dengan koneksi ExpressRoute Anda seperti pemadaman dan pemeliharaan yang terjadi pada sirkuit ExpressRoute Anda. |
Untuk saran lainnya, lihat Prinsip pilar efisiensi performa.
Azure Advisor akan menawarkan rekomendasi untuk meningkatkan bandwidth sirkuit ExpressRoute Anda untuk mengakomodasi penggunaan saat sirkuit Anda baru-baru ini mengonsumsi lebih dari 90% bandwidth yang Anda peruntukan. Jika lalu lintas melebihi bandwidth yang dialokasikan, Anda akan mengalami penurunan paket, yang dapat menyebabkan dampak performa atau keandalan yang signifikan.
Kebijakan Azure
Azure Policy tidak menyediakan kebijakan bawaan apa pun untuk ExpressRoute, tetapi kebijakan kustom dapat dibuat untuk membantu mengatur bagaimana sirkuit ExpressRoute harus cocok dengan status akhir yang Anda inginkan, seperti pilihan SKU, jenis peering, konfigurasi peering, dan sebagainya.
Sumber Daya Tambahan:
Panduan Cloud Adoption Framework
Langkah berikutnya
Konfigurasikan sirkuit ExpressRoute atau port ExpressRoute Direct untuk membangun komunikasi antara jaringan lokal Anda dan Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk