Dela via

Azure Well-Architected Framework-granskning – Azure ExpressRoute

  • Artikel

Den här artikeln innehåller metodtips för arkitektur för Azure ExpressRoute. Vägledningen baseras på de fem grundpelarna i arkitekturens excellens:

Vi antar att du har arbetskunskaper om Azure ExpressRoute och är väl bevandrade med alla dess funktioner. Mer information finns i Azure ExpressRoute.

Förutsättningar

För kontext bör du överväga att granska en referensarkitektur som återspeglar dessa överväganden i dess design. Vi rekommenderar att du börjar med Cloud Adoption Framework Ready-metodens vägledning Anslut till Azure och Architect för hybridanslutning med Azure ExpressRoute. För programarkitekturer med låg kod rekommenderar vi att du läser Aktivera ExpressRoute för Power Platform när du planerar och konfigurerar ExpressRoute för användning med Microsoft Power Platform.

Tillförlitlighet

I molnet bekräftar vi att fel inträffar. Målet är att minimera effekten av en enda komponent som havererar snarare än att förhindra fel helt och hållet. Använd följande information för att minimera stilleståndstiden till och från Azure när du upprättar anslutning med Hjälp av Azure ExpressRoute.

När du diskuterar tillförlitlighet med Azure ExpressRoute är det viktigt att ta hänsyn till bandbreddsanvändning, fysisk layout för nätverket och haveriberedskap om det uppstår fel. Azure ExpressRoute kan uppnå dessa designöverväganden och ha rekommendationer för varje objekt i checklistan.

I designchecklistan och listan över rekommendationer nedan visas information för att du ska kunna utforma ett nätverk med hög tillgänglighet mellan din Azure-miljö och det lokala nätverket.

Checklista för design

När du gör designval för Azure ExpressRoute granskar du designprinciperna för att öka tillförlitligheten i arkitekturen.

  • Välj mellan ExpressRoute-krets eller ExpressRoute Direct för affärskrav.
  • Konfigurera ExpressRoute-kretsar med maximal eller hög återhämtning för produktionsarbetsbelastningar.
  • Konfigurera ett mångsidigt och redundant fysiskt lagernätverk till tjänstleverantören.
  • Konfigurera ExpressRoute-kretsar med olika tjänstleverantörer så att de har olika routningsvägar.
  • Konfigurera Active-Active ExpressRoute-anslutningar mellan lokalt och Azure.
  • Konfigurera tillgänglighetszonmedvetna virtuella ExpressRoute-nätverksgatewayer.
  • Konfigurera ExpressRoute-kretsar på en annan plats än det lokala nätverket.
  • Konfigurera virtuella ExpressRoute-nätverksgatewayer i olika regioner.
  • Konfigurera plats-till-plats-VPN som en säkerhetskopia till privat ExpressRoute-peering.
  • Konfigurera övervakning för ExpressRoute-kretsar och ExpressRoute Virtual Network Gateway-hälsa.
  • Konfigurera tjänstens hälsotillstånd för att ta emot meddelanden om ExpressRoute-kretsunderhåll.

Rekommendationer

Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för tillförlitlighet.

Rekommendation Förmån
Planera för ExpressRoute-krets eller ExpressRoute Direct Under den inledande planeringsfasen vill du bestämma om du vill konfigurera en ExpressRoute-krets eller en ExpressRoute Direct-anslutning. En ExpressRoute-krets tillåter en privat dedikerad anslutning till Azure med hjälp av en anslutningsleverantör. Med ExpressRoute Direct kan du utöka det lokala nätverket direkt till Microsoft-nätverket på en peeringplats. Du måste också identifiera bandbreddskravet och SKU-typkravet för dina affärsbehov.
Fysisk lagerdiversitet För Maximal eller Hög återhämtning planerar du att ha flera sökvägar mellan den lokala gränsen och peeringplatserna (provider-/Microsoft Edge-platser). Den här konfigurationen kan uppnås genom att konfigurera flera kretsar till olika peeringplatser för maximal återhämtning eller konfigurera en krets mellan flera peeringplatser inom samma storstadsområde för hög återhämtning från det lokala nätverket.
Planera för geo-redundanta kretsar Om du vill planera för haveriberedskap konfigurerar du ExpressRoute-kretsar på fler än en peeringplats. Du kan skapa kretsar på peeringplatser i samma tunnelbana eller olika metro och välja att arbeta med olika tjänsteleverantörer för olika vägar genom varje krets. Mer information finns i Designa för haveriberedskap och design för hög tillgänglighet.
Planera för aktiv-aktiv anslutning Det här läget ger högre tillgänglighet för dina Expressroute-anslutningar. Vi rekommenderar också att du konfigurerar BFD för snabbare redundans om det uppstår ett länkfel på en anslutning.
Planera för virtuella nätverksgatewayer Skapa tillgänglighetszonmedveten virtuell nätverksgateway för högre återhämtning och planera för virtuella nätverksgatewayer i olika regioner för återhämtning, haveriberedskap och hög tillgänglighet.
Övervaka kretsar och gatewayhälsa Konfigurera övervakning och aviseringar för ExpressRoute-kretsar och Virtual Network Gateway-hälsa baserat på olika tillgängliga mått.
Aktivera tjänstens hälsa ExpressRoute använder tjänstens hälsa för att meddela om planerat och oplanerat underhåll. När du konfigurerar tjänstens hälsa meddelas du om ändringar som gjorts i dina ExpressRoute-kretsar.

