Revisione di Azure Well-Architected Framework - Azure ExpressRoute
Questo articolo illustra le procedure consigliate per l'architettura per Azure ExpressRoute. Le linee guida si basano sui cinque pilastri dell'eccellenza dell'architettura:
Si supponga di avere una conoscenza approfondita di Azure ExpressRoute e di avere tutte le relative funzionalità. Per altre informazioni, vedere Azure ExpressRoute.
Prerequisiti
Per il contesto, valutare la possibilità di esaminare un'architettura di riferimento che rifletta queste considerazioni nella progettazione. È consigliabile iniziare con le linee guida della metodologia Cloud Adoption Framework Ready Connettersi ad Azure e Architect per la connettività ibrida con Azure ExpressRoute. Per le architetture di applicazioni con poco codice, è consigliabile consultare Abilitazione di ExpressRoute per Power Platform durante la pianificazione e la configurazione di ExpressRoute per l'uso con Microsoft Power Platform.
Affidabilità
Nel cloud si riconosce che gli errori possono verificarsi. Invece di provare a evitare completamente gli errori, l'obiettivo deve essere quello di ridurre al minimo gli effetti di un singolo componente in errore. Usare le informazioni seguenti per ridurre al minimo i tempi di inattività da e verso Azure quando si stabilisce la connettività con Azure ExpressRoute.
Quando si parla dell'affidabilità con Azure ExpressRoute, è importante prendere in considerazione l'utilizzo della larghezza di banda, il layout fisico della rete e il ripristino di emergenza in caso di errori. Azure ExpressRoute è in grado di ottenere queste considerazioni di progettazione e di avere raccomandazioni per ogni elemento nell'elenco di controllo.
Nell'elenco di controllo di progettazione e nell'elenco dei consigli riportati di seguito vengono presentate informazioni per progettare una rete a disponibilità elevata tra l'ambiente azure e la rete locale.
Elenco di controllo della progettazione
Quando si effettuano scelte di progettazione per Azure ExpressRoute, esaminare i principi di progettazione per aggiungere affidabilità all'architettura.
- Selezionare tra il circuito ExpressRoute o ExpressRoute Direct per i requisiti aziendali.
- Configurare una rete a più livelli fisici per il provider di servizi.
- Configurare circuiti ExpressRoute con provider di servizi diversi per avere percorsi di routing diversi.
- Configurare Active-Active connessioni ExpressRoute tra l'ambiente locale e Azure.
- Configurare le zone di disponibilità che supportano ExpressRoute Rete virtuale Gateway.
- Configurare circuiti ExpressRoute in una posizione diversa rispetto alla rete locale.
- Configurare ExpressRoute Rete virtuale Gateway in aree diverse.
- Configurare la VPN da sito a sito come backup nel peering privato ExpressRoute.
- Configurare il monitoraggio per il circuito ExpressRoute e l'integrità del gateway ExpressRoute Rete virtuale.
- Configurare l'integrità del servizio per ricevere la notifica di manutenzione del circuito ExpressRoute.
Consigli
Esplorare la tabella di raccomandazioni seguente per ottimizzare la configurazione di ExpressRoute per l'affidabilità.
| Recommendation | Vantaggi |
|---|---|
| Pianificare il circuito ExpressRoute o ExpressRoute Direct | Durante la fase di pianificazione iniziale, si vuole decidere se configurare un circuito ExpressRoute o una connessione ExpressRoute Direct. Un circuito ExpressRoute consente una connessione privata dedicata in Azure con l'aiuto di un provider di connettività. ExpressRoute Direct consente di estendere la rete locale direttamente nella rete Microsoft in un percorso di peering. È anche necessario identificare il requisito di larghezza di banda e il requisito del tipo di SKU per le esigenze aziendali. |
| Diversità dei livelli fisici | Per una migliore resilienza, pianificare più percorsi tra l'istanza perimetrale locale e le posizioni di peering (percorsi provider/Microsoft Edge). Questa configurazione può essere ottenuta tramite provider di servizi diversi o tramite un percorso diverso dalla rete locale. |
| Pianificare circuiti con ridondanza geografica | Per pianificare il ripristino di emergenza, configurare circuiti ExpressRoute in più località di peering. È possibile creare circuiti in località di peering nella stessa metropolitana o metropolitana diversa e scegliere di lavorare con diversi provider di servizi per percorsi diversi attraverso ogni circuito. Per altre informazioni, vedere Progettazione per il ripristino di emergenza e Progettazione per la disponibilità elevata. |
| Pianificare la connettività Active-Active | I circuiti dedicati ExpressRoute garantiscono 99.95% la disponibilità quando viene configurata una connettività attiva-attiva tra l'ambiente locale e Azure. Questa modalità offre una maggiore disponibilità della connessione Expressroute. È anche consigliabile configurare BFD per un failover più rapido in caso di errore di collegamento in una connessione. |
| Pianificazione dei gateway Rete virtuale | Creare un gateway con riconoscimento della zona di disponibilità Rete virtuale per una maggiore resilienza e pianificare i gateway Rete virtuale in un'area diversa per il ripristino di emergenza e la disponibilità elevata. |
| Monitorare i circuiti e l'integrità del gateway | Configurare il monitoraggio e gli avvisi per i circuiti ExpressRoute e l'integrità del gateway Rete virtuale in base alle diverse metriche disponibili. |
| Abilitare l'integrità dei servizi | ExpressRoute usa l'integrità del servizio per notificare la manutenzione pianificata e non pianificata. La configurazione dell'integrità del servizio invierà una notifica sulle modifiche apportate ai circuiti ExpressRoute. |
Per altri suggerimenti, vedere Principi del pilastro dell'affidabilità.
Azure Advisor offre molti consigli per i circuiti ExpressRoute in relazione all'affidabilità. Ad esempio, Azure Advisor può rilevare:
- Gateway ExpressRoute in cui viene distribuito un solo circuito ExpressRoute, anziché più. Sono consigliati più circuiti ExpressRoute per aggiungere resilienza per il percorso di peering.
- I circuiti ExpressRoute che non vengono osservati da Monitoraggio connessione, perché il monitoraggio end-to-end del circuito ExpressRoute è fondamentale per informazioni dettagliate sull'affidabilità.
- Topologie di rete che coinvolgono più posizioni di peering che traggono vantaggio da Copertura globale di ExpressRoute per migliorare le progettazioni di ripristino di emergenza per la connettività locale per tenere conto della perdita di connettività non pianificata.
Sicurezza
La sicurezza è uno degli aspetti essenziali di qualsiasi architettura. ExpressRoute offre funzionalità per l'uso del principio dei privilegi minimi e della difesa in difesa. È consigliabile esaminare i principi di progettazione della sicurezza.
Elenco di controllo della progettazione
- Configurare il log attività per l'invio dei log all'archivio.
- Gestire un inventario degli account amministrativi con accesso alle risorse di ExpressRoute.
- Configurare l'hash MD5 nel circuito ExpressRoute.
- Configurare MACSec per le risorse ExpressRoute Direct.
- Crittografare il traffico tramite peering privato e peering Microsoft per il traffico di rete virtuale.
Consigli
Esplorare la tabella seguente di consigli per ottimizzare la configurazione di ExpressRoute per la sicurezza.
| Recommendation | Vantaggi |
|---|---|
| Configurare il log attività per l'invio di log all'archivio | I log attività forniscono informazioni dettagliate sulle operazioni eseguite a livello di sottoscrizione per le risorse di ExpressRoute. Con i log attività è possibile determinare chi e quando è stata eseguita un'operazione nel piano di controllo. La conservazione dei dati è di soli 90 giorni e deve essere archiviata in Log Analytics, in Hub eventi o in un account di archiviazione per l'archivio. |
| Gestire l'inventario degli account amministrativi | Usare il controllo degli accessi in base al ruolo di Azure per configurare i ruoli per limitare gli account utente che possono aggiungere, aggiornare o eliminare la configurazione del peering in un circuito ExpressRoute. |
| Configurare l'hash MD5 nel circuito ExpressRoute | Durante la configurazione del peering privato o del peering Microsoft, applicare un hash MD5 per proteggere i messaggi tra la route locale e i router MSEE. |
| Configurare MACSec per le risorse di ExpressRoute Direct | La sicurezza dei Controllo di accesso multimediali è una sicurezza da punto a punto a livello di collegamento dati. ExpressRoute Direct supporta la configurazione di MACSec per evitare minacce alla sicurezza per protocolli come ARP, DHCP, LACP non normalmente protetto sul collegamento Ethernet. Per altre informazioni su come configurare MACSec, vedere MACSec per le porte ExpressRoute Direct. |
| Crittografare il traffico con IPsec | Configurare un tunnel VPN da sito a sito nel circuito ExpressRoute per crittografare il trasferimento dei dati tra la rete locale e la rete virtuale di Azure. È possibile configurare un tunnel usando il peering privato o il peering Microsoft. |
Per altri suggerimenti, vedere Principi del pilastro della sicurezza.
Ottimizzazione dei costi
L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. È consigliabile esaminare il principio di progettazione dell'ottimizzazione dei costi e Pianificare e gestire i costi per Azure ExpressRoute.
Elenco di controllo della progettazione
- Acquisire familiarità con i prezzi di ExpressRoute.
