你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Well-Architected 框架评审 - Azure ExpressRoute
本文提供 Azure ExpressRoute 的体系结构最佳做法。 本指南基于卓越体系结构的五大支柱:
我们假设你具备 Azure ExpressRoute 的实践知识,并且精通其所有功能。 有关详细信息,请参阅 Azure ExpressRoute。
先决条件
对于上下文,请考虑查看在其设计中反映这些注意事项的参考体系结构。 建议从 云采用框架 就绪方法指南连接到 Azure 和架构师使用 Azure ExpressRoute 进行混合连接开始。 对于低代码应用程序体系结构,建议在规划和配置 ExpressRoute 以用于 Microsoft Power Platform 时查看为 Power Platform 启用 ExpressRoute。
可靠性
在云端,我们承认故障总会发生。 我们的目标不是试图防止各种故障,而是最大程度地减轻单个组件故障造成的影响。 使用 Azure ExpressRoute 建立连接时,请使用以下信息来最大程度地减少往返于 Azure 的停机时间。
在讨论 Azure ExpressRoute 的可靠性时,请务必考虑带宽使用情况、网络的物理布局以及发生故障时的灾难恢复。 Azure ExpressRoute 能够满足这些设计注意事项,并针对清单中的每个项目提供建议。
下面的设计清单和建议列表中提供了信息,以便在 Azure 环境和本地网络之间设计高度可用的网络。
设计清单
在为 Azure ExpressRoute 做出设计选择时,请查看为体系结构增加可靠性 的设计原则 。
- 根据业务要求,在 ExpressRoute 线路或 ExpressRoute Direct 之间进行选择。
- 为服务提供商配置不同的物理层网络。
- 使用不同服务提供商配置 ExpressRoute 线路,以具有不同的路由路径。
- 在本地与 Azure 之间配置 Active-Active ExpressRoute 连接。
- 设置可用性区域感知 ExpressRoute 虚拟网络网关。
- 在与本地网络不同的位置配置 ExpressRoute 线路。
- 在不同区域中配置 ExpressRoute 虚拟网络网关。
- 将站点到站点 VPN 配置为 ExpressRoute 专用对等互连的备份。
- 设置对 ExpressRoute 线路和 ExpressRoute 虚拟网络网关运行状况的监视。
- 配置服务运行状况以接收 ExpressRoute 线路维护通知。
建议
浏览以下建议表,以优化 ExpressRoute 配置的可靠性。
| 建议 | 好处 |
|---|---|
| 规划 ExpressRoute 线路或 ExpressRoute Direct | 在初始规划阶段,需要确定是要配置 ExpressRoute 线路还是 ExpressRoute Direct 连接。 ExpressRoute 线路允许在连接服务提供商的帮助下与 Azure 建立专用连接。 ExpressRoute Direct 允许将本地网络直接扩展到对等互连位置的 Microsoft 网络。 还需要根据业务需求确定带宽要求和 SKU 类型要求。 |
| 物理层多样性 | 为了提高复原能力,请计划在本地边缘与对等互连位置之间设置多个路径, (提供商/Microsoft 边缘位置) 。 可以通过不同的服务提供商或本地网络的不同位置来实现此配置。 |
| 规划异地冗余线路 | 若要规划灾难恢复,请在多个对等互连位置设置 ExpressRoute 线路。 可以在同一条地铁或不同地铁的对等互连位置创建线路,并选择与不同的服务提供商合作,实现每条线路的不同路径。 有关详细信息,请参阅 设计灾难恢复 和 高可用性设计。 |
| 规划 Active-Active 连接 | 在本地和 Azure 之间配置主动-主动连接时,ExpressRoute 专用线路保证 99.95% 可用性。 此模式为 Expressroute 连接提供更高的可用性。 如果连接出现链接故障,还建议配置 BFD 以加快故障转移速度。 |
| 规划虚拟网络网关 | 创建可用性区域感知虚拟网络网关以提高复原能力,并规划不同区域中虚拟网络网关以实现灾难恢复和高可用性。 |
| 监视线路和网关运行状况 | 根据可用的各种指标,为 ExpressRoute 线路和虚拟网络网关运行状况设置监视和警报。 |
| 启用服务运行状况 | ExpressRoute 使用服务运行状况来通知计划内和计划外维护。 配置服务运行状况将通知你对 ExpressRoute 线路所做的更改。 |
有关更多建议,请参阅 可靠性支柱原则。
Azure 顾问为 ExpressRoute 线路提供了许多建议,因为它们与可靠性相关。 例如,Azure 顾问可以检测:
- 仅部署一条 ExpressRoute 线路而不是多个线路的 ExpressRoute 网关。 建议使用多个 ExpressRoute 线路来增加对等互连位置的复原能力。
