Vorige

Volgende

Hoe Azure ExpressRoute werkt

Voltooid

U hebt geleerd over het doel van de Azure ExpressRoute-service en de services waarvoor u deze kunt gebruiken. Nu bent u klaar om te leren hoe de service werkt. Laten we eens kijken hoe deze communiceert met Azure- en on-premises netwerken om een veilige en betrouwbare verbinding te maken tussen uw on-premises datacenter en de Microsoft-cloud.

In deze les leert u hoe u Azure-circuits maakt en gebruikt om uw on-premises netwerken te verbinden met de cloud. U ziet de stappen die u moet uitvoeren om een circuit te maken. U krijgt ook informatie over de andere onderdelen van een ExpressRoute-verbinding, die samenwerken om een verbinding te vormen van uw on-premises datacenter naar de Microsoft-cloud.

De architectuur van ExpressRoute

ExpressRoute wordt ondersteund in alle regio's en locaties. Als u ExpressRoute wilt implementeren, moet u werken met een ExpressRoute-partner. De partner levert de randservice: een geautoriseerde en geverifieerde verbinding die via een door een partner beheerde router actief is. De randservice is verantwoordelijk voor het uitbreiden van uw netwerk naar Microsoft Cloud.

De partner stelt verbindingen naar een eindpunt op een ExpressRoute-locatie in (geïmplementeerd door een Microsoft-randrouter). Met deze verbindingen kunt u uw on-premises netwerken koppelen aan de virtuele netwerken die beschikbaar zijn via het eindpunt. Deze verbindingen worden circuits genoemd.

Notitie

In de context van ExpressRoute beschrijft Microsoft Edge de randrouters aan de Microsoft-zijde van het ExpressRoute-circuit.

Een circuit biedt een fysieke verbinding voor de overdracht van gegevens via randrouters van de ExpressRoute-provider naar de Microsoft-randrouters. Er wordt een circuit tot stand gebracht via een particuliere kabel in plaats van via het openbare internet. Uw on-premises netwerk is verbonden met de randrouters van de ExpressRoute-provider. De Microsoft-randrouters vormen het toegangspunt tot Microsoft Cloud.

Vereisten voor ExpressRoute

Voordat u via ExpressRoute verbinding kunt maken met Microsoft Cloud-services, moet u over het volgende beschikken:

• Een ExpressRoute-connectiviteitspartner of cloudexchangeprovider die een verbinding tot stand kan brengen tussen uw on-premises netwerken en Microsoft Cloud.
• Een Azure-abonnement dat is geregistreerd bij de ExpressRoute connectiviteitspartner van uw keuze.
• Een actief Microsoft Azure-account dat kan worden gebruikt om een ExpressRoute-circuit aan te vragen.
• Een actief Office 365-abonnement (als u verbinding wilt maken met de Microsoft-cloud en toegang wilt krijgen tot Office 365-services).

ExpressRoute werkt door de koppeling van uw on-premises netwerken met netwerken die worden uitgevoerd in de Microsoft Cloud. Resources binnen uw netwerken kunnen rechtstreeks communiceren met door Microsoft gehoste resources. Om deze peerings te ondersteunen, heeft ExpressRoute verschillende netwerk- en routeringsvereisten:

• Zorg ervoor dat de BGP-sessies voor routeringsdomeinen zijn geconfigureerd. Afhankelijk van uw partner kan deze configuratie hun of uw verantwoordelijkheid zijn. Daarnaast zijn voor Microsoft redundante BGP-sessies vereist tussen de routers van Microsoft en uw peeringrouters voor elk ExpressRoute-circuit.
• U of uw providers moeten de persoonlijke IP-adressen die on-premises worden gebruikt, omzetten naar openbare IP-adressen met behulp van een NAT-service. Microsoft weigert alles behalve openbare IP-adressen via Microsoft-peering.
• Reserveer meerdere blokken met IP-adressen in uw netwerk voor het routeren van verkeer naar Microsoft Cloud. U configureert deze blokken als één/29 subnet of twee/30 subnetten in uw IP-adresruimte. Een van deze subnetten wordt gebruikt om de primaire koppeling naar de Microsoft-cloud te configureren en de andere implementeert een secundaire koppeling. Het eerste adres in deze subnetten vertegenwoordigt het einde van de BGP-peer en het tweede adres is het BGP-peer-IP-adres van Microsoft.

ExpressRoute ondersteunt twee peeringschema's:

• Gebruik privé-peering om verbinding te maken met Azure IaaS- en PaaS-services die zijn geïmplementeerd in virtuele Azure-netwerken. De resources waar u toegang tot wilt krijgen, moeten zich allemaal in een of meer virtuele Azure-netwerken met persoonlijke IP-adressen bevinden. Via een privé-peering hebt u geen toegang tot resources via hun openbare IP-adres.
• Gebruik Microsoft-peering om verbinding te maken met Azure PaaS-services, Office 365-services en Dynamics 365.

