Przegląd platformy Azure Well-Architected Framework — Azure ExpressRoute
Ten artykuł zawiera najlepsze rozwiązanie dotyczące architektury dla usługi Azure ExpressRoute. Wskazówki są oparte na pięciu filarach doskonałości architektury:
Zakładamy, że masz wiedzę na temat usługi Azure ExpressRoute i dobrze znasz wszystkie jej funkcje. Aby uzyskać więcej informacji, zobacz Azure ExpressRoute.
Wymagania wstępne
W kontekście rozważ przejrzenie architektury referencyjnej, która odzwierciedla te zagadnienia w projekcie. Zalecamy rozpoczęcie pracy ze wskazówkami metodologii Cloud Adoption Framework Ready Connect to Azure and Architect for hybrid connectivity with Azure ExpressRoute (Łączenie się z platformą Azure i architektem na potrzeby łączności hybrydowej za pomocą usługi Azure ExpressRoute). W przypadku architektur aplikacji o niskim kodzie zalecamy zapoznanie się z tematem Włączanie usługi ExpressRoute dla platformy Power Platform podczas planowania i konfigurowania usługi ExpressRoute do użycia z platformą Microsoft Power Platform.
Niezawodność
W chmurze potwierdzamy, że występują błędy. Zamiast próbować całkowicie zapobiegać awariom, celem jest minimalizacja wpływu awarii pojedynczego składnika. Skorzystaj z poniższych informacji, aby zminimalizować czas przestoju do i z platformy Azure podczas nawiązywania łączności przy użyciu usługi Azure ExpressRoute.
Podczas omawiania niezawodności za pomocą usługi Azure ExpressRoute należy wziąć pod uwagę użycie przepustowości, fizyczny układ sieci i odzyskiwanie po awarii. Usługa Azure ExpressRoute umożliwia osiągnięcie tych zagadnień projektowych i zalecenia dotyczące każdego elementu na liście kontrolnej.
W poniższej liście kontrolnej projektu i liście zaleceń przedstawiono informacje, aby zaprojektować sieć o wysokiej dostępności między środowiskiem platformy Azure i siecią lokalną.
Lista kontrolna projektu
Podczas podejmowania wyborów projektowych dla usługi Azure ExpressRoute zapoznaj się z zasadami projektowania dotyczącymi dodawania niezawodności do architektury.
- Wybierz między obwodem usługi ExpressRoute lub usługą ExpressRoute Direct w celu uzyskania wymagań biznesowych.
- Skonfiguruj obwody usługi ExpressRoute z maksymalną lub wysoką odpornością dla obciążeń produkcyjnych.
- Konfigurowanie zróżnicowanej i nadmiarowej sieci warstwy fizycznej dla dostawcy usług.
- Skonfiguruj obwody usługi ExpressRoute z różnymi dostawcami usług, aby miały różne ścieżki routingu.
- Skonfiguruj połączenia usługi ExpressRoute Active-Active między środowiskiem lokalnym i platformą Azure.
- Skonfiguruj bramy sieci wirtualnej usługi ExpressRoute obsługujące strefę dostępności.
- Skonfiguruj obwody usługi ExpressRoute w innej lokalizacji niż sieć lokalna.
- Skonfiguruj bramy sieci wirtualnej usługi ExpressRoute w różnych regionach.
- Skonfiguruj sieć VPN typu lokacja-lokacja jako kopię zapasową prywatnej komunikacji równorzędnej usługi ExpressRoute.
- Konfigurowanie monitorowania obwodów usługi ExpressRoute i kondycji bramy sieci wirtualnej usługi ExpressRoute.
- Skonfiguruj kondycję usługi, aby otrzymywać powiadomienia o konserwacji obwodu usługi ExpressRoute.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem niezawodności.