- 连接监视器未观察到的 ExpressRoute 线路,因为对 ExpressRoute 线路的端到端监视对于获得可靠性见解至关重要。
- 涉及多个对等互连位置的网络拓扑,这些对等互连位置将受益于 ExpressRoute Global Reach,以改进本地连接的灾难恢复设计,以解决计划外连接丢失。
安全性
安全性是任何体系结构最为重视的方面之一。 ExpressRoute 提供的功能可同时采用最低特权原则和防御中防御原则。 建议查看 安全设计原则。
设计清单
- 配置活动日志以将日志发送到存档。
- 维护有权访问 ExpressRoute 资源的管理帐户的清单。
- 在 ExpressRoute 线路上配置 MD5 哈希。
- 为 ExpressRoute Direct 资源配置 MACSec。
- 通过专用对等互连和 Microsoft 对等互连加密虚拟网络流量的流量。
建议
浏览以下建议表,以优化 ExpressRoute 配置的安全性。
| 建议 | 好处 |
|---|---|
| 配置活动日志以将日志发送到存档 | 活动日志提供有关在订阅级别对 ExpressRoute 资源执行的操作的见解。 使用活动日志,可以确定谁以及何时在控制平面上执行了操作。 数据保留期仅为 90 天,需要存储在 Log Analytics、事件中心或用于存档的存储帐户中。 |
| 维护管理帐户的清单 | 使用 Azure RBAC 配置角色,以限制可在 ExpressRoute 线路上添加、更新或删除对等互连配置的用户帐户。 |
| 在 ExpressRoute 线路上配置 MD5 哈希 | 在配置专用对等互连或 Microsoft 对等互连期间,应用 MD5 哈希来保护本地路由与 MSEE 路由器之间的消息。 |
| 为 ExpressRoute Direct 资源配置 MACSec | 媒体访问控制安全性是数据链接层的点到点安全性。 ExpressRoute Direct 支持配置 MACSec,以防止对 ARP、DHCP、LACP 等协议的安全威胁,这些协议通常不在以太网链路上受到保护。 有关如何配置 MACSec 的详细信息,请参阅 适用于 ExpressRoute Direct 端口的 MACSec。 |
| 使用 IPsec 加密流量 | 通过 ExpressRoute 线路配置站点到站点 VPN 隧道,以加密在本地网络和 Azure 虚拟网络之间传输的数据。 可以使用 专用对等互连 或使用 Microsoft 对等互连配置隧道。 |
有关更多建议,请参阅 安全支柱原则。
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 建议查看成本优化设计原则和计划和管理 Azure ExpressRoute 的成本。
设计清单
- 熟悉 ExpressRoute 定价。
- 确定所需的 ExpressRoute 线路 SKU 和带宽。
- 确定所需的 ExpressRoute 虚拟网络网关大小。
- 监视成本并创建预算警报。
- 取消预配不再使用的 ExpressRoute 线路。
建议
浏览以下建议表,以优化成本优化 ExpressRoute 配置。
| 建议 | 好处 |
|---|---|
| 熟悉 ExpressRoute 定价 | 有关 ExpressRoute 定价的信息,请参阅 了解 Azure ExpressRoute 的定价。 还可以使用 定价计算器。 确保选项大小适当,以满足容量需求,并在不浪费资源的情况下提供预期的性能。 |
| 确定所需的 SKU 和带宽 | ExpressRoute 使用量的收费方式因三种不同 SKU 类型而异。 如果使用本地 SKU,将自动按照“不限流量”套餐收费。 如果使用标准和高级 SKU,可以选择按“数据流量”套餐或“不限流量”套餐缴费。 除使用 Global Reach 附加产品的情况外,所有流入数据均免费。 务必要了解哪些 SKU 类型和数据套餐最适合你的工作负载,最能为你的工作负载优化成本和预算。 有关调整 ExpressRoute 线路大小的详细信息,请参阅 升级 ExpressRoute 线路带宽。 |
| 确定 ExpressRoute 虚拟网络网关大小 | ExpressRoute 虚拟网络网关用于通过专用对等互连将流量传入虚拟网络。 查看首选虚拟网络网关 SKU 的性能和缩放需求。 在本地到 Azure 工作负载上选择适当的网关 SKU。 |
| 监视成本并创建预算警报 | 监视 ExpressRoute 线路的成本,并针对支出异常和超支风险创建警报。 有关详细信息,请参阅 监视 ExpressRoute 成本。 |
| 取消预配和删除不再使用的 ExpressRoute 线路。 | ExpressRoute 线路从创建的那一刻起就充电。 若要降低不必要的成本,请取消预配服务提供商的线路,并从订阅中删除 ExpressRoute 线路。 有关如何删除 ExpressRoute 线路的步骤,请参阅 取消预配 ExpressRoute 线路。 |
