Como funciona o Azure ExpressRoute
- 10 minutos
Na unidade anterior, você aprendeu sobre a finalidade do serviço Azure ExpressRoute e os serviços para os quais você pode usá-lo. Agora você está pronto para começar a aprender sobre como o serviço funciona. Vamos examinar como ele interage com o Azure e as redes locais para ajudar a criar uma conexão segura e confiável entre seu datacenter local e a nuvem da Microsoft.
Nesta unidade, você aprenderá a criar e usar circuitos do Azure para conectar suas redes locais à nuvem. Você vê as etapas que você precisa tomar para criar um circuito. Você também aprende sobre os outros componentes de uma conexão de Rota Expressa, que trabalham juntos para formar uma conexão do seu datacenter local com a nuvem da Microsoft.
Arquitetura de ExpressRoute
O ExpressRoute é compatível com todas as regiões e locais. Para implementar a Rota Expressa, você precisa trabalhar com um parceiro da Rota Expressa. O parceiro fornece o serviço periférico : uma conexão autorizada e autenticada que opera através de um router controlado pelo parceiro. O serviço de borda é responsável por estender sua rede para a nuvem da Microsoft.
O parceiro configura conexões com um ponto de extremidade numa localização ExpressRoute (implementado por um router de borda da Microsoft). Essas conexões permitem que você emparelhe suas redes locais com as redes virtuais disponíveis através do ponto de extremidade. Essas conexões são chamadas de circuitos .
Observação
No contexto do ExpressRoute, o Microsoft Edge descreve os roteadores de extremidade no lado da Microsoft do circuito do ExpressRoute.
Um circuito fornece uma conexão física para transmitir dados através dos roteadores Edge do fornecedor do ExpressRoute para os roteadores Edge da Microsoft. Um circuito é estabelecido através de um fio privado em vez da internet pública. A sua rede local está conectada aos routers de edge do fornecedor do ExpressRoute. Os roteadores de borda da Microsoft fornecem o ponto de entrada para a nuvem da Microsoft.
Pré-requisitos para o ExpressRoute
Antes de se conectar aos serviços de nuvem da Microsoft usando a Rota Expressa, você precisa ter:
- Um parceiro de conectividade ExpressRoute ou provedor de troca de nuvem que pode configurar uma conexão de suas redes locais para a nuvem da Microsoft.
- Uma assinatura do Azure registrada com seu parceiro de conectividade ExpressRoute escolhido.
- Uma conta ativa do Microsoft Azure que pode ser utilizada para solicitar um circuito ExpressRoute.
- Uma subscrição ativa do Office 365 (se pretender ligar-se à nuvem da Microsoft e aceder aos serviços do Office 365).
O ExpressRoute funciona emparelhando suas redes locais com redes em execução na nuvem da Microsoft. Os recursos em suas redes podem se comunicar diretamente com recursos hospedados pela Microsoft. Para dar suporte a essas ligações, o ExpressRoute tem vários requisitos de rede e roteamento:
- Verifique se as sessões BGP (Border Gateway Protocol) para domínios de roteamento estão configuradas. Dependendo do seu parceiro, essa configuração pode ser da responsabilidade dele ou sua. Além disso, para cada circuito ExpressRoute, a Microsoft requer sessões BGP redundantes entre os routers da Microsoft e os seus routers de emparelhamento.
- Você ou seus provedores precisam traduzir os endereços IP privados usados no local para endereços IP públicos usando um serviço NAT. A Microsoft aceita apenas endereços IP públicos através do peering da Microsoft.
- Reserve vários blocos de endereços IP em sua rede para rotear o tráfego para a nuvem da Microsoft. Você configura esses blocos como uma sub-rede /29 ou duas sub-redes /30 em seu espaço de endereço IP. Uma dessas sub-redes é usada para configurar o link primário para a nuvem da Microsoft e a outra implementa um link secundário. O primeiro endereço nessas sub-redes representa o fim do par BGP e o segundo endereço é o IP do par BGP da Microsoft.
O ExpressRoute suporta dois esquemas de emparelhamento:
- Utilize o emparelhamento privado para conectar-se aos serviços IaaS e PaaS do Azure, implantados nas redes virtuais do Azure. Os recursos que você acessa devem estar localizados em uma ou mais redes virtuais do Azure com endereços IP privados. Não é possível aceder a recursos pelo endereço IP público durante um emparelhamento privado.
- Use o emparelhamento da Microsoft para se conectar aos serviços PaaS do Azure, aos serviços do Office 365 e ao Dynamics 365.
Observação
Você também pode usar o portal do Azure para configurar o peering público. Essa forma de emparelhamento permite que você se conecte aos endereços públicos expostos pelos serviços do Azure. No entanto, este emparelhamento foi descontinuado e não está disponível para novos circuitos. Este módulo não aborda o emparelhamento público.