| Zalecenie | Korzyści |
|---|---|
| Planowanie obwodu usługi ExpressRoute lub usługi ExpressRoute Direct | W początkowej fazie planowania chcesz zdecydować, czy chcesz skonfigurować obwód usługi ExpressRoute, czy połączenie ExpressRoute Direct. Obwód usługi ExpressRoute umożliwia prywatne dedykowane połączenie z platformą Azure za pomocą dostawcy łączności. Usługa ExpressRoute Direct umożliwia rozszerzenie sieci lokalnej bezpośrednio do sieci firmy Microsoft w lokalizacji komunikacji równorzędnej. Należy również zidentyfikować wymaganie dotyczące przepustowości i wymagania dotyczące typu jednostki SKU dla potrzeb biznesowych. |
| Różnorodność warstw fizycznych | Aby uzyskać maksymalną lub wysoką odporność, zaplanuj wiele ścieżek między lokalną krawędzią a lokalizacjami komunikacji równorzędnej (lokalizacjami dostawcy/krawędzi firmy Microsoft). Tę konfigurację można osiągnąć, konfigurując wiele obwodów do różnych lokalizacji komunikacji równorzędnej dla maksymalnej odporności lub konfigurując obwód między wieloma lokalizacjami komunikacji równorzędnej w obrębie tego samego obszaru metropolitalnego w celu zapewnienia wysokiej odporności z sieci lokalnej. |
| Planowanie obwodów geograficznie nadmiarowych | Aby zaplanować odzyskiwanie po awarii, skonfiguruj obwody usługi ExpressRoute w więcej niż jednej lokalizacji komunikacji równorzędnej. Obwody można tworzyć w lokalizacjach komunikacji równorzędnej w tym samym metrze lub w różnych metrach i wybrać pracę z różnymi dostawcami usług dla różnych ścieżek przez każdy obwód. Aby uzyskać więcej informacji, zobacz Projektowanie pod kątem odzyskiwania po awarii i Projektowanie pod kątem wysokiej dostępności. |
| Planowanie łączności aktywne-aktywne | Ten tryb zapewnia wyższą dostępność połączeń usługi ExpressRoute. Zaleca się również skonfigurowanie BFD w celu szybszego przejścia w tryb failover w przypadku niepowodzenia połączenia. |
| Planowanie bram sieci wirtualnej | Utwórz bramę sieci wirtualnej obsługującej strefę dostępności, aby uzyskać większą odporność i zaplanować bramy sieci wirtualnej w różnych regionach w celu zapewnienia odporności, odzyskiwania po awarii i wysokiej dostępności. |
| Monitorowanie obwodów i kondycji bramy | Skonfiguruj monitorowanie i alerty dla obwodów usługi ExpressRoute i kondycji bramy sieci wirtualnej na podstawie różnych dostępnych metryk. |
| Włączanie kondycji usługi | Usługa ExpressRoute używa kondycji usługi do powiadamiania o planowanej i nieplanowanej konserwacji. Skonfigurowanie kondycji usługi powiadomi Cię o zmianach wprowadzonych w obwodach usługi ExpressRoute. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru niezawodności.
Usługa Azure Advisor udostępnia wiele zaleceń dotyczących obwodów usługi ExpressRoute w związku z niezawodnością i odpornością. Na przykład usługa Azure Advisor może wykryć:
- Bramy usługi ExpressRoute, w których wdrożono tylko jeden obwód usługi ExpressRoute, zamiast wielu lokalizacji i obwodów komunikacji równorzędnej. W przypadku maksymalnej lub wysokiej odporności zalecane jest wiele obwodów usługi ExpressRoute i lokalizacji komunikacji równorzędnej.
- Obwody usługi ExpressRoute, które nie są obserwowane przez Monitor połączenia, ponieważ kompleksowe monitorowanie obwodu usługi ExpressRoute ma kluczowe znaczenie dla szczegółowych informacji o niezawodności.
- Topologie sieci obejmujące wiele lokalizacji komunikacji równorzędnej, które skorzystają z usługi ExpressRoute Global Reach, aby ulepszyć projekty odzyskiwania po awarii dla łączności lokalnej, aby uwzględnić nieplanowaną utratę łączności.
Zabezpieczenia
Bezpieczeństwo to jeden z najważniejszych aspektów każdej architektury. Usługa ExpressRoute udostępnia funkcje umożliwiające zastosowanie zarówno zasady najniższych uprawnień, jak i obrony w obronie. Zalecamy zapoznanie się z zasadami projektowania zabezpieczeń.
Lista kontrolna projektu
- Skonfiguruj dziennik aktywności, aby wysyłać dzienniki do archiwum.
- Utrzymywanie spisu kont administracyjnych z dostępem do zasobów usługi ExpressRoute.
- Skonfiguruj skrót MD5 w obwodzie usługi ExpressRoute.
- Konfigurowanie protokołu MACSec dla zasobów usługi ExpressRoute Direct.
- Szyfruj ruch za pośrednictwem prywatnej komunikacji równorzędnej i komunikacji równorzędnej firmy Microsoft dla ruchu sieci wirtualnej.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem zabezpieczeń.
| Zalecenie | Korzyści |
|---|---|
| Konfigurowanie dziennika aktywności w celu wysyłania dzienników do archiwum | Dzienniki aktywności zapewniają wgląd w operacje, które zostały wykonane na poziomie subskrypcji dla zasobów usługi ExpressRoute. Za pomocą dzienników aktywności można określić, kto i kiedy operacja została wykonana na płaszczyźnie sterowania. Przechowywanie danych wynosi tylko 90 dni i wymagane jest przechowywanie ich w usłudze Log Analytics, usłudze Event Hubs lub koncie magazynu na potrzeby archiwizacji. |
| Utrzymywanie spisu kont administracyjnych | Użyj kontroli dostępu opartej na rolach platformy Azure, aby skonfigurować role, aby ograniczyć konta użytkowników, które mogą dodawać, aktualizować lub usuwać konfigurację komunikacji równorzędnej w obwodzie usługi ExpressRoute. |
| Konfigurowanie skrótu MD5 w obwodzie usługi ExpressRoute | Podczas konfigurowania prywatnej komunikacji równorzędnej lub komunikacji równorzędnej firmy Microsoft zastosuj skrót MD5 w celu zabezpieczenia komunikatów między trasą lokalną a routerami MSEE. |
| Konfigurowanie protokołu MACSec dla zasobów usługi ExpressRoute Direct | Zabezpieczenia kontroli dostępu do multimediów to zabezpieczenia punkt-punkt w warstwie łącza danych. Usługa ExpressRoute Direct obsługuje konfigurowanie protokołu MACSec w celu zapobiegania zagrożeniom bezpieczeństwa protokołom takim jak ARP, DHCP, LACP, które nie są zwykle zabezpieczone za pośrednictwem łącza Ethernet. Aby uzyskać więcej informacji na temat konfigurowania protokołu MACSec, zobacz MACSec for ExpressRoute Direct ports (Protokół MACSec dla portów usługi ExpressRoute Direct). |
| Szyfrowanie ruchu przy użyciu protokołu IPsec | Skonfiguruj tunel vpn typu lokacja-lokacja za pośrednictwem obwodu usługi ExpressRoute w celu szyfrowania danych przesyłanych między siecią lokalną a siecią wirtualną platformy Azure. Tunel można skonfigurować przy użyciu prywatnej komunikacji równorzędnej lub komunikacji równorzędnej firmy Microsoft. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru zabezpieczeń.
Optymalizacja kosztów
Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Zalecamy zapoznanie się z zasadą projektowania optymalizacji kosztów i planowaniem kosztów usługi Azure ExpressRoute oraz zarządzanie nimi.
Lista kontrolna projektu
- Zapoznaj się z cennikiem usługi ExpressRoute.
- Określ wymaganą jednostkę SKU obwodu usługi ExpressRoute i przepustowość.
- Określ wymagany rozmiar bramy sieci wirtualnej usługi ExpressRoute.
- Monitorowanie kosztów i tworzenie alertów budżetowych.
- Anulowanie aprowizacji obwodów usługi ExpressRoute nie jest już używane.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem optymalizacji kosztów.
| Zalecenie | Korzyści |
|---|---|
| Zapoznaj się z cennikiem usługi ExpressRoute | Aby uzyskać informacje na temat cennika usługi ExpressRoute, zobacz Omówienie cen usługi Azure ExpressRoute. Możesz również użyć kalkulatora cen. Upewnij się, że opcje są odpowiednio dopasowane do zapotrzebowania na pojemność i zapewniają oczekiwaną wydajność bez marnowania zasobów. |
| Określanie wymaganej jednostki SKU i przepustowości | Sposób naliczania opłat za użycie usługi ExpressRoute różni się w zależności od trzech różnych typów jednostek SKU. W przypadku lokalnej jednostki SKU opłaty są naliczane automatycznie za plan danych Bez ograniczeń. W przypadku jednostek SKU w warstwie Standardowa i Premium można wybrać plan danych Taryfowy lub Nieograniczony. Wszystkie dane ruchu przychodzącego są bezpłatne, z wyjątkiem korzystania z dodatku Global Reach. Ważne jest, aby zrozumieć, które typy jednostek SKU i plan danych działają najlepiej dla obciążenia, aby najlepiej zoptymalizować koszty i budżet. Aby uzyskać więcej informacji na temat zmiany rozmiaru obwodu usługi ExpressRoute, zobacz Uaktualnianie przepustowości obwodu usługi ExpressRoute. |
| Określanie rozmiaru bramy sieci wirtualnej usługi ExpressRoute | Bramy sieci wirtualnej usługi ExpressRoute są używane do przekazywania ruchu do sieci wirtualnej za pośrednictwem prywatnej komunikacji równorzędnej. Przejrzyj wymagania dotyczące wydajności i skalowania preferowanej jednostki SKU bramy sieci wirtualnej. Wybierz odpowiednią jednostkę SKU bramy w środowisku lokalnym do obciążenia platformy Azure. |
| Monitorowanie kosztów i tworzenie alertów dotyczących budżetu | Monitorowanie kosztów obwodu usługi ExpressRoute i tworzenie alertów dotyczących anomalii wydatków i nadmiernego ryzyka. Aby uzyskać więcej informacji, zobacz Monitorowanie kosztów usługi ExpressRoute. |
| Anulowanie aprowizacji i usuwanie obwodów usługi ExpressRoute nie jest już używane. | Opłaty za obwody usługi ExpressRoute są naliczane od momentu ich utworzenia. Aby zmniejszyć niepotrzebne koszty, anuluj aprowizowanie obwodu za pomocą dostawcy usług i usuń obwód usługi ExpressRoute z subskrypcji. Aby uzyskać instrukcje dotyczące usuwania obwodu usługi ExpressRoute, zobacz Anulowanie aprowizacji obwodu usługi ExpressRoute. |
Aby uzyskać więcej sugestii, zobacz Lista kontrolna przeglądu projektu dotycząca optymalizacji kosztów.
Usługa Azure Advisor może wykrywać obwody usługi ExpressRoute, które zostały wdrożone przez znaczący czas, ale mają stan dostawcy Nie aprowizowano. Obwody w tym stanie nie działają; usunięcie nieużywanego zasobu spowoduje zmniejszenie niepotrzebnych kosztów.
Doskonałość operacyjna
Monitorowanie i diagnostyka są niezwykle istotne. Nie tylko można mierzyć statystyki wydajności, ale także szybko rozwiązywać problemy i rozwiązywać problemy. Zalecamy zapoznanie się z zasadami projektowania doskonałości operacyjnej.
Lista kontrolna projektu
- Konfigurowanie monitorowania połączeń między siecią lokalną a siecią platformy Azure.
- Skonfiguruj usługę Service Health do odbierania powiadomień.
- Przejrzyj metryki i pulpity nawigacyjne dostępne za pośrednictwem usługi ExpressRoute Insights przy użyciu usługi Network Insights.
- Przejrzyj metryki zasobów usługi ExpressRoute.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem doskonałości operacyjnej.
| Zalecenie | Korzyści |
|---|---|
| Konfigurowanie monitorowania połączeń | Monitorowanie połączeń umożliwia monitorowanie łączności między zasobami lokalnymi a platformą Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute i połączenia komunikacji równorzędnej firmy Microsoft. Monitor połączeń może wykrywać problemy z siecią, identyfikując, gdzie wzdłuż ścieżki sieciowej występuje problem, i ułatwiają szybkie rozwiązywanie problemów z konfiguracją lub awariami sprzętu. |
| Konfigurowanie kondycji usługi | Skonfiguruj powiadomienia usługi Service Health, aby otrzymywać alerty , gdy planowana i nadchodząca konserwacja ma miejsce we wszystkich obwodach usługi ExpressRoute w ramach subskrypcji. Usługa Service Health wyświetla również poprzednią konserwację wraz z RCA, jeśli nieplanowana konserwacja miała miejsce. |
| Przeglądanie metryk za pomocą usługi Network Insights | Usługa ExpressRoute Insights z usługą Network Insights umożliwia przeglądanie i analizowanie obwodów usługi ExpressRoute, bram, metryk połączeń i pulpitów nawigacyjnych kondycji. Usługa ExpressRoute Insights udostępnia również widok topologii połączeń usługi ExpressRoute, w którym można wyświetlić szczegóły składników komunikacji równorzędnej w jednym miejscu. Dostępne metryki: -Dostępność -Przepustowość - Metryki bramy |
| Przeglądanie metryk zasobów usługi ExpressRoute | Usługa ExpressRoute używa usługi Azure Monitor do zbierania metryk i tworzenia alertów opartych na konfiguracji. Metryki są zbierane dla obwodów usługi ExpressRoute, bram usługi ExpressRoute, połączeń bram usługi ExpressRoute i usługi ExpressRoute Direct. Te metryki są przydatne do diagnozowania problemów z łącznością i zrozumienia wydajności połączenia usługi ExpressRoute. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru doskonałości operacyjnej.
Efektywność wydajności
Efektywność wydajności to możliwość skalowania obciążenia w celu zaspokojenia zapotrzebowania użytkowników w wydajny sposób. Zalecamy zapoznanie się z zasadami wydajności.
Lista kontrolna projektu
- Przetestuj wydajność bramy usługi ExpressRoute, aby spełnić wymagania dotyczące obciążenia służbowego.
- Zwiększ rozmiar bramy usługi ExpressRoute.
- Uaktualnij przepustowość obwodu usługi ExpressRoute.
- Włącz usługę ExpressRoute FastPath w celu uzyskania wyższej przepływności.
- Monitoruj metryki obwodu i bramy usługi ExpressRoute.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi ExpressRoute pod kątem wydajności.
| Zalecenie | Korzyści |
|---|---|
| Przetestuj wydajność bramy usługi ExpressRoute, aby spełnić wymagania dotyczące obciążenia służbowego. | Użyj zestawu narzędzi Azure Connectivity Toolkit , aby przetestować wydajność obwodu usługi ExpressRoute w celu zrozumienia pojemności przepustowości i opóźnienia połączenia sieciowego. |
| Zwiększ rozmiar bramy usługi ExpressRoute. | Uaktualnij do wyższej jednostki SKU bramy, aby zwiększyć wydajność przepływności między środowiskiem lokalnym i środowiskiem platformy Azure. |
| Uaktualnianie przepustowości obwodu usługi ExpressRoute | Uaktualnij przepustowość obwodu, aby spełnić wymagania dotyczące obciążenia służbowego. Przepustowość obwodu jest współdzielona między wszystkimi sieciami wirtualnymi połączonymi z obwodem usługi ExpressRoute. W zależności od obciążenia służbowego co najmniej jedna sieć wirtualna może używać całej przepustowości obwodu. |
| Włączanie usługi ExpressRoute FastPath w celu zwiększenia przepływności | Jeśli używasz ultrawydajnej wydajności lub bramy sieci wirtualnej ErGW3AZ, możesz włączyć funkcję FastPath , aby poprawić wydajność ścieżki danych między siecią lokalną a siecią wirtualną platformy Azure. |
| Monitorowanie metryk obwodu i bramy usługi ExpressRoute | Skonfiguruj alerty oparte na metrykach usługi ExpressRoute, aby proaktywnie powiadamiać o osiągnięciu określonego progu. Te metryki są przydatne do zrozumienia anomalii, które mogą wystąpić w przypadku połączenia usługi ExpressRoute, takiego jak awarie i konserwacja obwodów usługi ExpressRoute. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru wydajności.
Usługa Azure Advisor zaoferuje zalecenie dotyczące uaktualnienia przepustowości obwodu usługi ExpressRoute w celu uwzględnienia użycia, gdy obwód ostatnio zużywał ponad 90% pozyskanej przepustowości. Jeśli ruch przekroczy przydzieloną przepustowość, wystąpią porzucone pakiety, co może prowadzić do znacznego wpływu na wydajność lub niezawodność.
Azure Policy
Usługa Azure Policy nie udostępnia żadnych wbudowanych zasad dla usługi ExpressRoute, ale można utworzyć zasady niestandardowe, aby ułatwić zarządzanie sposobem dopasowania obwodów usługi ExpressRoute do żądanego stanu końcowego, takich jak wybór jednostki SKU, typ komunikacji równorzędnej, konfiguracje komunikacji równorzędnej itd.
Dodatkowe zasoby
Wytyczne w przewodniku Cloud Adoption Framework
- Tradycyjna topologia sieci platformy Azure
- Topologia sieci wirtualnej sieci WAN (zarządzana przez firmę Microsoft)
Następne kroki
Skonfiguruj obwód usługi ExpressRoute lub port usługi ExpressRoute Direct, aby nawiązać komunikację między siecią lokalną a platformą Azure.