Granskning av Azure Well-Architected Framework – Azure ExpressRoute
Den här artikeln innehåller metodtips för arkitektur för Azure ExpressRoute. Vägledningen baseras på de fem grundpelarna i arkitekturens utmärkthet:
Vi antar att du har arbetskunskaper om Azure ExpressRoute och är väl bevandrad med alla dess funktioner. Mer information finns i Azure ExpressRoute.
Förutsättningar
Överväg att granska en referensarkitektur som återspeglar dessa överväganden i designen. Vi rekommenderar att du börjar med Cloud Adoption Framework Ready-metodikens vägledning Anslut till Azure och Arkitekt för hybridanslutning med Azure ExpressRoute. För programarkitekturer med låg kod rekommenderar vi att du läser Aktivera ExpressRoute för Power Platform när du planerar och konfigurerar ExpressRoute för användning med Microsoft Power Platform.
Tillförlitlighet
I molnet bekräftar vi att fel inträffar. Målet är att minimera effekten av en enda komponent som havererar snarare än att förhindra fel helt och hållet. Använd följande information för att minimera stilleståndstiden till och från Azure när du upprättar anslutningen med Hjälp av Azure ExpressRoute.
När du diskuterar tillförlitlighet med Azure ExpressRoute är det viktigt att ta hänsyn till bandbreddsanvändning, fysisk layout för nätverket och haveriberedskap om det uppstår fel. Azure ExpressRoute kan uppnå dessa designöverväganden och har rekommendationer för varje objekt i checklistan.
I designchecklistan och listan med rekommendationer nedan visas information för att du ska kunna utforma ett nätverk med hög tillgänglighet mellan din Azure-miljö och det lokala nätverket.
Checklista för design
När du gör designval för Azure ExpressRoute läser du designprinciperna för att lägga till tillförlitlighet i arkitekturen.
- Välj mellan ExpressRoute-krets eller ExpressRoute Direct för affärskrav.
- Konfigurera ett varierat fysiskt lagernätverk för tjänstleverantören.
- Konfigurera ExpressRoute-kretsar med olika tjänstprovider för att ha olika routningsvägar.
- Konfigurera Active-Active ExpressRoute-anslutningar mellan lokalt och Azure.
- Konfigurera tillgänglighetszonsmedveten ExpressRoute Virtual Network Gateways.
- Konfigurera ExpressRoute-kretsar på en annan plats än det lokala nätverket.
- Konfigurera ExpressRoute Virtual Network Gateways i olika regioner.
- Konfigurera plats-till-plats-VPN som en säkerhetskopia till privat ExpressRoute-peering.
- Konfigurera övervakning för ExpressRoute-kretsen och ExpressRoute Virtual Network Gateway-hälsa.
- Konfigurera tjänstens hälsotillstånd för att ta emot meddelande om expressroute-kretsunderhåll.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för tillförlitlighet.
| Rekommendation | Fördelar |
|---|---|
| Planera för ExpressRoute-krets eller ExpressRoute Direct | Under den inledande planeringsfasen vill du bestämma om du vill konfigurera en ExpressRoute-krets eller en ExpressRoute Direct-anslutning. En ExpressRoute-krets tillåter en privat dedikerad anslutning till Azure med hjälp av en anslutningsleverantör. Med ExpressRoute Direct kan du utöka det lokala nätverket direkt till Microsoft-nätverket på en peeringplats. Du måste också identifiera bandbreddskravet och SKU-typkravet för dina affärsbehov. |
| Fysisk lagerdiversitet | För bättre återhämtning planerar du att ha flera sökvägar mellan den lokala gränsen och peeringplatserna (provider-/Microsoft Edge-platser). Den här konfigurationen kan uppnås genom att gå via en annan tjänstleverantör eller via en annan plats än det lokala nätverket. |
| Planera för geo-redundanta kretsar | Om du vill planera för haveriberedskap konfigurerar du ExpressRoute-kretsar på fler än en peeringplats. Du kan skapa kretsar på peeringplatser i samma tunnelbana eller i olika tunnelbanemiljöer och välja att arbeta med olika tjänsteleverantörer för olika vägar genom varje krets. Mer information finns i Designa för haveriberedskap och Designa för hög tillgänglighet. |
| Planera för Active-Active-anslutning | ExpressRoute-dedikerade kretsar garanterar 99.95% tillgänglighet när en aktiv-aktiv anslutning konfigureras mellan lokalt och Azure. Det här läget ger högre tillgänglighet för din Expressroute-anslutning. Vi rekommenderar också att du konfigurerar BFD för snabbare redundans om det uppstår ett länkfel på en anslutning. |
| Planera för Virtual Network gatewayer | Skapa tillgänglighetszonsmedveten Virtual Network Gateway för högre återhämtning och plan för Virtual Network gatewayer i olika regioner för haveriberedskap och hög tillgänglighet. |
| Övervaka kretsar och gatewayhälsa | Konfigurera övervakning och aviseringar för ExpressRoute-kretsar och Virtual Network Gateway-hälsa baserat på olika tillgängliga mått. |
| Aktivera tjänstens hälsa | ExpressRoute använder tjänstens hälsa för att meddela om planerat och oplanerat underhåll. När du konfigurerar tjänstens hälsa meddelas du om ändringar som gjorts i dina ExpressRoute-kretsar. |
Fler förslag finns i Principer för grundpelare för tillförlitlighet.
