Edytuj

Łączenie sieci lokalnej z platformą Azure przy użyciu usługi ExpressRoute

Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

Ta architektura referencyjna pokazuje, jak połączyć sieć lokalną z siecią wirtualną platformy Azure przy użyciu usługi Azure ExpressRoute z wirtualną siecią prywatną typu lokacja-lokacja (VPN) jako połączeniem trybu failover.

Architektura

Architektura referencyjna dla architektury sieci hybrydowej o wysokiej dostępności korzystającej z usługi ExpressRoute i bramy sieci VPN.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Niniejsza architektura zawiera następujące składniki.

  • Sieć lokalna. Prywatna sieć lokalna działająca w organizacji.
  • Urządzenie sieci VPN. Urządzenie lub usługa, która zapewnia sieci lokalnej łączność zewnętrzną. Urządzenie sieci VPN może być urządzeniem sprzętowym lub może być rozwiązaniem programowym, takim jak usługa routingu i dostępu zdalnego (RRAS) w systemie Windows Server 2012. Aby uzyskać listę obsługiwanych urządzeń sieci VPN oraz informacje o konfigurowaniu wybranych urządzeń sieci VPN w celu połączenia z platformą Azure, zobacz About VPN devices for Site-to-Site VPN Gateway connections (Informacje o urządzeniach sieci VPN używanych na potrzeby połączeń bramy sieci VPN typu lokacja-lokacja).
  • Obwód usługi ExpressRoute. Warstwa 2 lub warstwa 3 obwodu dostarczana przez dostawcę łączności łącząca sieć lokalną z platformą Azure za pośrednictwem routerów granicznych. Obwód używa infrastruktury sprzętowej zarządzanej przez dostawcę łączności.
  • Brama sieci wirtualnej usługi ExpressRoute. Brama sieci wirtualnej usługi ExpressRoute umożliwia sieci wirtualnej platformy Azure łączenie się z obwodem usługi ExpressRoute używanym do łączności z siecią lokalną.
  • Brama sieci wirtualnej VPN. Brama sieci wirtualnej sieci VPN umożliwia sieci wirtualnej platformy Azure łączenie się z urządzeniem sieci VPN w sieci lokalnej. Brama sieci wirtualnej VPN jest skonfigurowana do akceptowania żądań z sieci lokalnej tylko za pośrednictwem urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Connect an on-premises network to a Microsoft Azure virtual network (Łączenie sieci lokalnej z siecią wirtualną platformy Microsoft Azure).
  • Połączenie sieci VPN. Połączenie ma właściwości, które określają typ połączenia (IPSec) i klucz udostępniany lokalnemu urządzeniu sieci VPN do szyfrowania ruchu.
  • Sieć wirtualna platformy Azure. Każda sieć wirtualna znajduje się w jednym regionie świadczenia usługi Azure i może hostować wiele warstw aplikacji. Warstwy aplikacji można podzielić na segmenty przy użyciu podsieci w każdej sieci wirtualnej.
  • Podsieć bramy. Bramy sieci wirtualnej są przechowywane w tej samej podsieci.

Składniki

Szczegóły scenariusza

Ta architektura referencyjna pokazuje, jak połączyć sieć lokalną z siecią wirtualną platformy Azure przy użyciu usługi ExpressRoute z wirtualną siecią prywatną typu lokacja-lokacja (VPN) jako połączeniem trybu failover. Ruch przepływa między siecią lokalną a siecią wirtualną platformy Azure za pośrednictwem połączenia usługi ExpressRoute. W przypadku utraty łączności w obwodzie usługi ExpressRoute ruch jest kierowany przez tunel VPN IPSec. Wdróż to rozwiązanie.

Należy pamiętać, że jeśli obwód usługi ExpressRoute jest niedostępny, trasa sieci VPN będzie obsługiwać tylko prywatne połączenia komunikacji równorzędnej. Publiczne połączenia komunikacji równorzędnej i komunikacji równorzędnej firmy Microsoft przechodzą przez Internet.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Sieć wirtualna i podsieć GatewaySubnet

Utwórz połączenie bramy sieci wirtualnej usługi ExpressRoute i połączenie bramy sieci wirtualnej sieci VPN w tej samej sieci wirtualnej z obiektem bramy już w miejscu. Obie te podsieci będą współdzielić tę samą podsieć o nazwie GatewaySubnet.

Jeśli sieć wirtualna zawiera już podsieć o nazwie GatewaySubnet, upewnij się, że ma /27 lub większą przestrzeń adresową. Jeśli istniejąca podsieć jest za mała, użyj następującego polecenia programu PowerShell, aby usunąć podsieć:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Jeśli sieć wirtualna nie zawiera podsieci o nazwie GatewaySubnet, utwórz nową przy użyciu następującego polecenia programu PowerShell:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

Bramy sieci VPN i usługi ExpressRoute

Sprawdź, czy Twoja organizacja spełnia wymagania wstępne usługi ExpressRoute do nawiązania połączenia z platformą Azure.

