Utforska Azure ExpressRoute
Eftersom ditt företag hanterar mycket känsliga data och har stora mängder information som lagras i Azure finns det vissa problem med säkerheten och tillförlitligheten för anslutningar via det offentliga Internet. Företaget är inte villigt att migrera helt till Azure, såvida lösningen inte kan uppvisa en högre anslutningsnivå, högre säkerhet och större tillförlitlighet.
Här går vi längre än anslutningar som körs via Internet till dedikerade linjer direkt till Azure-datacenter.
Azure ExpressRoute
Med Microsoft Azure ExpressRoute kan organisationer utöka sina lokala nätverk till Microsoft Cloud över en privat anslutning som implementerats av en anslutningsleverantör. Det här arrangemanget innebär att anslutningen till Azure-datacenter inte går via Internet utan via en dedikerad länk. ExpressRoute har också stöd för effektiva anslutningar till andra molnbaserade tjänster från Microsoft, som Microsoft 365 och Dynamics 365.
Fördelarna med ExpressRoute är bland annat:
Snabbare hastighet, från 50 Mbit/s till 10 Gbit/s, med dynamisk bandbreddsskalning
Kortare svarstider
Större tillförlitlighet via inbyggd peering
Hög säkerhet
ExpressRoute medför fler fördelar, till exempel:
Anslutning till alla Azure tjänster som stöds
Global anslutning till alla regioner (kräver premium-tillägg)
Dynamisk routning över Border Gateway Protocol
Serviceavtal (SLA) för oavbruten anslutningstid
Tjänstkvalitet (QoS) för Skype för företag
Dessutom finns också premiumtillägget ExpressRoute, som ger fördelar som ökade routningsgränser, global tjänstanslutning och ett större antal vNet-länkar per krets.
Anslutningsmodeller för ExpressRoute
Anslutningar till ExpressRoute kan ske genom följande metoder:
P VPN-nätverk (”any-to-any”)
Virtuell korsanslutning via ett Ethernet-utbyte
Ethernet-anslutning av punkt till punkt-typ
Alla ExpressRoute-funktioner och egenskaper är identiska i de ovanstående anslutningsmodellerna.
Vad är Layer 3-anslutning?
Microsoft använder ett branschstandardprotokoll för dynamisk routning (BGP) för att växla vägar mellan det lokala nätverket, dina instanser i Azure och Microsofts offentliga adresser. Vi upprättar flera BGP-sessioner med ditt nätverk för olika trafikprofiler.
”Any-to-any”-nätverk (IPVPN)
IPVPN-leverantörer tillhandahåller vanligtvis anslutning mellan olika avdelningskontor och dina företagsdatacenter över hanterade Layer 3-anslutningar. Med ExpressRoute visas Azures datacenter som om de vore separata avdelningskontor.
Virtuell korsanslutning via ett Ethernet-utbyte
Om din organisation finns tillsammans med en molnutbytesanläggning begär du korsanslutningar till Microsoft Cloud via leverantörens Ethernet-utbyte. Korsanslutningarna till Microsoft Cloud kan antingen köras med hanterade Layer 2- eller Layer 3-anslutningar, som i OSI-nätverksmodellen.
Ethernet-anslutning av punkt till punkt-typ
Punkt-till-punkt-ethernet-länkar kan tillhandahålla layer 2- eller managed layer 3-anslutningar mellan dina lokala datacenter eller kontor till Microsoft Cloud.
Så fungerar ExpressRoute
Azure ExpressRoute använder en kombination av ExpressRoute-kretsar och routningsdomäner för snabba anslutningar till Microsoft Cloud.
Vad är ExpressRoute-kretsar?
En ExpressRoute-krets är den logiska anslutningen mellan din lokala infrastruktur och Microsoft Cloud. En anslutningsleverantör implementerar anslutningen, även om vissa organisationer använder flera anslutningsleverantörer av redundansskäl. Varje krets har en fast bandbredd på 50, 100, 200 eller 500 Mbit/s alternativt 1 eller 10 Gbit/s, och var och en av dessa kretsar mappas till en anslutningsleverantör och en peering-plats. Dessutom har varje ExpressRoute-krets standardkvoter och begränsningar.
En ExpressRoute-krets motsvarar inte en nätverksanslutning eller en nätverksenhet. Varje krets definieras av ett GUID som kallas en tjänst- eller s-nyckel. Den här s-nyckeln tillhandahåller anslutningslänken mellan Microsoft, din anslutningsleverantör och organisation – den är inte en kryptografisk hemlighet. Varje s-nyckel har en en-till-en-mappning till en Azure ExpressRoute-krets.
Varje krets kan ha upp till två peeringar, som är ett par BGP-sessioner som har konfigurerats för redundans. Dessa är:
- Azure, privat
- Microsoft
Routningsdomäner
ExpressRoute-kretsarna mappar sedan till routningsdomäner, där varje ExpressRoute-krets har flera routningsdomäner. Dessa domäner är samma som de två peerings som tidigare angavs. I en aktiv-aktiv-konfiguration skulle varje routerpar ha en identiskt konfigurerad routningsdomän, vilket ger hög tillgänglighet. Azure-peering-namnen representerar IP-adresscheman.
Privat peering i Azure
Azures privata peering ansluter till Azures beräkningstjänster, till exempel virtuella datorer och molntjänster som distribueras med ett virtuellt nätverk. När det handlar om säkerhet är den privata peeringdomänen helt enkelt en förlängning av ditt lokala nätverk till Azure. Du aktiverar sedan dubbelriktad anslutning mellan nätverket och valfritt virtuellt Azure-nätverk, vilket gör att Azure VM-IP-adresserna blir synliga i ditt interna nätverk.
Du kan bara ansluta ett enda virtuellt nätverk till den privata peering-domänen.
Microsoft-peering
Microsoft-peering har stöd för anslutningar till molnbaserade SaaS-erbjudanden som Microsoft 365 och Dynamics 365. Det här peeringalternativet ger dubbelriktad anslutning mellan ditt företags WAN-nätverk och Microsofts molntjänster.
ExpressRoute-hälsa
Precis som med de flesta funktioner i Microsoft Azure kan du övervaka ExpressRoute-anslutningar för att säkerställa att de fungerar tillfredsställande. Övervakning innefattar täckning av följande områden:
- Tillgänglighet
- Anslutning till virtuella nätverk
- Nyttjande av bandbredd
Det viktigaste verktyget för den här övervakningsaktiviteten är Övervakare av nätverksprestanda, särskilt för ExpressRoute.
Med Azure ExpressRoute kan du skapa privata anslutningar mellan Azures datacenter och infrastruktur som finns lokalt eller i en samplaceringsmiljö. ExpressRoute-anslutningar upprättas inte via offentligt internet, och de är tillförlitligare, snabbare och har kortare svarstider och högre säkerhet än vanliga anslutningar över internet.