Azure Advisor ger många rekommendationer för ExpressRoute-kretsar när det gäller tillförlitlighet. Azure Advisor kan till exempel identifiera:
- ExpressRoute-gatewayer där endast en enda ExpressRoute-krets distribueras, i stället för flera. Flera ExpressRoute-kretsar rekommenderas för att lägga till återhämtning för peeringplatsen.
- ExpressRoute-kretsar som inte observeras av Anslutningsövervakare, eftersom övervakning från slutpunkt till slutpunkt av ExpressRoute-kretsen är avgörande för tillförlitlighetsinsikter.
- Nätverkstopologier som omfattar flera peeringplatser som skulle dra nytta av ExpressRoute Global Reach för att förbättra haveriberedskapsdesignen för lokal anslutning för att ta hänsyn till oplanerade anslutningsförluster.
Säkerhet
Säkerhet är en av de viktigaste aspekterna, oavsett arkitektur. ExpressRoute innehåller funktioner för att använda både principen om lägsta behörighet och skydd i försvar. Vi rekommenderar att du granskar principerna för säkerhetsdesign.
Checklista för design
- Konfigurera aktivitetsloggen för att skicka loggar till arkivet.
- Underhåll en inventering av administrativa konton med åtkomst till ExpressRoute-resurser.
- Konfigurera MD5-hash på ExpressRoute-kretsen.
- Konfigurera MACSec för ExpressRoute Direct-resurser.
- Kryptera trafik över privat peering och Microsoft-peering för trafik i virtuella nätverk.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för säkerhet.
| Rekommendation | Fördelar |
|---|---|
| Konfigurera aktivitetsloggen för att skicka loggar till arkivet | Aktivitetsloggar ger insikter om åtgärder som utfördes på prenumerationsnivå för ExpressRoute-resurser. Med aktivitetsloggar kan du avgöra vem och när en åtgärd utfördes på kontrollplanet. Datakvarhållning är bara 90 dagar och måste lagras i Log Analytics, Event Hubs eller ett lagringskonto för arkiv. |
| Underhålla inventeringen av administrativa konton | Använd Azure RBAC för att konfigurera roller för att begränsa användarkonton som kan lägga till, uppdatera eller ta bort peeringkonfiguration på en ExpressRoute-krets. |
| Konfigurera MD5-hash på ExpressRoute-krets | Under konfigurationen av privat peering eller Microsoft-peering använder du en MD5-hash för att skydda meddelanden mellan den lokala vägen och MSEE-routrarna. |
| Konfigurera MACSec för ExpressRoute Direct-resurser | Media Access Control säkerhet är en punkt-till-punkt-säkerhet på datalänklagret. ExpressRoute Direct stöder konfiguration av MACSec för att förhindra säkerhetshot mot protokoll som ARP, DHCP, LACP som normalt inte skyddas på Ethernet-länken. Mer information om hur du konfigurerar MACSec finns i MACSec för ExpressRoute Direct-portar. |
| Kryptera trafik med IPsec | Konfigurera en VPN-tunnel från plats till plats över ExpressRoute-kretsen för att kryptera dataöverföring mellan ditt lokala nätverk och det virtuella Azure-nätverket. Du kan konfigurera en tunnel med privat peering eller microsoft-peering. |
Fler förslag finns i Principer för säkerhetspelare.
