Przegląd platformy Azure Well-Architected Framework — Azure ExpressRoute
Ten artykuł zawiera najlepsze rozwiązanie dotyczące architektury dla usługi Azure ExpressRoute. Wskazówki są oparte na pięciu filarach doskonałości architektury:
Zakładamy, że masz wiedzę na temat usługi Azure ExpressRoute i dobrze znasz wszystkie jej funkcje. Aby uzyskać więcej informacji, zobacz Azure ExpressRoute.
Wymagania wstępne
W kontekście rozważ przejrzenie architektury referencyjnej, która odzwierciedla te zagadnienia w projekcie. Zalecamy rozpoczęcie od wskazówek metodologii Cloud Adoption Framework Ready Connect to Azure and Architect for hybrid connectivity with Azure ExpressRoute (Łączenie się z platformą Azure i architektem na potrzeby łączności hybrydowej za pomocą usługi Azure ExpressRoute). W przypadku architektur aplikacji o niskim kodzie zalecamy zapoznanie się z tematem Włączanie usługi ExpressRoute dla platformy Power Platform podczas planowania i konfigurowania usługi ExpressRoute do użycia z platformą Microsoft Power Platform.
Niezawodność
W chmurze potwierdzamy, że występują błędy. Zamiast zapobiegać wszystkim awariom, dąży się do minimalizacji wpływu awarii pojedynczego składnika. Skorzystaj z poniższych informacji, aby zminimalizować czas przestoju do i z platformy Azure podczas nawiązywania łączności przy użyciu usługi Azure ExpressRoute.
Podczas omawiania niezawodności w usłudze Azure ExpressRoute ważne jest, aby wziąć pod uwagę użycie przepustowości, fizyczny układ sieci i odzyskiwanie po awarii, jeśli wystąpią awarie. Usługa Azure ExpressRoute umożliwia osiągnięcie tych zagadnień projektowych i rekomendacje dotyczące każdego elementu na liście kontrolnej.
W poniższej liście kontrolnej projektu i na liście zaleceń przedstawiono informacje umożliwiające zaprojektowanie sieci o wysokiej dostępności między środowiskiem platformy Azure i siecią lokalną.
Lista kontrolna projektu
Podczas podejmowania decyzji projektowych dotyczących usługi Azure ExpressRoute zapoznaj się z zasadami projektowania dotyczącymi dodawania niezawodności do architektury.
- Wybierz między obwodem usługi ExpressRoute lub usługą ExpressRoute Direct pod kątem wymagań biznesowych.
- Skonfiguruj zróżnicowaną sieć warstwy fizycznej u dostawcy usług.
- Skonfiguruj obwody usługi ExpressRoute z innym dostawcą usług, aby mieć różne ścieżki routingu.
- Skonfiguruj Active-Active połączenia usługi ExpressRoute między środowiskiem lokalnym a platformą Azure.
- Skonfiguruj bramy usługi ExpressRoute Virtual Network obsługujące strefę dostępności.
- Skonfiguruj obwody usługi ExpressRoute w innej lokalizacji niż sieć lokalna.
- Skonfiguruj bramy usługi ExpressRoute Virtual Network w różnych regionach.
- Skonfiguruj sieć VPN typu lokacja-lokacja jako kopię zapasową prywatnej komunikacji równorzędnej usługi ExpressRoute.
- Skonfiguruj monitorowanie dla obwodu usługi ExpressRoute i kondycji bramy usługi ExpressRoute Virtual Network.
- Skonfiguruj kondycję usługi, aby otrzymywać powiadomienie o konserwacji obwodu usługi ExpressRoute.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem niezawodności.