Notitie

Met Azure Portal kunt u ook openbare peering configureren. Met deze vorm van peering kunt u verbinding maken met de openbare adressen die door Azure-services beschikbaar worden gemaakt. Deze peering is echter afgeschaft en is niet beschikbaar voor nieuwe circuits. Openbare peering wordt niet beschreven in deze module.

Een ExpressRoute-circuit en -peering maken

Het tot stand brengen van een verbinding met Azure via ExpressRoute is een proces dat uit meerdere stappen bestaat. U kunt veel van deze stappen uitvoeren met Azure Portal, of vanaf de opdrachtregel met PowerShell of Azure CLI. In deze sectie vindt u een beschrijving van het proces met Azure Portal. Zie de sectie Meer informatie aan het einde van deze module voor PowerShell- en CLI-instructies.

Een circuit maken

Wanneer u Azure Portal gebruikt, selecteert u + Een resource maken en zoekt u naar ExpressRoute. Op de pagina ExpressRoute-circuit maken moeten de volgende velden worden ingevuld:

Tabblad Basisbeginselen

Eigenschap	Waarde
Abonnement	Het abonnement dat u hebt geregistreerd bij uw ExpressRoute-provider.
Resourcegroep	De Azure-resourcegroep waarin het circuit moet worden gemaakt.
Regio	De Azure-locatie waarop het circuit moet worden gemaakt.
Naam	Een zinvolle naam voor uw circuit, zonder spaties of speciale tekens.

Tabblad Configuratie

Eigenschap	Waarde
Poorttype	Selecteer Provider als u verbinding maakt via een serviceprovider of selecteer Direct als u rechtstreeks verbinding maakt met Microsoft.
Nieuwe maken of importeren vanuit de klassieke versie	Maak een nieuw circuit of selecteer Importeren om een bestaand circuit van het klassieke model naar Resource Manager te verplaatsen.
Provider	De ExpressRoute-provider waarbij u uw abonnement hebt geregistreerd.
Peeringlocatie	Een locatie die is ingeschakeld door de ExpressRoute-provider waarop u uw circuit wilt maken.
Bandbreedte	Selecteer uw bandbreedte, van 50 Mbps tot 10 Gbps. Begin met een lage waarde. U kunt deze later verhogen zonder onderbreking van de service. U kunt de bandbreedte echter niet verminderen als u deze eerst te hoog instelt.
SKU	Selecteer Lokaal (indien beschikbaar) als u alleen verbinding hoeft te maken met Azure-resources in 1 of 2 Azure-regio's in dezelfde metro. Selecteer Standard als u maximaal 10 virtuele netwerken hebt en alleen verbinding hoeft te maken met resources in dezelfde geografische regio. Anders selecteert u Premium waarmee u meer dan 10 virtuele netwerken en wereldwijde connectiviteit met Azure-resources kunt verbinden.
Factureringsmodel	Selecteer Onbeperkt als u een vast tarief wilt betalen, ongeacht uw gebruik. Of selecteer Naar gebruik volgens het verkeersvolume dat het circuit binnenkomt en verlaat.
Klassieke bewerkingen toestaan	Selecteer Ja staat klassieke virtuele netwerken toe om verbinding te maken met het circuit. Anders selecteert u Nee.

Het maken van een circuit kan enkele minuten duren. Nadat het circuit is ingericht, kunt u Azure Portal gebruiken om de eigenschappen weer te geven. U kunt zien dat circuitstatus is ingeschakeld, wat betekent dat de Microsoft-zijde van het circuit gereed is om verbindingen te accepteren. De providerstatus is ingesteld op Niet ingericht in eerste instantie omdat de provider de kant van het circuit niet heeft geconfigureerd om verbinding te maken met uw netwerk.

U verzendt de provider de waarde in het veld Servicesleutel zodat deze de verbinding kan configureren. Deze configuratie kan enkele dagen duren. U kunt deze pagina opnieuw bezoeken om de status van de provider te controleren.

Een peeringconfiguratie maken

Nadat de status van de provider is gerapporteerd als Ingericht, kunt u de routering voor de peerings configureren. Deze stappen zijn alleen van toepassing op circuits die zijn gemaakt met serviceproviders die laag 2-connectiviteit aanbieden. Voor circuits die op laag 3 functioneren, kan de provider de routering voor u configureren.

