Подключение локальной сети к Azure с помощью ExpressRoute

В этой эталонной архитектуре показано, как подключить локальную сеть к виртуальной сети Azure с помощью Azure ExpressRoute с виртуальной частной сетью типа "сеть — сеть" (VPN) в качестве подключения отработки отказа.

Архитектура

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

Архитектура состоит из следующих компонентов:

• Локальная сеть. Частная локальная сеть, работающая внутри организации.
• VPN-устройство. Устройство или служба, предоставляющая возможность внешнего подключения к локальной сети. VPN-(модуль) может быть аппаратным устройством или может быть программным решением, таким как служба маршрутизации и удаленного доступа (RRAS) в Windows Server 2012. Список поддерживаемых VPN-устройств и информацию о настройке выбранных VPN-устройств для подключения к Azure см. в статье VPN-устройства и параметры IPsec/IKE для подключений типа "сеть — сеть" через VPN-шлюз.
• Канал ExpressRoute. Это канал уровня 2 или 3, который предоставляет поставщик подключения. Он позволяет подключиться к локальной сети с Azure через пограничные маршрутизаторы. Канал использует инфраструктуру оборудования, настроенную поставщиком подключения.
• Шлюз виртуальной сети ExpressRoute. Шлюз виртуальной сети ExpressRoute позволяет виртуальной сети Azure подключаться к каналу ExpressRoute, который используется для подключения к локальной сети.
• Шлюз виртуальной сети VPN. Шлюз виртуальной сети VPN позволяет виртуальной сети Azure подключаться к VPN-(модуль) в локальной сети. Шлюз виртуальной сети VPN настроен на прием запросов от локальной сети только с помощью VPN-устройства. Дополнительные сведения см. в статье Подключение локальной сети к виртуальной сети Microsoft Azure.
• VPN-подключение. У соединения есть свойства, указывающие тип соединения (IPSec) и общий ключ с VPN-устройством в локальной среде для шифрования трафика.
• Виртуальная сеть Azure. Каждая виртуальная сеть находится в одном регионе Azure и может размещать несколько уровней приложений. Уровни приложений можно сегментировать с помощью подсетей в каждой виртуальной сети.
• Подсеть шлюза. Шлюзы виртуальных сетей хранятся в одной подсети.

Компоненты

• Azure ExpressRoute
• VPN-шлюз Azure
• Виртуальная сеть Azure

Подробности сценария

В этой эталонной архитектуре показано, как подключить локальную сеть к виртуальной сети Azure с помощью ExpressRoute с виртуальной частной сетью типа "сеть — сеть" (VPN) в качестве подключения отработки отказа. Трафик между локальной сетью и виртуальной сетью Azure через подключение ExpressRoute. Если в канале ExpressRoute возникает потеря подключения, трафик направляется через VPN-туннель IPSec. Разверните это решение.

Обратите внимание, что если канал ExpressRoute недоступен, VPN-маршрут будет обрабатывать только частные пиринговые подключения. Общедоступный пиринг и подключения к пирингу Майкрософт передаются через Интернет.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Виртуальная сеть и GatewaySubnet

Создайте подключение шлюза виртуальной сети ExpressRoute и подключение шлюза виртуальной сети VPN в той же виртуальной сети с объектом шлюза, уже на месте. Они будут совместно использовать одну подсеть с именем GatewaySubnet.

Если виртуальная сеть уже включает подсеть с именем GatewaySubnet, убедитесь, что она имеет адресное пространство /27 или больше. Если имеющаяся подсеть слишком мала, удалите подсеть с помощью следующей команды PowerShell:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Если виртуальная сеть не содержит подсеть с именем GatewaySubnet, создайте ее с помощью следующей команды PowerShell:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

Шлюз ExpressRoute и VPN-шлюз

Чтобы подключиться к Azure, убедитесь, что ваша организация соответствует обязательным требованиям ExpressRoute.

Если у вас уже есть шлюз виртуальной сети VPN в виртуальной сети Azure, используйте следующую команду PowerShell, чтобы удалить ее:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Следуйте инструкциям в статье "Настройка гибридной сетевой архитектуры с помощью Azure ExpressRoute", чтобы установить подключение ExpressRoute .