| Zalecenie | Korzyść |
|---|---|
| Planowanie obwodu usługi ExpressRoute lub usługi ExpressRoute Direct | W początkowej fazie planowania chcesz zdecydować, czy chcesz skonfigurować obwód usługi ExpressRoute, czy połączenie ExpressRoute Direct. Obwód usługi ExpressRoute umożliwia prywatne dedykowane połączenie z platformą Azure za pomocą dostawcy łączności. Usługa ExpressRoute Direct umożliwia rozszerzenie sieci lokalnej bezpośrednio do sieci firmy Microsoft w lokalizacji komunikacji równorzędnej. Należy również zidentyfikować wymaganie dotyczące przepustowości i wymagania dotyczące typu jednostki SKU dla potrzeb biznesowych. |
| Różnorodność warstw fizycznych | Aby zapewnić lepszą odporność, zaplanuj wiele ścieżek między lokalną krawędzią a lokalizacjami komunikacji równorzędnej (lokalizacjami dostawcy/przeglądarki Microsoft edge). Tę konfigurację można osiągnąć, przechodząc przez innego dostawcę usług lub inną lokalizację niż sieć lokalna. |
| Planowanie obwodów geograficznie nadmiarowych | Aby zaplanować odzyskiwanie po awarii, skonfiguruj obwody usługi ExpressRoute w więcej niż jednej lokalizacji komunikacji równorzędnej. Obwody można tworzyć w lokalizacjach komunikacji równorzędnej w tej samej metra lub innej metra i wybrać pracę z różnymi dostawcami usług dla różnych ścieżek za pośrednictwem każdego obwodu. Aby uzyskać więcej informacji, zobacz Projektowanie pod kątem odzyskiwania po awarii i Projektowanie pod kątem wysokiej dostępności. |
| Planowanie łączności Active-Active | Dedykowane obwody usługi ExpressRoute gwarantują 99.95% dostępność, gdy łączność aktywna-aktywna jest skonfigurowana między środowiskiem lokalnym a platformą Azure. Ten tryb zapewnia wyższą dostępność połączenia usługi ExpressRoute. Zaleca się również skonfigurowanie BFD w celu szybszego przejścia w tryb failover w przypadku niepowodzenia połączenia. |
| Planowanie bram Virtual Network | Utwórz bramę Virtual Network stref dostępności, aby zapewnić większą odporność i plan bram Virtual Network w innym regionie na potrzeby odzyskiwania po awarii i wysokiej dostępności. |
| Monitorowanie obwodów i kondycji bramy | Skonfiguruj monitorowanie i alerty dla obwodów usługi ExpressRoute oraz kondycję bramy Virtual Network na podstawie różnych dostępnych metryk. |
| Włączanie kondycji usługi | Usługa ExpressRoute używa kondycji usługi do powiadamiania o planowanej i nieplanowanej konserwacji. Skonfigurowanie kondycji usługi powiadomi Cię o zmianach wprowadzonych w obwodach usługi ExpressRoute. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru niezawodności.
Usługa Azure Advisor udostępnia wiele zaleceń dotyczących obwodów usługi ExpressRoute, ponieważ odnoszą się one do niezawodności. Na przykład usługa Azure Advisor może wykryć:
- Bramy usługi ExpressRoute, w których wdrożono tylko jeden obwód usługi ExpressRoute zamiast wielu. W przypadku dodawania odporności lokalizacji komunikacji równorzędnej zaleca się wiele obwodów usługi ExpressRoute.
- Obwody usługi ExpressRoute, które nie są obserwowane przez Monitor połączenia, ponieważ kompleksowe monitorowanie obwodu usługi ExpressRoute ma kluczowe znaczenie dla szczegółowych informacji o niezawodności.
- Topologie sieci obejmujące wiele lokalizacji komunikacji równorzędnej, które mogłyby skorzystać z usługi ExpressRoute Global Reach w celu poprawy projektów odzyskiwania po awarii dla łączności lokalnej w celu uwzględnienia nieplanowanej utraty łączności.
Zabezpieczenia
Bezpieczeństwo to jeden z najważniejszych aspektów każdej architektury. Usługa ExpressRoute udostępnia funkcje umożliwiające stosowanie zarówno zasady najmniejszych uprawnień, jak i obrony w obronie. Zalecamy zapoznanie się z zasadami projektowania zabezpieczeń.
Lista kontrolna projektu
- Skonfiguruj dziennik aktywności, aby wysyłać dzienniki do archiwum.
- Utrzymywanie spisu kont administracyjnych z dostępem do zasobów usługi ExpressRoute.
- Skonfiguruj skrót MD5 w obwodzie usługi ExpressRoute.
- Konfigurowanie protokołu MACSec dla zasobów usługi ExpressRoute Direct.