Fler förslag finns i Principer för tillförlitlighetspelare.

Azure Advisor ger många rekommendationer för ExpressRoute-kretsar eftersom de relaterar till tillförlitlighet och återhämtning. Azure Advisor kan till exempel identifiera:

  • ExpressRoute-gatewayer där endast en enda ExpressRoute-krets distribueras, i stället för flera peeringplatser och kretsar. Flera ExpressRoute-kretsar och peeringplatser rekommenderas för maximal eller hög återhämtning.
  • ExpressRoute-kretsar som inte observeras av Anslutningsövervakare, eftersom övervakning från slutpunkt till slutpunkt av ExpressRoute-kretsen är avgörande för tillförlitlighetsinsikter.
  • Nätverkstopologier som omfattar flera peeringplatser som skulle dra nytta av ExpressRoute Global Reach för att förbättra haveriberedskapsdesignen för lokal anslutning för att ta hänsyn till oplanerade anslutningsförluster.

Säkerhet

Säkerhet är en av de viktigaste aspekterna, oavsett arkitektur. ExpressRoute innehåller funktioner för att använda både principen om lägsta behörighet och skydd i försvar. Vi rekommenderar att du granskar principerna för säkerhetsdesign.

Checklista för design

  • Konfigurera aktivitetsloggen så att loggar skickas till arkivet.
  • Underhålla en inventering av administrativa konton med åtkomst till ExpressRoute-resurser.
  • Konfigurera MD5-hash på ExpressRoute-kretsen.
  • Konfigurera MACSec för ExpressRoute Direct-resurser.
  • Kryptera trafik via privat peering och Microsoft-peering för virtuell nätverkstrafik.

Rekommendationer

Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för säkerhet.

Rekommendation Förmån
Konfigurera aktivitetsloggen för att skicka loggar till arkivet Aktivitetsloggar ger insikter om åtgärder som utfördes på prenumerationsnivå för ExpressRoute-resurser. Med aktivitetsloggar kan du avgöra vem och när en åtgärd utfördes på kontrollplanet. Datakvarhållning är bara 90 dagar och måste lagras i Log Analytics, Event Hubs eller ett lagringskonto för arkiv.
Underhålla inventeringen av administrativa konton Använd Azure RBAC för att konfigurera roller för att begränsa användarkonton som kan lägga till, uppdatera eller ta bort peeringkonfiguration på en ExpressRoute-krets.
Konfigurera MD5-hash på ExpressRoute-krets Under konfigurationen av privat peering eller Microsoft-peering använder du en MD5-hash för att skydda meddelanden mellan den lokala vägen och MSEE-routrarna.
Konfigurera MACSec för ExpressRoute Direct-resurser Media Access Control-säkerhet är en punkt-till-punkt-säkerhet på datalänklagret. ExpressRoute Direct stöder konfiguration av MACSec för att förhindra säkerhetshot mot protokoll som ARP, DHCP, LACP som normalt inte skyddas på Ethernet-länken. Mer information om hur du konfigurerar MACSec finns i MACSec för ExpressRoute Direct-portar.
Kryptera trafik med IPsec Konfigurera en PLATS-till-plats-VPN-tunnel över din ExpressRoute-krets för att kryptera dataöverföring mellan ditt lokala nätverk och det virtuella Azure-nätverket. Du kan konfigurera en tunnel med hjälp av privat peering eller microsoft-peering.

Fler förslag finns i Principer för säkerhetspelare.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Vi rekommenderar att du granskar designprincipen för kostnadsoptimering och planerar och hanterar kostnader för Azure ExpressRoute.

Checklista för design

  • Bekanta dig med ExpressRoute-priser.
  • Fastställa den ExpressRoute-krets-SKU och bandbredd som krävs.
  • Fastställ den virtuella ExpressRoute-nätverksgatewaystorlek som krävs.
  • Övervaka kostnader och skapa budgetaviseringar.
  • Avetablera ExpressRoute-kretsar som inte längre används.

Rekommendationer

Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för kostnadsoptimering.

Rekommendation Förmån
Bekanta dig med ExpressRoute-priser Information om ExpressRoute-priser finns i Förstå priser för Azure ExpressRoute. Du kan också använda priskalkylatorn.

Se till att alternativen är tillräckligt stora för att uppfylla kapacitetsbehovet och leverera förväntade prestanda utan att slösa resurser.
Fastställa SKU och bandbredd som krävs Hur du debiteras för din ExpressRoute-användning varierar mellan de tre olika SKU-typerna. Med lokal SKU debiteras du automatiskt med ett obegränsat dataabonnemang. Med Standard- och Premium-SKU:n kan du välja mellan en mätarbaserad eller obegränsad dataplan. Alla inkommande data är kostnadsfria förutom när du använder tillägget Global Reach. Det är viktigt att förstå vilka SKU-typer och dataplan som passar bäst för din arbetsbelastning för att optimera kostnader och budget på bästa sätt. Mer information om hur du ändrar storlek på ExpressRoute-kretsen finns i uppgradera ExpressRoute-kretsbandbredd.
Fastställa storleken på den virtuella nätverksgatewayen i ExpressRoute Virtuella ExpressRoute-nätverksgatewayer används för att skicka trafik till ett virtuellt nätverk via privat peering. Granska prestanda- och skalningsbehoven för din önskade SKU för virtuell nätverksgateway. Välj lämplig gateway-SKU för din lokala till Azure-arbetsbelastning.
Övervaka kostnader och skapa budgetaviseringar Övervaka kostnaden för din ExpressRoute-krets och skapa aviseringar för utgiftsavvikelser och överförbrukningsrisker. Mer information finns i Övervaka ExpressRoute-kostnader.
Avetablera och ta bort ExpressRoute-kretsar som inte längre används. ExpressRoute-kretsar debiteras från det ögonblick de skapas. Minska onödiga kostnader genom att avetablera kretsen med tjänstleverantören och ta bort ExpressRoute-kretsen från din prenumeration. Anvisningar om hur du tar bort en ExpressRoute-krets finns i Avetablera en ExpressRoute-krets.

Fler förslag finns i Checklista för designgranskning för kostnadsoptimering.

Azure Advisor kan identifiera ExpressRoute-kretsar som har distribuerats under en betydande tid men som har providerstatusen Not Provisioned. Kretsar i det här tillståndet fungerar inte. och att ta bort den oanvända resursen minskar onödiga kostnader.

Driftsäkerhet

Övervakning och diagnostik är avgörande. Du kan inte bara mäta prestandastatistik utan även använda mått för att felsöka och åtgärda problem snabbt. Vi rekommenderar att du granskar designprinciperna för driftskvalitet.

Checklista för design

  • Konfigurera anslutningsövervakning mellan ditt lokala nätverk och Azure-nätverket.
  • Konfigurera Service Health för att ta emot meddelanden.
  • Granska mått och instrumentpaneler som är tillgängliga via ExpressRoute Insights med hjälp av Network Insights.
  • Granska ExpressRoute-resursmått.

Rekommendationer

Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för driftskvalitet.

Rekommendation Förmån
Konfigurera anslutningsövervakning Med anslutningsövervakning kan du övervaka anslutningen mellan dina lokala resurser och Azure via den privata ExpressRoute-peering- och Microsoft-peeringanslutningen. Anslutningsövervakaren kan identifiera nätverksproblem genom att identifiera var längs nätverksvägen problemet finns och hjälpa dig att snabbt lösa konfigurations- eller maskinvarufel.
Konfigurera Tjänsthälsa Konfigurera Service Health-meddelanden så att de aviseras när planerat och kommande underhåll sker för alla ExpressRoute-kretsar i din prenumeration. Service Health visar även tidigare underhåll tillsammans med RCA om ett oplanerat underhåll skulle inträffa.
Granska mått med Network Insights Med ExpressRoute Insights med Network Insights kan du granska och analysera ExpressRoute-kretsar, gatewayer, anslutningsmått och hälsoinstrumentpaneler. ExpressRoute Insights ger också en topologivy över dina ExpressRoute-anslutningar där du kan visa information om dina peeringkomponenter på en enda plats.

Tillgängliga mått:
-Tillgänglighet
-Genomströmning
– Gateway-mått
Granska ExpressRoute-resursmått ExpressRoute använder Azure Monitor för att samla in mått och skapa aviseringar baserat på din konfiguration. Mått samlas in för ExpressRoute-kretsar, ExpressRoute-gatewayer, ExpressRoute-gatewayanslutningar och ExpressRoute Direct. Dessa mått är användbara för att diagnostisera anslutningsproblem och förstå prestanda för din ExpressRoute-anslutning.

Fler förslag finns i Principer för grundpelare för driftskvalitet.

Prestandaeffektivitet

Prestandaeffektivitet handlar om att effektivt skala arbetsbelastningen baserat på användarnas behov. Vi rekommenderar att du granskar principerna för prestandaeffektivitet.

Checklista för design

  • Testa Prestanda för ExpressRoute-gatewayen för att uppfylla kraven på arbetsbelastning.
  • Öka storleken på ExpressRoute-gatewayen.
  • Uppgradera ExpressRoute-kretsens bandbredd.
  • Aktivera ExpressRoute FastPath för högre dataflöde.
  • Övervaka Måtten för ExpressRoute-kretsen och gatewayen.

Rekommendationer

Utforska följande tabell med rekommendationer för att optimera din ExpressRoute-konfiguration för prestandaeffektivitet.

Rekommendation Förmån
Testa Prestanda för ExpressRoute-gatewayen för att uppfylla kraven på arbetsbelastning. Använd Azure Connectivity Toolkit för att testa prestanda i din ExpressRoute-krets för att förstå bandbreddskapacitet och svarstid för nätverksanslutningen.
Öka storleken på ExpressRoute-gatewayen. Uppgradera till en högre gateway-SKU för bättre dataflödesprestanda mellan lokal miljö och Azure-miljö.
Uppgradera bandbredd för ExpressRoute-krets Uppgradera kretsbandbredden så att den uppfyller dina krav på arbetsbelastning. Kretsbandbredd delas mellan alla virtuella nätverk som är anslutna till ExpressRoute-kretsen. Beroende på din arbetsbelastning kan ett eller flera virtuella nätverk använda all bandbredd på kretsen.
Aktivera ExpressRoute FastPath för högre dataflöde Om du använder en ultraprestanda eller en virtuell ErGW3AZ-nätverksgateway kan du aktivera FastPath för att förbättra prestanda för datasökvägen mellan ditt lokala nätverk och det virtuella Azure-nätverket.
Övervaka ExpressRoute-krets- och gatewaymått Konfigurera aviseringar som baseras på ExpressRoute-mått för att proaktivt meddela dig när ett visst tröskelvärde uppfylls. Dessa mått är användbara för att förstå avvikelser som kan inträffa med din ExpressRoute-anslutning, till exempel avbrott och underhåll som inträffar för dina ExpressRoute-kretsar.

Fler förslag finns i Principer för grundpelare för prestandaeffektivitet.

Azure Advisor erbjuder en rekommendation om att uppgradera expressroute-kretsens bandbredd för att hantera användning när kretsen nyligen har förbrukat över 90 % av den upphandlade bandbredden. Om trafiken överskrider den allokerade bandbredden får du förlorade paket, vilket kan leda till betydande prestanda- eller tillförlitlighetspåverkan.

Azure Policy

Azure Policy tillhandahåller inga inbyggda principer för ExpressRoute, men anpassade principer kan skapas för att styra hur ExpressRoute-kretsar ska matcha önskat sluttillstånd, till exempel SKU-val, peeringtyp, peeringkonfigurationer och så vidare.

Ytterligare resurser

Vägledning för Cloud Adoption Framework

Nästa steg

Konfigurera en ExpressRoute-krets eller ExpressRoute Direct-port för att upprätta kommunikation mellan ditt lokala nätverk och Azure.