Kostnadsoptimering
Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra driftseffektiviteten. Vi rekommenderar att du granskar designprincipen för kostnadsoptimering och planerar och hanterar kostnader för Azure ExpressRoute.
Checklista för design
- Bekanta dig med ExpressRoute-priser.
- Fastställa den ExpressRoute-krets-SKU och bandbredd som krävs.
- Fastställa storleken på den virtuella nätverksgatewayen i ExpressRoute som krävs.
- Övervaka kostnader och skapa budgetaviseringar.
- Avetablera ExpressRoute-kretsar som inte längre används.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för kostnadsoptimering.
| Rekommendation | Fördelar |
|---|---|
| Bekanta dig med ExpressRoute-priser | Information om ExpressRoute-priser finns i Förstå priser för Azure ExpressRoute. Du kan också använda priskalkylatorn. Se till att alternativen är tillräckligt stora för att uppfylla kapacitetsbehovet och leverera förväntade prestanda utan att slösa resurser. |
| Fastställa vilken SKU och bandbredd som krävs | Hur du debiteras för din ExpressRoute-användning varierar mellan de tre olika SKU-typerna. Med lokal SKU debiteras du automatiskt med ett obegränsat dataabonnemang. Med Standard- och Premium-SKU:n kan du välja mellan en avgiftsbegränsad eller obegränsad dataplan. Alla inkommande data är kostnadsfria förutom när du använder tillägget Global Reach. Det är viktigt att förstå vilka SKU-typer och dataplaner som passar bäst för din arbetsbelastning för att optimera kostnader och budget på bästa sätt. Mer information om hur du ändrar storlek på ExpressRoute-kretsen finns i uppgradera ExpressRoute-kretsbandbredd. |
| Fastställa storleken på den virtuella nätverksgatewayen i ExpressRoute | Virtuella ExpressRoute-nätverksgatewayer används för att skicka trafik till ett virtuellt nätverk över privat peering. Granska prestanda- och skalningsbehoven för önskad Virtual Network Gateway SKU. Välj lämplig gateway-SKU för din lokala till Azure-arbetsbelastning. |
| Övervaka kostnader och skapa budgetaviseringar | Övervaka kostnaden för din ExpressRoute-krets och skapa aviseringar för utgiftsavvikelser och överförbrukningsrisker. Mer information finns i Övervaka ExpressRoute-kostnader. |
| Avetablera och ta bort ExpressRoute-kretsar som inte längre används. | ExpressRoute-kretsar debiteras från det ögonblick de skapas. Du kan minska onödiga kostnader genom att avetablera kretsen med tjänstleverantören och ta bort ExpressRoute-kretsen från din prenumeration. Anvisningar om hur du tar bort en ExpressRoute-krets finns i Avetablera en ExpressRoute-krets. |
Fler förslag finns i Checklista för designgranskning för kostnadsoptimering.
Azure Advisor kan identifiera ExpressRoute-kretsar som har distribuerats under en betydande tid men som har providerstatusen Inte etablerad. Kretsar i det här tillståndet fungerar inte. och att ta bort den oanvända resursen minskar onödiga kostnader.
Utmärkt driftseffektivitet
Övervakning och diagnostik är avgörande. Du kan inte bara mäta prestandastatistik utan även använda mått för att felsöka och åtgärda problem snabbt. Vi rekommenderar att du granskar designprinciperna för driftseffektivitet.
Checklista för design
- Konfigurera anslutningsövervakning mellan ditt lokala nätverk och Azure-nätverket.
- Konfigurera Service Health för att ta emot meddelanden.
- Granska mått och instrumentpaneler som är tillgängliga via ExpressRoute Insights med hjälp av Network Insights.