- Szyfruj ruch za pośrednictwem prywatnej komunikacji równorzędnej i komunikacji równorzędnej firmy Microsoft dla ruchu w sieci wirtualnej.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem zabezpieczeń.
| Zalecenie | Korzyść |
|---|---|
| Konfigurowanie dziennika aktywności w celu wysyłania dzienników do archiwum | Dzienniki aktywności zapewniają wgląd w operacje, które zostały wykonane na poziomie subskrypcji dla zasobów usługi ExpressRoute. Za pomocą dzienników aktywności można określić, kto i kiedy operacja została wykonana na płaszczyźnie sterowania. Przechowywanie danych wynosi tylko 90 dni i musi być przechowywane w usłudze Log Analytics, usłudze Event Hubs lub koncie magazynu na potrzeby archiwum. |
| Utrzymywanie spisu kont administracyjnych | Użyj kontroli dostępu opartej na rolach platformy Azure, aby skonfigurować role, aby ograniczyć konta użytkowników, które mogą dodawać, aktualizować lub usuwać konfigurację komunikacji równorzędnej w obwodzie usługi ExpressRoute. |
| Konfigurowanie skrótu MD5 w obwodzie usługi ExpressRoute | Podczas konfigurowania prywatnej komunikacji równorzędnej lub komunikacji równorzędnej firmy Microsoft zastosuj skrót MD5 w celu zabezpieczenia komunikatów między trasą lokalną a routerami MSEE. |
| Konfigurowanie protokołu MACSec dla zasobów usługi ExpressRoute Direct | Zabezpieczenia Access Control multimediów to zabezpieczenia punkt-punkt w warstwie łącza danych. Usługa ExpressRoute Direct obsługuje konfigurowanie protokołu MACSec w celu zapobiegania zagrożeniom bezpieczeństwa protokołom, takim jak ARP, DHCP, LACP, które nie są normalnie zabezpieczone w linku Ethernet. Aby uzyskać więcej informacji na temat konfigurowania protokołu MACSec, zobacz MACSec for ExpressRoute Direct ports (Protokół MACSec dla portów usługi ExpressRoute Direct). |
| Szyfrowanie ruchu przy użyciu protokołu IPsec | Skonfiguruj tunel vpn typu lokacja-lokacja za pośrednictwem obwodu usługi ExpressRoute w celu szyfrowania danych przesyłanych między siecią lokalną a siecią wirtualną platformy Azure. Tunel można skonfigurować przy użyciu prywatnej komunikacji równorzędnej lub komunikacji równorzędnej firmy Microsoft. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru zabezpieczeń.
Optymalizacja kosztów
Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Zalecamy zapoznanie się z zasadą projektowania optymalizacji kosztów oraz Planowanie kosztów usługi Azure ExpressRoute i zarządzanie nimi.
Lista kontrolna projektu
- Zapoznaj się z cennikiem usługi ExpressRoute.
- Określ wymaganą jednostkę SKU obwodu usługi ExpressRoute i przepustowość.
- Określ wymagany rozmiar bramy sieci wirtualnej usługi ExpressRoute.
- Monitorowanie kosztów i tworzenie alertów budżetowych.
- Anulowanie aprowizacji obwodów usługi ExpressRoute nie jest już używane.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem optymalizacji kosztów.
