Обзор Azure Well-Architected Framework — Azure ExpressRoute
В этой статье приведены рекомендации по архитектуре для Azure ExpressRoute. Руководство основано на пяти основных принципах архитектуры:
Предполагается, что у вас есть опыт работы с Azure ExpressRoute и вы хорошо знакомы со всеми ее функциями. Дополнительные сведения см. в статье Azure ExpressRoute.
Предварительные требования
Для контекста рассмотрите возможность просмотра эталонной архитектуры, которая отражает эти аспекты при проектировании. Рекомендуется начать с Cloud Adoption Framework руководства по использованию методики готовности Подключение к Azure и Разработка гибридного подключения с помощью Azure ExpressRoute. Для архитектур приложений с низким кодом рекомендуется ознакомиться с разделом Включение ExpressRoute для Power Platform при планировании и настройке ExpressRoute для использования с Microsoft Power Platform.
надежность;
Мы подтверждаем, что в облачной среде возникают сбои. Вместо того чтобы пытаться предотвратить все возможные сбои, нужно свести к минимуму воздействие сбоя каждого отдельного компонента. Используйте следующие сведения, чтобы свести к минимуму время простоя в Azure и из Нее при установке подключения с помощью Azure ExpressRoute.
При обсуждении надежности с помощью Azure ExpressRoute важно учитывать использование пропускной способности, физическую структуру сети и аварийное восстановление в случае сбоев. Azure ExpressRoute может выполнить эти рекомендации по проектированию и получить рекомендации по каждому элементу в контрольном списке.
В контрольном списке проектирования и списке рекомендаций ниже приведены сведения о том, как спроектировать высокодоступную сеть между средой Azure и локальной сетью.
Контрольный список проектирования
При выборе вариантов проектирования для Azure ExpressRoute ознакомьтесь с принципами проектирования , которые повысят надежность архитектуры.
- Выберите канал ExpressRoute или ExpressRoute Direct для бизнес-требований.
- Настройте разнообразную сеть физического уровня для поставщика услуг.
- Настройте каналы ExpressRoute с разными поставщиками услуг, чтобы они имели различные пути маршрутизации.
- Настройте Active-Active подключения ExpressRoute между локальной средой и Azure.
- Настройте шлюзы ExpressRoute виртуальная сеть, поддерживая зоны доступности.
- Настройте каналы ExpressRoute в расположении, отличном от расположения локальной сети.
- Настройте шлюзы ExpressRoute виртуальная сеть в разных регионах.
- Настройте VPN типа "сеть — сеть" в качестве резервной копии частного пиринга ExpressRoute.
- Настройте мониторинг для канала ExpressRoute и виртуальная сеть шлюза ExpressRoute.
- Настройте работоспособности службы для получения уведомлений об обслуживании канала ExpressRoute.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации ExpressRoute для обеспечения надежности.
| Рекомендация | Преимущество |
|---|---|
| Планирование канала ExpressRoute или ExpressRoute Direct | На начальном этапе планирования необходимо решить, следует ли настроить канал ExpressRoute или подключение ExpressRoute Direct. Канал ExpressRoute обеспечивает частное выделенное подключение к Azure с помощью поставщика услуг подключения. ExpressRoute Direct позволяет расширять локальную сеть непосредственно в сеть Майкрософт в расположении пиринга. Кроме того, необходимо определить требования к пропускной способности и типУ SKU для бизнес-потребностей. |
| Разнообразие физических уровней | Для повышения устойчивости запланируйте наличие нескольких путей между локальным пограничным расположением и расположениями пиринга (поставщик или пограничные расположения Майкрософт). Эту конфигурацию можно достичь, перейдя через другого поставщика услуг или в другом расположении из локальной сети. |
| Планирование геоизбыточного канала | Чтобы спланировать аварийное восстановление, настройте каналы ExpressRoute в нескольких расположениях пиринга. Вы можете создавать каналы в расположениях пиринга в одном или другом метро и работать с разными поставщиками услуг для различных путей по каждому каналу. Дополнительные сведения см. в разделах Проектирование для аварийного восстановления и Проектирование для обеспечения высокой доступности. |
| Планирование подключения Active-Active | Выделенные каналы ExpressRoute гарантируют 99.95% доступность при настройке подключения "активный — активный" между локальной средой и Azure. Этот режим обеспечивает более высокую доступность подключения ExpressRoute. Также рекомендуется настроить BFD для более быстрой отработки отказа при сбое соединения. |
| Планирование шлюзов виртуальная сеть | Создайте шлюз виртуальная сеть с поддержкой зон доступности для повышения устойчивости и спланируйте шлюзы виртуальная сеть в разных регионах для аварийного восстановления и обеспечения высокой доступности. |
| Мониторинг каналов и работоспособности шлюза | Настройте мониторинг и оповещения для каналов ExpressRoute и виртуальная сеть работоспособности шлюза на основе различных доступных метрик. |
| Включение работоспособности службы | ExpressRoute использует работоспособности службы для уведомления о плановом и внеплановом обслуживании. При настройке работоспособности службы вы будете уведомлены об изменениях, внесенных в каналы ExpressRoute. |
Дополнительные рекомендации см. в разделе Принципы обеспечения надежности.
