Azure Well-Architected Framework 檢閱 - Azure ExpressRoute
本文提供 Azure ExpressRoute 的架構最佳做法。 指導方針是以架構卓越五大要素為基礎:
我們假設您具備 Azure ExpressRoute 的工作知識,並熟悉其所有功能。 如需詳細資訊,請參閱 Azure ExpressRoute。
必要條件
針對內容,請考慮檢閱參考架構,以反映其設計中的這些考慮。 建議您從雲端採用架構就緒方法的指引開始連線到 Azure和架構設計人員,以使用 Azure ExpressRoute進行混合式連線。 針對低程式碼應用程式架構,建議您在規劃和設定 ExpressRoute 以搭配 Microsoft Power Platform 使用時,檢閱 為 Power Platform 啟用 ExpressRoute 。
可靠性
在雲端中,我們知道失敗在所難免。 此目標不是試著完全避免失敗,而是將單一故障元件的影響降至最低。 使用下列資訊,在使用 Azure ExpressRoute 建立連線時,將 Azure 的停機時間降到最低。
在討論 Azure ExpressRoute 的可靠性時,請務必考慮頻寬使用量、網路的實體配置,以及發生失敗時的災害復原。 Azure ExpressRoute 能夠達成這些設計考慮,並針對檢查清單中的每個專案提供建議。
在下列 設計檢查清單 和建議 清單中 ,會顯示資訊,讓您在 Azure 環境與內部部署網路之間設計高可用性網路。
設計檢查清單
當您為 Azure ExpressRoute 做出設計選擇時,請檢閱將可靠性新增至架構 的設計原則 。
- 在 ExpressRoute 線路或 ExpressRoute Direct 之間選取商務需求。
- 設定服務提供者的各種實體層網路。
- 設定具有不同服務提供者的 ExpressRoute 線路,以有不同的路由路徑。
- 設定內部部署與 Azure 之間的 Active-Active ExpressRoute 連線。
- 設定可用性區域感知 ExpressRoute 虛擬網路 閘道。
- 在與內部部署網路不同的位置設定 ExpressRoute 線路。
- 在不同的區域中設定 ExpressRoute 虛擬網路閘道。
- 將站對站 VPN 設定為 ExpressRoute 私人對等互連的備份。
- 設定 ExpressRoute 線路和 ExpressRoute 虛擬網路閘道健全狀況的監視。
- 設定服務健康情況以接收 ExpressRoute 線路維護通知。
建議
探索下列建議表格,以優化 ExpressRoute 設定的可靠性。
| 建議 | 優點 |
|---|---|
| 規劃 ExpressRoute 線路或 ExpressRoute Direct | 在初始規劃階段,您想要決定是否要設定 ExpressRoute 線路或 ExpressRoute Direct 連線。 ExpressRoute 線路可透過連線提供者的協助,允許私人專用連線到 Azure。 ExpressRoute Direct 可讓您直接在對等互連位置將內部部署網路延伸至 Microsoft 網路。 您也需要識別業務需求的頻寬需求和 SKU 類型需求。 |
| 實體層多樣性 | 若要獲得更佳的復原能力,請規劃在內部部署邊緣與 (提供者/Microsoft 邊緣位置) 的對等互連位置之間有多個路徑。 透過不同的服務提供者,或透過與內部部署網路不同的位置,即可達成此設定。 |
| 規劃異地備援線路 | 若要規劃災害復原,請在多個對等互連位置中設定 ExpressRoute 線路。 您可以在相同城市或不同城市中的對等互連位置中建立線路,並選擇與不同的服務提供者合作,以透過每個線路進行不同的路徑。 如需詳細資訊,請參閱 設計災害復原 和 設計高可用性。 |
| 規劃 Active-Active 連線 | 在內部部署與 Azure 之間設定主動-主動連線時,ExpressRoute 專用線路可保證 99.95% 可用性。 此模式提供 Expressroute 連線的較高可用性。 如果連線發生連結失敗,也建議您設定 BFD 以加快容錯移轉速度。 |
| 規劃虛擬網路閘道 | 建立可用性區域感知虛擬網路閘道,以取得更高的復原能力,並規劃不同區域中的 虛擬網路 閘道以進行災害復原和高可用性。 |
| 監視線路和閘道健康情況 | 根據可用的各種計量,設定 ExpressRoute 線路和虛擬網路閘道健康情況的監視和警示。 |
| 啟用服務健康情況 | ExpressRoute 會使用服務健康情況來通知計劃性和非計劃性維護。 設定服務健康情況會通知您 ExpressRoute 線路的變更。 |
如需更多建議,請參閱 可靠性要素的原則。
Azure Advisor 提供許多 ExpressRoute 線路的建議,因為它們與可靠性有關。 例如,Azure Advisor 可以偵測:
- 只部署單一 ExpressRoute 線路的 ExpressRoute 閘道,而不是多個。 建議使用多個 ExpressRoute 線路來新增對等互連位置的復原功能。