- Determinare lo SKU e la larghezza di banda del circuito ExpressRoute necessari.
- Determinare le dimensioni del gateway di rete virtuale ExpressRoute necessarie.
- Monitorare i costi e creare avvisi di budget.
- Il deprovisioning dei circuiti ExpressRoute non è più in uso.
Consigli
Esplorare la tabella seguente di consigli per ottimizzare la configurazione di ExpressRoute per l'ottimizzazione dei costi.
| Recommendation | Vantaggi |
|---|---|
| Acquisire familiarità con i prezzi di ExpressRoute | Per informazioni sui prezzi di ExpressRoute, vedere Informazioni sui prezzi per Azure ExpressRoute. È anche possibile usare il calcolatore prezzi. Assicurarsi che le opzioni siano adeguatamente dimensionati per soddisfare la domanda di capacità e offrire prestazioni previste senza sprecare risorse. |
| Determinare lo SKU e la larghezza di banda necessari | Il modo in cui viene addebitato l'utilizzo di ExpressRoute varia tra i tre tipi di SKU diversi. Con lo SKU locale, viene addebitato automaticamente un piano dati Illimitato. Con lo SKU Standard e Premium è possibile scegliere tra un piano dati a consumo o un piano dati Illimitato. Tutti i dati in ingresso sono gratuiti tranne quando si usa il componente aggiuntivo Copertura globale. È importante comprendere quali tipi di SKU e piano dati funzionano meglio per il carico di lavoro per ottimizzare al meglio i costi e il budget. Per altre informazioni sul ridimensionamento del circuito ExpressRoute, vedere Aggiornamento della larghezza di banda del circuito ExpressRoute. |
| Determinare le dimensioni del gateway di rete virtuale ExpressRoute | I gateway di rete virtuale ExpressRoute vengono usati per passare il traffico in una rete virtuale tramite peering privato. Esaminare le esigenze di prestazioni e scalabilità dello SKU del gateway Rete virtuale preferito. Selezionare lo SKU del gateway appropriato nel carico di lavoro locale in Azure. |
| Monitorare i costi e creare avvisi di budget | Monitorare il costo del circuito ExpressRoute e creare avvisi per rilevare anomalie di spesa e rischi in sospeso. Per altre informazioni, vedere Monitoraggio dei costi di ExpressRoute. |
| Eseguire il deprovisioning ed eliminare circuiti ExpressRoute non più in uso. | I circuiti ExpressRoute vengono addebitati dal momento in cui vengono creati. Per ridurre i costi non necessari, effettuare il deprovisioning del circuito con il provider di servizi ed eliminare il circuito ExpressRoute dalla sottoscrizione. Per informazioni su come rimuovere un circuito ExpressRoute, vedere Deprovisioning di un circuito ExpressRoute. |
Per altri suggerimenti, vedere Elenco di controllo per la revisione della progettazione per Ottimizzazione costi.
Azure Advisor è in grado di rilevare circuiti ExpressRoute distribuiti per un periodo di tempo significativo, ma con lo stato del provider Non sottoposto a provisioning. I circuiti in questo stato non sono operativi; e la rimozione della risorsa inutilizzata ridurrà i costi non necessari.
Eccellenza operativa
Il monitoraggio e la diagnostica sono fondamentali. Non solo è possibile misurare le statistiche sulle prestazioni, ma anche usare le metriche per risolvere e risolvere rapidamente i problemi. È consigliabile esaminare i principi di progettazione dell'eccellenza operativa.
Elenco di controllo della progettazione
- Configurare il monitoraggio delle connessioni tra la rete locale e quella di Azure.
- Configurare l'integrità dei servizi per la ricezione della notifica.
- Esaminare le metriche e i dashboard disponibili tramite ExpressRoute Insights usando Informazioni dettagliate sulla rete.
- Esaminare le metriche delle risorse di ExpressRoute.
Consigli
Esplorare la tabella seguente di consigli per ottimizzare la configurazione di ExpressRoute per l'eccellenza operativa.