Следуйте инструкциям в статье "Настройка гибридной сетевой архитектуры с помощью Azure и локальной VPN ", чтобы установить подключение шлюза виртуальной сети VPN.

После установки подключений шлюза виртуальной сети проверьте среду следующим образом:

1. Убедитесь, что вы можете подключиться из локальной сети к виртуальной сети Azure.
2. Обратитесь к поставщику, чтобы удалить подключение ExpressRoute для тестирования.
3. Убедитесь, что вы по-прежнему можете подключиться из локальной сети к виртуальной сети Azure с помощью подключения vpn-шлюза виртуальной сети.
4. Обратитесь к поставщику, чтобы повторно установить подключение ExpressRoute.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

Рекомендации по обеспечению безопасности Azure см. в статье Облачные службы Microsoft Cloud и сетевая безопасность.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Рекомендации по затратам ExpressRoute см. в следующих статьях:

• Рекомендации по настройке гибридной сетевой архитектуры с помощью Azure ExpressRoute.

Эффективность работы

Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

Рекомендации по ExpressRoute DevOps см. в руководстве по настройке гибридной сетевой архитектуры с помощью Azure ExpressRoute .

Рекомендации по настройке гибридной сетевой архитектуры с помощью Azure и локальных VPN-подключений см. в статье Рекомендации по vpn-подключению типа "сеть — сеть".

Развертывание этого сценария

Предварительные требования. Вам необходима настроенная локальная инфраструктура с подходящим сетевым устройством.

Чтобы развернуть решение, сделайте следующее.

1. Выберите ссылку ниже.

   

2. Дождитесь открытия ссылки в портал Azure, а затем выберите группу ресурсов, в которые вы хотите развернуть эти ресурсы или создать новую группу ресурсов. Регион и расположение автоматически изменятся в соответствии с группой ресурсов.

3. Обновите оставшиеся поля, если вы хотите изменить имена ресурсов, поставщики, SKU или СЕТЕВЫе IP-адреса для вашей среды.

4. Выберите "Просмотр и создание " и "Создать ", чтобы развернуть эти ресурсы.

5. Дождитесь завершения развертывания.

   Примечание.

   Это развертывание шаблона развертывает только следующие ресурсы:

   • Группа ресурсов (при создании)
   • канал ExpressRoute.
   • Виртуальная сеть Azure.
   • Шлюз виртуальной сети ExpressRoute

   Чтобы вы успешно установили подключение частного пиринга из локальной среды к каналу ExpressRoute, вам потребуется привлечь поставщика услуг к ключу службы канала. Ключ службы можно найти на странице обзора ресурса канала ExpressRoute. Дополнительные сведения о настройке канала ExpressRoute см. в статье "Создание или изменение конфигурации пиринга". После успешной настройки частного пиринга можно связать шлюз виртуальной сети ExpressRoute с каналом. Дополнительные сведения см. в руководстве по Подключение виртуальной сети каналу ExpressRoute с помощью портал Azure.

6. Чтобы завершить развертывание VPN типа "сеть — сеть" в качестве резервной копии в ExpressRoute, см. статью "Создание VPN-подключения типа "сеть — сеть".

7. После успешной настройки VPN-подключения к той же локальной сети, которую вы настроили ExpressRoute, вы завершите настройку для резервного копирования подключения ExpressRoute, если в расположении пиринга произошел общий сбой.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

• Сара Паркес | Старший архитектор облачных решений

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Документация по ExpressRoute
• Базовые показатели безопасности Azure для ExpressRoute
• Создание и изменение канала ExpressRoute
• Блог о сети Azure
• Настройка подключений ExpressRoute и "сеть — сеть" с помощью PowerShell

Связанные ресурсы

• Дизайн гибридной архитектуры
• Гибридные параметры Azure
• Звездообразная топологии сети в Azure
• Сеть с периферийным подключением
• Подключение локальной сети в Azure
• Расширение локальной сети с помощью ExpressRoute
• Реализация безопасной гибридной сети
• Интеграция локальной службы AD с Azure