Perspektywa platformy Azure Well-Architected Framework w usłudze Azure ExpressRoute
Usługa Azure ExpressRoute umożliwia tworzenie prywatnych połączeń między centrami danych platformy Azure i infrastrukturą lokalną lub w obiekcie kolokacji. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet, oferując większe bezpieczeństwo, szybsze i mniejsze opóźnienia niż typowe połączenia internetowe.
W tym artykule założono, że masz wiedzę na temat usługi Azure ExpressRoute i dobrze znasz wszystkie jej funkcje. Wskazówki zawarte w tym artykule zawierają zalecenia dotyczące architektury mapowane na zasady filarów platformy Azure Well-Architected Framework.
Ważne
Jak korzystać z tego przewodnika
Każda sekcja zawiera listę kontrolną projektu, która przedstawia zagadnienia dotyczące architektury wraz ze strategiami projektowania zlokalizowanymi w zakresie technologii.
Uwzględniono również zalecenia dotyczące możliwości technologicznych, które mogą pomóc zmaterializować te strategie. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji dostępnych dla usługi Azure ExpressRoute i jej zależności. Zamiast tego wyświetlają listę kluczowych zaleceń mapowanych na perspektywy projektu. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.
Podstawowa architektura, która demonstruje kluczowe zalecenia: Implementowanie stref docelowych w skali przedsiębiorstwa w skali przedsiębiorstwa na platformie Azure.
Zakres technologii
Ten przegląd koncentruje się na powiązanych decyzjach dotyczących następujących zasobów platformy Azure:
- Azure ExpressRoute
Niezawodność
Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności dzięki tworzeniu wystarczającej odporności i możliwości szybkiego odzyskiwania po awariach.
Wysoce niezawodne, odporne i dostępne połączenia sieciowe mają podstawowe znaczenie dla dobrze ustrukturyzowanego systemu. Niezawodność składa się z dwóch zasad: odporności i dostępności. Odporność ma na celu zapobieganie awariom i, jeśli wystąpią, przywrócenie aplikacji do w pełni funkcjonalnego stanu. Dostępność zapewnia spójny dostęp do aplikacji lub obciążeń. Ważne jest, aby aktywnie planować niezawodność na podstawie potrzeb biznesowych i wymagań aplikacji.
Zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności. Określ jego znaczenie dla wymagań biznesowych, pamiętając o funkcjach i możliwościach usługi Azure ExpressRoute. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
Tworzenie nadmiarowości, wzmacnianie odporności: eliminowanie pojedynczych punktów awarii tak samo praktycznych. Zaplanuj nadmiarowość w projekcie sieci, konfigurując wiele obwodów usługi ExpressRoute, różne ścieżki i wiele lokalizacji komunikacji równorzędnej najbliżej lokalizacji lokalnych. Zdefiniuj cele dostępności i odzyskiwania dla składników, przepływów i ogólnego rozwiązania. Wizualizuj cele, aby negocjować, zdobywać konsensus, określać oczekiwania i prowadzić działania w celu osiągnięcia idealnego stanu.
Przewidywanie potencjalnych niepowodzeń: Planowanie strategii ograniczania ryzyka potencjalnych awarii. W poniższej tabeli przedstawiono przykłady analizy trybu awarii.
Błąd Czynności zapobiegawcze Zakłócenia obwodu, takie jak awaria sprzętu w lokalizacji komunikacji równorzędnej. Mają obwód pomocniczy na potrzeby nadmiarowości podczas przywracania usługi. Monitoruj kondycję obwodu, aby określić, kiedy mogą wystąpić problemy. Zakłócenia bramy w sieciach wirtualnych platformy Azure. Czy brama została wdrożona w wielu strefach dostępności i z konfiguracją Aktywna/Aktywna, tak aby zakłócenia bramy w jednej strefie nie zapobiegały łączności. Planowanie odporności lokacji: planowanie odporności lokacji ma kluczowe znaczenie dla zapewnienia wysokiej dostępności. Usługa ExpressRoute oferuje trzy architektury odporności lokacji: Standardowa, Wysoka i Maksymalna. Standardowa odporność zapewnia podstawową ochronę przed awariami linków, ale nie zapewnia ochrony przed awariami lokacji. Wysoka odporność zapewnia rozszerzoną ochronę dzięki dodatkowym mechanizmom trybu failover, a maksymalna odporność zapewnia najwyższy poziom ochrony z wieloma nadmiarowymi systemami i mechanizmami trybu failover.
Planowanie regionów i stref dostępności: Zaplanuj dla wielu regionów i stref dostępności najbliższych lokalizacji lokalnych, aby zapewnić odporność i wysoką dostępność.
Planowanie obwodu usługi ExpressRoute lub usługi ExpressRoute Direct: w początkowej fazie planowania chcesz zdecydować, czy chcesz skonfigurować obwód usługi ExpressRoute, czy połączenie ExpressRoute Direct.
Wybierz odpowiednią jednostkę SKU obwodu: jednostki SKU obwodu usługi ExpressRoute zapewniają nadmiarowość dzięki użyciu rozszerzenia geograficznego. Usługa ExpressRoute ma trzy jednostki SKU: lokalne, standardowe i Premium.
SKU Rozszerzanie geograficzne Nadmiarowość Przypadek użycia Lokalny Dostęp do regionów platformy Azure w obrębie lub w pobliżu tego samego obszaru metra. Zlokalizowana nadmiarowość Połączenia o dużych szybkościach i małych opóźnieniach w obrębie metra. Standardowa Dostęp do wszystkich regionów platformy Azure w określonym obszarze geopolitycznym. Nadmiarowość regionalna Szersze potrzeby dotyczące łączności regionalnej. Premium Globalna łączność z dowolnym regionem świadczenia usługi Azure na całym świecie. Globalna nadmiarowość Rozległy zasięg geograficzny dla operacji globalnych. Planowanie łączności Active-Active: dedykowane obwody usługi ExpressRoute zapewniają dostępność w przypadku skonfigurowania łączności aktywne-aktywnej między środowiskiem lokalnym a platformą Azure. Ta konfiguracja zapewnia wyższą dostępność połączenia usługi ExpressRoute.
