Jak działa usługa Azure ExpressRoute

Ukończone

Znasz już cel usługi Azure ExpressRoute i wiesz, z którymi usługami możesz jej używać. Teraz wszystko jest gotowe i możesz rozpocząć naukę dotyczącą sposobu działania usługi. Sprawdźmy, jak współdziała ona z platformą Azure i sieciami lokalnymi, aby pomóc w utworzeniu bezpiecznego i niezawodnego połączenia między lokalnym centrum danych a chmurą firmy Microsoft.

W tej lekcji dowiesz się, jak tworzyć obwody platformy Azure i używać ich do łączenia sieci lokalnych z chmurą. Zobaczysz kroki, które należy wykonać, aby utworzyć obwód. Poznasz również inne składniki połączenia usługi ExpressRoute, które współpracują ze sobą w celu utworzenia połączenia z lokalnego centrum danych do chmury firmy Microsoft.

Architektura usługi ExpressRoute

Usługa ExpressRoute jest obsługiwana we wszystkich regionach i lokalizacjach. Aby zaimplementować usługę ExpressRoute, należy skontaktować się z partnerem tej usługi. Partner udostępnia usługę brzegową: autoryzowane i uwierzytelnione połączenie, które działa za pomocą routera kontrolowanego przez partnera. Usługa brzegowa odpowiada za rozszerzenie sieci na chmurę firmy Microsoft.

Partner konfiguruje połączenia z punktem końcowym w lokalizacji usługi ExpressRoute (implementowane przez router brzegowy firmy Microsoft). Te połączenia umożliwiają komunikację równorzędną sieci lokalnych z sieciami wirtualnymi dostępnymi za pośrednictwem punktu końcowego. Te połączenia są nazywane obwodami.

Uwaga

W kontekście usługi ExpressRoute przeglądarka Microsoft Edge opisuje routery brzegowe po stronie firmy Microsoft obwodu usługi ExpressRoute.

Obwód zapewnia fizyczne połączenie na potrzeby przesyłania danych za pośrednictwem routerów brzegowych dostawcy usługi ExpressRoute do routerów brzegowych firmy Microsoft. Obwód jest ustanawiany za pośrednictwem sieci prywatnej, a nie publicznego Internetu. Sieć lokalna jest łączona z routerami brzegowymi dostawcy usługi ExpressRoute. Routery brzegowe firmy Microsoft stanowią punkt wejścia do chmury firmy Microsoft.

Wymagania wstępne dotyczące usługi ExpressRoute

Do nawiązania połączenia z usługami w chmurze firmy Microsoft przy użyciu usługi ExpressRoute niezbędne są następujące elementy:

• Partner łączności usługi ExpressRoute lub dostawca usługi Exchange w chmurze, który może skonfigurować połączenie z sieci lokalnych do chmury firmy Microsoft.
• Subskrypcja platformy Azure zarejestrowana w wybranym partnerze łączności usługi ExpressRoute.
• Aktywne konto platformy Microsoft Azure, którego można użyć do żądania obwodu usługi ExpressRoute.
• Aktywna subskrypcja usługi Office 365 (jeśli chcesz połączyć się z chmurą firmy Microsoft i uzyskać dostęp do usług Office 365).

Usługa ExpressRoute działa za pośrednictwem komunikacji równorzędnej sieci lokalnych z sieciami działającymi w chmurze firmy Microsoft. Zasoby w sieci mogą komunikować się bezpośrednio z zasobami hostowanymi przez firmę Microsoft. Aby obsługiwać te komunikacje równorzędne, usługa ExpressRoute ma kilka wymagań dotyczących sieci i routingu:

• Upewnij się, że skonfigurowano sesje protokołu BGP dla domen routingu. W zależności od partnera ta konfiguracja może być ich obowiązkiem. Ponadto dla każdego obwodu usługi ExpressRoute firma Microsoft wymaga nadmiarowych sesji BGP między routerami firmy Microsoft i routerami komunikacji równorzędnej.
• Ty lub Twoi dostawcy musicie przetłumaczyć prywatne adresy IP używane lokalnie na publiczne adresy IP za pomocą usługi translatora adresów sieciowych. Firma Microsoft odrzuca wszystkie elementy z wyjątkiem publicznych adresów IP za pośrednictwem komunikacji równorzędnej firmy Microsoft.
• Zarezerwuj kilka bloków adresów IP w swojej sieci w celu kierowania ruchu do chmury firmy Microsoft. Te bloki można skonfigurować jako podsieć /29 lub dwie podsieci /30 w przestrzeni adresowej IP. Jedna z tych podsieci służy do konfigurowania podstawowego linku do chmury firmy Microsoft, a druga implementuje link pomocniczy. Pierwszy adres w tych podsieciach reprezentuje koniec elementu równorzędnego protokołu BGP, a drugi to adres IP elementu równorzędnego BGP firmy Microsoft.

Usługa ExpressRoute obsługuje dwa schematy komunikacji równorzędnej:

• Używanie prywatnej komunikacji równorzędnej do nawiązywania połączenia z usługami Azure IaaS i PaaS wdrożonymi w ramach sieci wirtualnych platformy Azure. Zasoby, do których jest uzyskiwany dostęp, muszą być zlokalizowane w jednej lub kilku sieciach wirtualnych platformy Azure z prywatnymi adresami IP. Dostępu do zasobów nie można uzyskiwać przy użyciu ich publicznego adresu IP za pośrednictwem prywatnej komunikacji równorzędnej.
• Używanie komunikacji równorzędnej firmy Microsoft do nawiązywania połączenia z usługami Azure PaaS, Office 365 i Dynamics 365.

Uwaga

Aby skonfigurować publiczną komunikację równorzędną, możesz również użyć witryny Azure Portal. Ta forma komunikacji równorzędnej umożliwia łączenie się z publicznymi adresami ujawnionymi przez usługi platformy Azure. Jednak ta komunikacja równorzędna jest przestarzała i nie jest dostępna w przypadku nowych obwodów. Ten moduł nie opisuje publicznej komunikacji równorzędnej.

Tworzenie obwodu i komunikacji równorzędnej usługi ExpressRoute

Ustanawianie połączenia z platformą Azure za pośrednictwem usługi ExpressRoute jest procesem wieloetapowym. Wiele kroków można wykonać przy użyciu witryny Azure Portal lub z poziomu wiersza polecenia przy użyciu programu PowerShell lub interfejsu wiersza poleceń platformy Azure. W tej sekcji opisano proces wykonywany przy użyciu witryny Azure Portal. Instrukcje dotyczące programu PowerShell i interfejsu wiersza polecenia znajdują się w sekcji „Dowiedz się więcej” na końcu tego modułu.

Tworzenie obwodu

W przypadku korzystania z witryny Azure Portal wybierz pozycję + Utwórz zasób i wyszukaj usługę ExpressRoute. Na stronie Tworzenie obwodu usługi ExpressRoute wypełnij następujące pola:

Karta Podstawowe

Właściwości	Wartość
Subskrypcja	Subskrypcja zarejestrowana u dostawcy usługi ExpressRoute.
Grupa zasobów:	Grupa zasobów platformy Azure, w której ma zostać utworzony obwód.
Region	Lokalizacja platformy Azure, w której ma zostać utworzony obwód.
Nazwa/nazwisko	Nazwa opisowa obwodu bez białych znaków ani znaków specjalnych.