Criar um circuito ExpressRoute e peering
Estabelecer uma conexão com o Azure por meio da Rota Expressa é um processo de várias etapas. Você pode executar muitas dessas etapas usando o portal do Azure ou a partir da linha de comando usando o PowerShell ou a CLI do Azure. Esta seção descreve o processo de uso do portal do Azure. Para obter instruções do PowerShell e da CLI, consulte a seção "Saiba mais" no final deste módulo.
Criar um circuito
Quando estiver a utilizar o portal do Azure, selecione + Criar um recurso e procure ExpressRoute. A página Criar circuito ExpressRoute requer que o utilizador preencha os seguintes campos:
Aba Noções básicas
| Propriedade | Valor |
|---|---|
| Assinatura | A subscrição que registou junto ao seu fornecedor do ExpressRoute. |
| Grupo de recursos | O grupo de recursos do Azure no qual se deve criar o circuito. |
| Região | O local do Azure no qual criar o circuito. |
| Nome | Um nome significativo para o seu circuito, sem qualquer espaço em branco ou caracteres especiais. |
Aba de Configuração
| Propriedade | Valor |
|---|---|
| Tipo de porta | Selecione Provedor se estiver se conectando por meio de um provedor de serviços ou selecione Direct se estiver se conectando diretamente à Microsoft. |
| Criar novos ou importar de clássico | Crie um novo circuito ou selecione Importar para mover um circuito existente do modelo clássico para o Gerenciador de Recursos. |
| Provedor | O provedor de Rota Expressa com o qual você registrou sua assinatura. |
| Local de Peering | Um local habilitado pelo provedor de Rota Expressa para criar seu circuito. |
| Largura de banda | Selecione a sua largura de banda, de 50 Mbps até 10 Gbps. Comece com um valor baixo. Você pode aumentá-lo mais tarde, sem interrupção do serviço. No entanto, não podes reduzir a largura de banda se a configurares demasiado alta inicialmente. |
| SKU | Selecione Local (se disponível) se apenas precisar conectar-se aos recursos do Azure em 1 ou 2 regiões do Azure na mesma área metropolitana. Selecione Standard se você tiver até 10 redes virtuais e só precisar se conectar a recursos na mesma região geográfica. Caso contrário, selecione Premium que permite conectar mais de 10 redes virtuais e conectividade global aos recursos do Azure. |
| Modelo de faturamento | Selecione Ilimitado para pagar uma taxa fixa independentemente do uso. Ou selecione Medido para pagar de acordo com o volume de tráfego que entra e sai do circuito. |
| Permitir operações clássicas | Selecione Sim para permitir que redes virtuais clássicas se conectem ao circuito. Caso contrário, selecione Sem. |
A criação do circuito pode demorar vários minutos. Depois que o circuito for provisionado, você poderá usar o portal do Azure para exibir as propriedades. Você pode ver que o status do circuito está habilitado, o que significa que o lado da Microsoft do circuito está pronto para aceitar conexões. Inicialmente, o status do provedor é definido como Não provisionado até que o provedor configure seu lado do circuito para se conectar à sua rede.
Você envia ao provedor o valor no campo chave de serviço para permitir que ele configure a conexão. Esta configuração pode demorar vários dias. Você pode visitar novamente esta página para verificar o status do provedor.
Criar uma configuração de emparelhamento
Depois de o estado do fornecedor ser relatado como provisionado, poderá configurar o roteamento para os emparelhamentos. Essas etapas se aplicam somente a circuitos criados com provedores de serviços que oferecem conectividade de Camada 2. Para quaisquer circuitos que operem na Camada 3, o provedor poderá configurar o roteamento para você.
A página do circuito ExpressRoute mostrada anteriormente lista cada emparelhamento e suas propriedades. Você pode selecionar um peering para configurar essas propriedades.
Configurar interconexão privada
Você pode usar o emparelhamento privado para conectar sua rede às suas redes virtuais em execução no Azure. Para configurar o emparelhamento privado, você deve fornecer as seguintes informações:
- ASN de mesmo nível: O número do sistema autônomo (ASN) para o seu lado do emparelhamento. Este ASN pode ser público ou privado, e 16 bits ou 32 bits.
- Sub-redes: Selecione se deseja usar IPv4, IPv6 ou ambos para as sub-redes de emparelhamento.
- Sub-rede primária: O intervalo de endereços da sub-rede primária /30 que você criou na rede. Você usa o primeiro endereço IP nesta sub-rede para o seu roteador. A Microsoft usa o segundo para seu roteador.
- Sub-rede secundária: O intervalo de endereços da sua sub-rede secundária /30. Esta sub-rede fornece um link secundário para a Microsoft. Os dois primeiros endereços são usados para armazenar o endereço IP do seu roteador e do roteador da Microsoft.
- Ativar Emparelhamento IPv4: Esta opção permite-lhe ativar e desativar a sessão BGP de emparelhamento privado.
- ID da VLAN: O ID da VLAN em que estabelecer o emparelhamento. Os links primário e secundário usam essa ID de VLAN.
- Chave compartilhada: Esta chave é um hash MD5 opcional que é usado para codificar mensagens que passam pelo circuito.
