Poznawanie usługi Azure ExpressRoute
Ponieważ Twoja firma zajmuje się wysoce poufnymi danymi i ma duże ilości informacji, które będą przechowywane na platformie Azure, istnieją pewne obawy dotyczące bezpieczeństwa i niezawodności połączeń za pośrednictwem publicznego Internetu. Firma nie zgadza się na masową migrację danych do platformy Azure, chyba że będzie ona oferowała lepszą łączność oraz wyższy poziom bezpieczeństwa, łączności i niezawodności.
W tym miejscu przejdziemy poza połączenia, które są uruchamiane przez Internet do dedykowanych linii bezpośrednio do centrów danych platformy Azure.
Azure ExpressRoute
Usługa Microsoft Azure ExpressRoute umożliwia rozszerzanie sieci lokalnych organizacji do platformy Microsoft Cloud za pośrednictwem połączenia prywatnego wdrożonego przez dostawcę połączenia. Takie rozwiązanie oznacza, że łączność z centrami danych platformy Azure nie przechodzi przez Internet, ale za pośrednictwem dedykowanego linku. Usługa ExpressRoute pomaga również tworzyć wydajne połączenia z innymi usługami w chmurze firmy Microsoft, takimi jak platforma Microsoft 365 i usługa Dynamics 365.
Zalety korzystania z usługi ExpressRoute:
Większa szybkość, od 50 Mb/s do 10 Gb/s, z dynamicznym skalowaniem przepustowości
Mniejsze opóźnienia
Większa niezawodność dzięki wbudowanej komunikacji równorzędnej
Wysoki poziom bezpieczeństwa
Usługa ExpressRoute oferuje więcej korzyści, takich jak:
Łączność ze wszystkimi obsługiwanymi usługami platformy Azure
Globalna łączność ze wszystkimi regionami (wymaga dodatku premium)
Routing dynamiczny za pośrednictwem protokołu Border Gateway Protocol
Umowy dotyczące poziomu usług (SLA) dla czasu pracy połączenia
Jakość usług (QoS) dla usługi Skype dla firm
Dostępny jest również dodatek premium usługi ExpressRoute, który oferuje takie korzyści, jak zwiększone limity tras, globalna łączność usług i zwiększona liczba łączy sieci wirtualnej przypadających na obwód.
Modele połączeń usługi ExpressRoute
Połączenia z usługą ExpressRoute można realizować za pomocą następujących mechanizmów:
Sieć IPVPN (dowolna-dowolna)
Wirtualne połączenie krzyżowe za pośrednictwem wymiany ethernet
Połączenie sieci Ethernet typu punkt-punkt
Wszystkie możliwości i funkcje usługi ExpressRoute są identyczne we wszystkich powyższych modelach łączności.
Co to jest łączność w warstwie 3?
Firma Microsoft używa standardowego protokołu routingu dynamicznego (BGP) do wymiany tras między siecią lokalną, wystąpieniami na platformie Azure i adresami publicznymi firmy Microsoft. Ustanawiamy wiele sesji BGP z siecią dla różnych profilów ruchu.
Sieci typu dowolna-dowolna (IPVPN)
Dostawcy sieci IPVPN zazwyczaj zapewniają łączność między oddziałami a firmowym centrum danych za pośrednictwem zarządzanych połączeń warstwy 3. Dzięki usłudze ExpressRoute centra danych platformy Azure wydają się być kolejnym oddziałem firmy.
Wirtualne połączenie krzyżowe za pośrednictwem wymiany ethernet
Jeśli Twoja organizacja jest współlokacyjna z obiektem wymiany w chmurze, żądasz połączeń krzyżowych z usługą Microsoft Cloud za pośrednictwem wymiany ethernet dostawcy. Takie połączenia krzyżowe z platformą Microsoft Cloud mogą działać w warstwie 2 lub 3 połączeń zarządzanych, podobnie jak model sieciowy Open Systems Interconnection.
Połączenie sieci Ethernet typu punkt-punkt
Łącza ethernetowe typu punkt-punkt mogą zapewnić połączenia warstwy 2 lub zarządzanej warstwy 3 między lokalnymi centrami danych lub biurami w chmurze firmy Microsoft.
Jak działa usługa ExpressRoute
Usługa Azure ExpressRoute korzysta z kombinacji obwodów usługi ExpressRoute i domen routingu, aby zapewnić łączność o wysokiej przepustowości z platformą Microsoft Cloud.
Co to są obwody usługi ExpressRoute
Obwód usługi ExpressRoute to połączenie logiczne między infrastrukturą lokalną i platformą Microsoft Cloud. Tego typu połączenie jest wdrażane przez dostawcę połączenia. Zdarza się, że ze względu na nadmiarowość niektóre organizacje korzystają z usług wielu dostawców połączeń. Każdy obwód ma stałą przepustowość, która może wynosić 50 Mb/s, 100 Mb/s, 200 Mb/s, 500 Mb/s, 1 Gb/s lub 10 Gb/s. Każdy z tych obwodów jest mapowany na dostawcę połączenia i lokalizację komunikacji równorzędnej. Ponadto każdy obwód usługi ExpressRoute ma domyślne limity przydziału i ograniczenia.
Obwód usługi ExpressRoute nie jest odpowiednikiem połączenia sieciowego ani urządzenia sieciowego. Każdy obwód jest definiowany przez identyfikator GUID nazywany usługą lub kluczem usługi. Ten klucz usługi udostępnia łącze zapewniające łączność między firmą Microsoft, dostawcą połączenia, a Twoją organizacją — nie jest to klucz kryptograficzny. Każdy klucz usługi jest mapowany jeden-do-jednego na obwód usługi Azure ExpressRoute.
Każdy obwód może zawierać maksymalnie dwie komunikacje równorzędne, które stanowią dwie sesje protokołu BGP skonfigurowane dla zapewnienia nadmiarowości. Są to:
- Azure — prywatna
- Microsoft
Domeny routingu
Następnie obwody usługi ExpressRoute są mapowane na domeny routingu, przy czym każdy obwód usługi ExpressRoute ma wiele domen routingu. Te domeny są takie same jak dwie wymienione wcześniej komunikacje równorzędne. W przypadku konfiguracji aktywny-aktywny każda domena routingu wszystkich par routerów zostanie skonfigurowana identycznie, zapewniając w ten sposób wysoką dostępność. Nazwy prywatnej komunikacji równorzędnej Azure reprezentują schematy adresowania IP.
Prywatna komunikacja równorzędna Azure
Prywatna komunikacja równorzędna Azure nawiązuje połączenie z usługami obliczeniowymi platformy Azure, takimi jak maszyny wirtualne i usługi w chmurze wdrożone w sieci wirtualnej. Pod względem zabezpieczeń domena prywatnej komunikacji równorzędnej jest po prostu rozszerzeniem sieci lokalnej na platformę Azure. Następnie możesz włączyć dwukierunkową łączność między tą siecią i dowolnymi sieciami wirtualnymi platformy Azure, dzięki czemu adresy IP maszyn wirtualnych platformy Azure będą widoczne w sieci wewnętrznej.
Z domeną prywatnej komunikacji równorzędnej możesz połączyć tylko jedną sieć wirtualną.
Komunikacja równorzędna firmy Microsoft
Komunikacja równorzędna firmy Microsoft obsługuje połączenia z chmurowymi ofertami SaaS, takimi jak platforma Microsoft 365 i usługa Dynamics 365. Ta opcja komunikacji równorzędnej zapewnia dwukierunkową łączność między siecią WAN organizacji a usługami w chmurze firmy Microsoft.
Kondycja usługi ExpressRoute
Podobnie jak w przypadku większości funkcji platformy Microsoft Azure, można monitorować połączenia usługi ExpressRoute, aby upewnić się, że działają one w sposób zadowalający. Monitorowanie dotyczy następujących obszarów:
- Dostępność
- Łączność z sieciami wirtualnymi
- Wykorzystanie przepustowości
Kluczowym narzędziem dla tego działania monitorowania jest sieć monitor wydajności, szczególnie w przypadku usługi ExpressRoute.
Usługa Azure ExpressRoute umożliwia tworzenie prywatnych połączeń między centrami danych platformy Azure oraz infrastrukturą znajdującą się w lokalizacji lokalnej lub wspólnej. Połączenia ExpressRoute nie są realizowane za pośrednictwem publicznego Internetu oraz oferują większą niezawodność i szybkość, a także mniejsze opóźnienia niż typowe połączenia przez Internet.