Расширение локальной сети с помощью ExpressRoute

На схеме с этой эталонной архитектурой показано, как подключить локальную сеть к виртуальным сетям в Azure с помощью Azure ExpressRoute. Подключения ExpressRoute создают закрытые выделенные подключения через сети сторонних поставщиков услуг подключения. Такое частное подключение расширяет вашу локальную сеть в Azure.

Архитектура

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

Архитектура состоит из следующих компонентов:

• Локальная корпоративная сеть. Частная локальная сеть, работающая внутри организации.

• Канал ExpressRoute. Это канал уровня 2 или 3, который предоставляет поставщик подключения. Он позволяет подключиться к локальной сети с Azure через пограничные маршрутизаторы. Канал использует инфраструктуру оборудования, настроенную поставщиком подключения.

• Локальные пограничные маршрутизаторы. Маршрутизаторы, позволяющие подключить локальную сеть к каналу, которым управляет поставщик. В зависимости от способа подготовки подключения может потребоваться предоставить общедоступные IP-адреса, используемые маршрутизаторами.

• Пограничные маршрутизаторы Майкрософт. Два маршрутизатора в конфигурации "активный — активный" с высоким уровнем доступности. Эти маршрутизаторы позволяют поставщикам услуг подключения напрямую подключать свои каналы к центру обработки данных. В зависимости от способа подготовки подключения может потребоваться предоставить общедоступные IP-адреса, используемые маршрутизаторами.

• Виртуальные сети Azure. Каждая виртуальная сеть находится в одном регионе Azure и может содержать несколько уровней приложения. Уровни приложения могут быть разделены на сегменты с помощью подсетей в каждой виртуальной сети.

• Общедоступные службы Azure. Службы Azure, которые могут использоваться в гибридных приложениях. Эти службы также доступны в Интернете. Но при получении к ним доступа через канал ExpressRoute вы получите минимальную задержку и более предсказуемую производительность, так как трафик не проходит через Интернет.

• Службы Microsoft 365. Общедоступные приложения и службы Microsoft 365, предоставляемые корпорацией Майкрософт. Подключения устанавливаются с использованием пиринга Майкрософт и адресов, которые принадлежат организации или предоставляются поставщиком услуг подключения. С помощью пиринга Майкрософт можно также напрямую подключиться к Microsoft CRM Online.

• Поставщики услуг подключения (не показаны). Компании, которые предоставляют услуги подключения на уровне 2 или 3 между вашим центром обработки данных и центром обработки данных Azure.

Компоненты

• Azure ExpressRoute. ExpressRoute позволяет расширить локальные сети в облако Майкрософт через частное подключение с помощью поставщика услуг подключения. ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Microsoft Azure и Microsoft 365.

• Что такое виртуальная сеть Azure? Виртуальная сеть (VNet) Azure — это ключевой компонент для построения в Azure вашей частной сети. Виртуальная сеть позволяет многим типам ресурсов Azure, таким как Azure Виртуальные машины (виртуальные машины), безопасно взаимодействовать друг с другом, Интернетом и локальными сетями.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Поставщики услуг подключения

Выберите подходящего поставщика услуг подключения ExpressRoute для вашего расположения. Чтобы получить список поставщиков услуг подключения, доступных в вашем расположении, используйте следующую команду Azure PowerShell:

Get-AzExpressRouteServiceProvider

Поставщики услуг подключения ExpressRoute подключают ваш центр обработки данных к Майкрософт одним из следующих способов:

• Совместное размещение в Cloud Exchange. Если вы совместно находитесь в объекте с облачным обменом, вы можете заказать виртуальные перекрестные подключения к Azure через обмен Ethernet поставщика совместного расположения. Поставщики услуг совместного размещения могут предлагать кросс-подключения уровня 2 или управляемые кросс-подключения уровня 3 между для вашей инфраструктуры на сервере совместного размещения и Azure.
• Подключения Ethernet "точка — точка" Локальные центры обработки данных и офисы можно связать с Azure в рамках Ethernet-подключения "точка — точка". Поставщики услуг подключения Ethernet "точка — точка" могут предлагать подключения уровня 2 или управляемые подключения уровня 3 между вашей сетью и Azure.
• Сети "любой к любому" (IPVPN) Глобальную сеть (WAN) можно интегрировать с Azure. Поставщики услуг IP VPN (как правило, предлагающие MPLS VPN) обеспечивают подключения "любой к любому" между филиалами и центрами обработки данных. Azure можно связать с вашей сетью WAN, так чтобы это выглядело как подключение к любому другому филиалу. Обычно поставщики сетей WAN предлагают управляемые подключения уровня 3.