Planowanie obwodów geograficznie nadmiarowych: skonfiguruj obwody usługi ExpressRoute w więcej niż jednej lokalizacji komunikacji równorzędnej, aby upewnić się, że istnieje wiele różnych geograficznie ścieżek między sieciami lokalnymi i platformą Azure. Zmniejsza to ryzyko wystąpienia awarii pojedynczego punktu awarii, co zwiększa niezawodność i dostępność połączenia.
Konfigurowanie usługi ExpressRoute Global Reach: jako funkcja jednostki SKU premium obwodu usługi ExpressRoute usługa ExpressRoute Global Reach umożliwia łączenie sieci lokalnych w różnych lokalizacjach geograficznych bezpośrednio za pośrednictwem sieci szkieletowej platformy Azure. Łącząc sieci lokalne z wieloma regionami świadczenia usługi Azure, usługa Global Reach zapewnia dodatkową warstwę nadmiarowości. Jeśli jeden region świadczenia usługi Azure stanie się niedostępny, możesz szybko przekierować ruch do innego regionu bez korzystania z publicznego Internetu, zachowując bezpieczną i niezawodną łączność.
Skonfiguruj sieć VPN typu lokacja-lokacja jako kopię zapasową prywatnej komunikacji równorzędnej usługi ExpressRoute: ta konfiguracja zapewnia dodatkową warstwę nadmiarowości i zapewnia, że sieć pozostaje operacyjna, nawet jeśli połączenie usługi ExpressRoute wystąpi awaria.
Planowanie bram sieci wirtualnej: podczas wybierania i konfigurowania bramy sieci wirtualnej usługi ExpressRoute pod kątem odporności należy wziąć pod uwagę następujące najlepsze rozwiązania:
Wybierz odpowiednią jednostkę SKU bramy sieci wirtualnej usługi ExpressRoute, aby odzwierciedlić poprawną wydajność i przepływność twojej firmy.
Skonfiguruj bramy usługi ExpressRoute w różnych regionach pod kątem regionalnej nadmiarowości i odporności.
Skonfiguruj strefowo nadmiarową bramę sieci wirtualnej w Strefy dostępności pod kątem nadmiarowości strefy i odporności.
Wdróż skalowalne bramy sieci wirtualnej, które umożliwiają skalowanie automatyczne na podstawie wymaganej przepływności.
Planowanie dla dostawców usług: wybierz różnych dostawców usług dla każdego obwodu, aby zapewnić różne ścieżki. Ta różnorodność dostawców usług minimalizuje ryzyko przestoju sieci z powodu awarii jednego dostawcy.
Przeprowadzanie testów niezawodności: przetestuj projekt sieci pod kątem odporności, aby upewnić się, że sieć może wytrzymać awarie. Testowanie można osiągnąć za pomocą zestawu narzędzi Azure Connectivity Toolkit w celu przetestowania wydajności obwodu usługi ExpressRoute w celu zrozumienia pojemności przepustowości i opóźnienia połączenia sieciowego. Upewnij się, że mechanizmy trybu failover działają zgodnie z oczekiwaniami.
Konfigurowanie monitorowania obwodów usługi ExpressRoute i kondycji bramy sieci wirtualnej usługi ExpressRoute: Konfigurowanie monitorowania i alertów dla obwodu usługi ExpressRoute i kondycji bramy sieci wirtualnej usługi ExpressRoute na podstawie różnych dostępnych metryk.
Wskaźniki kondycji służą do identyfikowania zakłóceń: konfigurowanie monitorowania i alertów dla obwodu usługi ExpressRoute i kondycji bramy sieci wirtualnej usługi ExpressRoute na podstawie różnych dostępnych metryk.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Przewidywanie i eliminowanie potencjalnych awarii podczas projektowania i tworzenia architektury usługi Azure ExpressRoute. | Przewidywanie awarii prowadzi do projektowania bardziej niezawodnej i odpornej architektury sieci, która może wytrzymać różne scenariusze awarii. |
| Planowanie odporności lokacji. Aby uzyskać maksymalną lub wysoką odporność, zaplanuj wiele ścieżek między lokalną krawędzią a lokalizacjami komunikacji równorzędnej (lokalizacjami dostawcy/krawędzi firmy Microsoft). Aby uzyskać maksymalną odporność, skonfiguruj wiele obwodów w różnych lokalizacjach komunikacji równorzędnej. W przypadku wysokiej odporności skonfiguruj obwód między wieloma lokalizacjami komunikacji równorzędnej w tym samym obszarze metropolitalnym (nazywanym również metro usługi ExpressRoute) z sieci lokalnej. | Mając wiele ścieżek między lokalną krawędzią a lokalizacjami komunikacji równorzędnej, sieć może nadal działać nawet w przypadku awarii jednej ścieżki. Ta nadmiarowość ma kluczowe znaczenie dla utrzymania ciągłej łączności i zminimalizowania przestojów. |
| Planowanie dla wielu regionów i stref dostępności. | Strefy dostępności są fizycznie oddzielone lokalizacjami w obrębie regionu, zapewniając izolację błędów. Oznacza to, że awarie w jednej strefie nie wpływają na inne, zwiększając ogólną niezawodność systemu. |
