使用 ExpressRoute 擴充內部部署網路

此參考架構示範如何使用 Azure ExpressRoute，將內部部署網路連線到 Azure 上的虛擬網路。 ExpressRoute 連線會透過協力廠商連線提供者，使用私人的專用連線。 私人連線會將您的內部部署網路延伸到 Azure。

架構

下載此架構的 Visio 檔案。

工作流程

此結構由下列元件組成。

• 內部部署公司網路。 在組織內執行的私人局域網路。

• ExpressRoute 線路。 連線提供者提供的第 2 層或第 3 層線路，可透過邊緣路由器將內部部署網路與 Azure 聯結在一起。 線路會使用由連線提供者管理的硬體基礎結構。

• 本機邊緣路由器。 將內部部署網路連線到提供者所管理的線路的路由器。 視您的連線佈建方式而定，您可能需要提供路由器所使用的公用IP位址。

• Microsoft邊緣路由器。 主動-主動高可用性組態中的兩個路由器。 這些路由器可讓連線提供者將其線路直接連線到其數據中心。 視您的連線佈建方式而定，您可能需要提供路由器所使用的公用IP位址。

• Azure 虛擬網络 （VNets） 。 每個 VNet 都位於單一 Azure 區域中，而且可以裝載多個應用層。 應用層可以使用每個 VNet 中的子網進行分割。

• Azure 公用服務。 可在混合式應用程式中使用的 Azure 服務。 這些服務也可透過因特網使用，但使用 ExpressRoute 線路存取這些服務可提供低延遲和更可預測的效能，因為流量不會通過因特網。

• Microsoft 365 服務。 Microsoft提供的公開Microsoft 365 應用程式和服務。 聯機是使用 Microsoft對等互連來執行，位址是由組織擁有或由連線提供者提供。 您也可以透過Microsoft對等互連直接連線到 Microsoft CRM Online。

• 線上提供者 （未顯示）。 使用數據中心與 Azure 資料中心之間的第 2 層或第 3 層連線來提供連線的公司。

元件

• Azure ExpressRoute。 ExpressRoute 可讓您透過私人連線將內部部署網路延伸至 Microsoft 雲端，並透過連線提供者的協助。 透過 ExpressRoute，您可以建立 Microsoft 雲端服務的連線，例如 Microsoft Azure 和 Microsoft 365。

• Azure 虛擬網絡。 Azure 虛擬網路 (VNet) 是私人網路在 Azure 中的基本建置組塊。 VNet 可讓許多類型的 Azure 資源，例如 Azure 虛擬機器 （VM），安全地彼此通訊、因特網和內部部署網路。

建議

下列建議適用於大部分案例。 除非您有覆寫建議的特定需求，否則請遵循這些建議。

連線提供者

為您的位置選取適當的 ExpressRoute 連線提供者。 若要取得您位置可用的連線提供者清單，請使用下列 Azure PowerShell 命令：

Get-AzExpressRouteServiceProvider

ExpressRoute 連線提供者會以下列方式將數據中心連線到Microsoft：

• 共置於雲端交換。 如果您與雲端交換共置在一個設施中，您可以透過共同位置提供者的乙太網路交換來訂購與 Azure 的虛擬交叉連線。 共置提供者可以提供第 2 層交叉連線，或位於共置設施和 Azure 中基礎結構之間的受控第 3 層交叉連線。
• 點對點乙太網路連線。 您可以透過點對點乙太網路連結，將內部部署資料中心/辦公室連線到 Azure。 點對點乙太網路提供者可以提供第 2 層連線，或月臺與 Azure 之間的受控第 3 層連線。
• 任意對任意 （IPVPN） 網路。 您可以將廣域網 （WAN） 與 Azure 整合。 因特網通訊協定虛擬專用網 （IPVPN） 提供者 （通常是多通訊協定卷標切換 VPN） 提供分公司與數據中心之間的任意對任意連線。 Azure 可以與您的 WAN 互連，使其看起來就像任何其他分公司一樣。 WAN 提供者通常會提供受控第 3 層連線。

如需連線提供者的詳細資訊，請參閱 ExpressRoute 簡介。

ExpressRoute 線路

請確定貴組織已符合連線至 Azure 的 ExpressRoute 必要條件需求 。

如果您尚未這麼做，請將名為 GatewaySubnet 的子網新增至 Azure VNet，並使用 Azure VPN 閘道服務建立 ExpressRoute 虛擬網路閘道。 如需此程式的詳細資訊，請參閱 線路布建和線路狀態的 ExpressRoute 工作流程。

建立 ExpressRoute 線路，如下所示：

1. 執行下列 PowerShell 命令：

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. ServiceKey將新線路的 傳送給服務提供者。

3. 等候提供者布建線路。 若要確認線路的布建狀態，請執行下列 PowerShell 命令：

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   Provisioning state輸出區段中的欄位Service Provider會在線路就緒時從 NotProvisioned Provisioned 變更為 。

   注意

   如果您使用第 3 層連線，提供者應該為您設定和管理路由。 您提供讓提供者實作適當路由所需的資訊。

4. 如果您使用第 2 層連線：

   1. 針對您想要實作的每個對等互連類型，保留由有效公用IP位址組成的兩個 /30 子網。 這些 /30 子網將用來為線路所使用的路由器提供IP位址。 如果您要實作私人和Microsoft對等互連，則需要具有有效公用IP位址的4/30子網。

   2. 設定 ExpressRoute 線路的路由。 針對您想要設定的每個對等互連類型執行下列 PowerShell 命令（私用和Microsoft）。 如需詳細資訊，請參閱 建立和修改 ExpressRoute 線路的路由。

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. 保留另一個有效的公用IP位址集區，以用於網路位址轉換（NAT）以進行Microsoft對等互連。 建議針對每個對等互連使用不同的集區。 指定連線提供者的集區，以便設定這些範圍的邊界網關通訊協定 （BGP） 公告。

5. 執行下列 PowerShell 命令，將私人 VNet 連結至 ExpressRoute 線路。 如需詳細資訊，請參閱 將虛擬網路連結至 ExpressRoute 線路。

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

您可以將位於不同區域的多個 VNet 連線到相同的 ExpressRoute 線路，只要所有 VNet 和 ExpressRoute 線路都位於相同的地緣政治區域內。

疑難排解

如果先前運作的 ExpressRoute 線路現在無法連線，在內部部署或私人 VNet 內沒有任何組態變更時，您可能需要連絡連線提供者，並與其合作以修正問題。 使用下列 PowerShell 命令來確認 ExpressRoute 線路已布建：

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

此命令的輸出會顯示線路的數個屬性，包括 ProvisioningState、 CircuitProvisioningState和 ServiceProviderProvisioningState ，如下所示。

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

ProvisioningState如果您嘗試建立新的線路之後未將 設定為 Succeeded ，請使用下列命令移除線路，然後再嘗試建立一次。

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

如果您的提供者已經佈建線路，且 ProvisioningState 設定為 Failed，或 CircuitProvisioningState 不是 Enabled，請連絡您的提供者以取得進一步的協助。

考量

這些考量能實作 Azure Well-Architected Framework 的要素，其為一組指導原則，可以用來改善工作負載的品質。 如需詳細資訊，請參閱 Microsoft Azure Well-Architected Framework (部分機器翻譯)。

延展性

ExpressRoute 線路提供網路之間的高頻寬路徑。 一般而言，頻寬越高，成本就越高。

ExpressRoute 為客戶提供兩 個定價方案 、計量付費方案和無限制的數據方案。 費用會根據線路頻寬而有所不同。 可用的頻寬可能會因提供者而異。 Get-AzExpressRouteServiceProvider使用 Cmdlet 來查看您區域中可用的提供者及其提供的頻寬。

單一 ExpressRoute 線路可以支援特定數目的對等互連和 VNet 連結。 如需詳細資訊，請參閱 ExpressRoute 限制 。

針對額外費用，ExpressRoute Premium 附加元件提供一些額外的功能：

• 提高私人對等互連的路由限制。
• 每個 ExpressRoute 線路的 VNet 連結數目增加。
• 從全球連線到服務。

如需詳細資訊，請參閱 ExpressRoute 定價 。

ExpressRoute 線路的設計目的是允許暫存網路高載高達您購買的頻寬限制兩倍，而不需要額外費用。 使用備援連結可達成此目的。 不過，並非所有連線提供者都支援這項功能。 請先確認您的連線提供者會先啟用這項功能，再視此功能而定。

雖然某些提供者可讓您變更頻寬，但請確定您挑選的初始頻寬超過您的需求，並提供成長空間。 如果您需要在未來增加頻寬，則會保留兩個選項：

• 增加頻寬。 您應該盡可能避免此選項，而且並非所有提供者都可讓您動態增加頻寬。 但如果需要增加頻寬，請洽詢您的提供者，以確認它們支援透過PowerShell命令變更ExpressRoute頻寬屬性。 如果這樣做，請執行下列命令。

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  您可以增加頻寬，而不會失去連線能力。 降級頻寬會導致連線中斷，因為您必須刪除線路，並使用新的組態重新建立。

• 變更您的定價方案和/或升級至 Premium。 若要這樣做，請執行下列命令。 屬性Sku.Tier可以是 或 ;Sku.Name屬性可以是 MeteredData 或 PremiumUnlimitedData。Standard

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  重要

  請確定 Sku.Name 屬性符合 Sku.Tier 和 Sku.Family。 如果您變更系列和階層，但不是名稱，將會停用您的連線。

  您可以在不中斷的情況下升級 SKU，但無法從無限制的定價方案切換到計量。 降級 SKU 時，您的頻寬耗用量必須維持在標準 SKU 的預設限制內。

可用性

ExpressRoute 不支援路由器備援通訊協定，例如熱待命路由協定 （HSRP） 和虛擬路由器備援通訊協定 （VRRP） 來實作高可用性。 相反地，它會為每個對等互連使用一對備援的 BGP 會話。 為了加速與網路的高可用性連線，Azure 會在主動-主動組態中，在兩個路由器上布建兩個備援埠（Microsoft邊緣的一部分）。

根據預設，BGP 會話會使用 60 秒的閒置逾時值。 如果會話逾時三次（總計 180 秒），路由器會標示為無法使用，且所有流量都會重新導向至其餘路由器。 對於關鍵應用程式而言，這個 180 秒的逾時時間可能太長。 如果是，您可以將內部部署路由器上的 BGP 逾時設定變更為較小的值。 ExpressRoute 也透過私人對等互連支援雙向轉送偵測 （BFD）。 透過 ExpressRoute 啟用 BFD，您可以加速Microsoft Enterprise Edge （MSEE） 裝置與終止 ExpressRoute 線路 （PE） 的路由器之間的連結失敗偵測。 您可以透過 Customer Edge 路由裝置或合作夥伴 Edge 路由裝置終止 ExpressRoute（如果您已使用受控第 3 層連線服務）。

您可以根據您使用的提供者類型，以及您願意設定的 ExpressRoute 線路和虛擬網路網關聯機數目，以不同的方式設定 Azure 連線的高可用性。 下列摘要說明您的可用性選項：

• 如果您使用第 2 層連線，請在主動-主動組態的內部部署網路中部署備援路由器。 將主要線路連線到一個路由器，並將次要線路連接到另一個路由器。 這可讓您在連線的兩端提供高可用性連線。 如果您需要 ExpressRoute 服務等級協定 （SLA）， 這是必要的。 如需詳細資訊，請參閱 Azure ExpressRoute 的 SLA。

  下圖顯示已連線到主要和次要線路的備援內部部署路由器組態。 每個線路都會處理私人對等互連的流量（每個對等互連都會指定一對 /30 位址空間，如上一節所述）。

  

