Udostępnij za pośrednictwem

Migrowanie do nowego obwodu usługi ExpressRoute

  • Artykuł

Jeśli chcesz przełączyć się z jednego obwodu usługi ExpressRoute na inny, możesz to zrobić bezproblemowo z minimalną przerwą w działaniu usługi. Ten dokument ułatwia wykonanie kroków migracji ruchu produkcyjnego bez powodowania poważnych zakłóceń lub zagrożeń. Możesz użyć tej metody niezależnie od tego, czy przechodzisz do nowej, czy tej samej lokalizacji komunikacji równorzędnej.

Jeśli masz obwód usługi ExpressRoute za pośrednictwem dostawcy usług warstwy 3, utwórz nowy obwód w ramach subskrypcji w witrynie Azure Portal. Skontaktuj się z dostawcą usług, aby bezproblemowo przełączyć ruch do nowego obwodu. Po anulowaniu aprowizacji starego obwodu przez dostawcę usług usuń go z witryny Azure Portal.

Pozostała część artykułu dotyczy Ciebie, jeśli masz obwód usługi ExpressRoute za pośrednictwem dostawcy usług warstwy 2 lub portów bezpośrednich usługi ExpressRoute.

Procedura bezproblemowej migracji obwodu usługi ExpressRoute

Diagram showing an ExpressRoute circuit migration from Circuit A to Circuit B.

Na powyższym diagramie przedstawiono proces migracji z istniejącego obwodu usługi ExpressRoute, nazywanego obwodem A, do nowego obwodu usługi ExpressRoute, nazywanego obwodem B. Obwód B może znajdować się w tej samej lub innej lokalizacji komunikacji równorzędnej co obwód A. Proces migracji składa się z następujących kroków:

  1. Wdróż obwód B w izolacji: chociaż ruch nadal przepływa przez obwód A, wdróż nowy obwód B bez wpływu na środowisko produkcyjne.

  2. Blokuj przepływ ruchu produkcyjnego przez obwód B: zapobiegaj używaniu dowolnego ruchu przy użyciu obwodu B, dopóki nie zostanie on w pełni przetestowany i zweryfikowany.

  3. Ukończ i zweryfikuj kompleksową łączność obwodu B: upewnij się, że obwód B może ustanowić i utrzymać stabilne i bezpieczne połączenie ze wszystkimi wymaganymi punktami końcowymi.

  4. Przełącz ruch: przekieruj przepływ ruchu z obwodu A do obwodu B i zablokuj przepływ ruchu przez obwód A.

  5. Likwidowanie obwodu A: Usuń obwód A z sieci i zwolnij jej zasoby.

Wdrażanie nowego obwodu w izolacji

Wykonaj kroki opisane w artykule Tworzenie obwodu za pomocą usługi ExpressRoute, aby utworzyć nowy obwód usługi ExpressRoute (obwód B) w żądanej lokalizacji komunikacji równorzędnej. Następnie wykonaj kroki opisane w temacie Samouczek: Konfigurowanie komunikacji równorzędnej dla obwodu usługi ExpressRoute w celu skonfigurowania wymaganych typów komunikacji równorzędnej: prywatnych i firmy Microsoft.

Aby zapobiec używaniu przez prywatną komunikację równorzędną ruchu produkcyjnego z obwodem B przed rozpoczęciem testowania i walidacji, nie należy łączyć bramy sieci wirtualnej z wdrożeniem produkcyjnym do obwodu B. Podobnie jak w celu uniknięcia ruchu produkcyjnego komunikacji równorzędnej firmy Microsoft z użyciem obwodu B, nie należy kojarzyć filtru tras z obwodem B.

Blokowanie przepływu ruchu produkcyjnego przez nowo utworzony obwód

Zapobiegaj anonsowaniu trasy przez nowe komunikacje równorzędne na urządzeniach CE.

W przypadku aplikacji Cisco IOS można użyć elementu route-map i , prefix-list aby filtrować trasy anonsowane za pośrednictwem komunikacji równorzędnej BGP. W poniższym przykładzie pokazano, jak utworzyć i zastosować element route-map i w prefix-list tym celu:

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Zasady eksportowania/importowania umożliwiają filtrowanie tras anonsowanych i odebranych na nowych elementach równorzędnych na urządzeniach Junos. W poniższym przykładzie pokazano, jak skonfigurować zasady eksportowania/importowania w tym celu:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

Weryfikowanie kompleksowej łączności nowo utworzonego obwodu

Prywatna komunikacja równorzędna

Wykonaj kroki opisane w Połączenie sieci wirtualnej do obwodu usługi ExpressRoute, aby połączyć nowy obwód z bramą testowej sieci wirtualnej i zweryfikować prywatną łączność komunikacji równorzędnej. Po połączeniu sieci wirtualnych z obwodem sprawdź tabelę tras prywatnej komunikacji równorzędnej obwodu i sprawdź, czy przestrzeń adresowa sieci wirtualnej znajduje się w tabeli. W poniższym przykładzie przedstawiono tabelę tras prywatnej komunikacji równorzędnej obwodu usługi ExpressRoute w portalu zarządzania Azure:

Screenshot of the route table for the primary link of the ExpressRoute circuit.

Na poniższym diagramie przedstawiono testową maszynę wirtualną skonfigurowaną w testowej sieci wirtualnej i urządzenie testowe znajdujące się lokalnie w celu zweryfikowania łączności za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.

Diagram showing a VM in Azure communicating with a test device on-premises through the ExpressRoute connection.

Zmodyfikuj mapę tras lub konfigurację zasad zastosowaną do filtrowania anonsowanych tras i zezwól na określony adres IP urządzenia testowego ze środowiska lokalnego. Podobnie zezwól testowej przestrzeni adresowej sieci wirtualnej z platformy Azure.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Aby zezwolić na określone prefiksy adresów IP dla urządzeń testowych w systemie Junos, skonfiguruj listę prefiksów. Następnie skonfiguruj zasady importowania/eksportowania protokołu BGP, aby zezwolić na te prefiksy i odrzucić wszystkie inne elementy.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Sprawdź kompleksową łączność za pośrednictwem prywatnej komunikacji równorzędnej. Możesz na przykład wysłać polecenie ping do testowej maszyny wirtualnej na platformie Azure z lokalnego urządzenia testowego i sprawdzić wyniki. Aby uzyskać szczegółowe informacje na temat walidacji krok po kroku, zobacz Weryfikowanie łączności usługi ExpressRoute.

Komunikacja równorzędna firmy Microsoft

Weryfikacja komunikacji równorzędnej firmy Microsoft wymaga starannego planowania, aby uniknąć żadnego wpływu na ruch produkcyjny. Aby zapobiec konfliktom routingu między dwoma obwodami, należy użyć odrębnych prefiksów dla komunikacji równorzędnej firmy Microsoft obwodu B, które różnią się od tych używanych dla obwodu A. Należy również połączyć komunikację równorzędną firmy Microsoft obwodu B z oddzielnym filtrem trasy niż połączony z obwodem A, wykonując kroki konfigurowania filtrów tras dla komunikacji równorzędnej firmy Microsoft. Ponadto należy upewnić się, że filtry tras dla obu obwodów nie mają żadnych typowych tras anonsowanych do sieci lokalnej, aby uniknąć asymetrycznego routingu między obwodem A i obwodem B. Aby to osiągnąć, możesz wykonać następujące czynności:

  • wybierz usługę lub region platformy Azure do testowania obwodu B, który nie jest używany przez ruch produkcyjny w obwodzie A lub
  • zminimalizować nakładanie się między dwoma filtrami tras i zezwolić tylko na bardziej szczegółowe testowe publiczne punkty końcowe odebrane za pośrednictwem obwodu B

Po połączeniu filtru trasy należy sprawdzić trasy, które są anonsowane i odbierane przez komunikację równorzędną BGP na urządzeniu CE. Aby filtrować trasy, które są anonsowane i zezwalać tylko na lokalne prefiksy komunikacji równorzędnej firmy Microsoft oraz określony adres IP wybranych publicznych punktów końcowych firmy Microsoft do testowania, należy zmodyfikować mapę tras lub konfigurację zasad Junos, która została zastosowana.

