了解 Azure ExpressRoute

已完成

使用 ExpressRoute 可通过连接服务提供商所提供的专用连接,将本地网络扩展到 Microsoft 云。 使用 ExpressRoute 可与各种 Microsoft 云服务(比如,Microsoft Azure 和 Microsoft 365)建立连接。 可以从任意位置之间的 (IP VPN) 网络、点到点以太网或在场地租用设施上通过连接服务提供商的虚拟交叉连接来建立这种连接。 由于 ExpressRoute 连接不会通过公共 Internet,因此此方法可以使 ExpressRoute 连接提供更高的可靠性、更快的速度、一致的延迟和更高的安全性。

ExpressRoute 功能

ExpressRoute 的关键优势是:

  • 通过连接服务提供商在本地网络与 Microsoft 云之间建立第 3 层连接
  • 可以从任意位置之间的 (IPVPN) 网络、点到点以太网,或通过以太网交换经由虚拟交叉连接来建立这种连接
  • 跨地缘政治区域中的所有区域连接到 Microsoft 云服务
  • 通过 ExpressRoute 高级版附加组件从全球连接到所有区域的 Microsoft 服务
  • 在每个对等互连位置提供内置冗余以提高可靠性

使用 Azure ExpressRoute,可在 Azure 数据中心与本地环境或共同租用环境中的基础结构之间创建专用连接。 ExpressRoute 连接并不通过公共 Internet,与典型的 Internet 连接相比,它们的可靠性更高、速度更快且延迟时间更短。

理解 Azure ExpressRoute 的用例

更快、更可靠的 Azure 服务连接 - 利用 Azure 服务的组织会查找到 Azure 服务和数据中心的可靠连接。 公共 Internet 由许多因素决定,可能不适用于企业。 使用 Azure ExpressRoute,可在 Azure 数据中心与本地环境或共同租用环境中的基础结构之间创建专用连接。 使用 ExpressRoute 连接在本地系统和 Azure 之间传输数据还可以产生显著的成本效益。

存储、备份和恢复:备份和恢复对于组织对于业务连续性和从中断中恢复非常重要。 ExpressRoute 提供到 Azure 的快速、可靠连接,带宽高达 100 Gbps,因此它非常适用于定期数据迁移、复制以确保业务连续性、灾难恢复和其他高可用性策略等方案。

扩展数据中心功能:ExpressRoute 可用于连接计算和存储容量,并将其添加到现有数据中心。 通过高吞吐量和低延迟,Azure 会感觉就像是对数据中心的自然扩展,因此,可以在无需降低网络性能的情况下,享受公有云的规模和经济效益。

可预测、可靠且高吞吐量的连接:借助 ExpressRoute 提供的可预测、可靠和高吞吐量连接,企业可以构建跨本地基础结构和 Azure 的应用程序,而不会影响隐私或性能。 例如,在 Azure 中运行企业 Intranet 应用程序,该应用程序使用本地 Active Directory 服务对客户进行身份验证,并在没有通过公共 Internet 路由流量的情况下,为所有的企业客户提供服务。

ExpressRoute 连接模型

在本地网络和 Microsoft 云之间创建连接时,可以采用四种不同的方式:CloudExchange 归置、点到点以太网连接、任意位置之间的 (IPVPN) 连接 和 ExpressRoute Direct。 连接服务提供商可以提供一个或多个连接模型。

ExpressRoute connectivity models

共置于云交换位置

如果所在的位置提供云交换设施,则可以订购虚拟交叉连接,以通过共同租用提供商的以太网交换连接到 Microsoft 云。 共同租用提供商可以在共置设施中的基础结构与 Microsoft 云之间提供第 2 层交叉连接或托管的第 3 层交叉连接。

点到点以太网连接

可以通过点到点以太网链路,将本地数据中心/办公室连接到 Microsoft 云。 点到点以太网提供商可以在站点与 Microsoft 云之间提供第 2 层连接或托管的第 3 层连接。

任意位置之间的 (IPVPN) 网络

可以将 WAN 集成到 Microsoft 云。 IPVPN 提供商(通常为 MPLS VPN)可在分支机构与数据中心之间提供任意位置之间的连接。 Microsoft 云可与 WAN 互连,就如同它是其他任何一个分支机构。 WAN 提供商通常提供托管的第 3 层连接。

从 ExpressRoute 站点直接访问

可以在策略性分布在全球的对等位置直接连接到 Microsoft 的全球网络。 ExpressRoute Direct 提供双 100 Gbps 或 10 Gbps 连接,支持大规模的主动/主动连接。

ExpressRoute 部署的设计注意事项

规划 ExpressRoute 部署时,需要做出许多决策。 本部分讨论设计部署时必须考虑的一些主要方面。

在提供商和直接模型之间 (ExpressRoute Direct)