Помощник по Azure предоставляет множество рекомендаций для каналов ExpressRoute, связанных с надежностью. Например, Помощник по Azure может обнаружить:
- Шлюзы ExpressRoute, в которых развертывается только один канал ExpressRoute, а не несколько. Для повышения устойчивости расположения пиринга рекомендуется использовать несколько каналов ExpressRoute.
- Каналы ExpressRoute, которые не отслеживаются Монитор подключений, так как комплексный мониторинг канала ExpressRoute имеет решающее значение для аналитики надежности.
- Сетевые топологии с несколькими расположениями пиринга, которые будут использовать ExpressRoute Global Reach для улучшения проектов аварийного восстановления для локального подключения, чтобы учесть незапланированную потерю подключения.
Безопасность
Безопасность является одним из наиболее важных аспектов любой архитектуры. ExpressRoute предоставляет функции для использования как принципа минимальных привилегий, так и защиты при защите. Рекомендуем ознакомиться с принципами проектирования безопасности.
Контрольный список проектирования
- Настройте журнал действий для отправки журналов в архив.
- Вести инвентаризацию учетных записей администратора с доступом к ресурсам ExpressRoute.
- Настройка хэша MD5 в канале ExpressRoute.
- Настройка MACSec для ресурсов ExpressRoute Direct.
- Шифрование трафика через частный пиринг и пиринг Майкрософт для трафика виртуальной сети.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации ExpressRoute для обеспечения безопасности.
| Рекомендация | Преимущество |
|---|---|
| Настройка журнала действий для отправки журналов в архив | Журналы действий предоставляют аналитические сведения об операциях, выполненных на уровне подписки для ресурсов ExpressRoute. С помощью журналов действий можно определить, кто и когда была выполнена операция на уровне управления. Хранение данных составляет всего 90 дней, и их необходимо хранить в Log Analytics, Центрах событий или учетной записи хранения для архивации. |
| Ведение инвентаризации учетных записей администратора | Используйте Azure RBAC для настройки ролей для ограничения учетных записей пользователей, которые могут добавлять, обновлять или удалять конфигурацию пиринга в канале ExpressRoute. |
| Настройка хэша MD5 в канале ExpressRoute | Во время настройки частного пиринга или пиринга Майкрософт примените хэш MD5 для защиты сообщений между локальным маршрутом и маршрутизаторами MSEE. |
| Настройка MACSec для ресурсов ExpressRoute Direct | Безопасность контроль доступа мультимедиа — это безопасность "точка — точка" на уровне канала данных. ExpressRoute Direct поддерживает настройку MACSec для предотвращения угроз безопасности для таких протоколов, как ARP, DHCP и LACP, которые обычно не защищены по каналу Ethernet. Дополнительные сведения о настройке MACSec см. в статье MACSec для портов ExpressRoute Direct. |
| Шифрование трафика с помощью IPsec | Настройте vpn-туннель типа "сеть — сеть" через канал ExpressRoute для шифрования данных, передаваемых между локальной сетью и виртуальной сетью Azure. Туннель можно настроить с помощью частного пиринга или пиринга Майкрософт. |
Дополнительные рекомендации см. в разделе Принципы обеспечения безопасности.
Оптимизация затрат
Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Рекомендуется ознакомиться с принципом проектирования оптимизации затрат и планированием затрат и управлением затратами для Azure ExpressRoute.