Дополнительные сведения о поставщиках услуг подключения см. в статье Обзор ExpressRoute.

Канал ExpressRoute

Чтобы подключиться к Azure, убедитесь, что в вашей организации удовлетворены обязательные требования ExpressRoute.

Добавьте подсеть с именем GatewaySubnet в виртуальную сеть Azure и создайте шлюз виртуальной сети ExpressRoute с помощью службы VPN-шлюза Azure, если вы еще это не сделали. Дополнительные сведения об этом процессе см. в статье Процедуры ExpressRoute для подготовки каналов и состояний каналов.

Создайте канал ExpressRoute, сделав следующее:

1. Выполните следующую команду PowerShell:

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. Отправьте ServiceKey для нового канала поставщику услуг.

3. Подождите, пока поставщик подготовит канал. Чтобы проверить состояние подготовки канала, выполните следующую команду PowerShell:

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   Когда канал будет готов, значение в поле Provisioning state в разделе Service Provider выходных данных изменится с NotProvisioned на Provisioned.

   Примечание.

   Если вы используете подключение уровня 3, поставщик должен настраивать и администрировать маршрутизацию для вас. Вы должны предоставить поставщику необходимые сведения для реализации соответствующих маршрутов.

4. Если вы используете подключение уровня 2, сделайте следующее:

   1. Зарезервируйте две подсети /30, которые содержат допустимые общедоступные IP-адреса для каждого типа пиринга, который необходимо реализовать. Эти подсети /30 будут применяться, чтобы предоставлять IP-адресов маршрутизаторам, которые используются для канала. Если вы реализуете частный пиринг Майкрософт, вам потребуется 4 /30 подсетей с допустимыми общедоступными IP-адресами.

   2. Настройте маршрутизацию для канала ExpressRoute. Выполните следующие команды PowerShell для каждого типа пиринга, который требуется настроить (частный и Microsoft). Дополнительные сведения см. в статье Создание и изменение пиринга для канала ExpressRoute с помощью PowerShell.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. Резервирует другой пул допустимых общедоступных IP-адресов для преобразования сетевых адресов (NAT) для пиринга Майкрософт. Рекомендуется использовать разные пулы для каждого пиринга. Предоставьте пул поставщику услуг подключения, чтобы он смог настроить объявления BGP (протокол пограничного шлюза) для этих диапазонов.

5. Выполните следующие команды PowerShell, чтобы связать частные виртуальные сети с каналом ExpressRoute. Дополнительные сведения см. в статье "Связывание виртуальной сети с каналом ExpressRoute".

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

Вы можете подключить несколько виртуальных сетей, размещенных в разных регионах, к одному каналу ExpressRoute, если только все виртуальные сети и канал ExpressRoute расположены в одном геополитическом регионе.

Устранение неполадок

Если работоспособному каналу ExpressRoute сейчас не удается установить подключение при отсутствии изменений конфигурации в локальной или частной виртуальной частной сети, обратитесь к поставщику услуг подключения и поддерживайте с ним связь, чтобы устранить проблему. Используйте следующие команды PowerShell, чтобы убедиться, что канал ExpressRoute подготовлен:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

В результатах выполнения команды отображается несколько свойств канала, включая ProvisioningState, CircuitProvisioningState и ServiceProviderProvisioningState, как показано ниже.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Если для свойства ProvisioningState не отображается значение Succeeded после того, как вы попытались создать канал, удалите этот канал с помощью следующей команды, и создайте его еще раз.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Если канал подготовлен, но для свойства ProvisioningState отображается значение Failed или для свойства CircuitProvisioningState не отображается значение Enabled, обратитесь к поставщику за дополнительной помощью.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Масштабируемость

Каналы ExpressRoute обеспечивают путь с высокой пропускной способностью между сетями. Как правило, чем выше пропускная способность, тем выше стоимость.

В ExpressRoute клиентам предлагаются две тарифных плана: с оплатой за трафик и безлимитный. Стоимость зависит от пропускной способности канала. Доступная пропускная способность скорее всего будет зависеть от поставщика. Используйте командлет Get-AzExpressRouteServiceProvider, чтобы просмотреть список поставщиков, доступных в вашем регионе и узнать, какие варианты пропускной способности они предлагают.

Один канал ExpressRoute может поддерживать определенное число пиринговых подключений и связей виртуальных сетей. Дополнительные сведения см. в перечне ограничений ExpressRoute.

За дополнительную плату надстройка ExpressRoute Premium предоставляет дополнительные возможности:

• Увеличение ограничений маршрутов для частного пиринга.
• увеличивает число связей виртуальных сетей на канал ExpressRoute;
• Глобальная связь для служб.