ExpressRoute Direct

使用 ExpressRoute Direct,可以直接连接到 Microsoft 战略性分布在全球各地的对等互连位置的全球网络。 ExpressRoute Direct 提供双 100 Gbps 或 10 Gbps 连接,支持大规模的主动/主动连接。 可以使用任何服务提供商来实现 ExpressRoute Direct。

ExpressRoute Direct 提供的主要功能包括:

  • 大规模数据引入到存储(如存储和 Cosmos DB)
  • 针对受监管和需要专用和独立连接的行业的物理隔离,例如:银行、政府和零售
  • 根据业务部门,细化控制线路分布

使用 ExpressRoute direct 与使用服务提供商

使用服务提供商的 ExpressRoute ExpressRoute Direct
使用服务提供程序启用快速载入并连接到现有的基础结构 要求 100 Gbps/10 Gbps基础结构以及对所有层进行全面管理
集成数百个提供程序,包括以太网和 MPLS 直接/专用容量,适用于受管制行业和大规模数据引入
从 50 Mbps 到 10 Gbps 的线路 SKU 客户可以选择 100-Gbps ExpressRoute Direct 上的以下线路 SKUS 的组合:5 Gbps 10 Gbps 40 Gbps 100 Gbps 客户可以选择 10 Gbps ExpressRoute Direct 上的以下线路 SKUS 的组合:1 Gbps 2 Gbps 5 Gbps 10 Gbps
针对单租户优化 针对具有多个业务部门和多个工作环境的单个租户进行了优化

路由播发

在 ExpressRoute 线路上配置 Microsoft 对等互连时,Microsoft Edge 路由器会通过连接提供商的边缘路由器建立一对边界网关协议 (BGP) 会话。 不会将任何路由播发到网络。 若要能够将路由播发到网络,必须关联路由筛选器。

若要关联路由筛选器,请执行以下操作:

  • 必须具备预配了 Microsoft 对等互连的活动 ExpressRoute 线路。
  • 继续之前,请创建 ExpressRoute 线路,并让连接服务提供商启用该线路。 ExpressRoute 线路必须处于已预配且已启用状态。
  • 如果直接管理 BGP 会话,请创建 Microsoft 对等互连。 或者,让连接提供商为线路预配 Microsoft 对等互连。

获取 BGP 团体值列表

可从 ExpressRoute 路由要求页获取与可通过 Microsoft 对等互连访问的服务关联的 BGP 社区值。

列出要使用的值

列出要在路由筛选器中使用的 BGP 社区值列表。

双向转发检测

ExpressRoute 支持基于专用对等互连和 Microsoft 对等互连的双向转发检测 (BFD)。 启用基于 ExpressRoute 的 BFD 时,可加快 Microsoft 企业边缘 (MSEE) 设备与配置了 ExpressRoute 线路 (CE/PE) 的路由器之间的链路故障检测。 可以通过边缘路由设备或合作伙伴边缘路由设备配置 ExpressRoute(如果使用托管的第 3 层连接服务)。 本部分将逐步讲解 BFD 的需求,以及如何启用基于 ExpressRoute 的 BFD。

可以通过第 2 层连接或托管的第 3 层连接启用 ExpressRoute 线路。 在任一情况下,如果 ExpressRoute 连接路径中有多个第 2 层设备,则检测路径中任何链路故障的工作由叠加的 BGP 会话负责。

在 MSEE 设备上,BGP keepalive 和保持时间通常分别配置为 60 和 180 秒。 因此,在发生链路故障后,最多需要三分钟才能检测到任何链路故障并将流量切换到备用连接。

可以通过在边缘对等互连设备上配置较低的 BGP keepalive 和保持时间来控制 BGP 计时器。 如果两个对等互连设备之间的 BGP 计时器不相同,则会使用较低的时间值建立 BGP 会话。 BGP keep-alive 最低可设置为 3 秒,hold-time 最低可设置为 10 秒。 但是,由于协议是进程密集型的,因此不建议设置非常激进的 BGP 计时器。

在这种情况下,BFD 可发挥作用。 BFD 能够以亚秒级的时间间隔提供低开销的链路故障检测。

下图演示了启用基于 ExpressRoute 线路的 BFD 的好处:

Bidirectional flow between partner or customer edge and Microsoft Edge.

