Een on-premises netwerk uitbreiden met ExpressRoute

Deze referentiearchitectuur toont hoe u met behulp van Azure ExpressRoute een verbinding maakt tussen een on-premises netwerk en virtuele netwerken in Azure. ExpressRoute-verbindingen gebruiken een persoonlijke, exclusieve verbinding via een connectiviteitsprovider van derden. De particuliere verbinding breidt uw on-premises netwerk uit naar Azure.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Werkstroom

De architectuur bestaat uit de volgende onderdelen.

• Zakelijk on-premises netwerk. Een lokaal privénetwerk dat binnen een organisatie wordt uitgevoerd.

• ExpressRoute-circuit. Een door de connectiviteitsprovider verstrekte laag-2- of laag-3-circuit dat via Azure verbinding maakt met de randrouters. Het circuit gebruikt de hardware-infrastructuur dat door de connectiviteitsprovider wordt beheerd.

• Lokale randrouters. Routers die het on-premises netwerk verbinden met het door de provider verstrekte circuit. Afhankelijk van hoe de verbinding is ingericht, dient u mogelijk de openbare IP-adressen op te geven die door de routers worden gebruikt.

• Microsoft-randrouters. Twee routers in een actief-actiefconfiguratie met maximale beschikbaarheid. Dankzij deze routers kan een connectiviteitsprovider de circuits rechtstreeks verbinden met het datacenter. Afhankelijk van hoe de verbinding is ingericht, dient u mogelijk de openbare IP-adressen op te geven die door de routers worden gebruikt.

• Virtuele Azure-netwerken (VNet's). Elk VNet bevindt zich in één Azure-regio en kan meerdere toepassingslagen hosten. Toepassingslagen kunnen worden gesegmenteerd met subnetten in elke VNet.

• Openbare Azure-services. Azure-services die kunnen worden gebruikt in een hybride-toepassing. Deze services zijn ook beschikbaar via internet, maar als u deze opent via een ExpressRoute-circuit, heeft dit lage latentie en meer voorspelbare prestaties tot gevolg, omdat het verkeer niet via internet verloopt.

• Microsoft 365-services. De openbaar beschikbare Microsoft 365-toepassingen en -services die door Microsoft worden geleverd. Verbindingen worden uitgevoerd met Microsoft-peering, met adressen die eigendom zijn van uw organisatie of die door de connectiviteitsprovider worden verstrekt. U kunt ook rechtstreeks verbinding maken met Microsoft CRM Online via Microsoft-peering.

• Connectiviteitsproviders (niet weergegeven). Bedrijven die een verbinding mogelijk maken via Laag-2- of Laag-3-connectiviteit tussen uw datacenter en een Azure-datacenter.

Onderdelen

• Azure ExpressRoute. Met ExpressRoute kunt u uw on-premises netwerken uitbreiden naar de Microsoft-cloud via een privéverbinding, met behulp van een connectiviteitsprovider. Met ExpressRoute kunt u verbindingen tot stand brengen met Microsoft-cloudservices, zoals Microsoft Azure en Microsoft 365.

• Azure Virtual Network. Azure Virtual Network (VNet) is de basisbouwsteen voor uw privénetwerk in Azure. Met VNet kunnen veel soorten Azure-resources, zoals virtuele Azure-machines (VM's), veilig met elkaar communiceren, internet en on-premises netwerken.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Connectiviteitsproviders

Selecteer een geschikte ExpressRoute-connectiviteitsprovider voor uw locatie. Als u een lijst met connectiviteitsproviders wilt ophalen die op uw locatie beschikbaar is, gebruikt u de volgende Azure PowerShell-opdracht:

Get-AzExpressRouteServiceProvider

ExpressRoute-connectiviteitsproviders maken op de volgende manieren verbinding mogelijk tussen uw datacenter en Microsoft:

• Co-locatie op een cloud-exchange. Als u zich in een faciliteit bevindt met een clouduitwisseling, kunt u virtuele cross-verbindingen met Azure bestellen via de Ethernet-uitwisseling van de co-locatieprovider. Co-locatieproviders kunnen overlappende Laag-2-verbindingen of beheerde, overlappende Laag-3-verbindingen tussen uw infrastructuur in de co-locatiefaciliteit en Azure leveren.
• Point-to-Point Ethernet-verbindingen. U kunt uw on-premises datacenters/kantoren met de Azure verbinden via Point-to-Point Ethernet-verbindingen. Point-to-Point Ethernet-providers maken Laag-2-verbindingen of beheerde Laag-3-verbindingen mogelijk tussen uw locatie en Azure.
• Any-to-Any (IPVPN)-netwerken. U kunt uw WAN (Wide Area Network) integreren met Azure. IPVPN-providers (Internet Protocol Virtual Private Network) (gewoonlijk een MPLS-VPN) leveren Any-to-Any-connectiviteit tussen uw filialen en datacenters. Azure kan ook worden verbonden met uw WAN, zodat het er net zo uitziet als elk ander filiaal. WAN-providers bieden doorgaans beheerde Laag-3-connectiviteit.

Zie Overzicht van ExpressRoute voor meer informatie over connectiviteitsproviders.

ExpressRoute-circuit

Zorg ervoor dat uw organisatie voldoet aan de vereisten voor ExpressRoute voor verbinding met Azure.

Als u dat nog niet hebt gedaan, voegt u een subnet met de naam GatewaySubnet toe aan uw Azure-VNet en maakt u een virtuele ExpressRoute-netwerkgateway maken met behulp van de Azure VPN-gatewayservice. Zie ExpressRoute-werkstromen voor circuitinrichting en -statussen voor meer informatie over dit proces.

Maak als volgt een ExpressRoute-circuit:

1. Voer de volgende PowerShell-opdracht uit:

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. Verzend de ServiceKey voor het nieuwe circuit naar de serviceprovider.

3. Wacht totdat de provider het circuit heeft ingericht. Voer de volgende PowerShell-opdracht uit om de inrichtingsstatus van een circuit te controleren:

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   Veld Provisioning state in sectie Service Provider van de uitvoer verandert van NotProvisioned in Provisioned als het circuit gereed is.

   Notitie

   Als u een Laag-3-verbinding gebruikt, moet de routering door de provider worden geconfigureerd en beheerd. U voorziet de provider van de noodzakelijke informatie, zodat deze de desbetreffende routes kan implementeren.

4. Bij gebruik van een Laag-2-verbinding:

   1. Reserveer voor elk type peering dat u wilt implementeren twee /30-subnetten die uit geldige, openbare IP-adressen zijn samengesteld. Deze /30-subnetten worden gebruikt om IP-adressen op te geven voor de routers die voor het circuit worden gebruikt. Als u persoonlijke en Microsoft-peering implementeert, hebt u 4/30 subnetten met geldige openbare IP-adressen nodig.

   2. Routering configureren voor het ExpressRoute-circuit. Voer de volgende PowerShell-opdrachten uit voor elk type peering dat u wilt configureren (privé en Microsoft). Zie Routering voor een ExpressRoute-circuit maken en wijzigen voor meer informatie.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. Reserveer een andere groep geldige openbare IP-adressen voor gebruik voor NAT (Network Address Translation) voor Microsoft-peering. Het wordt aangeraden voor elk type peering een andere pool te gebruiken. Geef de pool op aan uw connectiviteitsprovider, zodat deze BGP-advertenties (Border Gateway Protocol) voor die bereiken kan configureren.

5. Voer de volgende PowerShell-opdrachten uit om uw persoonlijke VNet('s) aan het ExpressRoute-circuit te koppelen. Zie Een virtueel netwerk koppelen aan een ExpressRoute-circuit voor meer informatie.

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

U kunt VNet's die zich in verschillende regio's bevinden, koppelen aan hetzelfde ExpressRoute-circuit, zolang alle VNet's en het ExpressRoute-circuit zich binnen dezelfde geopolitieke regio bevinden.

Problemen oplossen

Als er geen verbinding kan worden gemaakt met een voorheen functionerend ExpressRoute-circuit, en als er on-premises of binnen uw privé-VNet geen configuratiewijzigingen zijn aangebracht, neemt u contact op met de connectiviteitsprovider om samen het probleem op te lossen. Gebruik de volgende PowerShell-opdrachten om te controleren of het ExpressRoute-circuit is ingericht:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

De uitvoer van deze opdracht toont enkele eigenschappen van uw circuit, waaronder ProvisioningState, CircuitProvisioningState en ServiceProviderProvisioningState, zoals hieronder weergegeven.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Als ProvisioningState niet is ingesteld op Succeeded nadat u een nieuw circuit hebt proberen te maken, verwijdert u het circuit met de onderstaande opdracht en probeert u het opnieuw te maken.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Als uw provider het circuit al heeft ingericht en ProvisioningState is ingesteld op Failed of CircuitProvisioningState is niet Enabled, neemt u contact met uw provider op voor assistentie.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Schaalbaarheid

ExpressRoute-circuits kennen een pad met grote bandbreedte tussen netwerken. In het algemeen geldt dat hoe groter de bandbreedte, hoe hoger de kosten.

ExpressRoute heeft twee abonnementen, een abonnement naar gebruik en een abonnement voor onbeperkt gebruik. De kosten zijn afhankelijk van de bandbreedte. De beschikbare bandbreedte varieert waarschijnlijk van provider tot provider. Gebruik de cmdlet Get-AzExpressRouteServiceProvider om te zien welke providers in uw regio beschikbaar zijn en welke bandbreedtes ze aanbieden.

Eén ExpressRoute-circuit kan een bepaald aantal peerings en VNet-koppelingen ondersteunen. Zie Limieten voor ExpressRoute voor meer informatie.

Tegen extra kosten biedt de ExpressRoute Premium-add-on aanvullende mogelijkheden:

• Verhoogde routelimieten voor persoonlijke peering.
• Meer VNet-koppelingen per ExpressRoute-circuit.
• Globale connectiviteit voor services.

Zie Prijzen voor ExpressRoute voor meer informatie.

ExpressRoute-circuits zijn ontworpen om kosteloos tijdelijke netwerkpieken van tweemaal de aangeschafte bandbreedtelimiet op te vangen. Dit wordt bereikt door gebruik te maken van redundante koppelingen. Niet alle connectiviteitsproviders bieden echter ondersteuning voor deze functie. Controleer of uw connectiviteitsprovider dit onderdeel ondersteunt voordat u er op vertrouwt.

Hoewel sommige providers u toestaan de bandbreedte te wijzigen, dient u ervoor te zorgen dat u in eerste instantie een bandbreedte kiest die ruimschoots aan uw behoeften voldoet en ruimte voor groei mogelijk maakt. Als u later de bandbreedte wilt vergroten, hebt u twee opties:

• De bandbreedte vergroten. Vermijd deze optie zoveel mogelijk. Bovendien staan niet alle providers toe dat de bandbreedte dynamisch wordt vergroot. Als er echter een toename van de bandbreedte nodig is, neemt u contact op met uw provider om te controleren of deze ondersteuning biedt voor het wijzigen van expressRoute-bandbreedte-eigenschappen via PowerShell-opdrachten. Als dat het geval is, voert u de onderstaande opdrachten uit.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  U kunt de bandbreedte vergroten zonder dat de verbinding wordt verbroken. Het downgraden van de bandbreedte leidt tot een onderbreking van de verbinding, omdat u het circuit moet verwijderen en opnieuw moet maken onder de nieuwe configuratie.

• Wijzig uw abonnement en/of voer een upgrade naar Premium uit. Voer hiertoe de volgende opdrachten uit. Eigenschap Sku.Tier kan Standard of Premium zijn; eigenschap Sku.Name kan MeteredData of UnlimitedData zijn.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Belangrijk

  Controleer of eigenschap Sku.Name overeenkomt met Sku.Tier en Sku.Family. Als u de familie en de laag wijzigt, maar niet de naam, wordt de verbinding verbroken.

  U kunt zonder onderbreking een upgrade uitvoeren voor de SKU, maar u kunt niet van het onbeperkte abonnement overstappen naar het abonnement naar gebruik. Als u een downgrade van de SKU uitvoert, dient uw bandbreedtegebruik binnen de standaardlimiet van de standaard-SKU te blijven.

