Revisão do Azure Well-Architected Framework – Azure ExpressRoute
Este artigo fornece práticas recomendadas de arquitetura para o Azure ExpressRoute. A orientação baseia-se nos cinco pilares da excelência em arquitetura:
Presumimos que você tenha conhecimento prático do Azure ExpressRoute e seja bem versado com todos os seus recursos. Para obter mais informações, consulte Azure ExpressRoute.
Pré-requisitos
Para o contexto, considere revisar uma arquitetura de referência que reflita essas considerações em seu design. Recomendamos que você comece com as diretrizes da metodologia Cloud Adoption Framework Ready Conecte-se ao Azure e ao Architect para conectividade híbrida com o Azure ExpressRoute. Para arquiteturas de aplicativos de baixo código, recomendamos revisar Habilitar o ExpressRoute para Power Platform ao planejar e configurar o ExpressRoute para uso com o Microsoft Power Platform.
Confiabilidade
Na nuvem, reconhecemos antecipadamente que as falhas ocorrerão. Em vez de tentar evitar completamente a falha, a meta é minimizar os efeitos de uma falha em um componente individual. Use as informações a seguir para minimizar o tempo de inatividade de e para o Azure ao estabelecer conectividade usando o Azure ExpressRoute.
Ao discutir sobre confiabilidade com o Azure ExpressRoute, é importante levar em consideração o uso da largura de banda, o layout físico da rede e a recuperação de desastre se houver falhas. O Azure ExpressRoute é capaz de alcançar essas considerações de design e ter recomendações para cada item na lista de verificação.
Na lista de verificação de design e na lista de recomendações abaixo, as informações são apresentadas para que você crie uma rede altamente disponível entre o ambiente do Azure e a rede local.
Lista de verificação de projeto
Ao fazer escolhas de design para o Azure ExpressRoute, examine os princípios de design para adicionar confiabilidade à arquitetura.
- Selecione entre o circuito do ExpressRoute ou o ExpressRoute Direct para requisitos de negócios.
- Configure uma rede de camada física diversificada para o provedor de serviços.
- Configure circuitos do ExpressRoute com um provedor de serviços diferente para ter caminhos de roteamento diversos.
- Configure Active-Active conexões do ExpressRoute entre o local e o Azure.
- Configure gateways de Rede Virtual do ExpressRoute com reconhecimento de zona de disponibilidade.
- Configure circuitos do ExpressRoute em um local diferente da rede local.
- Configure o ExpressRoute Rede Virtual Gateways em regiões diferentes.
- Configure a VPN site a site como um backup para o emparelhamento privado do ExpressRoute.
- Configure o monitoramento do circuito do ExpressRoute e da integridade do ExpressRoute Rede Virtual Gateway.
- Configure a integridade do serviço para receber a notificação de manutenção do circuito do ExpressRoute.
Recomendações
Explore a tabela de recomendações a seguir para otimizar a configuração do ExpressRoute para Confiabilidade.
| Recomendação | Benefício |
|---|---|
| Planejar o circuito do ExpressRoute ou o ExpressRoute Direct | Durante a fase de planejamento inicial, você deseja decidir se deseja configurar um circuito do ExpressRoute ou uma conexão do ExpressRoute Direct. Um circuito do ExpressRoute permite uma conexão dedicada privada ao Azure com a ajuda de um provedor de conectividade. O ExpressRoute Direct permite estender a rede local diretamente para a rede da Microsoft em um local de emparelhamento. Você também precisa identificar o requisito de largura de banda e o requisito de tipo de SKU para suas necessidades de negócios. |
| Diversidade de camada física | Para obter melhor resiliência, planeje ter vários caminhos entre a borda local e os locais de emparelhamento (localizações de provedor/microsoft edge). Essa configuração pode ser obtida passando por um provedor de serviços diferente ou por um local diferente da rede local. |
| Planejar circuitos com redundância geográfica | Para planejar a recuperação de desastre, configure circuitos do ExpressRoute em mais de um local de emparelhamento. Você pode criar circuitos em locais de emparelhamento no mesmo metrô ou metrô diferente e optar por trabalhar com diferentes provedores de serviços para caminhos diversos por meio de cada circuito. Para obter mais informações, consulte Projetando para recuperação de desastre e Projetando para alta disponibilidade. |
| Planejar a conectividade Active-Active | Os circuitos dedicados do ExpressRoute garantem a 99.95% disponibilidade quando uma conectividade ativa-ativa é configurada entre o local e o Azure. Esse modo fornece maior disponibilidade de sua conexão do Expressroute. Também é recomendável configurar o BFD para failover mais rápido se houver uma falha de link em uma conexão. |
| Planejando gateways de Rede Virtual | Crie o Gateway de Rede Virtual com reconhecimento de zona de disponibilidade para maior resiliência e planeje gateways de Rede Virtual em diferentes regiões para recuperação de desastre e alta disponibilidade. |
| Monitorar circuitos e integridade do gateway | Configure monitoramento e alertas para circuitos do ExpressRoute e Rede Virtual integridade do Gateway com base em várias métricas disponíveis. |
| Habilitar a integridade do serviço | O ExpressRoute usa a integridade do serviço para notificar sobre a manutenção planejada e não planejada. A configuração da integridade do serviço notificará você sobre as alterações feitas nos circuitos do ExpressRoute. |
Para obter mais sugestões, consulte Princípios do pilar de confiabilidade.
O Assistente do Azure fornece muitas recomendações para circuitos do ExpressRoute relacionados à confiabilidade. Por exemplo, o Assistente do Azure pode detectar:
- Gateways do ExpressRoute nos quais apenas um único circuito do ExpressRoute é implantado, em vez de vários. Vários circuitos do ExpressRoute são recomendados para adicionar resiliência ao local de emparelhamento.
- Circuitos do ExpressRoute que não estão sendo observados por Monitor da Conexão, pois o monitoramento de ponta a ponta do circuito do ExpressRoute é essencial para insights de confiabilidade.
- Topologias de rede que envolvem vários locais de emparelhamento que se beneficiariam do Alcance Global do ExpressRoute para melhorar os designs de recuperação de desastre para conectividade local para levar em conta a perda de conectividade não planejada.
Segurança
A segurança é um dos aspectos mais importantes de qualquer arquitetura. O ExpressRoute fornece recursos para empregar o princípio de privilégios mínimos e defesa em defesa. Recomendamos que você examine os princípios de design de segurança.
Lista de verificação de projeto
- Configure o log de atividades para enviar logs para o arquivo morto.
- Mantenha um inventário de contas administrativas com acesso aos recursos do ExpressRoute.
- Configure o hash MD5 no circuito do ExpressRoute.
- Configure MACSec para recursos do ExpressRoute Direct.
- Criptografar o tráfego por emparelhamento privado e emparelhamento da Microsoft para tráfego de rede virtual.
Recomendações
Explore a tabela de recomendações a seguir para otimizar a configuração do ExpressRoute para segurança.
| Recomendação | Benefício |
|---|---|
| Configurar o log de atividades para enviar logs para o arquivo morto | Os logs de atividades fornecem insights sobre as operações que foram executadas no nível da assinatura para recursos do ExpressRoute. Com os logs de atividades, você pode determinar quem e quando uma operação foi executada no painel de controle. A retenção de dados é de apenas 90 dias e precisa ser armazenada no Log Analytics, nos Hubs de Eventos ou em uma conta de armazenamento para arquivo morto. |
| Manter o inventário de contas administrativas | Use o RBAC do Azure para configurar funções para limitar contas de usuário que podem adicionar, atualizar ou excluir a configuração de emparelhamento em um circuito do ExpressRoute. |
| Configurar o hash MD5 no circuito do ExpressRoute | Durante a configuração do emparelhamento privado ou do emparelhamento da Microsoft, aplique um hash MD5 para proteger mensagens entre a rota local e os roteadores MSEE. |
| Configurar MACSec para recursos do ExpressRoute Direct | A segurança de Controle de Acesso de mídia é uma segurança ponto a ponto na camada de link de dados. O ExpressRoute Direct dá suporte à configuração de MACSec para evitar ameaças de segurança a protocolos como ARP, DHCP, LACP normalmente não protegidos no link Ethernet. Para obter mais informações sobre como configurar o MACSec, consulte MACSec para portas do ExpressRoute Direct. |
| Criptografar o tráfego usando IPsec | Configure um túnel VPN site a site em seu circuito do ExpressRoute para criptografar a transferência de dados entre a rede local e a rede virtual do Azure. Você pode configurar um túnel usando o emparelhamento privado ou o emparelhamento da Microsoft. |
Para obter mais sugestões, consulte Princípios do pilar de segurança.
Otimização de custo
A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Recomendamos que você examine o princípio de design de otimização de custo e Planeje e gerencie os custos do Azure ExpressRoute.
Lista de verificação de projeto
- Familiarize-se com os preços do ExpressRoute.
- Determine a SKU do circuito do ExpressRoute e a largura de banda necessárias.
- Determine o tamanho do gateway de rede virtual do ExpressRoute necessário.
- Monitore o custo e crie alertas de orçamento.
- Desprovisionar circuitos do ExpressRoute não está mais em uso.
Recomendações
Explore a tabela de recomendações a seguir para otimizar a configuração do ExpressRoute para otimização de custo.
| Recomendação | Benefício |
|---|---|
| Familiarize-se com os preços do ExpressRoute | Para obter informações sobre preços do ExpressRoute, consulte Entender os preços do Azure ExpressRoute. Você também pode usar a Calculadora de preços. Verifique se as opções são dimensionadas adequadamente para atender à demanda de capacidade e fornecer o desempenho esperado sem desperdiçar recursos. |
| Determinar a SKU e a largura de banda necessárias | A maneira como você é cobrado pelo uso do ExpressRoute varia entre os três tipos diferentes de SKU. Com o SKU Local, você é cobrado automaticamente por um plano de dados ilimitados. Com o SKU Standard e Premium, você pode selecionar entre um plano de dados limitado ou Ilimitado. Todos os dados de entrada são gratuitos, exceto ao usar o complemento Alcance Global. É importante entender quais tipos de SKU e plano de dados funcionam melhor para sua carga de trabalho para otimizar melhor o custo e o orçamento. Para obter mais informações sobre como redimensionar o circuito do ExpressRoute, consulte atualizando a largura de banda do circuito do ExpressRoute. |
| Determinar o tamanho do gateway de rede virtual do ExpressRoute | Os gateways de rede virtual do ExpressRoute são usados para passar o tráfego para uma rede virtual por meio do emparelhamento privado. Examine as necessidades de desempenho e escala de sua SKU de gateway de Rede Virtual preferencial. Selecione o SKU de gateway apropriado em sua carga de trabalho local para o Azure. |
| Monitorar o custo e criar alertas de orçamento | Monitore o custo do circuito do ExpressRoute e crie alertas para anomalias de gastos e riscos de gastos excessivos. Para obter mais informações, consulte Monitoramento de custos do ExpressRoute. |
| Desprovisione e exclua circuitos do ExpressRoute que não estão mais em uso. | Os circuitos do ExpressRoute são cobrados a partir do momento em que são criados. Para reduzir o custo desnecessário, desprovisione o circuito com o provedor de serviços e exclua o circuito do ExpressRoute de sua assinatura. Para obter etapas sobre como remover um circuito do ExpressRoute, consulte Desprovisionando um circuito do ExpressRoute. |
Para obter mais sugestões, consulte Lista de verificação de revisão de design para Otimização de Custos.
O Assistente do Azure pode detectar circuitos do ExpressRoute que foram implantados por um tempo significativo, mas têm um provedor status de Não Provisionado. Os circuitos nesse estado não estão operacionais; e a remoção do recurso não utilizado reduzirá os custos desnecessários.
Excelência operacional
Monitoramento e diagnóstico são cruciais. Não só você pode medir estatísticas de desempenho, mas também usar métricas para solucionar problemas e corrigir problemas rapidamente. Recomendamos que você examine os princípios de design de excelência operacional.
Lista de verificação de projeto
- Configure o monitoramento de conexão entre o local e a rede do Azure.
- Configure a Integridade do Serviço para receber notificação.
- Examine as métricas e os painéis disponíveis por meio do ExpressRoute Insights usando o Network Insights.
- Examine as métricas de recurso do ExpressRoute.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do ExpressRoute para excelência operacional.
| Recomendação | Benefício |
|---|---|
| Configurar o monitoramento de conexão | O monitoramento de conexão permite monitorar a conectividade entre seus recursos locais e o Azure pelo emparelhamento privado do ExpressRoute e pela conexão de emparelhamento da Microsoft. O monitor de conexão pode detectar problemas de rede identificando onde está o caminho da rede e ajudar você a resolve rapidamente a configuração ou falhas de hardware. |
| Configurar a Integridade do Serviço | Configure as notificações de Integridade do Serviço para alertar quando a manutenção planejada e futura estiver ocorrendo em todos os circuitos do ExpressRoute em sua assinatura. A Integridade do Serviço também exibirá a manutenção anterior junto com o RCA se uma manutenção não planejada ocorrer. |
| Examinar as métricas com o Network Insights | Os Insights do ExpressRoute com Insights de Rede permitem que você examine e analise circuitos, gateways, métricas de conexões e painéis de integridade do ExpressRoute. O ExpressRoute Insights também fornece uma exibição de topologia de suas conexões do ExpressRoute em que você pode exibir detalhes de seus componentes de emparelhamento em um único lugar. Métricas disponíveis: -Disponibilidade -Transferência - Métricas de gateway |
| Examinar as métricas de recurso do ExpressRoute | O ExpressRoute usa o Azure Monitor para coletar métricas e criar a base de alertas em sua configuração. As métricas são coletadas para circuitos do ExpressRoute, gateways do ExpressRoute, conexões de gateway do ExpressRoute e ExpressRoute Direct. Essas métricas são úteis para diagnosticar problemas de conectividade e entender o desempenho da conexão do ExpressRoute. |
Para obter mais sugestões, confira Princípios do pilar de excelência operacional.
Eficiência de desempenho
A eficiência do desempenho é a capacidade de dimensionar sua carga de trabalho para atender às demandas colocadas por usuários de maneira eficiente. Recomendamos que você examine os princípios de eficiência de desempenho.
Lista de verificação de projeto
- Teste o desempenho do gateway do ExpressRoute para atender aos requisitos de carga de trabalho.
- Aumente o tamanho do gateway do ExpressRoute.
- Atualize a largura de banda do circuito do ExpressRoute.
- Habilite o ExpressRoute FastPath para maior taxa de transferência.
- Monitore o circuito do ExpressRoute e as métricas de gateway.
Recomendações
Explore a tabela de recomendações a seguir para otimizar a configuração do ExpressRoute para eficiência de desempenho.
| Recomendação | Benefício |
|---|---|
| Teste o desempenho do gateway do ExpressRoute para atender aos requisitos de carga de trabalho. | Use o Kit de Ferramentas de Conectividade do Azure para testar o desempenho em seu circuito do ExpressRoute para entender a capacidade de largura de banda e a latência da conexão de rede. |
| Aumente o tamanho do gateway do ExpressRoute. | Atualize para um SKU de gateway mais alto para melhorar o desempenho da taxa de transferência entre o ambiente local e o Azure. |
| Atualizar a largura de banda do circuito do ExpressRoute | Atualize a largura de banda do circuito para atender aos seus requisitos de carga de trabalho. A largura de banda do circuito é compartilhada entre todas as redes virtuais conectadas ao circuito do ExpressRoute. Dependendo da carga de trabalho, uma ou mais redes virtuais podem usar toda a largura de banda no circuito. |
| Habilitar o ExpressRoute FastPath para maior taxa de transferência | Se você estiver usando um desempenho Ultra ou um gateway de rede virtual ErGW3AZ, poderá habilitar o FastPath para melhorar o desempenho do caminho de dados entre a rede local e a rede virtual do Azure. |
| Monitorar métricas de gateway e circuito do ExpressRoute | Configure a base de alertas nas métricas do ExpressRoute para notificá-lo proativamente quando um determinado limite for atingido. Essas métricas são úteis para entender anomalias que podem ocorrer com sua conexão do ExpressRoute, como interrupções e manutenção acontecendo com os circuitos do ExpressRoute. |
Para obter mais sugestões, confira Princípios do pilar de eficiência de desempenho.
O Assistente do Azure oferecerá uma recomendação para atualizar a largura de banda do circuito do ExpressRoute para acomodar o uso quando o circuito estiver consumindo recentemente mais de 90% da largura de banda adquirida. Se o tráfego exceder a largura de banda alocada, você experimentará pacotes descartados, o que pode levar a um impacto significativo no desempenho ou na confiabilidade.
Azure Policy
Azure Policy não fornece políticas internas para o ExpressRoute, mas políticas personalizadas podem ser criadas para ajudar a controlar como os circuitos do ExpressRoute devem corresponder ao estado final desejado, como escolha de SKU, tipo de emparelhamento, configurações de emparelhamento e assim por diante.
Recursos adicionais
Diretrizes do Cloud Adoption Framework
Próximas etapas
Configure um circuito do ExpressRoute ou uma porta do ExpressRoute Direct para estabelecer a comunicação entre sua rede local e o Azure.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de