• 如果您使用第 3 層連線，請確認它提供可為您處理可用性的備援 BGP 會話。

• 將 VNet 連線到不同服務提供者提供的多個 ExpressRoute 線路。 此策略提供額外的高可用性和災害復原功能。

• 將站對站 VPN 設定為 ExpressRoute 的故障轉移路徑。 如需此選項的詳細資訊，請參閱 使用 ExpressRoute 搭配 VPN 故障轉移將內部部署網路連線至 Azure。 此選項僅適用於私人對等互連。 針對 Azure 和 Microsoft 365 服務，因特網是唯一的故障轉移路徑。

安全性

安全性可提供保證，以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊，請參閱安全性要素的概觀。

您可以根據安全性考慮和合規性需求，以不同方式設定 Azure 連線的安全性選項。

ExpressRoute 會在第 3 層中運作。 應用層的威脅可以使用網路安全性設備來防止將流量限制為合法資源。

若要將安全性最大化，請在內部部署網路與提供者邊緣路由器之間新增網路安全性設備。 這有助於限制來自 VNet 的未經授權流量流入：

若要進行稽核或合規性，您可能需要禁止從 VNet 中執行的元件直接存取因特網，並實作強制通道。 在此情況下，應該透過執行內部部署的 Proxy 將因特網流量重新導向回，以便稽核該流量。 Proxy 可以設定為封鎖未經授權的流量流出，並篩選潛在的惡意輸入流量。

若要最大化安全性，請勿為您的 VM 啟用公用 IP 位址，並使用 NSG 來確保無法公開存取這些 VM。 VM 只能使用內部IP位址來使用。 您可以透過 ExpressRoute 網路存取這些位址，讓內部部署 DevOps 人員能夠執行設定或維護。

如果您必須將 VM 的管理端點公開至外部網路，請使用 NSG 或存取控制清單來限制這些埠的可見度，以允許 IP 位址或網路清單。

網路監視

使用 網路監看員 來監視和疑難解答網路元件，使用分析之類的工具會在虛擬網路中顯示產生大部分流量的系統，讓您能夠在產生問題之前以可視化方式識別瓶頸。 網路效能管理員能夠監視 Microsoft ExpressRoute 線路的相關信息。

您也可以使用 Azure 連線工具組 （AzureCT） 來監視內部部署資料中心與 Azure 之間的連線。

如需詳細資訊，請參閱 Microsoft Azure Well-Architected Framework 中的 DevOps 一節。 如需監視的特定資訊，請參閱 監視DevOps。

成本最佳化

成本最佳化是關於考慮如何減少不必要的費用，並提升營運效率。 如需詳細資訊，請參閱成本最佳化要素的概觀。

使用 Azure 定價計算機來預估成本。

下一節說明此架構中使用的服務費用。

Azure ExpressRoute

在此架構中，ExpressRoute 線路可用來透過邊緣路由器將內部部署網路與 Azure 聯結。

有兩個主要計劃。 在計量 數據 方案中，所有輸入數據傳輸都是免費的。 所有輸出數據傳輸都會根據預先決定的費率收費。

您也可以選擇無限制 的數據 方案，其中所有輸入和輸出數據傳輸都是免費的。 根據高可用性雙重埠，使用者每月會收取固定的埠費用。

計算您的使用率，並據以選擇計費方案。 如果您超過 68% 的使用率，建議您使用無限制的數據方案。

如需詳細資訊，請參閱 Azure ExpressRoute 定價。

Azure 虛擬網路

所有應用層都裝載在單一虛擬網路中，並使用子網進行區隔。

Azure 虛擬網絡 是免費的。 每個訂用帳戶可跨所有區域建立最多 50 個虛擬網路。 虛擬網路界限內發生的所有流量都是免費的。 因此，相同虛擬網路中的兩部 VM 之間的通訊是免費的。

下一步

產品檔案：

• Microsoft 365 服務
• 什麼是 Azure ExpressRoute？
• 什麼是 Azure 虛擬網路？

Microsoft Learn 課程模組：

• 設定 ExpressRoute 和虛擬 WAN
• 設定虛擬網路對等互連
• 設計和實作 Azure ExpressRoute
• 探索 Microsoft 365 平台服務

相關資源

• 混合架構設計
• 使用 ExpressRoute 將內部部署網路連線至 Azure
• 使用 VPN 擴充內部部署網路