| Planowanie obwodu usługi ExpressRoute lub usługi ExpressRoute Direct. W początkowej fazie planowania chcesz zdecydować, czy chcesz skonfigurować obwód usługi ExpressRoute, czy połączenie ExpressRoute Direct. Należy również zidentyfikować wymaganie dotyczące przepustowości i wymagania dotyczące typu jednostki SKU dla potrzeb biznesowych. | Obwód usługi ExpressRoute umożliwia prywatne dedykowane połączenie z platformą Azure za pomocą dostawcy łączności. Usługa ExpressRoute Direct umożliwia rozszerzenie sieci lokalnej bezpośrednio do sieci firmy Microsoft w lokalizacji komunikacji równorzędnej. |
| Wybierz odpowiednią jednostkę SKU obwodu w celu zapewnienia nadmiarowości przy użyciu rozszerzenia geograficznego. Jednostki SKU Lokalne, Standardowe i Premium oferują różne poziomy łączności, dostępu i wydajności. Jednostka SKU w warstwie Premium zapewnia najwyższy poziom nadmiarowości z globalną łącznością z dowolnym regionem świadczenia usługi Azure na całym świecie. | Wybranie odpowiedniej jednostki SKU obwodu gwarantuje, że masz odpowiedni poziom nadmiarowości i łączności dla obciążeń. |
| Planowanie łączności aktywne-aktywne. Aby zwiększyć wysoką dostępność, nadmiarowość i odporność, zalecamy obsługę obu połączeń obwodu usługi ExpressRoute w trybie aktywny-aktywny. Ponadto skonfiguruj wykrywanie przekierowania dwukierunkowego (BFD) zarówno przez prywatną, jak i komunikację równorzędną firmy Microsoft w celu szybszego przejścia w tryb failover podczas awarii łącza. | Tryb aktywny-aktywny zapewnia wyższą dostępność połączeń usługi ExpressRoute. BFD zapewnia szybkie wykrywanie błędów linków, co umożliwia szybsze przechodzenie w tryb failover do ścieżek kopii zapasowych. Minimalizuje to przestoje i zapewnia ciągłą łączność. |
| Planowanie obwodów geograficznie nadmiarowych. | Istnieją scenariusze, w których lokalizacja komunikacji równorzędnej usługi ExpressRoute lub cała usługa regionalna może ulec pogorszeniu. Nadmiarowość geograficzna zwiększa odzyskiwanie po awarii i wysoką dostępność, zapewniając wiele różnych geograficznie ścieżek między sieciami lokalnymi i platformą Azure. Zmniejsza to ryzyko wystąpienia awarii pojedynczego punktu awarii, co zwiększa niezawodność i dostępność połączenia. |
| Usługa ExpressRoute Global Reach umożliwia łączenie obwodów usługi ExpressRoute w celu utworzenia sieci prywatnej między sieciami lokalnymi. Skonfiguruj usługę ExpressRoute Global Reach w jednostce SKU Premium obwodu usługi ExpressRoute. | Usługa ExpressRoute Global Reach zapewnia dodatkową warstwę nadmiarowości, łącząc sieci lokalne w różnych lokalizacjach geograficznych bezpośrednio za pośrednictwem sieci szkieletowej platformy Azure. Dzięki temu sieć pozostaje połączona i działa, nawet jeśli jeden region świadczenia usługi Azure stanie się niedostępny. |
| Wybierz różnych dostawców usług ExpressRoute dla każdego obwodu. | Różnorodność dostawców usług minimalizuje ryzyko przestoju sieci z powodu awarii pojedynczego dostawcy. Wybierając różnych dostawców usług dla każdego obwodu, możesz mieć pewność, że sieć pozostanie operacyjna, nawet jeśli jeden dostawca wystąpi awaria. Ta nadmiarowość jest niezbędna do utrzymania ciągłej łączności i zminimalizowania przestojów. |
| Skonfiguruj sieć VPN typu lokacja-lokacja za pośrednictwem komunikacji równorzędnej firmy Microsoft jako kopię zapasową do prywatnej komunikacji równorzędnej usługi ExpressRoute. Sieć VPN typu lokacja-lokacja zapewnia dodatkową warstwę nadmiarowości i zapewnia, że sieć pozostaje operacyjna, nawet jeśli połączenie usługi ExpressRoute wystąpi awaria. | Konfigurując sieć VPN typu lokacja-lokacja jako kopię zapasową prywatnej komunikacji równorzędnej usługi ExpressRoute, można zachować ciągłą łączność i zminimalizować przestoje. |
| Planowanie strefowo nadmiarowych bram sieci wirtualnej. Wybierz odpowiednią jednostkę SKU bramy sieci wirtualnej usługi ExpressRoute, aby odzwierciedlić poprawną wydajność i przepływność twojej firmy. Rozważ wdrożenie skalowalnej bramy sieci wirtualnej, która umożliwia osiągnięcie łączności 40 Gb/s i skalowanie automatyczne na podstawie wymaganej przepływności. Wdróż bramy sieci wirtualnej usługi ExpressRoute, które są strefowo nadmiarowe w celu zapewnienia maksymalnej odporności i nadmiarowości w Strefy dostępności. | Wybranie odpowiedniej jednostki SKU gwarantuje, że brama może obsługiwać wymaganą wydajność i przepływność dla potrzeb firmy. Skalowalna brama sieci wirtualnej automatycznie skaluje się na podstawie wymaganej przepływności, umożliwiając sieci dostosowanie się do zmieniających się wymagań. Ta elastyczność pomaga utrzymać wydajność w godzinach szczytowego użycia i zapobiega przeciążeniu. Ponadto wdrażanie strefowo nadmiarowych bram sieci wirtualnych zapewnia, że sieć pozostaje operacyjna, nawet jeśli jedna strefa dostępności wystąpi awaria, zwiększając ogólną niezawodność i odporność. |
| Przeprowadź testy niezawodności za pomocą zestawu narzędzi Azure Connectivity Toolkit , aby upewnić się, że projekt sieci jest odporny i może wytrzymać awarie. | Testowanie niezawodności ułatwia identyfikowanie potencjalnych problemów i słabych stron w projekcie sieci, co umożliwia proaktywne rozwiązywanie problemów. Przeprowadzając testy niezawodności, można zagwarantować, że sieć jest niezawodna i odporna, minimalizując przestoje i zapewniając ciągłą łączność. |
| Skonfiguruj monitorowanie i alerty dla obwodów usługi ExpressRoute, komunikacji równorzędnej, portów i kondycji zasobów bramy sieci wirtualnej na podstawie różnych dostępnych metryk. Pomaga to aktywnie zarządzać i utrzymywać kondycję sieci. Użyj usługi Network Insights dla usługi ExpressRoute, aby wizualizować mapy topologiczne i pulpity nawigacyjne kondycji, zapewniając jasny widok konfiguracji i ich stanu. | Konfigurując monitorowanie i alerty na podstawie różnych metryk, możesz aktywnie wykrywać i rozwiązywać problemy, takie jak zwiększone opóźnienie, spadki ruchu lub przestoje obwodu, zanim będą miały wpływ na usługi. |
| Skonfiguruj kondycję usługi, aby powiadomić Cię o planowanej i nieplanowanej konserwacji. Konfigurowanie kondycji usługi powiadamia o zmianach wprowadzonych w obwodach usługi ExpressRoute. | Narzędzie Kondycja usługi umożliwia wyświetlanie planowanej i wcześniejszej konserwacji w witrynie Azure Portal oraz konfigurowanie alertów i powiadomień, które najlepiej odpowiadają Twoim potrzebom. |
Zabezpieczenia
Celem filaru Zabezpieczenia jest zapewnienie poufności, integralności i gwarancji dostępności dla obciążenia.
Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do projektu technicznego usługi Azure ExpressRoute.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem zabezpieczeń i identyfikowania luk w zabezpieczeniach i mechanizmów kontroli w celu poprawy stanu zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
Skorzystaj z planu bazowego zabezpieczeń platformy Azure dla usługi ExpressRoute: test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure.
Implementowanie kontroli dostępu opartej na rolach (RBAC) platformy Azure: użyj kontroli dostępu opartej na rolach platformy Azure, aby skonfigurować role, aby ograniczyć konta użytkowników, które mogą dodawać, aktualizować lub usuwać konfiguracje komunikacji równorzędnej w obwodzie usługi ExpressRoute lub zmieniać zasoby usługi ExpressRoute.
Konfigurowanie szyfrowania usługi ExpressRoute: Szyfrowanie danych przesyłanych przez obwody usługi ExpressRoute w celu zapewnienia bezpieczeństwa i ochrony danych przesyłanych między sieciami lokalnymi i sieciami wirtualnymi platformy Azure przed nieautoryzowanym dostępem. Usługa ExpressRoute obsługuje następujące opcje szyfrowania:
Zabezpieczenia kontroli dostępu do multimediów (MACsec) stosowane do zasobów usługi ExpressRoute Direct, usługa MACsec zwiększa bezpieczeństwo usługi ExpressRoute, zapewniając szyfrowanie i ochronę integralności warstwy linków, zapewniając bezpieczeństwo danych przesyłanych za pośrednictwem obwodów usługi ExpressRoute oraz zgodność z wymaganiami prawnymi.
Zabezpieczenia protokołu internetowego (IPsec) stosowane do prywatnej komunikacji równorzędnej usługi ExpressRoute protokół IPsec zapewnia bezpieczną komunikację między sieciami lokalnymi i sieciami wirtualnymi platformy Azure przez szyfrowanie danych przesyłanych. Konfigurując protokół IPsec, można upewnić się, że dane przesyłane za pośrednictwem obwodów usługi ExpressRoute są bezpieczne i chronione przed nieautoryzowanym dostępem.
Skonfiguruj skrót MD5 w obwodzie usługi ExpressRoute: podczas konfiguracji prywatnej komunikacji równorzędnej lub komunikacji równorzędnej firmy Microsoft zastosuj skrót MD5 w celu zabezpieczenia komunikatów między routerem lokalnym a routerami MSEE.
Konfigurowanie dziennika aktywności w celu wysyłania dzienników do archiwizacji: dzienniki aktywności są niezbędne do inspekcji, zgodności, reagowania na zdarzenia, widoczności operacyjnej i wymuszania zasad dla usługi ExpressRoute. Skonfiguruj dziennik aktywności, aby wysyłać dzienniki do archiwum na potrzeby długoterminowego przechowywania i analizy.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem zabezpieczeń.