Configurar o emparelhamento da Microsoft
Você utiliza o peering da Microsoft para se conectar ao Office 365 e aos seus serviços associados. Para configurar o emparelhamento da Microsoft, o utilizador fornece muitas das informações descritas para um emparelhamento privado: um ASN do parceiro, um intervalo de endereços de sub-rede primária, um intervalo de endereços de sub-rede secundária, versão IP de sub-rede, ID VLAN e uma chave partilhada opcional. Deve igualmente fornecer as seguintes informações:
- Prefixos públicos anunciados: Uma lista dos prefixos de endereço que você usa na sessão BGP. Esses prefixos devem ser registados em seu nome e devem ser prefixos para intervalos de endereços públicos.
- ASN do Cliente: Um número opcional de sistema autónomo do lado do cliente a ser utilizado quando se anunciarem prefixos que não estão registados no ASN do parceiro.
- Nome do Registro de Roteamento: Este nome identifica o registro no qual o ASN do cliente e os prefixos públicos estão registrados.
Conectar uma rede virtual a um circuito ExpressRoute
Depois de o circuito de ExpressRoute ser estabelecido, o emparelhamento privado do Azure é configurado para o seu circuito. A sessão BGP entre sua rede e a Microsoft está ativa, portanto, você pode habilitar a conectividade de sua rede local com o Azure.
Antes de se conectar a um circuito privado, você deve criar um gateway de rede virtual do Azure usando uma sub-rede em uma de suas redes virtuais do Azure. O gateway de rede virtual fornece o ponto de entrada para o tráfego de rede que entra da sua rede local. Ele direciona o tráfego de entrada através da rede virtual para seus recursos do Azure.
Você pode configurar grupos de segurança de rede e regras de firewall para controlar o tráfego que está sendo roteado de sua rede local. Você também pode bloquear solicitações de endereços não autorizados em sua rede local.
Observação
Você deve criar o gateway de rede virtual usando o tipo ExpressRoute e não VPN.
Até 10 redes virtuais podem ser ligadas a um circuito de Rota Expressa. No entanto, essas redes virtuais devem estar na mesma região geopolítica que o circuito ExpressRoute ao usar uma SKU padrão. Você pode vincular uma única rede virtual a quatro circuitos de Rota Expressa, se necessário. O circuito ExpressRoute pode estar na mesma subscrição da rede virtual ou numa diferente.
Se estiver a utilizar o portal do Azure, conecte um emparelhamento a um gateway de rede virtual da seguinte maneira:
- Na página do circuito ExpressRoute do seu circuito, selecione Connections.
- Na página Conexões, selecione Adicionar.
- Na página Adicionar conexão, dê um nome à sua conexão e selecione o seu gateway de rede virtual. Quando a operação é concluída, sua rede local é conectada por meio do gateway de rede virtual à sua rede virtual no Azure. A conexão é feita através da conexão ExpressRoute.
Alta disponibilidade e tolerância a falhas com o ExpressRoute
Em cada circuito de Rota Expressa, há duas conexões do provedor de conectividade para dois roteadores Microsoft Edge diferentes. Esta configuração ocorre automaticamente. Ele fornece um grau de disponibilidade dentro de um único local.
Para fornecer alta disponibilidade e ajudar a proteger contra uma interrupção regional, considere configurar circuitos de Rota Expressa em diferentes locais de emparelhamento. Por exemplo, você pode criar circuitos nas regiões Leste dos EUA e Central dos EUA e conectar esses circuitos à sua rede virtual. Dessa forma, se um circuito de Rota Expressa cair, você não perderá a conectividade com seu recurso e poderá fazer failover da conexão com outro circuito de Rota Expressa.
Você também pode ter vários circuitos em diferentes provedores para garantir que sua rede permaneça disponível mesmo se uma interrupção afetar todos os circuitos de um único provedor aprovado. Você pode definir a propriedade Peso da Conexão para privilegiar um circuito em relação a outro.
ExpressRoute Direct e FastPath
A Microsoft também fornece uma opção de ultra-alta velocidade chamada ExpressRoute Direct. Este serviço permite conectividade dupla de 100 Gbps. É adequado para cenários que envolvem ingestão massiva e frequente de dados. Também é adequado para soluções que exigem escalabilidade extrema, como bancos, governo e varejo.
Você pode registrar sua assinatura na Microsoft para ativar o ExpressRoute Direct. Para obter mais informações, visite o artigo ExpressRoute na seção "Saiba mais" no final deste módulo.
O ExpressRoute Direct é compatível com o FastPath. Quando o FastPath está habilitado, ele envia o tráfego de rede diretamente para uma máquina virtual que é o destino pretendido. O tráfego ignora o gateway de rede virtual, melhorando o desempenho entre as redes virtuais do Azure e as redes locais.
O FastPath oferece suporte ao emparelhamento de rede virtual (onde você tem redes virtuais conectadas). Ele também suporta rotas definidas pelo usuário na sub-rede do gateway.