| Zalecenie | Korzyść |
|---|---|
| Zapoznaj się z cennikiem usługi ExpressRoute | Aby uzyskać informacje o cenach usługi ExpressRoute, zobacz Omówienie cen usługi Azure ExpressRoute. Możesz również użyć kalkulatora cen. Upewnij się, że opcje są odpowiednio dopasowane do zapotrzebowania na pojemność i zapewniają oczekiwaną wydajność bez marnowania zasobów. |
| Określanie wymaganej jednostki SKU i przepustowości | Sposób naliczania opłat za użycie usługi ExpressRoute różni się w zależności od trzech różnych typów jednostek SKU. W przypadku lokalnej jednostki SKU opłaty są naliczane automatycznie za plan danych Bez ograniczeń. W przypadku jednostek SKU w warstwie Standardowa i Premium można wybrać plan danych Taryfowy lub Nieograniczony. Wszystkie dane przychodzące są bezpłatne, z wyjątkiem przypadków korzystania z dodatku Global Reach. Ważne jest, aby zrozumieć, które typy jednostek SKU i plan danych działają najlepiej dla obciążenia, aby najlepiej zoptymalizować koszt i budżet. Aby uzyskać więcej informacji na temat zmiany rozmiaru obwodu usługi ExpressRoute, zobacz uaktualnianie przepustowości obwodu usługi ExpressRoute. |
| Określanie rozmiaru bramy sieci wirtualnej usługi ExpressRoute | Bramy sieci wirtualnej usługi ExpressRoute są używane do przekazywania ruchu do sieci wirtualnej za pośrednictwem prywatnej komunikacji równorzędnej. Przejrzyj wymagania dotyczące wydajności i skalowania preferowanej jednostki SKU bramy Virtual Network. Wybierz odpowiednią jednostkę SKU bramy w obciążeniu lokalnym na platformę Azure. |
| Monitorowanie kosztów i tworzenie alertów budżetowych | Monitoruj koszt obwodu usługi ExpressRoute i twórz alerty dotyczące anomalii wydatków i ryzyka nadmiernego wydatków. Aby uzyskać więcej informacji, zobacz Monitorowanie kosztów usługi ExpressRoute. |
| Anulowanie aprowizacji i usuwanie obwodów usługi ExpressRoute nie jest już używane. | Opłaty za obwody usługi ExpressRoute są naliczane od momentu ich utworzenia. Aby zmniejszyć niepotrzebne koszty, anuluj aprowizowanie obwodu za pomocą dostawcy usług i usuń obwód usługi ExpressRoute z subskrypcji. Aby uzyskać instrukcje dotyczące usuwania obwodu usługi ExpressRoute, zobacz Anulowanie aprowizacji obwodu usługi ExpressRoute. |
Aby uzyskać więcej sugestii, zobacz Lista kontrolna projektu dotycząca optymalizacji kosztów.
Usługa Azure Advisor może wykrywać obwody usługi ExpressRoute wdrożone przez pewien czas, ale mają stan dostawcy Nie aprowizowano. Obwody w tym stanie nie działają; usunięcie nieużywanego zasobu spowoduje zmniejszenie niepotrzebnych kosztów.
Efektywność operacyjna
Monitorowanie i diagnostyka są niezwykle istotne. Nie tylko można mierzyć statystyki wydajności, ale także szybko rozwiązywać problemy i rozwiązywać problemy przy użyciu metryk. Zalecamy zapoznanie się z zasadami projektowania doskonałości operacyjnej.
Lista kontrolna projektu
- Konfigurowanie monitorowania połączeń między siecią lokalną a siecią platformy Azure.
- Skonfiguruj usługę Service Health do odbierania powiadomień.
- Przejrzyj metryki i pulpity nawigacyjne dostępne za pośrednictwem usługi ExpressRoute Insights przy użyciu usługi Network Insights.
- Przejrzyj metryki zasobów usługi ExpressRoute.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem doskonałości operacyjnej.
| Zalecenie | Korzyść |
|---|---|
| Konfigurowanie monitorowania połączeń | Monitorowanie połączeń umożliwia monitorowanie łączności między zasobami lokalnymi a platformą Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute i połączenia komunikacji równorzędnej firmy Microsoft. Monitor połączeń może wykrywać problemy z siecią, identyfikując miejsce, w którym znajduje się problem, i pomagając szybko rozwiązać problemy z konfiguracją lub awariami sprzętowymi. |
| Konfigurowanie kondycji usługi | Skonfiguruj powiadomienia usługi Service Health , aby otrzymywać alerty, gdy planowana i nadchodząca konserwacja odbywa się we wszystkich obwodach usługi ExpressRoute w ramach subskrypcji. Usługa Service Health wyświetla również wcześniejszą konserwację oraz analizę głównej przyczyny, jeśli nieplanowana konserwacja miała miejsce. |
| Przeglądanie metryk za pomocą usługi Network Insights | Usługa ExpressRoute Insights z usługą Network Insights umożliwia przeglądanie i analizowanie obwodów usługi ExpressRoute, bram, metryk połączeń i pulpitów nawigacyjnych kondycji. Usługa ExpressRoute Insights udostępnia również widok topologii połączeń usługi ExpressRoute, w którym można wyświetlać szczegóły składników komunikacji równorzędnej w jednym miejscu. Dostępne metryki: -Dostępność -Przepustowość - Metryki bramy |
| Przeglądanie metryk zasobów usługi ExpressRoute | Usługa ExpressRoute używa usługi Azure Monitor do zbierania metryk i tworzenia alertów opartych na konfiguracji. Metryki są zbierane dla obwodów usługi ExpressRoute, bram usługi ExpressRoute, połączeń bram usługi ExpressRoute i usługi ExpressRoute Direct. Te metryki są przydatne do diagnozowania problemów z łącznością i zrozumienia wydajności połączenia usługi ExpressRoute. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru doskonałości operacyjnej.