Op de expressRoute-circuitpagina die eerder wordt weergegeven, worden elke peering en de bijbehorende eigenschappen vermeld. U kunt een peering selecteren om deze eigenschappen te configureren.

Persoonlijke peering configureren

U kunt persoonlijke peering gebruiken om uw netwerk te verbinden met uw virtuele netwerken die worden uitgevoerd in Azure. Als u privé-peering wilt configureren, moet u de volgende informatie opgeven:

• Peer-ASN: het autonome systeemnummer voor uw zijde van de peering. Dit ASN kan openbaar of privé zijn, en 16 bits of 32 bits.
• Subnetten: Selecteer of u IPv4, IPv6 of beide wilt gebruiken voor de peeringsubnetten.
• Primair subnet: het adresbereik van het primaire /30-subnet dat u in uw netwerk hebt gemaakt. U gebruikt het eerste IP-adres in dit subnet voor uw router. Microsoft gebruikt de tweede als hun router.
• Secundair subnet: het adresbereik van uw secundaire /30-subnet. Dit subnet bevat een secundaire koppeling naar Microsoft. De eerste twee adressen worden gebruikt om het IP-adres van uw router en de Microsoft-router te bewaren.
• IPv4-peering inschakelen: met deze optie kunt u de BGP-sessie voor privépeering in- en uitschakelen.
• VLAN-id: de id van het VLAN waarop de peering moet worden ingesteld. De primaire en secundaire koppelingen gebruiken beide deze VLAN-id.
• Gedeelde sleutel: Deze sleutel is een optionele MD5-hash die wordt gebruikt om berichten te coderen die via het circuit worden doorgegeven.

Microsoft-peering configureren

U gebruikt Microsoft-peering om verbinding te maken met Office 365 en de bijbehorende services. Als u Microsoft-peering wilt configureren, geeft u veel van de informatie op die wordt beschreven voor een persoonlijke peering: een peer-ASN, een primair subnetadresbereik, een secundair subnetadresbereik, subnet-IP-versie, een VLAN-id en een optionele gedeelde sleutel. U moet tevens de volgende informatie opgeven:

• Geadverteerd openbare voorvoegsels: een lijst met de adresvoorvoegsels die u gebruikt via de BGP-sessie. Deze voorvoegsels moeten op uw naam zijn geregistreerd en moeten voorvoegsels voor openbare adresbereiken zijn.
• Klant-ASN: een optioneel autonoom systeemnummer aan de clientzijde dat moet worden gebruikt als u voorvoegsels adverteert die niet zijn geregistreerd bij de peer-ASN.
• Naam van routeringsregister: deze naam identificeert het register waarin de klant-ASN en openbare voorvoegsels zijn geregistreerd.

Een virtueel netwerk verbinden met een ExpressRoute-circuit

Nadat het ExpressRoute-circuit tot stand is gebracht, is persoonlijke Azure-peering geconfigureerd voor uw circuit. De BGP-sessie tussen uw netwerk en Microsoft is actief, zodat u connectiviteit vanuit uw on-premises netwerk naar Azure kunt inschakelen.

Voordat u verbinding kunt maken met een privécircuit, moet u een gateway voor een virtueel Azure-netwerk maken met behulp van een subnet in een van uw virtuele Azure-netwerken. De gateway voor dit virtuele netwerk voorziet in het toegangspunt voor het netwerkverkeer dat vanaf uw on-premises netwerk binnenkomt. Hiermee wordt binnenkomend verkeer via het virtuele netwerk naar uw Azure-resources geleid.

U kunt netwerkbeveiligingsgroepen en firewallregels maken om het verkeer dat vanaf uw on-premises netwerk wordt omgeleid, te beheren. U kunt ook aanvragen van onbevoegde adressen in uw on-premises netwerk blokkeren.

Notitie

U moet de virtuele netwerkgateway maken met het type ExpressRoute en niet VPN.

Er kunnen maximaal 10 virtuele netwerken worden gekoppeld aan een ExpressRoute-circuit, maar deze virtuele netwerken moeten zich in dezelfde geopolitieke regio bevinden als het ExpressRoute-circuit wanneer u een Standard-SKU gebruikt. U kunt, indien vereist, één virtueel netwerk aan vier ExpressRoute-circuits koppelen. Het ExpressRoute-circuit kan zich in hetzelfde abonnement als het virtuele netwerk bevinden, of in een ander abonnement.

Als u Azure Portal gebruikt, kunt u een peering als volgt met een virtuele netwerkgateway verbinden:

1. Selecteer op de pagina ExpressRoute-circuitVerbindingen voor uw circuit.
2. Klik op de pagina Verbindingen op Toevoegen.
3. Geef op de pagina Verbinding toevoegen een naam op voor de verbinding en selecteer vervolgens de gateway van uw virtuele netwerk. Wanneer de bewerking is voltooid, is uw on-premises netwerk verbonden via de gateway van het virtuele netwerk met uw virtuele netwerk in Azure. De verbinding wordt gemaakt via de ExpressRoute-verbinding.

Hoge beschikbaarheid en failover met ExpressRoute

In elk ExpressRoute-circuit bevinden zich twee verbindingen van de connectiviteitsprovider naar twee verschillende Microsoft-randrouters. Deze configuratie wordt automatisch uitgevoerd. Het biedt een bepaalde mate van beschikbaarheid binnen één locatie.

U kunt ExpressRoute-circuits instellen op verschillende peeringlocaties om een hoge beschikbaarheid te bieden en deze te helpen beschermen tegen een regionale storing. U kunt bijvoorbeeld circuits maken in de regio's US - oost en US - centraal en deze circuits verbinden met uw virtuele netwerk. Als er op deze manier één ExpressRoute-circuit uitvalt, verliest u de verbinding met uw resource niet en kunt u een failover uitvoeren voor de verbinding met een ander ExpressRoute-circuit.

U kunt ook over meerdere circuits bij verschillende providers beschikken om ervoor te zorgen dat uw netwerk beschikbaar blijft, zelfs als een storing alle circuits van één goedgekeurde provider treft. U kunt de eigenschap Verbindingsgewicht instellen om aan één circuit de voorkeur te geven boven eventuele andere.

ExpressRoute Direct en FastPath

Microsoft biedt ook een uiterst snelle verbindingsoptie die ExpressRoute Direct heet. Met deze service wordt een duale connectiviteit van 100 Gbps ingeschakeld. Dit is geschikt voor scenario's waarbij vaak grote hoeveelheden gegevens worden opgenomen. Ook is dit geschikt voor oplossingen waarvoor extreme schaalbaarheid is vereist, zoals voor het bankwezen, de overheid en de detailhandel.

U kunt uw abonnement inschrijven bij Microsoft om ExpressRoute Direct te activeren. Ga voor meer informatie naar het ExpressRoute-artikel in de sectie Meer informatie aan het einde van deze module.

ExpressRoute Direct biedt ondersteuning voor FastPath. Wanneer FastPath is ingeschakeld, wordt netwerkverkeer rechtstreeks verzonden naar de virtuele machine die als beoogd doel is ingesteld. Het verkeer omzeilt de virtuele netwerkgateway, waardoor de prestaties tussen virtuele Azure-netwerken en on-premises netwerken worden verbeterd.

FastPath biedt ondersteuning voor peering van virtuele netwerken (waarbij u virtuele netwerken met elkaar hebt verbonden). Het biedt ook ondersteuning voor door de gebruiker gedefinieerde routes in het gatewaysubnet.

Test uw kennis

1.

Wat is Microsoft-peering?

Hiermee wordt een directe verbinding geboden van uw on-premises netwerk met een Azure-datacenter.

Hiermee kunt u uw on-premises netwerk verbinden met Office 365-services en Dynamics 365.

Hiermee wordt een directe verbinding geboden tussen uw on-premises netwerk en een ExpressRoute-provider.

Hiermee wordt een punt-naar-site-verbinding geboden voor computers op uw on-premises locatie met Office 365-services.

2.

Wat is een ExpressRoute-circuit?

Met een ExpressRoute-circuit kunt u een site-naar-site-verbinding implementeren via een VPN-verbinding met een Azure-datacenter.

Een ExpressRoute-circuit is een directe, vaste verbinding tussen uw on-premises datacenter en een Azure-datacenter.

Een back-upservice die verbinding maakt met Microsoft Cloud als uw VPN-verbinding mislukt.

Een circuit biedt een fysieke verbinding voor de overdracht van gegevens via randrouters van de ExpressRoute-provider naar de Microsoft-randrouters.

3.

Welke beveiligingsvoordelen biedt Azure ExpressRoute?

Een ExpressRoute-verbinding wordt automatisch versleuteld, waardoor het verkeer dat via internet naar Microsoft Cloud gaat, wordt beveiligd.

Door de snelheid waarmee gegevens via een ExpressRoute-verbinding gaan, is het onmogelijk om deze te onderscheppen door netwerkmonitoren en pakketsniffers.

ExpressRoute maakt gebruik van een toegewezen privénetwerk om verbinding te maken met Microsoft Cloud. Het verkeer gaat niet via het openbare internet, waardoor het lastig is om het te onderscheppen.

ExpressRoute maakt gebruik van een eigen overdrachtsprotocol dat voortdurend varieert, waardoor het lastig is om verkeer te onderscheppen.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.

Doorgaan