Дополнительные сведения см. на странице цен на ExpressRoute.

Каналы ExpressRoute созданы так, чтобы временно повысить приобретенную пропускную способность сети без дополнительной оплаты в два раза. Это достигается благодаря использованию избыточных связей. Но эту функцию поддерживают не все поставщики услуг подключения. Убедитесь, что ваш поставщик услуг подключения поддерживает эту функцию, прежде чем применять ее.

Хотя некоторые поставщики позволяют изменять пропускную способность, ее изначально следует рассчитывать с некоторым запасом. Если в будущем вам понадобится увеличить пропускную способность, у вас будет два варианта:

• Увеличить пропускную способность. Старайтесь по возможности не использовать этот вариант. Не все поставщики позволяют динамически увеличивать пропускную способность. Но если требуется увеличение пропускной способности, проверка с поставщиком, чтобы убедиться, что они поддерживают изменение свойств пропускной способности ExpressRoute с помощью команд PowerShell. Если позволяет, выполните следующие команды:

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Можно увеличить пропускную способность без потери подключения. Уменьшение пропускной способности приведет к прерыванию подключения, потому что необходимо удалить канал и создать его заново с новой конфигурацией.

• Изменить ценовой план и (или) обновить до уровня "Премиум". Для этого выполните следующие команды. Свойство Sku.Tier может иметь значение Standard или Premium, а свойство Sku.Name — значение MeteredData или UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Важно!

  Убедитесь, что значение свойства Sku.Name соответствует значениям свойств Sku.Tier и Sku.Family. Если изменить семейство и уровень, но оставить имя, подключение будет разорвано.

  Вы можете обновить номер SKU без прерываний. Но перейти с безлимитного тарифного плана на тарифный план с оплатой за трафик нельзя. При понижении уровня SKU показатели использования пропускной способности не должны превышать предопределенное ограничение для номера SKU "Стандартный".

Доступность

ExpressRoute не поддерживает применение протоколов избыточности маршрутизаторов, например HSRP и VRRP, для реализации высокого уровня доступности. Вместо этого используется избыточная пара сеансов BGP на каждый пиринг. Чтобы устанавливать высокодоступные подключения к вашей сети было проще, Azure предоставляет два избыточных порта на двух маршрутизаторах (из числа пограничных маршрутизаторов Майкрософт) в конфигурации "активный — активный".

По умолчанию в сеансах BGP значение времени ожидания в режиме простоя равно 60 секундам. Если время ожидания будет превышено в три раза (180 секунд), маршрутизатор будет отмечен как недоступный, а весь трафик будет перенаправляться на оставшийся маршрутизатор. Время ожидания в 180 секунд может оказаться слишком долгим для важных приложений. В этом случае можно изменить параметры времени ожидания BGP на локальном маршрутизаторе на меньшее значение. ExpressRoute также поддерживает двунаправленное обнаружение пересылки (BFD) через частный пиринг. Включив BFD через ExpressRoute, можно ускорить обнаружение сбоя связи между устройствами Microsoft Enterprise Edge (MSEE) и маршрутизаторами, на которых завершается канал ExpressRoute (PE). Вы можете завершить ExpressRoute через клиентские или партнерские пограничные устройства маршрутизации (если вы используете управляемые подключения третьего уровня).

Высокий уровень доступности для подключения к Azure можно настроить по-разному в зависимости от типа поставщика, числа каналов ExpressRoute и подключений к шлюзу виртуальной сети, которые необходимо настроить. Ниже описаны доступные варианты:

• Если вы используете подключение уровня 2, развертывайте избыточные маршрутизаторы в локальной сети в конфигурации "активный — активный". Подключите основной канал к одному маршрутизатору, а дополнительный — к другому. Таким образом вы обеспечите подключение с высоким уровнем доступности для обеих сторон. Это необходимо, если требуется соблюдение условий соглашения об уровне обслуживания для ExpressRoute. Дополнительные сведения см. в соглашении об уровне обслуживания для ExpressRoute.

  На следующей схеме показана конфигурация с избыточными локальными маршрутизаторами, подключенными к основному и дополнительному каналам. Каждый канал обрабатывает трафик для частного пиринга (каждый пиринг назначается парой адресных пространств /30, как описано в предыдущем разделе).

  

• Если вы используете подключение уровня 3, должны быть предоставлены избыточные сеансы BGP, которые обеспечат доступность.

• Подключите виртуальную сеть к нескольким каналам ExpressRoute, которые предоставляются разными поставщиками услуг. В рамках этой стратегии для обеспечения высокого уровня доступности и аварийного восстановления предоставляются дополнительные возможности.