Beschikbaarheid

ExpressRoute ondersteunt geen protocollen voor de routerredundantie, zoals HSRP (Hot Standby Routing Protocol) en VRRP (Virtual Router Redundancy Protocol) voor het implementeren van hoge beschikbaarheid. In plaats daarvan wordt een redundant paar BGP-sessies per peering gebruikt. Er zijn twee redundante poorten ingericht op twee routers (onderdeel van de Microsoft-rand) in een actief-actiefconfiguratie, zodat uw netwerk over verbindingen van hoge beschikbaarheid kan beschikken.

Standaard maken BGP-sessies gebruik van een time-out wegens inactiviteit van 60 seconden. Als er driemaal een time-out optreedt (totaal 180 seconden), wordt de router als niet-beschikbaar aangemerkt en wordt al het verkeer doorgestuurd naar de andere router. Deze time-out van 180 seconden is voor kritieke toepassingen wellicht te lang. Als dat het geval is, kunt u de instellingen voor de BGP-time-out op de on-premises router op een lagere waarden instellen. ExpressRoute ondersteunt ook BFD (Bidirectional Forwarding Detection) via privépeering. Door BFD in te schakelen via ExpressRoute, kunt u de detectie van koppelingsfouten tussen MSEE-apparaten (Microsoft Enterprise Edge) en de routers waarop u het ExpressRoute-circuit (PE) beëindigt versnellen. U kunt ExpressRoute beëindigen via routeringsapparaten van Customer Edge of Partner Edge-routeringsapparaten (als u bent gegaan met de beheerde Laag 3-verbindingsservice).

U kunt hoge beschikbaarheid voor de Azure-verbinding op verschillende manieren configureren. Dit is afhankelijk van het type provider en het aantal ExpressRoute-circuits en verbindingen van de virtuele-netwerkgateway dat u wilt configureren. Hierna ziet u een overzicht van uw beschikbaarheidsopties:

• Als u een Laag-2-verbinding gebruikt, kunt u redundante routers in uw on-premises netwerk implementeren in een actief-actiefconfiguratie. Koppel het primaire circuit aan de ene router en het secundaire circuit aan de andere. Hiermee beschikt u over een verbinding met hoge beschikbaarheid aan beide uiteinden van de verbinding. Dit is noodzakelijk als u de SLA van ExpressRoute nodig hebt. Zie SLA voor Azure ExpressRoute voor meer informatie.

  Het volgende diagram toont een configuratie met redundante on-premises routers die verbonden zijn aan de primaire en secundaire circuits. Elk circuit verwerkt het verkeer voor persoonlijke peering (elke peering wordt een paar /30-adresruimten aangewezen, zoals beschreven in de vorige sectie).

  

• Als u een Laag-3-verbinding gebruikt, controleert u of deze redundante BGP-sessies biedt die de beschikbaarheid voor u afhandelen.

• Verbind het VNet aan meerdere ExpressRoute-circuits, die door verschillende serviceproviders worden geleverd. Deze strategie biedt aanvullende hoge beschikbaarheid en functionaliteit voor herstel na noodgeval.

• Configureer een site-naar-site-VPN als een failoverpad voor ExpressRoute. Zie Een on-premises netwerk verbinden met behulp van ExpressRoute met VPN-failover voor meer informatie over deze optie. Deze optie is alleen van toepassing op privé-peering. Voor Azure- en Microsoft 365-services is internet het enige failoverpad.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

U kunt beveiligingsopties voor uw Azure-verbinding op verschillende manieren configureren, afhankelijk van uw veiligheids- en nalevingsbehoeften.

ExpressRoute werkt in laag 3. Bedreigingen in de toepassingslaag kunnen worden voorkomen met behulp van een netwerkbeveiligingsapparaat die het verkeer tot legitieme bronnen beperkt.