- 連線監視器未觀察到的 ExpressRoute 線路,因為 ExpressRoute 線路的端對端監視對於可靠性深入解析而言非常重要。
- 涉及多個對等互連位置的網路拓撲,可受益于 ExpressRoute Global Reach,以改善內部部署連線的災害復原設計,以考慮未規劃的連線中斷。
安全性
安全性是任何架構中最重要的其中一個層面。 ExpressRoute 提供功能來同時採用最低許可權和防禦防禦原則。 建議您檢閱 安全性設計原則。
設計檢查清單
- 設定活動記錄以將記錄傳送至封存。
- 維護具有 ExpressRoute 資源存取權的系統管理帳戶清查。
- 在 ExpressRoute 線路上設定 MD5 雜湊。
- 設定 ExpressRoute Direct 資源的 MACSec。
- 針對虛擬網路流量,透過私人對等互連和 Microsoft 對等互連加密流量。
建議
探索下列建議表格,以優化 ExpressRoute 設定的安全性。
| 建議 | 優點 |
|---|---|
| 設定活動記錄以將記錄傳送至封存 | 活動記錄可讓您深入瞭解在 ExpressRoute 資源的訂用帳戶層級執行的作業。 使用活動記錄,您可以判斷在控制平面上執行作業的人員和時間。 資料保留期只有 90 天,且必須儲存在 Log Analytics、事件中樞或儲存體帳戶以進行封存。 |
| 維護系統管理帳戶的清查 | 使用 Azure RBAC 來設定角色,以限制可在 ExpressRoute 線路上新增、更新或刪除對等互連設定的使用者帳戶。 |
| 在 ExpressRoute 線路上設定 MD5 雜湊 | 在設定私人對等互連或 Microsoft 對等互連期間,套用 MD5 雜湊來保護內部部署路由與 MSEE 路由器之間的訊息。 |
| 設定 ExpressRoute Direct 資源的 MACSec | 媒體存取控制安全性是資料連結層的點對點安全性。 ExpressRoute Direct 支援設定 MACSec,以防止 ARP、DHCP、LACP 等通訊協定的安全性威脅,通常不會在乙太網路連結上受到保護。 如需如何設定 MACSec 的詳細資訊,請參閱 適用于 ExpressRoute 直接埠的 MACSec。 |
| 使用 IPsec 加密流量 | 透過 ExpressRoute 線路設定站對站 VPN 通道,以加密內部部署網路與 Azure 虛擬網路之間傳輸的資料。 您可以使用 私人對等互連 或使用 Microsoft 對等互連來設定通道。 |
如需更多建議,請參閱 安全性要素的原則。
成本最佳化
成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。 建議您檢閱 成本優化設計準則 和 規劃和管理 Azure ExpressRoute 的成本。
設計檢查清單
- 熟悉 ExpressRoute 定價。
- 判斷所需的 ExpressRoute 線路 SKU 和頻寬。
- 判斷所需的 ExpressRoute 虛擬網路閘道大小。
- 監視成本並建立預算警示。
- 取消布建 ExpressRoute 線路不再使用。
建議
探索下表的建議,以優化 ExpressRoute 設定以進行成本優化。
| 建議 | 優點 |
|---|---|
| 熟悉 ExpressRoute 定價 | 如需 ExpressRoute 定價的相關資訊,請參閱 瞭解 Azure ExpressRoute 的定價。 您也可以使用 定價計算機。 請確定選項的大小適當,以符合容量需求並傳遞預期的效能,而不需要浪費資源。 |
| 判斷所需的 SKU 和頻寬 | 您支付 ExpressRoute 使用量費用的方式會因三種不同的 SKU 類型而有所不同。 使用本機 SKU 時,系統會自動以無限制資料方案向您收費。 使用標準和進階 SKU 時,您可以在計量資料方案或無限制資料方案之間做選擇。 除了使用 Global Reach 附加元件時以外,所有輸入資料均免費。 請務必了解哪些 SKU 類型和資料方案最適合您的工作負載,以便獲得最佳的成本與預算。 如需調整 ExpressRoute 線路大小的詳細資訊,請參閱 升級 ExpressRoute 線路頻寬。 |
| 判斷 ExpressRoute 虛擬網路閘道大小 | ExpressRoute 虛擬網路閘道可用來透過私人對等互連將流量傳遞至虛擬網路。 檢閱您慣用虛擬網路閘道 SKU 的效能和規模需求。 選取內部部署至 Azure 工作負載的適當閘道 SKU。 |
| 監視成本並建立預算警示 | 監視 ExpressRoute 線路的成本,並建立消費異常和超額風險的警示。 如需詳細資訊,請參閱 監視 ExpressRoute 成本。 |
| 取消布建和刪除不再使用的 ExpressRoute 線路。 | ExpressRoute 線路會在建立 ExpressRoute 線路時收費。 若要降低不必要的成本,請使用服務提供者取消布建線路,並從您的訂用帳戶中刪除 ExpressRoute 線路。 如需如何移除 ExpressRoute 線路的步驟,請參閱 取消布建 ExpressRoute 線路。 |
如需更多建議,請參閱 成本優化的設計檢閱檢查清單。