Aby przetestować łączność z punktami końcowymi platformy Microsoft 365, wykonaj kroki opisane w temacie Implementowanie usługi ExpressRoute dla platformy Microsoft 365 — tworzenie procedur testowych. W przypadku publicznych punktów końcowych platformy Azure można rozpocząć od podstawowego testowania łączności, takiego jak traceroute ze środowiska lokalnego, i sprawdzić, czy żądanie przechodzi przez punkty końcowe usługi ExpressRoute. Poza punktami końcowymi usługi ExpressRoute komunikaty ICMP są pomijane za pośrednictwem sieci firmy Microsoft. Można również przetestować łączność na poziomie aplikacji, oprócz podstawowych testów ping. Jeśli na przykład masz maszynę wirtualną platformy Azure z publicznym adresem IP platformy Azure z uruchomionym serwerem internetowym, możesz spróbować uzyskać dostęp do publicznego adresu IP serwera internetowego z sieci lokalnej za pośrednictwem połączenia usługi ExpressRoute. Pomaga to potwierdzić, że bardziej złożony ruch, taki jak żądania HTTP, może uzyskiwać dostęp do usług platformy Azure.

Przełączanie ruchu produkcyjnego

Prywatna komunikacja równorzędna

  1. Odłącz obwód B od wszystkich testowych bram sieci wirtualnej, z którymi nawiązaliśmy połączenie.
  2. Usuń wszelkie wyjątki wprowadzone w zasadach cisco route-maps lub Junos.
  3. Wykonaj kroki opisane w Połączenie sieci wirtualnej z obwodem usługi ExpressRoute i połącz obwód B z produkcyjnymi bramami sieci wirtualnej.
  4. Na CE upewnij się, że wszystko jest gotowe do anonsowania wszystkich tras, które obecnie reklamujesz za pośrednictwem obwodu A, obwodu B po usunięciu mapy tras lub zasad zastosowanych do interfejsów Obwodu B w CE. Obejmuje to również zapewnienie, że interfejsy obwodu B są skojarzone z odpowiednim rozwiązaniem VRF lub wystąpieniem routingu, jeśli istnieje.
  5. Usuń mapy tras lub zasady w interfejsach Obwodu B. Zastosuj mapy tras lub zasady w interfejsach Circuit A, aby zablokować anonsowanie trasy przez obwód A. Spowoduje to przełączenie przepływu ruchu przez obwód B.
  6. Sprawdź przepływ ruchu przez obwód B. Jeśli weryfikacja zakończy się niepowodzeniem, cofnij skojarzenie mapy tras lub zapory, które wykonaliśmy w poprzednim kroku, i przełącz przepływ ruchu z powrotem przez obwód A.
  7. Jeśli weryfikacja przepływu ruchu przez obwód B zakończy się pomyślnie, usuń obwód A.

Komunikacja równorzędna firmy Microsoft

  1. Usuń obwód B z dowolnego testowego filtru tras platformy Azure, z którym został połączony.
  2. Usuń wszelkie wyjątki wprowadzone w mapach tras lub zasadach.
  3. W systemie CE upewnij się, że interfejs obwodu B jest skojarzony z odpowiednim wystąpieniem VRF lub routingu.
  4. Zweryfikuj i potwierdź anonsowany prefiks komunikacji równorzędnej firmy Microsoft.
  5. Kojarzenie komunikacji równorzędnej obwodu B firmy Microsoft z filtrem tras platformy Azure, który jest obecnie skojarzony z obwodem A.
  6. Usuń zasady map tras lub eksportu/importu w interfejsach obwodu B. Zastosuj zasady map tras lub eksportu/importu w interfejsach Circuit A, aby zablokować anonsowanie trasy przez obwód A. Spowoduje to przełączenie przepływu ruchu przez obwód B.
  7. Sprawdź przepływ ruchu przez obwód B. Jeśli weryfikacja zakończy się niepowodzeniem, cofnij skojarzenie mapy tras lub zasad, które wykonaliśmy w poprzednim kroku, i przełącz przepływ ruchu z powrotem przez obwód A.
  8. Jeśli weryfikacja przepływu ruchu przez obwód B zakończy się pomyślnie, usuń obwód A.

Następny krok

Aby uzyskać więcej informacji na temat konfiguracji routera, zobacz Przykłady konfiguracji routera, aby skonfigurować routing i zarządzać nim.