| Zalecenie | Korzyści |
|---|---|
| Korzystanie z planu bazowego zabezpieczeń platformy Azure dla usługi ExpressRoute. Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi ExpressRoute. | Zawartość jest zorganizowana przez mechanizmy kontroli zabezpieczeń zdefiniowane w teście porównawczym i zawiera powiązane wskazówki specyficzne dla usługi ExpressRoute. |
| Zaimplementuj kontrolę dostępu opartą na rolach (RBAC) platformy Azure, aby kontrolować, kto może zarządzać zasobami usługi ExpressRoute, takimi jak obwody i bramy usługi ExpressRoute. | Zapewniając szczegółowe zarządzanie dostępem do zasobów, można zachować spis kont administracyjnych z dostępem do zasobów usługi ExpressRoute i upewnić się, że tylko autoryzowani użytkownicy mogą wykonywać określone akcje. |
| Skonfiguruj protokół MACsec dla portów usługi ExpressRoute Direct. | Protokół MACsec (zabezpieczenia kontroli dostępu do multimediów) zwiększa bezpieczeństwo, szyfrując dane, zapewniając integralność danych, chroniąc protokoły podatne na zagrożenia. Zabezpiecza protokoły, które zwykle nie są chronione za pomocą łączy Ethernet, takich jak ARP, DHCP i LACP, co zapobiega potencjalnym zagrożeniom bezpieczeństwa ukierunkowanym na te protokoły. |
| Szyfruj ruch przy użyciu protokołu IPsec (Zabezpieczenia protokołu internetowego) na potrzeby prywatnej komunikacji równorzędnej usługi ExpressRoute lub skonfiguruj tunel przy użyciu prywatnej komunikacji równorzędnej. | Protokół IPsec szyfruje dane w warstwie sieciowej (warstwa 3) i zwiększa bezpieczeństwo, zapewniając szyfrowanie, uwierzytelnianie, ochronę integralności i zgodność. Dzięki temu dane przesyłane za pośrednictwem obwodów usługi ExpressRoute są bezpieczne i chronione przed nieautoryzowanym dostępem i manipulowaniem. |
| Skonfiguruj skrót MD5 w obwodzie usługi ExpressRoute podczas konfigurowania prywatnej komunikacji równorzędnej lub komunikacji równorzędnej firmy Microsoft w celu zabezpieczenia komunikatów między trasą lokalną a routerami MSEE. | Generując skrót MD5 danych przed przesłaniem i porównując je z wartością skrótu wygenerowaną po odebraniu, możesz upewnić się, że dane nie zostały naruszone podczas przesyłania. |
| Konfigurowanie dzienników aktywności i wysyłanie dzienników do archiwum. Przechowywanie danych wynosi tylko 90 dni i wymagane jest przechowywanie ich w usłudze Log Analytics, usłudze Event Hubs lub koncie magazynu na potrzeby archiwizacji. Aby uzyskać więcej informacji na temat dzienników aktywności w usłudze ExpressRoute, zobacz Monitorowanie usługi Azure ExpressRoute. | Dzienniki aktywności zapewniają wgląd w operacje, które zostały wykonane na poziomie subskrypcji dla zasobów usługi ExpressRoute. Za pomocą dzienników aktywności można określić, kto i kiedy operacja została wykonana na płaszczyźnie sterowania. |
Optymalizacja kosztów
Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych , aby spełnić budżet organizacji przy jednoczesnym spełnieniu wymagań biznesowych.
Zasady projektowania optymalizacji kosztów zapewniają ogólną strategię projektowania służącą do osiągnięcia tych celów i dokonywania kompromisów zgodnie z potrzebami w projekcie technicznym związanym z aplikacjami internetowymi i środowiskiem, w którym działają.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu optymalizacji kosztów dla inwestycji i dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.
Zapoznaj się z cennikiem usługi ExpressRoute: w ramach ćwiczenia dotyczącego modelu kosztów należy oszacować koszt usługi ExpressRoute. Upewnij się, że opcje są odpowiednio dopasowane do zapotrzebowania na pojemność i zapewniają oczekiwaną wydajność bez marnowania zasobów.
Określ wymaganą jednostkę SKU obwodu i przepustowość: określ wybrane jednostki SKU obwodu usługi ExpressRoute i bramy sieci wirtualnej oraz przepustowość zgodnie z wymaganiami dotyczącymi pojemności i wydajności obciążenia.
Określ rozmiar bramy sieci wirtualnej usługi ExpressRoute: wybierz odpowiedni rozmiar bramy sieci wirtualnej usługi ExpressRoute na podstawie wymagań dotyczących wydajności i wydajności obciążenia.
Monitorowanie kosztów i tworzenie alertów budżetowych: monitoruj koszt obwodu usługi ExpressRoute i twórz alerty dotyczące anomalii wydatków i nadmiernego ryzyka.
Cofanie aprowizacji i usuwanie nieużywanych obwodów usługi ExpressRoute: usługa Azure Advisor może wykrywać obwody usługi ExpressRoute wdrożone przez znaczący czas, ale mają stan dostawcy Nie aprowizowano.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem optymalizacji kosztów.
| Zalecenie | Korzyści |
|---|---|
| Zapoznaj się z cennikiem usługi ExpressRoute. Użyj kalkulatora cen platformy Azure, aby oszacować koszt. Usługa ExpressRoute Direct ma miesięczną opłatę za port, która obejmuje opłatę za obwód dla obwodów lokalnych i standardowych obwodów usługi ExpressRoute. W przypadku obwodów jednostki SKU w warstwie Premium jest naliczana dodatkowa opłata za obwód. Opłaty za transfer danych wychodzących są naliczane za GB, w zależności od liczby stref lokalizacji komunikacji równorzędnej. Opłaty za dane wychodzące dotyczą tylko jednostek SKU w warstwie Standardowa i Premium. Aby uzyskać więcej informacji, zobacz Planowanie kosztów usługi Azure ExpressRoute i zarządzanie nimi. | Zrozumienie cen usługi ExpressRoute umożliwia lepsze zarządzanie kosztami, świadome podejmowanie decyzji, unikanie nieoczekiwanych opłat i maksymalizację wartości. |
| Określ wymaganą jednostkę SKU obwodu i przepustowość . Sposób naliczania opłat za użycie usługi ExpressRoute różni się w zależności od trzech różnych typów jednostek SKU. W przypadku lokalnej jednostki SKU opłaty są naliczane automatycznie za plan danych Bez ograniczeń. Jednostki SKU w warstwie Standardowa i Premium umożliwiają wybranie planu taryfowego lub nieograniczonego. Wszystkie dane przychodzące są bezpłatne, z wyjątkiem korzystania z dodatku Global Reach, który wiąże się z dodatkowymi kosztami transferu danych między różnymi lokalizacjami geograficznymi. Ważne jest, aby przejrzeć i zmienić rozmiar obwodu usługi ExpressRoute. | Ważne jest, aby zrozumieć, które typy jednostek SKU i plan danych działają najlepiej dla obciążenia, aby najlepiej zoptymalizować koszty i budżet. |
| Określ rozmiar bramy sieci wirtualnej usługi ExpressRoute. Bramy sieci wirtualnej usługi ExpressRoute są używane do przekazywania ruchu do sieci wirtualnej za pośrednictwem prywatnej komunikacji równorzędnej. Wybierz odpowiednią jednostkę SKU bramy w środowisku lokalnym do obciążenia platformy Azure. Informacje o cenach bramy usługi ExpressRoute na podstawie regionu i typu. Opłaty za bramy usługi ExpressRoute są naliczane za godzinę oraz koszt obwodu usługi ExpressRoute. Skonfiguruj skalowalne bramy usługi ExpressRoute, aby ustawić minimalną i maksymalną liczbę jednostek skalowania dla bramy, która jest skalowana automatycznie na podstawie aktywnej przepustowości lub liczby przepływów. Zobacz Cennik usługi ExpressRoute i wybierz pozycję Bramy usługi ExpressRoute, aby wyświetlić stawki dla różnych jednostek SKU bramy. | Dzięki temu można włączyć odpowiednie ustalanie rozmiaru zasobów, zapewniając elastyczność skalowania, optymalizowania wydajności i obsługi proaktywnego zarządzania kosztami. Takie podejście zapewnia efektywne i ekonomiczne korzystanie z zasobów. |
| Monitorowanie kosztów i tworzenie alertów budżetowych. Monitorowanie kosztów obwodu usługi ExpressRoute i tworzenie alertów dotyczących anomalii wydatków i nadmiernego ryzyka. | Monitorowanie i alerty zapewniają narzędzia do kontrolowania wydatków, ulepszania planowania finansowego, zapewniania odpowiedzialności i optymalizowania użycia zasobów. |
| Anulowanie aprowizacji i usuwanie nieużywanych obwodów usługi ExpressRoute. Usługa Azure Advisor może wykrywać obwody usługi ExpressRoute, które zostały wdrożone przez znaczący czas, ale mają stan dostawcy Nie aprowizowano. | Opłaty za obwody usługi ExpressRoute są naliczane od momentu ich utworzenia. Aby zmniejszyć niepotrzebne koszty, anuluj aprowizowanie obwodu za pomocą dostawcy usług i usuń obwód usługi ExpressRoute z subskrypcji. |
Sprawność operacyjna
Doskonałość operacyjna koncentruje się przede wszystkim na procedurach dotyczących praktyk programistycznych, możliwości obserwacji i zarządzania wydaniami.
Zasady projektowania doskonałości operacyjnej stanowią strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów w kierunku wymagań operacyjnych obciążenia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dla doskonałości operacyjnej w celu zdefiniowania procesów do obserwowania, testowania i wdrażania związanego z usługą ExpressRoute.
Wybierz najbliższe lokalizacje komunikacji równorzędnej: wybierz najbliższe lokalizacje komunikacji równorzędnej z siecią lokalną, aby zmniejszyć opóźnienia i koszty.
Konfigurowanie monitorowania połączeń między siecią lokalną a siecią platformy Azure: użyj Monitor połączenia do monitorowania łączności między zasobami lokalnymi a platformą Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute i połączenia komunikacji równorzędnej firmy Microsoft.
Konfigurowanie routingu dynamicznego dla obwodu usługi ExpressRoute z włączoną komunikacją równorzędną firmy Microsoft: routing dynamiczny dla usługi ExpressRoute korzysta z protokołu BGP w celu zapewnienia automatycznych aktualizacji tras, optymalnego wyboru ścieżki, skalowalności i współdziałania sieci.
Skonfiguruj usługę Service Health na potrzeby odbierania powiadomień: skonfiguruj powiadomienia usługi Service Health, aby otrzymywać alerty w przypadku planowanej i nadchodzącej konserwacji dla wszystkich obwodów usługi ExpressRoute w ramach subskrypcji. Aby uzyskać więcej informacji na temat sposobu integracji z ogólnym modelem kondycji dla obciążenia, zobacz Modelowanie kondycji dla obciążeń.
Konfigurowanie modułu zbierającego ruch dla usługi ExpressRoute: Moduł zbierający ruch usługi ExpressRoute umożliwia próbkowanie przepływów sieci za pośrednictwem obwodów usługi ExpressRoute.
Zbieranie, analizowanie i wizualizowanie metryk i dzienników: zbieranie metryk i dzienników w ramach ogólnej strategii monitorowania rozwiązania. Ustaw alerty, aby proaktywnie powiadamiać o osiągnięciu określonego progu. Przejrzyj metryki i pulpity nawigacyjne dostępne za pośrednictwem usługi ExpressRoute Insights, aby wyświetlić szczegóły składników komunikacji równorzędnej w jednym miejscu.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem doskonałości operacyjnej.
| Zalecenie | Korzyści |
|---|---|
| Wybierz najbliższe lokalizacje komunikacji równorzędnej z siecią lokalną, aby zmniejszyć opóźnienia i koszty. | Wybierając najbliższą lokalizację komunikacji równorzędnej z siecią lokalną, możesz zmniejszyć opóźnienia i koszty, zapewniając optymalną wydajność i efektywność kosztową. |
| Skonfiguruj Monitor połączenia między siecią lokalną a siecią platformy Azure. | Monitor połączenia może wykrywać problemy z siecią, identyfikując miejsce, w którym znajduje się problem, i pomagając szybko rozwiązać problemy z konfiguracją lub sprzętem. Monitor połączeń jest częścią dzienników usługi Azure Monitor. |
| Skonfiguruj routing dynamiczny dla obwodu usługi ExpressRoute z włączoną komunikacją równorzędną firmy Microsoft. | Routing dynamiczny umożliwia wydajniejszy i elastyczny routing, zapewniając optymalny wybór ścieżki i automatyczne aktualizacje tabel routingu w odpowiedzi na zmiany sieci. |
| Skonfiguruj powiadomienia usługi Service Health, aby otrzymywać alerty po zaplanowaniu i nadchodzącej konserwacji dla wszystkich obwodów usługi ExpressRoute w ramach subskrypcji. Usługa Service Health wyświetla również wcześniejsze zdarzenia konserwacji wraz z główną analizą przyczyn (RCA), jeśli wystąpi nieplanowane zdarzenie konserwacji. | Powiadomienia usługi Service Health zapewniają terminowe alerty dotyczące planowanej i nieplanowanej konserwacji, awarii i wczesnych ostrzeżeń dotyczących potencjalnych problemów. Dzięki temu możesz być na bieżąco ze stanem obwodów usługi ExpressRoute. |
| Konfigurowanie modułu zbierającego ruch dla usługi ExpressRoute | Moduł zbierający ruch usługi ExpressRoute umożliwia próbkowanie przepływów sieciowych za pośrednictwem obwodów usługi ExpressRoute. Obsługuje zarówno prywatną komunikację równorzędną, jak i komunikację równorzędną firmy Microsoft, zapewniając niemal rzeczywisty wgląd w przepływność i wydajność sieci. |
| Przejrzyj metryki za pomocą usługi Network Insights. Usługa ExpressRoute Insights z usługą Network Insights umożliwia przeglądanie i analizowanie obwodów usługi ExpressRoute, bram, metryk połączeń i pulpitów nawigacyjnych kondycji. Usługa ExpressRoute Insights udostępnia również widok topologii połączeń usługi ExpressRoute, w którym można wyświetlić szczegóły składników komunikacji równorzędnej w jednym miejscu. | Usługa Network Insights oferuje scentralizowaną platformę do monitorowania różnych metryk w obwodach, bramach i połączeniach usługi ExpressRoute, zapewniając kompleksowy widok kondycji i wydajności sieci. |
| Przejrzyj metryki zasobów usługi ExpressRoute. Usługa Azure Monitor umożliwia zbieranie metryk i tworzenie alertów na podstawie konfiguracji. | Metryki są zbierane dla obwodów usługi ExpressRoute, bram usługi ExpressRoute, połączeń bram usługi ExpressRoute i usługi ExpressRoute Direct. Te metryki są przydatne do diagnozowania problemów z łącznością i zrozumienia wydajności połączenia usługi ExpressRoute. |
| Przejrzyj metryki usługi ExpressRoute i utwórz alerty. Usługa ExpressRoute używa usługi Azure Monitor do zbierania metryk i tworzenia alertów na podstawie konfiguracji. Postępuj zgodnie z zaleceniami dotyczącymi projektowania i tworzenia systemu monitorowania, aby zaimplementować strategię monitorowania dla usługi ExpressRoute i obciążeń. | Metryki są zbierane dla obwodów usługi ExpressRoute, bram usługi ExpressRoute, połączeń bram usługi ExpressRoute i usługi ExpressRoute Direct. Te metryki są przydatne do diagnozowania problemów z łącznością i zrozumienia wydajności połączenia usługi ExpressRoute. |
Efektywność wydajności
Wydajność polega na utrzymywaniu środowiska użytkownika nawet wtedy, gdy występuje wzrost obciążenia dzięki zarządzaniu pojemnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności. Zasady projektowania wydajności zapewniają ogólną strategię projektowania w celu osiągnięcia tych celów pojemności w stosunku do oczekiwanego użycia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu wydajności w celu zdefiniowania punktu odniesienia na podstawie kluczowych wskaźników wydajności dla usługi Azure ExpressRoute. Zaplanuj skalowanie sieci w celu spełnienia wymagań obciążeń. Niepowodzenie planowania prawidłowego skalowania może spowodować przestój lub dodatkowe koszty. Upewnij się, że skalowanie jest prawidłowe, jeśli chodzi o planowanie obwodu i planowanie bramy.
Przetestuj wydajność bramy usługi ExpressRoute, aby spełnić wymagania dotyczące obciążenia służbowego: użyj zestawu narzędzi Azure Connectivity Toolkit, aby przetestować wydajność obwodu usługi ExpressRoute, aby zrozumieć pojemność przepustowości i opóźnienia połączenia sieciowego.
Zaplanuj skalowanie: na podstawie wymagań dotyczących skalowalności wybierz odpowiednią jednostkę SKU obwodu usługi ExpressRoute, a także jednostki SKU bramy sieci wirtualnej. Każda jednostka SKU oferuje różne funkcje i limity. Weź pod uwagę wymagania dotyczące wydajności, funkcji i routingu sieci. Aby uzyskać dodatkowe wskazówki dotyczące skalowalności rozwiązania, zobacz Zalecenia dotyczące optymalizowania skalowania i partycjonowania.