• Настройте VPN "сеть — сеть" как путь отработки отказа для ExpressRoute. Дополнительные сведения об этом варианте см. в статье Подключение локальной сети к Azure с помощью ExpressRoute с отработкой отказа VPN. Этот вариант применяется только для частного пиринга. Для служб Azure и Microsoft 365 Интернет является единственным путем отработки отказа.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

Чтобы обеспечить необходимый уровень безопасности и соответствия требованиям, вы можете настроить параметры защиты подключений Azure разными способами.

ExpressRoute работает на уровне 3. Угрозы на уровне приложения можно предотвратить с помощью устройства безопасности сети, которое разрешает передачу трафика только из допустимых ресурсов.

Чтобы повысить уровень безопасности, добавьте устройства безопасности сети между локальной сетью и пограничными маршрутизаторами поставщика. Это поможет ограничить поступление несанкционированного трафика из виртуальной сети.

Чтобы проводить аудит или обеспечить соответствие требованиям, может потребоваться запретить прямой доступ из компонентов, работающих в виртуальной сети, к Интернету и реализовать принудительное туннелирование. В этом случае следует настроить перенаправление интернет-трафика обратно через локальный прокси-сервер, где можно будет выполнить его аудит. На прокси-сервере можно настроить блокировку несанкционированного исходящего трафика и фильтрацию потенциально вредоносного входящего трафика.

Чтобы повысить уровень безопасности, не включайте общедоступные IP-адреса для виртуальных машин и используйте группы безопасности сети, чтобы виртуальные машины не были общедоступными. Виртуальные машины должны быть доступны только при использовании внутреннего IP-адреса. Эти адреса можно сделать доступными через сеть ExpressRoute, разрешив сотрудникам отдела DevOps вашей организации выполнять обслуживание или настройку.

Если необходимо предоставить конечные точки управления для виртуальных машин во внешней сети, используйте группы безопасности сети или списки управления доступом, чтобы ограничить видимость этих портов списком разрешенных IP-адресов или сетей.

Мониторинг сетей

Используйте Наблюдатель за сетями для мониторинга и устранения неполадок сетевых компонентов, таких как Аналитика трафика, будет отображать системы в виртуальных сетях, которые создают большую часть трафика, чтобы визуально определить узкие места перед их вырождением в проблемы. Диспетчер производительности сети имеет возможность отслеживать сведения о каналах Microsoft ExpressRoute.

Вы также можете использовать набор средств Подключение Azure для мониторинга подключения между локальным центром обработки данных и Azure.

Дополнительные сведения см. в разделе DevOps в Microsoft Azure Well-Architected Framework. Сведения, относящиеся к мониторингу, см. в разделе "Мониторинг для DevOps".

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Для оценки затрат используйте калькулятор цен Azure.

В следующих разделах описываются расходы на обслуживание, используемые в этой архитектуре.

Azure ExpressRoute

В этой архитектуре канал ExpressRoute используется для присоединения локальной сети к Azure через пограничные маршрутизаторы.

Существует два основных плана. В плане измерения данных все входящий трафик передаются бесплатно. Плата за передачу исходящих данных взимается на основе предварительно определенной скорости.

Вы также можете выбрать неограниченный план данных , в котором все входящие и исходящие данные передаются бесплатно. Пользователям взимается фиксированная ежемесячная плата за порты на основе двух портов высокой доступности.

Вычислите использование и выберите план выставления счетов соответствующим образом. Если объем использования превышает 68 %, рекомендуем выбрать безлимитный тарифный план.

Дополнительные сведения см. в техническом обзоре ExpressRoute.

Виртуальная сеть Azure

Все уровни приложений размещаются в одной виртуальной сети и сегментируются с помощью подсетей.

Виртуальная сеть Azure доступна бесплатно. В рамках каждой подписки можно создать до 50 виртуальных сетей во всех регионах. Весь трафик, который происходит в границах виртуальной сети, свободен. Таким образом, за обмен данными между двумя виртуальными машинами в одной виртуальной сети плата не взимается.

Следующие шаги

Документация по продукту:

• Службы Microsoft 365
• Что такое Azure ExpressRoute?
• Что такое виртуальная сеть Azure?

Модули Microsoft Learn.

• Настройка ExpressRoute и Виртуальная глобальная сеть
• Настройка пиринга виртуальной сети
• Проектирование и реализация Azure ExpressRoute
• Изучение служб платформы Microsoft 365

Связанные ресурсы

• Дизайн гибридной архитектуры
• Подключение локальную сеть в Azure с помощью ExpressRoute
• Расширение локальной сети с помощью VPN