Efektywność wydajności
Efektywność wydajności to możliwość skalowania obciążenia w celu zaspokojenia zapotrzebowania użytkowników w wydajny sposób. Zalecamy zapoznanie się z zasadami wydajności.
Lista kontrolna projektu
- Przetestuj wydajność bramy usługi ExpressRoute, aby spełnić wymagania dotyczące obciążenia służbowego.
- Zwiększ rozmiar bramy usługi ExpressRoute.
- Uaktualnij przepustowość obwodu usługi ExpressRoute.
- Włącz usługę ExpressRoute FastPath w celu uzyskania wyższej przepływności.
- Monitoruj metryki obwodu i bramy usługi ExpressRoute.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem wydajności.
| Zalecenie | Korzyść |
|---|---|
| Przetestuj wydajność bramy usługi ExpressRoute, aby spełnić wymagania dotyczące obciążenia służbowego. | Użyj zestawu narzędzi Azure Connectivity Toolkit , aby przetestować wydajność obwodu usługi ExpressRoute, aby zrozumieć przepustowość i opóźnienie połączenia sieciowego. |
| Zwiększ rozmiar bramy usługi ExpressRoute. | Przeprowadź uaktualnienie do wyższej jednostki SKU bramy , aby zwiększyć wydajność przepływności między środowiskiem lokalnym a środowiskiem platformy Azure. |
| Uaktualnianie przepustowości obwodu usługi ExpressRoute | Uaktualnij przepustowość obwodu , aby spełnić wymagania dotyczące obciążenia służbowego. Przepustowość obwodu jest współdzielona między wszystkie sieci wirtualne połączone z obwodem usługi ExpressRoute. W zależności od obciążenia służbowego co najmniej jedna sieć wirtualna może korzystać z całej przepustowości obwodu. |
| Włączanie usługi ExpressRoute FastPath w celu uzyskania wyższej przepływności | Jeśli używasz bramy sieci wirtualnej w warstwie Ultra lub bramy sieci wirtualnej ErGW3AZ, możesz włączyć funkcję FastPath , aby zwiększyć wydajność ścieżki danych między siecią lokalną a siecią wirtualną platformy Azure. |
| Monitorowanie metryk obwodu i bramy usługi ExpressRoute | Skonfiguruj alerty oparte na metrykach usługi ExpressRoute , aby proaktywnie powiadamiać o osiągnięciu określonego progu. Te metryki są przydatne do zrozumienia anomalii, które mogą wystąpić w przypadku połączenia usługi ExpressRoute, takiego jak awarie i konserwacja w obwodach usługi ExpressRoute. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru wydajności.
Usługa Azure Advisor oferuje zalecenie dotyczące uaktualnienia przepustowości obwodu usługi ExpressRoute w celu uwzględnienia użycia, gdy obwód ostatnio zużywał ponad 90% pozyskanej przepustowości. Jeśli ruch przekroczy przydzieloną przepustowość, wystąpią porzucone pakiety, co może prowadzić do znacznego wpływu na wydajność lub niezawodność.
Azure Policy
Azure Policy nie udostępnia żadnych wbudowanych zasad dla usługi ExpressRoute, ale można tworzyć zasady niestandardowe, aby ułatwić zarządzanie sposobem dopasowania obwodów usługi ExpressRoute do żądanego stanu końcowego, takich jak wybór jednostki SKU, typ komunikacji równorzędnej, konfiguracje komunikacji równorzędnej itd.
Dodatkowe zasoby
Wytyczne w przewodniku Cloud Adoption Framework
- Tradycyjna topologia sieci platformy Azure
- topologia sieci Virtual WAN (zarządzana przez firmę Microsoft)
Następne kroki
Skonfiguruj obwód usługi ExpressRoute lub port usługi ExpressRoute Direct w celu nawiązania komunikacji między siecią lokalną a platformą Azure.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla