将 ExpressRoute 线路连接到虚拟网络
ExpressRoute 线路表示通过连接提供商在本地基础结构与 Microsoft 云服务之间建立的逻辑连接。 可以订购多个 ExpressRoute。 每条线路可以位于相同或不同的区域,且可以通过不同的连接提供程序连接到本地。 ExpressRoute 线路不会映射到任何物理实体。 线路由称为服务密钥 (s-key) 的标准 GUID 进行唯一标识。
在之前的练习中,创建了 ExpressRoute 网关和 ExpressRoute 线路。 然后,了解了如何为快速路由线路配置对等互连。 现在,你将了解如何在 ExpressRoute 线路与 Azure 虚拟网络之间创建连接。
将虚拟网络连接到 ExpressRoute 线路
- 必须有一个活动的 ExpressRoute 线路。
- 请确保为线路配置 Azure 专用对等互连。
- 确保已配置 Azure 专用对等互连,并建立网络和 Microsoft 之间的 BGP 对等互连,以便进行端到端连接。
- 确保已创建并完全预配一个虚拟网络和一个虚拟网络网关。 ExpressRoute 虚拟网络网关使用的 GatewayType 是“ExpressRoute”而非 VPN。
- 最多可以将 10 个虚拟网络链接到一条标准 ExpressRoute 线路。 使用标准 ExpressRoute 线路时,所有虚拟网络必须都位于同一地缘政治区域。
- 单个 VNet 可最多连接到 16 条 ExpressRoute 线路。 使用以下流程为正在连接的每条 ExpressRoute 线路创建新的连接对象。 ExpressRoute 线路可在同一订阅、不同订阅或两者兼有。
- 如果启用 ExpressRoute 高级版加载项,则可以链接 ExpressRoute 线路的地缘政治区域外部的虚拟网络。 通过高级版加载项,你还可以根据所选带宽,将 10 个以上的虚拟网络连接到 ExpressRoute 线路。
- 若要创建从 ExpressRoute 线路到目标 ExpressRoute 虚拟网络网关的连接,从本地或对等互连的虚拟网络播发的地址空间数必须等于或小于“200”。 成功创建连接后,可以将其他地址空间(最多 1000 个)添加到本地或对等互连虚拟网络。
将 VPN 添加到 ExpressRoute 部署
本部分帮助你通过 ExpressRoute 专用连接在本地网络与 Azure 虚拟网络 (VNet) 间配置安全的加密连接。 可使用 Microsoft 对等互连在所选本地网络和 Azure VNet 间建立站点到站点的 IPsec/IKE VPN 隧道。 通过 ExpressRoute 配置安全隧道,即可机密、真实、完整地交换数据,不会出现重播。
备注
通过 Microsoft 对等互连设置站点到站点 VPN 时,需为 VPN 网关和 VPN 出口付费。
为获得高可用性和冗余,可通过 ExpressRoute 线路的两个 MSEE-PE 对配置多条隧道,并在隧道间启用负载均衡。
终止通过 Microsoft 对等互连配置的 VPN 隧道有两种方法:使用 VPN 网关;使用 Azure 市场提供的合适的网络虚拟设备 (NVA)。 可通过加密隧道静态或动态地交换路由,无需向底层 Microsoft 对等互连公开路由交换。 在本部分中,BGP(与用于创建 Microsoft 对等互连的 BGP 会话不同)用于在加密隧道上动态交换前缀。
重要
对于本地端,通常会在 DMZ 上终止 Microsoft 对等互连,在核心网络区域终止专用对等互连。 两个区域使用防火墙分隔。 如果将 Microsoft 对等互连配置为专用于启用通过 ExpressRoute 配置的安全隧道,请记住只筛选相关的公共 IP,这些 IP 通过 Microsoft 对等互连播发。
步骤
- 为 ExpressRoute 线路配置 Microsoft 对等互连。
- 通过 Microsoft 对等互连将选定 Azure 区域公共前缀播发到本地网络。
- 配置 VPN 网关,建立 IPsec 隧道
- 配置本地 VPN 设备。
- 创建站点到站点的 IPsec/IKE 连接。
- (可选)在本地 VPN 设备上配置防火墙/筛选器。
- 通过 ExpressRoute 线路测试和验证 IPsec 通信。