Voeg netwerkbeveiligingsapparaten toe tussen het on-premises netwerk en de randrouters van de provider om de beveiliging te maximaliseren. Hierdoor wordt de instroom van niet-geautoriseerde verkeer vanaf VNet beperkt:

Vanwege controle- en nalevingsdoeleinden kan het noodzakelijk zijn rechtstreekse toegang tot internet tegen te gaan vanaf componenten die in het VNet worden uitgevoerd en geforceerde tunneling te implementeren. In deze situatie dient het internetverkeer te worden omgeleid via een proxy die on-premises wordt uitgevoerd, zodat het kan worden gecontroleerd. De proxy kan zodanig worden geconfigureerd dat niet-geautoriseerd, uitgaand verkeer wordt geblokkeerd en potentieel kwaadaardig, ingaand verkeer wordt gefilterd.

Activeer geen openbare IP-adressen voor uw VM's om de beveiliging te maximaliseren en zorg ervoor dat deze VM's niet openbaar toegankelijk zijn. VM's mogen alleen beschikbaar zijn via het interne IP-adres. Deze adressen kunnen toegankelijk worden gemaakt via het ExpressRoute-netwerk, zodat het on-premises DevOps-personeel configuraties of onderhoud kan uitvoeren.

Als u beheereindpunten voor VM's beschikbaar moet maken voor een extern netwerk, gebruikt u NSG's of toegangsbeheerlijsten om de zichtbaarheid van deze poorten te beperken tot een acceptatielijst met IP-adressen of netwerken.

Netwerkbewaking

Gebruik Network Watcher om de netwerkonderdelen te bewaken en op te lossen. Hulpprogramma's zoals Traffic Analytics tonen u de systemen in uw virtuele netwerken die het meeste verkeer genereren, zodat u knelpunten visueel kunt identificeren voordat ze fouten veroorzaken. Network Performance Manager heeft de mogelijkheid om informatie over Microsoft ExpressRoute-circuits te bewaken.

U kunt ook de Azure Verbinding maken ivity Toolkit (AzureCT) gebruiken om de connectiviteit tussen uw on-premises datacenter en Azure te bewaken.

Zie de sectie DevOps in Microsoft Azure Well-Architected Framework voor meer informatie. Zie Bewaking voor DevOps voor informatie die specifiek is voor bewaking.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken.

In de volgende secties worden de servicekosten uitgelegd die in deze architectuur worden gebruikt.

Azure ExpressRoute

In deze architectuur wordt een ExpressRoute-circuit gebruikt om het on-premises netwerk samen te voegen met Azure via de randrouters.

Er zijn twee hoofdplannen. In het dataabonnement naar gebruik is alle binnenkomende gegevensoverdracht gratis. Alle uitgaande gegevensoverdracht wordt in rekening gebracht op basis van een vooraf bepaald tarief.

U kunt ook kiezen voor het Unlimited Data-abonnement waarin alle binnenkomende en uitgaande gegevensoverdracht gratis is. Gebruikers betalen een vaste maandelijkse poortkosten op basis van dubbele poorten met hoge beschikbaarheid.

Bereken uw gebruik en kies dienovereenkomstig een factureringsplan. Het Onbeperkte data-abonnement wordt aanbevolen als u ongeveer 68% van het gebruik overschrijdt.

Zie prijzen voor Azure ExpressRoute voor meer informatie.

Azure Virtual Network

Alle toepassingslagen worden gehost in één virtueel netwerk en worden gesegmenteerd met behulp van subnetten.

Azure Virtual Network is gratis. Met elk abonnement mogen maximaal 50 virtuele netwerken worden gemaakt in alle regio's. Al het verkeer dat zich binnen de grenzen van een virtueel netwerk bevindt, is gratis. De communicatie tussen twee VM’s binnen hetzelfde virtuele netwerk is dus gratis.

Volgende stappen

Productdocumentatie:

• Microsoft 365-services
• Wat is Azure ExpressRoute?
• Wat is Azure Virtual Network?

Microsoft Learn-modules:

• ExpressRoute en Virtual WAN configureren
• Peering van virtuele netwerken configureren
• Azure ExpressRoute ontwerpen en implementeren
• De Microsoft 365-platformservices verkennen

Verwante resources

• Hybride architectuurontwerp
• Verbinding maken een on-premises netwerk naar Azure met behulp van ExpressRoute
• Een on-premises netwerk uitbreiden met VPN