启用 BFD

在 MSEE 上所有新建的 ExpressRoute 专用对等互连接口中,默认已配置 BFD。 因此,若要启用 BFD,只需在主设备和辅助设备上配置 BFD 即可。 配置 BFD 的过程分为两步。 在接口上配置 BFD,然后将其链接到 BGP 会话。

禁用对等互连后,ExpressRoute 线路的主连接和辅助连接上的边界网关协议 (BGP) 会话都将关闭。 启用对等互连后,ExpressRoute 线路的主连接和辅助连接上的 BGP 会话都将还原。

备注

首次在 ExpressRoute 线路上配置对等互连时,将默认启用对等互连。

在以下情况中,重置 ExpressRoute 对等互连可能会有所帮助:

正在测试你的灾难恢复设计和实现。 例如,假设你有两条 ExpressRoute 线路。 可以禁用一条线路的对等互连,并强制网络流量使用另一条线路。

你希望在 Azure 专用对等互连或 Microsoft 对等互连上启用双向转发检测 (BFD)。 如果 ExpressRoute 线路是在 2018 年 8 月 1 日之前在 Azure 专用对等互连上创建的,或者是在 2020 年 1 月 10 日之前创建的,则 BFD 没有默认启用。 请重置对等互连以启用 BFD。

通过 ExpressRoute 配置加密

本部分介绍如何使用 Azure 虚拟 WAN 通过 Azure ExpressRoute 线路的专用对等互连建立从本地网络到 Azure 的 IPsec/IKE VPN 连接。 此方法可以通过 ExpressRoute 在本地网络与 Azure 虚拟网络之间提供加密的传输,而无需通过公共 Internet 进行传输或使用公共 IP 地址。

拓扑和路由

下图显示了通过 ExpressRoute 专用对等互连建立的 VPN 连接的示例:

VWAN to VPN over ExpressRoute

该图显示了通过 ExpressRoute 专用对等互连连接到 Azure 中心 VPN 网关的本地网络中的某个网络。 连接的建立非常直接:

  • 与 ExpressRoute 线路和专用对等互连建立 ExpressRoute 连接。
  • 建立 VPN 连接。

此配置的一个重要方面是通过 ExpressRoute 和 VPN 路径在本地网络与 Azure 之间进行路由。

从本地网络发往 Azure 的流量

对于从本地网络发往 Azure 的流量,Azure 前缀(包括虚拟中心以及连接到中心的所有辐射虚拟网络)通过 ExpressRoute 专用对等互连 BGP 和 VPN BGP 进行播发。 这会建立从本地网络到 Azure 的两个网络路由(路径):

  • 一个路由是通过受 IPsec 保护的路径建立的
  • 一个路由是通过不受 IPsec 保护的 ExpressRoute 直接建立的

若要将加密应用于通信,必须确保对于图中所示的已连接 VPN 的网络,优先使用通过本地 VPN 网关建立的 Azure 路由,而不是通过直接 ExpressRoute 路径建立的路由。

从 Azure 发往本地网络的流量

相同的要求适用于从 Azure 发往本地网络的流量。 为了确保优先使用 IPsec 路径而不是直接 ExpressRoute 路径(不受 IPsec 保护),可以采用两种做法:

  • 在已连接 VPN 的网络的 VPN BGP 会话中播发更具体的前缀。 可以通过 ExpressRoute 专用对等互连播发包含已连接 VPN 的网络的更大范围,然后在 VPN BGP 会话中播发更具体的范围。 例如,通过 ExpressRoute 播发 10.0.0.0/16,通过 VPN 播发 10.0.1.0/24。
  • 为 VPN 和 ExpressRoute 播发不相交的前缀。 如果已连接 VPN 的网络范围与已连接 ExpressRoute 的其他网络不相交,则可以分别在 VPN 和 ExpressRoute BGP 会话中播发这些前缀。 例如,通过 ExpressRoute 播发 10.0.0.0/24,通过 VPN 播发 10.0.1.0/24。

在这两个示例中,Azure 将通过 VPN 连接将流量发送到 10.0.1.0/24,而不是直接通过不受 VPN 保护的 ExpressRoute 发送。

[!警告]

如果通过 ExpressRoute 和 VPN 连接播发相同的前缀,Azure 将直接使用不受 VPN 保护的 ExpressRoute 路径。

ExpressRoute 部署的设计冗余

可通过 2 种方式为 ExpressRoute 部署规划冗余。

  • 配置可共存的 ExpressRoute 连接和站点到站点连接
  • 在 Azure 可用性区域中创建区域冗余 VNET 网关

配置可共存的 ExpressRoute 连接和站点到站点连接

本部分有助于配置可共存的 ExpressRoute 和站点到站点 VPN 连接。 能够配置站点到站点 VPN 和 ExpressRoute 具有多项优势。 可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径,或者使用站点到站点 VPN 连接到不是通过 ExpressRoute 进行连接的站点。

配置站点到站点 VPN 和 ExpressRoute 共存连接具有多项优势:

  • 可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径。
  • 另外,还可以使用站点到站点 VPN 连接到未通过 ExpressRoute 连接的站点。