Monitorowanie wydajności zasobów usługi ExpressRoute: zbieranie i analizowanie danych telemetrycznych wydajności zgodnie z zaleceniami zapory aplikacji internetowej dotyczącymi zbierania danych wydajności. Sprawdź, czy spełnia ona cele wydajności i skonfiguruj alerty, aby proaktywnie powiadamiać o osiągnięciu określonego progu.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem wydajności.
| Zalecenie | Korzyści |
|---|---|
| Przetestuj wydajność bramy usługi ExpressRoute, aby spełnić wymagania dotyczące obciążenia służbowego za pomocą zestawu narzędzi Azure Connectivity Toolkit. Planowanie operacji intensywnie korzystających z przepustowości, takich jak kopie zapasowe i testowanie wydajności w czasie niskiego ruchu produkcyjnego. | Zestaw narzędzi udostępnia przyjazne dla użytkownika narzędzia i interfejsy, które upraszczają proces konfigurowania połączeń sieciowych z platformą Azure i zarządzania nimi. Zestaw narzędzi zawiera narzędzia do optymalizacji wydajności sieci, zapewniając wydajną i niezawodną łączność z usługami platformy Azure. |
| Planowanie skalowania obwodów usługi ExpressRoute. Uaktualnij przepustowość obwodu usługi ExpressRoute, aby spełnić wymagania dotyczące obciążenia produkcyjnego. Przepustowość obwodu jest współdzielona między wszystkimi sieciami wirtualnymi połączonymi z obwodem usługi ExpressRoute. W zależności od obciążenia co najmniej jedna sieć wirtualna może używać całej przepustowości obwodu. Aby uzyskać więcej informacji, zobacz Limity usługi ExpressRoute. | Uaktualnienie przepustowości gwarantuje, że sieć może obsługiwać coraz większe ilości danych i więcej użytkowników bez naruszania wydajności. |
| Planowanie skalowania bramy sieci wirtualnej usługi ExpressRoute. Uaktualnij jednostkę SKU bramy sieci wirtualnej usługi ExpressRoute, aby spełnić wymagania dotyczące obciążenia produkcyjnego. | Uaktualnienie do większej jednostki SKU bramy zapewnia większą przepływność, co pozwala na szybsze przesyłanie większej ilości danych między sieciami lokalnymi a platformą Azure. Większa brama może zarządzać bardziej równoczesnym połączeniami i większymi ilościami ruchu, co zmniejsza prawdopodobieństwo przeciążenia sieci i wąskich gardeł. |
| Skonfiguruj skalowalne bramy w celu automatycznego skalowania pod kątem wydajności. | Skalowalne bramy umożliwiają automatyczne skalowanie w górę i w dół przy użyciu wystąpień bramy w celu zaspokojenia potrzeb związanych z wydajnością. Jednostka SKU ErGwScale umożliwia również osiągnięcie łączności 40 Gb/s z maszynami wirtualnymi i prywatnymi punktami końcowymi w sieci wirtualnej. |
| Włącz usługę ExpressRoute FastPath w celu zwiększenia przepływności w bramie sieci wirtualnej. | Ta funkcja poprawia wydajność ścieżki danych między siecią lokalną a zasobami sieci wirtualnej przez pominięcie bramy. Wraz ze wzrostem potrzeb biznesowych program FastPath zapewnia niezbędną przepustowość i wydajność do obsługi zwiększania ilości danych i większej liczby użytkowników bez naruszania wydajności. Włączenie funkcji FastPath zapewnia, że sieć może obsługiwać przyszłe rozszerzenia i nowe aplikacje, zapewniając długoterminową wydajność. |
| Monitorowanie metryk monitora obwodu, portu i bramy usługi ExpressRoute. Skonfiguruj alerty dla metryk usługi ExpressRoute, aby proaktywnie powiadamiać o osiągnięciu określonego progu. Metryki obwodu usługi ExpressRoute obsługują metryki , takie jak dostępność Arp, BitsInPerSecond, DroppedInBitsPerSecond. Metryki portów usługi ExpressRoute obsługują metryki , takie jak AdminState, BitsInPerSecond i FastPathRoutesCount. Metryki bramy usługi ExpressRoute obsługują metryki , takie jak bity na sekundę, aktywne przepływy i liczba tras anonsowanych do komunikacji równorzędnej. Monitorowanie celów wydajności za pomocą Monitor połączenia. |
Metryki obwodu, portu i bramy usługi ExpressRoute są przydatne do zrozumienia anomalii, które mogą wystąpić w przypadku połączenia usługi ExpressRoute, takiego jak awarie i konserwacja obwodów usługi ExpressRoute. Monitor połączenia może wykrywać problemy z siecią, identyfikując miejsce, w którym znajduje się problem, i pomagając szybko rozwiązać problemy z konfiguracją lub sprzętem. |
Azure Policy
Usługa Azure Policy nie udostępnia żadnych wbudowanych zasad dla usługi ExpressRoute, ale można utworzyć zasady niestandardowe, aby ułatwić zarządzanie sposobem dopasowania obwodów usługi ExpressRoute do żądanego stanu końcowego, takich jak wybór jednostki SKU, typ komunikacji równorzędnej, konfiguracje komunikacji równorzędnej itd.
Następne kroki
Rozważ następujące artykuły jako zasoby, które przedstawiają zalecenia wyróżnione w tym artykule.
Zalecamy rozpoczęcie od wskazówek dotyczących metodologii Cloud Adoption Framework Ready
- Połącz się z platformą Azure i architektem na potrzeby łączności hybrydowej za pomocą usługi Azure ExpressRoute.
- Tradycyjna topologia sieci platformy Azure
- Topologia sieci wirtualnej sieci WAN (zarządzana przez firmę Microsoft)
Skorzystaj z następującej dokumentacji produktu, aby utworzyć wiedzę na temat implementacji:
- Skonfiguruj obwód usługi ExpressRoute lub port usługi ExpressRoute Direct, aby nawiązać komunikację między siecią lokalną a platformą Azure.
- Dokumentacja produktu Azure ExpressRoute.
- Tworzenie architektury usługi ExpressRoute pod kątem odporności w celu zapewnienia, że konfiguracja jest niezawodna i niezawodna.
- W przypadku architektur aplikacji o niskim kodzie zapoznaj się ze wskazówkami dotyczącymi włączania usługi ExpressRoute dla platformy Power Platform podczas planowania i konfigurowania usługi ExpressRoute do użycia z platformą Microsoft Power Platform.