| Recommendation | Vantaggi |
|---|---|
| Configurare il monitoraggio delle connessioni | Il monitoraggio delle connessioni consente di monitorare la connettività tra le risorse locali e Azure tramite il peering privato ExpressRoute e la connessione peering Microsoft. Il monitoraggio della connessione può rilevare i problemi di rete identificando dove si trova il percorso di rete e consente di risolvere rapidamente gli errori di configurazione o hardware. |
| Configurare l'integrità dei servizi | Configurare le notifiche di Integrità dei servizi per avvisare quando viene eseguita la manutenzione pianificata e futura a tutti i circuiti ExpressRoute nella sottoscrizione. Integrità dei servizi visualizza anche la manutenzione precedente insieme all'RCA se si verifica una manutenzione non pianificata. |
| Esaminare le metriche con Network Insights | Informazioni dettagliate su ExpressRoute con Informazioni dettagliate sulla rete consentono di esaminare e analizzare circuiti ExpressRoute, gateway, metriche di connessione e dashboard di integrità. ExpressRoute Insights offre anche una visualizzazione della topologia delle connessioni ExpressRoute in cui è possibile visualizzare i dettagli dei componenti di peering in un'unica posizione. Metriche disponibili: -Disponibilità -Velocità effettiva - Metriche del gateway |
| Esaminare le metriche delle risorse di ExpressRoute | ExpressRoute usa Monitoraggio di Azure per raccogliere le metriche e creare avvisi in base alla configurazione. Le metriche vengono raccolte per circuiti ExpressRoute, gateway ExpressRoute, connessioni gateway ExpressRoute ed ExpressRoute Direct. Queste metriche sono utili per diagnosticare i problemi di connettività e comprendere le prestazioni della connessione ExpressRoute. |
Per altri suggerimenti, vedere Principi del pilastro dell'eccellenza operativa.
Efficienza delle prestazioni
L'efficienza delle prestazioni è la capacità di ridimensionare il carico di lavoro soddisfare in modo efficiente le richieste poste dagli utenti. È consigliabile esaminare i principi di efficienza delle prestazioni.
Elenco di controllo della progettazione
- Testare le prestazioni del gateway ExpressRoute per soddisfare i requisiti di carico del lavoro.
- Aumentare le dimensioni del gateway ExpressRoute.
- Aggiornare la larghezza di banda del circuito ExpressRoute.
- Abilitare ExpressRoute FastPath per una velocità effettiva maggiore.
- Monitorare le metriche del circuito ExpressRoute e del gateway.
Consigli
Esplorare la tabella seguente di consigli per ottimizzare la configurazione di ExpressRoute per l'efficienza delle prestazioni.
| Recommendation | Vantaggi |
|---|---|
| Testare le prestazioni del gateway ExpressRoute per soddisfare i requisiti di carico del lavoro. | Usare Azure Connectivity Toolkit per testare le prestazioni nel circuito ExpressRoute per comprendere la capacità e la latenza della larghezza di banda della connessione di rete. |
| Aumentare le dimensioni del gateway ExpressRoute. | Eseguire l'aggiornamento a uno SKU del gateway superiore per migliorare le prestazioni della velocità effettiva tra l'ambiente locale e l'ambiente Azure. |
| Aggiornare la larghezza di banda del circuito ExpressRoute | Aggiornare la larghezza di banda del circuito per soddisfare i requisiti di carico di lavoro. La larghezza di banda del circuito viene condivisa tra tutte le reti virtuali connesse al circuito ExpressRoute. A seconda del carico di lavoro, una o più reti virtuali possono usare tutta la larghezza di banda nel circuito. |
| Abilitare ExpressRoute FastPath per una velocità effettiva maggiore | Se si usano prestazioni Ultra o un gateway di rete virtuale ErGW3AZ, è possibile abilitare FastPath per migliorare le prestazioni del percorso dati tra la rete locale e la rete virtuale di Azure. |
| Monitorare le metriche del circuito ExpressRoute e del gateway | Configurare gli avvisi in base alle metriche di ExpressRoute per notificare in modo proattivo quando viene raggiunta una determinata soglia. Queste metriche sono utili per comprendere le anomalie che possono verificarsi con la connessione ExpressRoute, ad esempio interruzioni e manutenzione dei circuiti ExpressRoute. |
Per altri suggerimenti, vedere Principi del pilastro dell'efficienza delle prestazioni.
Azure Advisor offrirà una raccomandazione per aggiornare la larghezza di banda del circuito ExpressRoute in modo da supportare l'utilizzo quando il circuito ha usato di recente oltre il 90% della larghezza di banda acquistata. Se il traffico supera la larghezza di banda allocata, si verificano pacchetti eliminati, che possono causare un impatto significativo sulle prestazioni o sull'affidabilità.
Criteri di Azure
Criteri di Azure non fornisce criteri predefiniti per ExpressRoute, ma è possibile creare criteri personalizzati per gestire il modo in cui i circuiti ExpressRoute devono corrispondere allo stato finale desiderato, ad esempio la scelta dello SKU, il tipo di peering, le configurazioni di peering e così via.
Risorse aggiuntive
Linee guida di Cloud Adoption Framework
Passaggi successivi
Configurare un circuito ExpressRoute o una porta ExpressRoute Direct per stabilire la comunicazione tra la rete locale e Azure.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per