Een on-premises netwerk verbinden met behulp van ExpressRoute

Deze referentiearchitectuur laat zien hoe u een on-premises netwerk verbindt met een virtueel Azure-netwerk met behulp van Azure ExpressRoute, met een site-naar-site virtueel particulier netwerk (VPN) als failoververbinding.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Workflow

De architectuur bestaat uit de volgende onderdelen.

• On-premises netwerk. Een lokaal privénetwerk dat binnen een organisatie wordt uitgevoerd.
• VPN-apparaat. Een apparaat of service dat een externe verbinding met het on-premises netwerk biedt. Het VPN-apparaat kan een hardwareapparaat zijn of kan een softwareoplossing zijn, zoals RRAS (Routing and Remote Access Service) in Windows Server 2012. Zie VPN-apparaten en IPSec-/IKE-parameters voor site-naar-site-VPN Gateway-verbindingen voor een lijst met ondersteunde VPN-apparaten en informatie over het configureren van een aantal VPN-apparaten voor verbinding met Azure.
• ExpressRoute-circuit. Een door de connectiviteitsprovider verstrekte laag-2- of laag-3-circuit dat via Azure verbinding maakt met de randrouters. Het circuit gebruikt de hardware-infrastructuur dat door de connectiviteitsprovider wordt beheerd.
• Virtuele ExpressRoute-netwerkgateway. Met de virtuele ExpressRoute-netwerkgateway kan het virtuele Azure-netwerk verbinding maken met het ExpressRoute-circuit dat wordt gebruikt voor connectiviteit met uw on-premises netwerk.
• Virtuele VPN-netwerkgateway. Met de virtuele VPN-netwerkgateway kan het virtuele Azure-netwerk verbinding maken met het VPN-apparaat in het on-premises netwerk. De virtuele VPN-netwerkgateway wordt geconfigureerd om alleen via het VPN-apparaat aanvragen te kunnen accepteren van het on-premises netwerk. Zie Connect an on-premises network to a Microsoft Azure virtual network (On-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk) voor meer informatie.
• VPN-verbinding. De verbinding heeft eigenschappen die het verbindingstype (IPSec) opgeven en tevens de sleutel die wordt gedeeld met het on-premises VPN-apparaat voor het versleutelen van verkeer.
• Virtueel Azure-netwerk. Elk virtueel netwerk bevindt zich in één Azure-regio en kan meerdere toepassingslagen hosten. Toepassingslagen kunnen worden gesegmenteerd met behulp van subnetten in elk virtueel netwerk.
• Gatewaysubnet. De virtuele netwerkgateways zijn ondergebracht in hetzelfde subnet.

Onderdelen

• Azure ExpressRoute
• Azure VPN Gateway
• Azure Virtual Network

Scenariodetails

Deze referentiearchitectuur laat zien hoe u een on-premises netwerk verbindt met een virtueel Azure-netwerk met behulp van ExpressRoute, met een site-naar-site virtueel particulier netwerk (VPN) als failoververbinding. Verkeer stroomt tussen het on-premises netwerk en het virtuele Azure-netwerk via een ExpressRoute-verbinding. Als er sprake is van een verlies van connectiviteit in het ExpressRoute-circuit, wordt verkeer gerouteerd via een IPSec VPN-tunnel. Deze oplossing implementeren.

Houd er rekening mee dat als het ExpressRoute-circuit niet beschikbaar is, de VPN-route alleen persoonlijke peeringverbindingen verwerkt. Openbare peering- en Microsoft-peeringverbindingen worden via internet doorgegeven.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Het virtuele netwerk en GatewaySubnet

Maak de gatewayverbinding van het virtuele ExpressRoute-netwerk en de vpn-gatewayverbinding in hetzelfde virtuele netwerk met een gatewayobject dat al aanwezig is. Ze delen beide hetzelfde subnet met de naam GatewaySubnet.

Als het virtuele netwerk al een subnet met de naam GatewaySubnet bevat, controleert u of het een /27- of grotere adresruimte heeft. Als het bestaande subnet te klein is, gebruikt u de volgende PowerShell-opdracht om het subnet te verwijderen:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Als het virtuele netwerk geen subnet met de naam GatewaySubnet bevat, maakt u een nieuw netwerk met behulp van de volgende PowerShell-opdracht:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN en ExpressRoute-gateways

Controleer of uw organisatie voldoet aan de vereisten voor ExpressRoute voor verbinding met Azure.

Als u al een virtuele VPN-netwerkgateway in uw virtuele Azure-netwerk hebt, gebruikt u de volgende PowerShell-opdracht om deze te verwijderen:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Volg de instructies in Een hybride netwerkarchitectuur configureren met Azure ExpressRoute om uw ExpressRoute-verbinding tot stand te brengen.

Volg de instructies in Een hybride netwerkarchitectuur configureren met Azure en on-premises VPN om uw virtuele VPN-netwerkgatewayverbinding tot stand te brengen.

Nadat u de gatewayverbindingen voor het virtuele netwerk tot stand hebt gebracht, test u de omgeving als volgt:

1. Zorg ervoor dat u vanuit uw on-premises netwerk verbinding kunt maken met uw virtuele Azure-netwerk.
2. Neem contact op met uw provider om ExpressRoute-verbinding te stoppen vanwege testdoeleinden.
3. Controleer of u nog steeds verbinding kunt maken vanuit uw on-premises netwerk met uw virtuele Azure-netwerk via de gatewayverbinding van het virtuele VPN-netwerk.
4. Neem contact op met uw provider om de ExpressRoute-connectiviteit tot stand te brengen.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Zie Microsoft-cloudservices en netwerkbeveiliging voor overwegingen betreffende Azure-beveiliging in het algemeen.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Raadpleeg de volgende artikelen voor overwegingen met betrekking tot de kosten van ExpressRoute:

• Kostenoverwegingen bij het configureren van een hybride netwerkarchitectuur met Azure ExpressRoute.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

Zie de richtlijnen voor het configureren van een hybride netwerkarchitectuur met Azure ExpressRoute-richtlijnen voor overwegingen voor ExpressRoute DevOps.

Zie de richtlijnen voor het configureren van een hybride netwerkarchitectuur met azure- en on-premises VPN-richtlijnen voor site-naar-site-VPN-overwegingen .

Dit scenario implementeren

Vereisten. U dient over een bestaande on-premises infrastructuur te beschikken die al is geconfigureerd voor een geschikt netwerkapparaat.

Als u de oplossing wilt implementeren, voert u de volgende stappen uit.

1. Selecteer de onderstaande koppeling.

   

2. Wacht tot de koppeling is geopend in Azure Portal en selecteer vervolgens de resourcegroep waarin u deze resources wilt implementeren of maak een nieuwe resourcegroep. De regio en locatie worden automatisch aangepast aan de resourcegroep.

3. Werk de resterende velden bij als u de resourcenamen, providers, SKU of netwerk-IP-adressen voor uw omgeving wilt wijzigen.

4. Selecteer Beoordelen en maken en vervolgens Maken om deze resources te implementeren.

5. Wacht totdat de installatie is voltooid.

   Notitie

   Met deze sjabloonimplementatie worden alleen de volgende resources geïmplementeerd:

   • Een resourcegroep (als u nieuwe maakt)
   • Een ExpressRoute-circuit
   • Een virtueel Azure-netwerk
   • Een virtuele ExpressRoute-netwerkgateway

   Als u een persoonlijke peeringverbinding tot stand wilt brengen van on-premises naar het ExpressRoute-circuit, moet u uw serviceprovider benaderen met de circuitservicesleutel. De servicesleutel vindt u op de overzichtspagina van de ExpressRoute-circuitresource. Zie Peeringconfiguratie maken of wijzigen voor meer informatie over het configureren van uw ExpressRoute-circuit. Zodra u persoonlijke peering hebt geconfigureerd, kunt u de gateway van het virtuele ExpressRoute-netwerk koppelen aan het circuit. Zie Zelfstudie: Verbinding maken een virtueel netwerk naar een ExpressRoute-circuit met behulp van Azure Portal voor meer informatie.

6. Zie Een site-naar-site-VPN-verbinding maken om de implementatie van site-naar-site-VPN als back-up naar ExpressRoute te voltooien.

7. Zodra u een VPN-verbinding hebt geconfigureerd met hetzelfde on-premises netwerk dat u ExpressRoute hebt geconfigureerd, hebt u de installatie voltooid om een back-up te maken van uw ExpressRoute-verbinding als er een totale fout op de peeringlocatie is.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Sarah Parkes | Senior Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• Documentatie voor ExpressRoute
• Azure-beveiligingsbasislijn voor ExpressRoute
• Een ExpressRoute-circuit maken
• Blog over Azure-netwerken
• Gelijktijdige ExpressRoute- en site-naar-site-verbindingen configureren met behulp van PowerShell

Verwante resources

• Hybride architectuurontwerp
• Hybride opties voor Azure
• Hub-spoke-netwerktopologie in Azure
• Spoke-to-spoke-netwerken
• Verbinding maken een on-premises netwerk naar Azure
• Een on-premises netwerk uitbreiden met Behulp van ExpressRoute
• Een beveiligd hybride netwerk implementeren
• On-premises AD integreren met Azure