Karta konfiguracji

Właściwości	Wartość
Typ portu	Wybierz pozycję Dostawca , jeśli łączysz się za pośrednictwem dostawcy usług lub wybierz pozycję Direct , jeśli łączysz się bezpośrednio z firmą Microsoft.
Tworzenie nowych lub importowanie z wersji klasycznej	Utwórz nowy obwód lub wybierz pozycję Importuj , aby przenieść istniejący obwód z modelu klasycznego do usługi Resource Manager.
Dostawca	Dostawca usługi ExpressRoute, u którego zarejestrowano subskrypcję.
Lokalizacja komunikacji równorzędnej	Lokalizacja włączona przez dostawcę usługi ExpressRoute, w której ma zostać utworzony obwód.
Przepustowość	Wybierz przepustowość od 50 Mb/s do 10 Gb/s. Rozpocznij od niskiej wartości. Później możesz ją zwiększyć bez przerwy w świadczeniu usługi. Nie możesz jednak zmniejszyć przepustowości, jeśli początkowo ustawisz zbyt wysoką wartość.
SKU	Wybierz pozycję Lokalny (jeśli jest dostępny), jeśli musisz połączyć się tylko z zasobem platformy Azure w 1 lub 2 regionach świadczenia usługi Azure w tym samym metrze. Wybierz pozycję Standardowa , jeśli masz maksymalnie 10 sieci wirtualnych i musisz połączyć się tylko z zasobami w tym samym regionie geograficznym. W przeciwnym razie wybierz pozycję Premium , która umożliwia łączenie ponad 10 sieci wirtualnych i globalnej łączności z zasobami platformy Azure.
Model rozliczania	Wybierz pozycję Bez ograniczeń, aby płacić stałą stawkę niezależnie od użycia. Możesz też wybrać pozycję Dane naliczane, aby płacić zgodnie z wielkością ruchu, który wchodzi do obwodu i z niego wychodzi.
Zezwalaj na operacje klasyczne	Wybierz pozycję Tak , aby klasyczne sieci wirtualne łączyły się z obwodem. W przeciwnym razie wybierz opcję Nie.

Tworzenie obwodu może potrwać kilka minut. Po zakończeniu aprowizowania obwodu można użyć witryny Azure Portal w celu wyświetlenia właściwości. Widać, że stan obwodu jest włączony, co oznacza, że strona firmy Microsoft obwodu jest gotowa do akceptowania połączeń. Stan dostawcy jest ustawiony na Wartość Nie aprowizowana początkowo, ponieważ dostawca nie skonfigurował ich strony obwodu na potrzeby nawiązywania połączenia z siecią.

Dostawca wysyła wartość w polu Klucz usługi, aby umożliwić im skonfigurowanie połączenia. Ta konfiguracja może potrwać kilka dni. Możesz ponownie odwiedzić tę stronę, aby sprawdzić stan dostawcy.

Tworzenie konfiguracji komunikacji równorzędnej

Gdy stan dostawcy będzie zgłaszany jako Aprowizowano, możesz skonfigurować routing dla komunikacji równorzędnej. Te kroki dotyczą tylko obwodów utworzonych za pomocą dostawców usług, którzy oferują łączność w warstwie 2. W przypadku wszystkich obwodów, które działają w warstwie 3, dostawca może być w stanie skonfigurować routing za Ciebie.

Wyświetlona wcześniej strona obwodu usługi ExpressRoute zawiera listę każdej komunikacji równorzędnej i jej właściwości. Możesz wybrać komunikację równorzędną, aby skonfigurować te właściwości.

Konfigurowanie prywatnej komunikacji równorzędnej

Prywatna komunikacja równorzędna umożliwia łączenie sieci z sieciami wirtualnymi działającymi na platformie Azure. Aby skonfigurować prywatną komunikację równorzędną, musisz podać następujące informacje:

• Równorzędna nazwa ASN: numer systemu autonomicznego dla twojej strony komunikacji równorzędnej. Ten numer ASN może być publiczny lub prywatny oraz może składać się z 16 bitów lub z 32 bitów.
• Podsieci: wybierz, czy chcesz używać protokołów IPv4, IPv6 lub obu dla podsieci komunikacji równorzędnej.
• Podsieć podstawowa: zakres adresów podsieci podstawowej /30 utworzonej w sieci. Pierwszy adres IP w tej podsieci jest używany dla routera. Firma Microsoft używa drugiego adresu dla swojego routera.
• Podsieć pomocnicza: zakres adresów pomocniczej podsieci /30. Ta podsieć zapewnia dodatkowe połączenie z firmą Microsoft. Pierwsze dwa adresy są używane do przechowywania adresu IP Twojego routera i routera firmy Microsoft.
• Włącz komunikację równorzędną IPv4: ta opcja umożliwia włączanie i wyłączanie prywatnej sesji protokołu BGP komunikacji równorzędnej.
• Identyfikator sieci VLAN: identyfikator sieci VLAN, na którym ma być ustanawiana komunikacja równorzędna. Łącza podstawowe i pomocnicze używają tego identyfikatora sieci VLAN.
• Klucz wspólny: ten klucz jest opcjonalnym skrótem MD5 używanym do kodowania komunikatów przechodzących przez obwód.

Konfigurowanie komunikacji równorzędnej firmy Microsoft

Komunikacji równorzędnej firmy Microsoft użyjesz w celu nawiązania połączenia z usługą Office 365 i jej skojarzonymi usługami. Aby skonfigurować komunikację równorzędną firmy Microsoft, należy podać wiele informacji opisanych dla prywatnej komunikacji równorzędnej: równorzędny numer ASN, zakres adresów podsieci podstawowej, zakres adresów podsieci, wersja adresu IP podsieci, identyfikator sieci VLAN i opcjonalny klucz udostępniony. Podaj następujące informacje:

• Anonsowane prefiksy publiczne: lista prefiksów adresów używanych w sesji protokołu BGP. Te prefiksy muszą być zarejestrowane dla Ciebie i muszą być prefiksami dla zakresów adresów publicznych.
• Numer ASN klienta: opcjonalny numer systemu autonomicznego po stronie klienta do użycia, jeśli reklamujesz prefiksy, które nie są zarejestrowane w równorzędnym numerze ASN.
• Nazwa rejestru routingu: ta nazwa identyfikuje rejestr, w którym zarejestrowano numer ASN klienta i prefiksy publiczne.

Łączenie sieci wirtualnej z obwodem usługi ExpressRoute

Po ustanowieniu obwodu usługi ExpressRoute prywatna komunikacja równorzędna platformy Azure jest skonfigurowana dla obwodu. Sesja protokołu BGP między siecią a firmą Microsoft jest aktywna, dzięki czemu można włączyć łączność z sieci lokalnej do platformy Azure.

Aby połączyć się z obwodem prywatnym, musisz utworzyć bramę sieci wirtualnej platformy Azure, używając podsieci w jednej z sieci wirtualnych platformy Azure. Brama sieci wirtualnej udostępnia punkt wejścia do ruchu sieciowego pochodzącego z Twojej sieci lokalnej. Kieruje ruch przychodzący przez sieć wirtualną do zasobów platformy Azure.

Aby kontrolować ruch kierowany z Twojej sieci lokalnej, możesz skonfigurować sieciowe grupy zabezpieczeń i reguły zapory. Możesz również blokować żądania z nieautoryzowanych adresów w sieci lokalnej.

Uwaga

Bramę sieci wirtualnej należy utworzyć przy użyciu typu ExpressRoute, a nie Sieć VPN.

Do 10 sieci wirtualnych można połączyć z obwodem usługi ExpressRoute, ale te sieci wirtualne muszą znajdować się w tym samym regionie geopolitycznym co obwód usługi ExpressRoute podczas korzystania z jednostki SKU w warstwie Standardowa. W razie potrzeby można połączyć pojedynczą sieć wirtualną z czterema obwodami usługi ExpressRoute. Obwód usługi ExpressRoute może znajdować się w tej samej subskrypcji, co sieć wirtualna, lub w innej.

W przypadku korzystania z witryny Azure Portal łączenie komunikacji równorzędnej z bramą sieci wirtualnej odbywa się w następujący sposób:

1. Na stronie obwodu usługi ExpressRoute dla usługi wybierz pozycję Połączenia.
2. Na stronie Połączenia wybierz pozycję Dodaj.
3. Na stronie Dodawanie połączenia podaj nazwę połączenia, a następnie wybierz bramę sieci wirtualnej. Po zakończeniu operacji sieć lokalna jest połączona za pośrednictwem bramy sieci wirtualnej z siecią wirtualną na platformie Azure. Połączenie odbywa się za pośrednictwem połączenia usługi ExpressRoute.

Wysoka dostępność i tryb failover w usłudze ExpressRoute

W każdym obwodzie usługi ExpressRoute istnieją dwa połączenia od dostawcy łączności do dwóch różnych routerów brzegowych firmy Microsoft. Ta konfiguracja odbywa się automatycznie. Zapewnia ona poziom dostępności w ramach jednej lokalizacji.

Warto rozważyć skonfigurowanie obwodów usługi ExpressRoute w różnych lokalizacjach komunikacji równorzędnej w celu zapewnienia wysokiej dostępności i ochrony przed awarią regionalną. Można na przykład utworzyć obwody w regionach Wschodnie stany USA i Środkowe stany USA i podłączyć te obwody do sieci wirtualnej. W ten sposób, jeśli jeden obwód usługi ExpressRoute ulegnie awarii, nie utracisz łączności z zasobem i możesz przejąć połączenie w tryb failover z innym obwodem usługi ExpressRoute.

Możesz również mieć wiele obwodów w obrębie różnych dostawców, aby zapewnić, że sieć będzie zawsze dostępna — nawet gdy awaria będzie miała wpływ na wszystkie obwody jednego zatwierdzonego dostawcy. Właściwość Waga połączenia można ustawić tak, aby preferować jeden obwód zamiast innego.

ExpressRoute Direct i FastPath

Firma Microsoft udostępnia również bardzo szybką opcję o nazwie ExpressRoute Direct. Ta usługa umożliwia korzystanie z dwóch połączeń 100 GB/s. Jest ona odpowiednia dla scenariuszy, które obejmują częste pozyskiwanie ogromnych ilości danych. Jest także odpowiednia w przypadku rozwiązań, które wymagają najwyższej skalowalności, takich jak bankowość, instytucje rządowe i handel detaliczny.

Możesz zarejestrować swoją subskrypcję w firmie Microsoft, aby aktywować usługę ExpressRoute Direct. Aby uzyskać więcej informacji, przeczytaj artykuł dotyczący usługi ExpressRoute wskazany w sekcji „Dowiedz się więcej” na końcu tego modułu.

Usługa ExpressRoute Direct obsługuje funkcję FastPath. Gdy funkcja FastPath jest włączona, wysyła ruch sieciowy bezpośrednio do maszyny wirtualnej, która jest zamierzoną lokalizacją docelową. Ruch pomija bramę sieci wirtualnej, co zwiększa wydajność między sieciami wirtualnymi platformy Azure i sieciami lokalnymi.

Program FastPath obsługuje komunikację równorzędną sieci wirtualnych (w przypadku połączonych ze sobą sieci wirtualnych). Obsługuje również trasy zdefiniowane przez użytkownika w podsieci bramy.

Sprawdź swoją wiedzę

1.

Co to jest komunikacja równorzędna firmy Microsoft?

Zapewnia ona bezpośrednie połączenie z sieci lokalnej do centrum danych platformy Azure.

Umożliwia ona nawiązanie połączenia sieci lokalnej z usługami Office 365 i Dynamics 365.

Zapewnia ona połączenie między siecią lokalną i dostawcą usługi ExpressRoute.

Zapewnia ona połączenie typu punkt-lokacja komputerów w środowisku lokalnym z usługami Office 365.

2.

Co to jest obwód usługi ExpressRoute?

Obwód usługi ExpressRoute implementuje połączenie typu lokacja-lokacja w ramach połączenia sieci VPN w centrum danych platformy Azure.

Obwód usługi ExpressRoute to bezpośrednie, ścisłe połączenie między lokalnym centrum danych i centrum danych platformy Azure.

Usługa kopii zapasowej, która zapewnia łączność z chmurą firmy Microsoft w przypadku niepowodzenia połączenia sieci VPN.

Obwód zapewnia fizyczne połączenie na potrzeby przesyłania danych za pośrednictwem routerów brzegowych dostawcy usługi ExpressRoute do routerów brzegowych firmy Microsoft.

3.

Jakie korzyści dotyczące zabezpieczeń zapewnia usługa Azure ExpressRoute?

Połączenie usługi ExpressRoute jest szyfrowane automatycznie, co pomaga chronić ruch przechodzący przez Internet do chmury firmy Microsoft.

Szybkość, z jaką dane przechodzą przez połączenie usługi ExpressRoute, uniemożliwia ich przechwycenie przez monitory sieciowe i szperacze wykrywające pakiety.

Usługa ExpressRoute używa dedykowanej sieci prywatnej do łączenia się z chmurą firmy Microsoft. Ruch nie przechodzi przez publiczny Internet, co utrudnia jego przechwycenie.

Usługa ExpressRoute używa własnościowego protokołu komunikacyjnego, który ciągle się zmienia, co utrudnia przechwycenie ruchu.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.