Контрольный список проектирования
- Ознакомьтесь с ценами на ExpressRoute.
- Определите номер SKU канала ExpressRoute и требуемую пропускную способность.
- Определите требуемый размер шлюза виртуальной сети ExpressRoute.
- Мониторинг затрат и создание оповещений о бюджете.
- Отмена подготовки каналов ExpressRoute больше не используется.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации ExpressRoute для оптимизации затрат.
| Рекомендация | Преимущество |
|---|---|
| Ознакомьтесь с ценами на ExpressRoute | Сведения о ценах на ExpressRoute см. в статье Общие сведения о ценах на Azure ExpressRoute. Вы также можете использовать калькулятор цен. Убедитесь, что параметры имеют соответствующий размер для удовлетворения потребностей в емкости и обеспечения ожидаемой производительности без использования ресурсов. |
| Определение номера SKU и требуемой пропускной способности | Способ выставления платы за использование ExpressRoute зависит от трех разных типов SKU. При использовании локального номера SKU вы автоматически платите за безлимитный тарифный план. При использовании SKU "Стандартный" и "Премиум" можно выбрать план данных с лимитом или без ограничений. Все входящие данные предоставляются бесплатно, за исключением случаев использования надстройки Global Reach. Важно понимать, какие типы SKU и план данных лучше подходят для конкретной рабочей нагрузки, чтобы оптимизировать затраты и бюджет. Дополнительные сведения об изменении размера канала ExpressRoute см. в статье Обновление пропускной способности канала ExpressRoute. |
| Определение размера шлюза виртуальной сети ExpressRoute | Шлюзы виртуальной сети ExpressRoute используются для передачи трафика в виртуальную сеть через частный пиринг. Просмотрите требования к производительности и масштабированию предпочитаемого SKU шлюза виртуальная сеть. Выберите соответствующий номер SKU шлюза в локальной рабочей нагрузке Azure. |
| Мониторинг затрат и создание оповещений о бюджете | Отслеживайте затраты на канал ExpressRoute и создавайте оповещения об аномалиях расходов и рисках, связанных с перерасходом. Дополнительные сведения см. в статье Мониторинг затрат на ExpressRoute. |
| Отзыв и удаление каналов ExpressRoute, которые больше не используются. | Плата за каналы ExpressRoute взимается с момента их создания. Чтобы снизить ненужные затраты, отзовите канал у поставщика услуг и удалите канал ExpressRoute из подписки. Инструкции по удалению канала ExpressRoute см. в статье Отзыв канала ExpressRoute. |
Дополнительные рекомендации см. в разделе Контрольный список проверки проекта для оптимизации затрат.
Помощник по Azure может обнаруживать каналы ExpressRoute, которые были развернуты в течение значительного времени, но имеют состояние поставщика Не подготовлено. Каналы в этом состоянии не являются рабочими; и удаление неиспользуемого ресурса позволит сократить ненужные затраты.
эффективность работы;
Мониторинг и диагностика имеют огромное значение. Вы можете не только измерять статистику производительности, но и использовать метрики для устранения неполадок и быстрого устранения проблем. Рекомендуется ознакомиться с принципами проектирования операционной эффективности.
Контрольный список проектирования
- Настройте мониторинг подключений между локальной средой и сетью Azure.
- Настройка работоспособности служб для получения уведомлений.
- Просмотрите метрики и панели мониторинга, доступные в ExpressRoute Insights с помощью Network Insights.
- Ознакомьтесь с метриками ресурсов ExpressRoute.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации ExpressRoute для повышения эффективности работы.
| Рекомендация | Преимущество |
|---|---|
| Настройка мониторинга подключений | Мониторинг подключений позволяет отслеживать подключение между локальными ресурсами и Azure через частный пиринг ExpressRoute и пиринговое подключение Майкрософт. Монитор подключений может обнаруживать проблемы с сетью, определяя, на каком сетевом пути возникла проблема, и помогает быстро устранить сбои конфигурации или оборудования. |
| Настройка работоспособности служб | Настройте уведомления о работоспособности служб , чтобы оповещать о запланированном и предстоящем обслуживании для всех каналов ExpressRoute в вашей подписке. Служба "Работоспособность служб" также отображает прошлый период обслуживания вместе с анализом первопричин, если было необходимо выполнить незапланированное обслуживание. |
| Проверка метрик с помощью Network Insights | Аналитика ExpressRoute с Network Insights позволяет просматривать и анализировать каналы ExpressRoute, шлюзы, метрики подключений и панели мониторинга работоспособности. ExpressRoute Insights также предоставляет представление топологии подключений ExpressRoute, где можно просматривать сведения о компонентах пиринга в одном месте. Доступные метрики: -Доступности -Пропускной способности — Метрики шлюза |
| Просмотр метрик ресурсов ExpressRoute | ExpressRoute использует Azure Monitor для сбора метрик и создания оповещений на основе вашей конфигурации. Метрики собираются для каналов ExpressRoute, шлюзов ExpressRoute, подключений к шлюзам ExpressRoute и ExpressRoute Direct. Эти метрики полезны для диагностики проблем с подключением и понимания производительности подключения ExpressRoute. |
Дополнительные рекомендации см. в статье Принципы обеспечения эффективности операций.
Уровень производительности
Уровень производительности — это способность вашей рабочей нагрузки масштабироваться в соответствии с требованиями, предъявляемыми к ней пользователями эффективным образом. Мы рекомендуем ознакомиться с принципами эффективности производительности.
Контрольный список проектирования
- Проверьте производительность шлюза ExpressRoute в соответствии с требованиями к рабочей нагрузке.
- Увеличьте размер шлюза ExpressRoute.
- Обновите пропускную способность канала ExpressRoute.
- Включите ExpressRoute FastPath для повышения пропускной способности.
- Отслеживайте метрики канала ExpressRoute и шлюза.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации ExpressRoute для повышения производительности.
| Рекомендация | Преимущество |
|---|---|
| Проверьте производительность шлюза ExpressRoute в соответствии с требованиями к рабочей нагрузке. | Используйте Azure Connectivity Toolkit для тестирования производительности в канале ExpressRoute, чтобы понять пропускную способность и задержку сетевого подключения. |
| Увеличьте размер шлюза ExpressRoute. | Выполните обновление до более высокого SKU шлюза для повышения производительности пропускной способности между локальной средой и средой Azure. |
| Обновление пропускной способности канала ExpressRoute | Обновите пропускную способность канала в соответствии с требованиями к рабочей нагрузке. Пропускная способность канала используется всеми виртуальными сетями, подключенными к каналу ExpressRoute. В зависимости от рабочей нагрузки одна или несколько виртуальных сетей могут использовать всю пропускную способность канала. |
| Включение ExpressRoute FastPath для повышения пропускной способности | Если вы используете шлюз виртуальной сети категории "Ультра" или ErGW3AZ, вы можете включить FastPath , чтобы повысить производительность пути к данным между локальной сетью и виртуальной сетью Azure. |
| Мониторинг метрик канала ExpressRoute и шлюза | Настройте оповещения на основе метрик ExpressRoute , чтобы заранее уведомлять вас о достижении определенного порогового значения. Эти метрики полезны для понимания аномалий, которые могут возникнуть при подключении ExpressRoute, например сбоев и обслуживания, происходящих в каналах ExpressRoute. |
Дополнительные рекомендации см. в статье Принципы обеспечения эффективности производительности.
Помощник по Azure предложит рекомендации по обновлению пропускной способности канала ExpressRoute в соответствии с использованием, когда канал в последнее время потребляет более 90 % приобретенной пропускной способности. Если трафик превышает выделенную пропускную способность, вы будете сталкиваться с удаленными пакетами, что может привести к значительному снижению производительности или надежности.
Политика Azure
Политика Azure не предоставляет встроенные политики для ExpressRoute, но можно создать настраиваемые политики, которые помогут управлять тем, как каналы ExpressRoute должны соответствовать требуемому конечному состоянию, например выбор номера SKU, тип пиринга, конфигурации пиринга и т. д.
Дополнительные ресурсы
Руководство по Cloud Adoption Framework
- Традиционная топология сети Azure
- Топология виртуальной глобальной сети (под управлением Майкрософт)
Дальнейшие действия
Настройте канал ExpressRoute или порт ExpressRoute Direct , чтобы установить связь между локальной сетью и Azure.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по