Azure Advisor 可以偵測已部署很長一段時間但提供者狀態為 「未布建」的 ExpressRoute 線路。 處於此狀態的線路無法運作;並移除未使用的資源將會降低不必要的成本。
卓越營運
監視和診斷能力極為重要。 您不僅能測量效能統計資料,還能快速使用計量疑難排解和補救問題。 建議您檢閱 營運卓越設計原則。
設計檢查清單
- 設定內部部署與 Azure 網路之間的連線監視。
- 設定服務健康狀態以接收通知。
- 使用 Network Insights 檢閱透過 ExpressRoute Insights 提供的計量和儀表板。
- 檢閱 ExpressRoute 資源計量。
建議
探索下列建議表格,以將 ExpressRoute 設定優化,以達到卓越營運。
| 建議 | 優點 |
|---|---|
| 設定連線監視 | 連線監視 可讓您透過 ExpressRoute 私人對等互連和 Microsoft 對等互連連線,監視內部部署資源與 Azure 之間的連線。 連線監視器可以藉由識別問題所在網路路徑的位置來偵測網路問題,並協助您快速解決設定或硬體失敗。 |
| 設定服務健康情況 | 設定 服務健康狀態通知 ,以在訂用帳戶中的所有 ExpressRoute 線路發生計劃性與即將進行的維護時發出警示。 如果發生非計劃性維護,服務健康情況也會顯示過去維護以及 RCA。 |
| 使用 Network Insights 檢閱計量 | ExpressRoute Insights 與 Network Insights 可讓您檢閱和分析 ExpressRoute 線路、閘道、連線計量和健康情況儀表板。 ExpressRoute Insights 也提供 ExpressRoute 連線的拓撲檢視,您可以在其中檢視所有對等互連元件的詳細資料。 可用的計量: -可用 性 -輸送量 - 閘道計量 |
| 檢閱 ExpressRoute 資源計量 | ExpressRoute 會使用 Azure 監視器來收集 計量,並根據您的設定建立警示 。 系統會收集 ExpressRoute 線路、ExpressRoute 閘道、ExpressRoute 閘道連線和 ExpressRoute Direct 的計量。 這些計量有助於診斷連線問題,並瞭解 ExpressRoute 連線的效能。 |
如需更多建議,請參閱 營運卓越要素的原則。
效能效率
效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 建議您檢閱 效能效率原則。
設計檢查清單
- 測試 ExpressRoute 閘道效能以符合工作負載需求。
- 增加 ExpressRoute 閘道的大小。
- 升級 ExpressRoute 線路頻寬。
- 啟用 ExpressRoute FastPath 以取得更高的輸送量。
- 監視 ExpressRoute 線路和閘道計量。
建議
探索下表的建議,以優化 ExpressRoute 組態以提升效能效率。
| 建議 | 優點 |
|---|---|
| 測試 ExpressRoute 閘道效能以符合工作負載需求。 | 使用 Azure 連線工具組 來測試 ExpressRoute 線路的效能,以瞭解網路連線的頻寬容量和延遲。 |
| 增加 ExpressRoute 閘道的大小。 | 升級至較高的 閘道 SKU ,以改善內部部署與 Azure 環境之間的輸送量效能。 |
| 升級 ExpressRoute 線路頻寬 | 升級 線路頻寬 以符合您的工作負載需求。 線路頻寬會在連線到 ExpressRoute 線路的所有虛擬網路之間共用。 根據您的工作負載,一或多個虛擬網路可以使用線路上的所有頻寬。 |
| 啟用 ExpressRoute FastPath 以取得更高的輸送量 | 如果您使用 Ultra 效能或 ErGW3AZ 虛擬網路閘道,您可以啟用 FastPath 來改善內部部署網路與 Azure 虛擬網路之間的資料路徑效能。 |
| 監視 ExpressRoute 線路和閘道計量 | 根據 ExpressRoute 計量 設定警示,以在符合特定閾值時主動通知您。 這些計量有助於瞭解 ExpressRoute 連線可能發生的異常狀況,例如 ExpressRoute 線路發生中斷和維護。 |
如需更多建議,請參閱 效能效率要素的原則。
當您的線路最近耗用超過 90% 的採購頻寬時,Azure Advisor 會建議您升級 ExpressRoute 線路頻寬,以容納使用量。 如果您的流量超過配置的頻寬,您將會遇到已捨棄的封包,這可能會導致顯著的效能或可靠性影響。
套用標記
Azure 原則不提供 ExpressRoute 的任何內建原則,但可以建立自訂原則,以協助控管 ExpressRoute 線路應如何符合您想要的結束狀態,例如 SKU 選擇、對等互連類型、對等互連設定等等。
其他資源
雲端採用架構指引
下一步
設定 ExpressRoute 線路 或 ExpressRoute Direct 埠 ,以建立內部部署網路與 Azure 之間的通訊。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應