可以先配置任一网关。 通常,添加新网关或网关连接时不会导致停机。

网络限制和局限性

  • 仅支持基于路由的 VPN 网关。 必须使用基于路由的 VPN 网关。 还可以将基于路由的 VPN 网关与为“基于策略的流量选择器”配置的 VPN 连接一起使用。
  • Azure VPN 网关的 ASN 必须设置为 65515。 Azure VPN 网关支持 BGP 路由协议。 要使 ExpressRoute 和 Azure VPN 协同工作,必须将 Azure VPN 网关的自治系统编号保留为其默认值 65515。 如果先前选择的是其他 ASN(而不是 65515),并且将设置更改为 65515,则必须重置 VPN 网关才能使设置生效。
  • 网关子网必须是 /27 或更短的前缀(例如 /26、/25),否则,添加 ExpressRoute 虚拟网络网关时将收到错误消息。
  • 不支持双堆栈 VNet 中的共存。 如果使用的是 ExpressRoute IPv6 支持和双堆栈 ExpressRoute 网关,则将无法与 VPN 网关共存。

在 Azure 可用性区域中创建区域冗余 VNET 网关

可以在 Azure 可用性区域中部署 VPN 网关和 ExpressRoute 网关。 这样可以提高虚拟网络网关的复原性、可伸缩性和可用性。 可通过在 Azure 可用性区域中部署网关,在地理位置和逻辑上将区域内的网关分隔开来,同时还能保护本地网络与 Azure 的连接免受区域级故障的影响。

区域冗余网关

若要跨可用性区域自动部署虚拟网络网关,可以使用区域冗余虚拟网络网关。 使用区域冗余网关,可受益于区域复原能力,从而可以访问 Azure 上的任务关键型可扩展服务。

Zone redundant gateways layout

区块网关

若要在特定区域中部署网关,可使用区域网关。 部署区域网关时,网关的所有实例都部署在同一可用性区域中。

Zonal gateways layout

网关 SKU

区域冗余网关和区域网关以网关 SKU 的形式提供。 Azure AZ 区域中有一个新的虚拟网络网关 SKU。 这些 SKU 与 ExpressRoute 网关和 VPN 网关的相应现有的 SKU 相似,不同之处在于它们是区域冗余网关和区块网关的专用 SKU。 可以通过 SKU 名称中的“AZ”标识这些 SKU。

公共 IP SKU

区域冗余网关和区块网关都依赖 Azure 公共 IP 资源标准 SKU。 Azure 公共 IP 资源的配置决定了是部署区域冗余网关,还是部署区块网关。 如果使用基本 SKU 创建公共 IP 资源,网关不会有任何区域冗余,且网关资源具有区域性。

  • 区域冗余网关

    • 如果使用标准公共 IP SKU 创建公共 IP 地址,但未指定区域,行为因网关是 VPN 网关还是 ExpressRoute 网关而异。
    • 对于 VPN 网关,两个网关实例会部署到这三个区域中的任意两个区域,以实现区域冗余。
    • 对于 ExpressRoute 网关,由于可以有超过两个实例,因此网关可以跨所有这三个区域部署。
  • 区块网关

    • 如果使用标准公共 IP SKU 创建公共 IP 地址,并指定区域(1、2 或 3),所有网关实例都会部署到同一区域中。
  • 区域网关

    • 如果使用基本公共 IP SKU 创建公共 IP 地址,网关会部署为区域网关,并且不会内置有任何区域冗余。

将站点到站点 VPN 配置为 ExpressRoute 的故障转移路径

可以将站点到站点 VPN 连接配置为 ExpressRoute 的备份。 此连接仅适用于链接到 Azure 专用对等互连路径的虚拟网络。 对于可通过 Azure Microsoft 对等互连访问的服务,没有基于 VPN 的故障转移解决方案。 ExpressRoute 线路始终是主链接。 仅当 ExpressRoute 线路失败时,数据才会流经站点到站点 VPN 路径。 若要避免不对称路由,本地网络配置还应当引用基于站点到站点 VPN 的 ExpressRoute 线路。 对于接收 ExpressRoute 的路由,可以通过设置更高的本地优先级来首选 ExpressRoute 路径。

注意

如果已启用 ExpressRoute Microsoft 对等互连,则可以在 ExpressRoute 连接上接收 Azure VPN 网关的公共 IP 地址。 若要将站点到站点 VPN 连接设置为备份,必须配置本地网络,以便将 VPN 连接路由到 Internet。

注意

虽然在两个路由相同的情况下 ExpressRoute 线路优先于站点到站点 VPN,Azure 仍会使用最长的前缀匹配来选择指向数据包目标的路由。

知识检查

1.

以下哪一项是 ExpressRoute 最有效的使用方式?

2.

双向转发有什么优势?