- Granska ExpressRoute-resursmått.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för utmärkt drift.
| Rekommendation | Fördelar |
|---|---|
| Konfigurera anslutningsövervakning | Med anslutningsövervakning kan du övervaka anslutningen mellan dina lokala resurser och Azure via den privata ExpressRoute-peering- och Microsoft-peeringanslutningen. Anslutningsövervakaren kan identifiera nätverksproblem genom att identifiera var längs nätverksvägen problemet finns och hjälpa dig att snabbt lösa konfigurations- eller maskinvarufel. |
| Konfigurera Service Health | Konfigurera Service Health-meddelanden så att de aviseras när planerat och kommande underhåll sker på alla ExpressRoute-kretsar i din prenumeration. Service Health visar också tidigare underhåll tillsammans med RCA om ett oplanerat underhåll skulle ske. |
| Granska mått med Network Insights | Med ExpressRoute Insights med Network Insights kan du granska och analysera ExpressRoute-kretsar, gatewayer, anslutningsmått och hälsoinstrumentpaneler. ExpressRoute Insights ger också en topologivy över dina ExpressRoute-anslutningar där du kan visa information om dina peeringkomponenter på en enda plats. Tillgängliga mått: -Tillgänglighet -Genomströmning – Gateway-mått |
| Granska ExpressRoute-resursmått | ExpressRoute använder Azure Monitor för att samla in mått och skapa aviseringar baserat på din konfiguration. Mått samlas in för ExpressRoute-kretsar, ExpressRoute-gatewayer, ExpressRoute-gatewayanslutningar och ExpressRoute Direct. Dessa mått är användbara för att diagnostisera anslutningsproblem och förstå prestanda för din ExpressRoute-anslutning. |
Fler förslag finns i Principer för den operativa utmärkthetspelare.
Prestandaeffektivitet
Prestandaeffektivitet handlar om att effektivt skala arbetsbelastningen baserat på användarnas behov. Vi rekommenderar att du granskar principerna för prestandaeffektivitet.
Checklista för design
- Testa Prestanda för ExpressRoute-gatewayen för att uppfylla kraven för arbetsinläsning.
- Öka storleken på ExpressRoute-gatewayen.
- Uppgradera ExpressRoute-kretsens bandbredd.
- Aktivera ExpressRoute FastPath för högre dataflöde.
- Övervaka ExpressRoute-kretsen och gatewaymåtten.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för prestandaeffektivitet.
| Rekommendation | Fördelar |
|---|---|
| Testa Prestanda för ExpressRoute-gatewayen för att uppfylla kraven för arbetsinläsning. | Använd Azure Connectivity Toolkit för att testa prestanda i din ExpressRoute-krets för att förstå bandbreddskapacitet och svarstid för din nätverksanslutning. |
| Öka storleken på ExpressRoute-gatewayen. | Uppgradera till en högre gateway-SKU för bättre dataflödesprestanda mellan lokal miljö och Azure-miljö. |
| Uppgradera Bandbredd för ExpressRoute-kretsen | Uppgradera kretsens bandbredd för att uppfylla dina krav på arbetsbelastning. Kretsbandbredden delas mellan alla virtuella nätverk som är anslutna till ExpressRoute-kretsen. Beroende på din arbetsbelastning kan ett eller flera virtuella nätverk använda all bandbredd på kretsen. |
| Aktivera ExpressRoute FastPath för högre dataflöde | Om du använder en ultraprestanda eller en virtuell ErGW3AZ-nätverksgateway kan du aktivera FastPath för att förbättra datasökvägens prestanda mellan ditt lokala nätverk och det virtuella Azure-nätverket. |
| Övervaka ExpressRoute-krets- och gatewaymått | Konfigurera aviseringar som baseras på ExpressRoute-mått för att proaktivt meddela dig när ett visst tröskelvärde uppfylls. De här måtten är användbara för att förstå avvikelser som kan inträffa med din ExpressRoute-anslutning, till exempel avbrott och underhåll som inträffar för dina ExpressRoute-kretsar. |
Fler förslag finns i Principer för grundpelare för prestandaeffektivitet.
Azure Advisor ger en rekommendation om att uppgradera expressroute-kretsens bandbredd för att hantera användningen när kretsen nyligen har förbrukat över 90 % av den upphandlade bandbredden. Om trafiken överskrider den allokerade bandbredden får du förlorade paket, vilket kan leda till betydande prestanda- eller tillförlitlighetspåverkan.
Azure Policy
Azure Policy tillhandahåller inga inbyggda principer för ExpressRoute, men anpassade principer kan skapas för att styra hur ExpressRoute-kretsar ska matcha önskat sluttillstånd, till exempel SKU-val, peeringtyp, peeringkonfigurationer och så vidare.
Ytterligare resurser
Vägledning för Cloud Adoption Framework
Nästa steg
Konfigurera en ExpressRoute-krets eller ExpressRoute Direct-port för att upprätta kommunikation mellan ditt lokala nätverk och Azure.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för