有关更多建议,请参阅 成本优化的设计评审清单。
Azure 顾问可以检测已部署很长时间但提供程序状态为 “未预配”的 ExpressRoute 线路。 处于此状态的线路无法运行;删除未使用的资源将减少不必要的成本。
卓越运营
监视和诊断至关重要。 不仅可以测量性能统计信息,还可以使用指标快速排查和修正问题。 建议查看 卓越运营设计原则。
设计清单
- 配置本地网络与 Azure 网络之间的连接监视。
- 配置用于接收通知的服务运行状况。
- 使用网络见解查看通过 ExpressRoute Insights 提供的指标和仪表板。
- 查看 ExpressRoute 资源指标。
建议
浏览以下建议表,以优化 ExpressRoute 配置,实现卓越运营。
| 建议 | 好处 |
|---|---|
| 配置连接监视 | 通过连接监视 ,可以通过 ExpressRoute 专用对等互连和 Microsoft 对等互连监视本地资源与 Azure 之间的连接。 连接监视器可以通过确定问题所在网络路径的位置来检测网络问题,并帮助你快速解决配置或硬件故障。 |
| 配置服务运行状况 | 设置 服务运行状况通知 ,以在订阅中的所有 ExpressRoute 线路发生计划内和即将进行的维护时发出警报。 如果发生计划外维护,服务运行状况还会显示过去的维护以及 RCA。 |
| 使用网络见解查看指标 | 使用 ExpressRoute Insights 和 Network Insights 可以查看和分析 ExpressRoute 线路、网关、连接指标和运行状况仪表板。 ExpressRoute Insights 还提供 ExpressRoute 连接的拓扑视图,你可以在单个位置查看对等互连组件的详细信息。 可用指标: -可用 性 -吞吐量 - 网关指标 |
| 查看 ExpressRoute 资源指标 | ExpressRoute 使用 Azure Monitor 收集 指标,并基于配置创建警报 。 收集 ExpressRoute 线路、ExpressRoute 网关、ExpressRoute 网关连接和 ExpressRoute Direct 的指标。 这些指标可用于诊断连接问题并了解 ExpressRoute 连接的性能。 |
有关更多建议,请参阅 卓越运营支柱的原则。
性能效率
性能效率是指工作负载能够以高效的方式扩展以满足用户对它的需求。 建议查看 性能效率原则。
设计清单
- 测试 ExpressRoute 网关性能以满足工作负载要求。
- 增加 ExpressRoute 网关的大小。
- 升级 ExpressRoute 线路带宽。
- 启用 ExpressRoute FastPath 以提高吞吐量。
- 监视 ExpressRoute 线路和网关指标。
建议
浏览以下建议表,以优化 ExpressRoute 配置,提高性能效率。
| 建议 | 好处 |
|---|---|
| 测试 ExpressRoute 网关性能以满足工作负载要求。 | 使用 Azure 连接工具包 测试 ExpressRoute 线路的性能,以了解网络连接的带宽容量和延迟。 |
| 增加 ExpressRoute 网关的大小。 | 升级到更高的 网关 SKU ,以提高本地与 Azure 环境之间的吞吐量性能。 |
| 升级 ExpressRoute 线路带宽 | 升级 线路带宽 以满足工作负载要求。 线路带宽在连接到 ExpressRoute 线路的所有虚拟网络之间共享。 根据工作负荷,一个或多个虚拟网络可能会用尽线路上的所有带宽。 |
| 启用 ExpressRoute FastPath 以提高吞吐量 | 如果使用超高性能网关或 ErGW3AZ 虚拟网络网关,可以启用 FastPath 以提高本地网络与 Azure 虚拟网络之间的数据路径性能。 |
| 监视 ExpressRoute 线路和网关指标 | 根据 ExpressRoute 指标 设置警报,以便在达到特定阈值时主动通知你。 这些指标有助于了解 ExpressRoute 连接可能发生的异常,例如 ExpressRoute 线路发生中断和维护。 |
有关更多建议,请参阅 性能效率支柱原则。
当线路最近消耗超过所购买带宽 90% 时,Azure 顾问会提供升级 ExpressRoute 线路带宽的建议,以适应使用情况。 如果流量超过分配的带宽,你会遇到丢弃的数据包,这可能会导致严重的性能或可靠性影响。
Azure Policy
Azure Policy不提供 ExpressRoute 的任何内置策略,但可以创建自定义策略来帮助控制 ExpressRoute 线路应如何匹配所需的最终状态,例如 SKU 选择、对等互连类型、对等互连配置等。
其他资源
云采用框架指导
后续步骤
配置 ExpressRoute 线路 或 ExpressRoute Direct 端口 ,以在本地网络与 Azure 之间建立通信。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