Jeśli masz już bramę sieci wirtualnej sieci VPN w sieci wirtualnej platformy Azure, użyj następującego polecenia programu PowerShell, aby go usunąć:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Postępuj zgodnie z instrukcjami w temacie Konfigurowanie architektury sieci hybrydowej za pomocą usługi Azure ExpressRoute , aby nawiązać połączenie usługi ExpressRoute.

Postępuj zgodnie z instrukcjami w temacie Konfigurowanie architektury sieci hybrydowej za pomocą platformy Azure i lokalnej sieci VPN , aby nawiązać połączenie bramy sieci wirtualnej sieci VPN.

Po ustanowieniu połączeń bramy sieci wirtualnej przetestuj środowisko w następujący sposób:

  1. Upewnij się, że możesz nawiązać połączenie z sieci lokalnej z siecią wirtualną platformy Azure.
  2. Skontaktuj się z dostawcą, aby zatrzymać łączność usługi ExpressRoute do testowania.
  3. Sprawdź, czy nadal możesz nawiązać połączenie z sieci lokalnej z siecią wirtualną platformy Azure przy użyciu połączenia bramy sieci wirtualnej sieci VPN.
  4. Skontaktuj się z dostawcą, aby ponownie nawiązać łączność usługi ExpressRoute.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Aby uzyskać informacje o ogólnych zagadnieniach związanych z zabezpieczeniami platformy Azure, zobacz Microsoft cloud services and network security (Zabezpieczenia usług w chmurze i sieci firmy Microsoft).

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Aby zapoznać się z zagadnieniami dotyczącymi kosztów usługi ExpressRoute, zobacz następujące artykuły:

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.

Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps usługi ExpressRoute, zobacz wskazówki dotyczące konfigurowania architektury sieci hybrydowej za pomocą usługi Azure ExpressRoute .

Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps sieci VPN typu lokacja-lokacja, zobacz wskazówki dotyczące konfigurowania architektury sieci hybrydowej za pomocą platformy Azure i lokalnej sieci VPN .

Wdrażanie tego scenariusza

Wymagania wstępne . Musisz już mieć lokalną infrastrukturę skonfigurowaną przy użyciu odpowiedniego urządzenia sieciowego.

Aby wdrożyć to rozwiązanie, wykonaj następujące kroki.

  1. Wybierz poniższy link.

    Wdróż na platformie Azure

  2. Poczekaj na otwarcie linku w witrynie Azure Portal, a następnie wybierz grupę zasobów, w której chcesz wdrożyć te zasoby, lub utwórz nową grupę zasobów. Region i Lokalizacja zostaną automatycznie zmienione tak, aby pasować do grupy zasobów.

  3. Zaktualizuj pozostałe pola, jeśli chcesz zmienić nazwy zasobów, dostawców, jednostkę SKU lub adresy IP sieci dla danego środowiska.

  4. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz , aby wdrożyć te zasoby.

  5. Zaczekaj na zakończenie wdrażania.

    Uwaga

    To wdrożenie szablonu wdraża tylko następujące zasoby:

    • Grupa zasobów (jeśli tworzysz nową)
    • Obwód usługi ExpressRoute
    • Sieć wirtualna platformy Azure
    • Brama sieci wirtualnej usługi ExpressRoute

    Aby pomyślnie ustanowić prywatną łączność komunikacji równorzędnej ze środowiska lokalnego do obwodu usługi ExpressRoute, należy zaangażować dostawcę usług z kluczem usługi obwodu. Klucz usługi można znaleźć na stronie przeglądu zasobu obwodu usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania obwodu usługi ExpressRoute, zobacz Tworzenie lub modyfikowanie konfiguracji komunikacji równorzędnej. Po pomyślnym skonfigurowaniu prywatnej komunikacji równorzędnej można połączyć bramę sieci wirtualnej usługi ExpressRoute z obwodem. Aby uzyskać więcej informacji, zobacz Samouczek: Połączenie sieci wirtualnej do obwodu usługi ExpressRoute przy użyciu witryny Azure Portal.

  6. Aby ukończyć wdrażanie sieci VPN typu lokacja-lokacja jako kopii zapasowej w usłudze ExpressRoute, zobacz Tworzenie połączenia sieci VPN typu lokacja-lokacja.

  7. Po pomyślnym skonfigurowaniu połączenia sieci VPN z tą samą siecią lokalną, którą skonfigurowano w usłudze ExpressRoute, konfiguracja została ukończona w celu utworzenia kopii zapasowej połączenia usługi ExpressRoute w przypadku całkowitej awarii w lokalizacji komunikacji równorzędnej.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki