Azure ExpressRoute 的運作方式
您已了解 Azure ExpressRoute 服務的用途,以及您可以將其用於哪些服務。 現在您已經準備好開始了解服務的運作方式。 讓我們來檢查其如何與 Azure 和內部部署網路互動,以協助您在內部部署資料中心與 Microsoft 雲端之間建立安全且可靠的連線。
在此單元中,您會了解如何建立及使用 Azure 線路,以將內部部署網路連線至雲端。 您會看到建立線路所需採取的步驟。 您也會了解 ExpressRoute 連線的其他元件,這些元件會一起運作,構成從內部部署資料中心到 Microsoft 雲端的連線。
ExpressRoute 的架構
所有的區域和位置都支援 ExpressRoute。 若要實作 ExpressRoute,您必須與 ExpressRoute 合作夥伴共同作業。 合作夥伴會提供「邊緣服務」:經過授權且經過驗證的連線,可透過合作夥伴控制的路由器運作。 邊緣服務負責將您的網路延伸至 Microsoft 雲端。
合作夥伴會設定 ExpressRoute 位置中的端點連線 (由 Microsoft 邊緣路由器實作)。 這些連線可讓您透過端點,將內部部署網路與可用的虛擬網路對等互連。 這些連線稱為「線路」。
注意
在 ExpressRoute 的情境下,Microsoft Edge 指的是 ExpressRoute 線路中 Microsoft 端的邊緣路由器。
線路提供實體連線,可透過 ExpressRoute 提供者的邊緣路由器,將資料傳輸至 Microsoft 邊緣路由器。 線路是在私人網路上建立,而不是在公用網際網路上建立。 您的內部部署網路會連線至 ExpressRoute 提供者邊緣路由器。 Microsoft 邊緣路由器提供 Microsoft 雲端的進入點。
ExpressRoute 的先決條件
透過使用 ExpressRoute 連線至 Microsoft 雲端服務之前,您必須有:
- 可以設定從您內部部署網路到 Microsoft 雲端連線的 ExpressRoute 連線合作夥伴或雲端交換提供者。
- 向您所選擇 ExpressRoute 連線合作夥伴註冊的 Azure 訂用帳戶。
- 可用來要求 ExpressRoute 線路的使用中 Microsoft Azure 帳戶。
- 使用中 Office 365 訂閱 (如果您想要連線至 Microsoft 雲端並存取 Office 365 服務)。
ExpressRoute 的運作方式,是將您內部部署網路與 Microsoft 雲端中執行的網路進行對等互連。 您網路上資源可以直接與 Microsoft 主控的資源通訊。 為了支援這些對等互連,ExpressRoute 有數個網路與路由需求:
- 請確定已設定路由網域的 BGP 工作階段。 根據您的合作夥伴,此設定可能是他們或您的責任。 此外,針對每個 ExpressRoute 線路,Microsoft 需要 Microsoft 路由器與您對等互連路由器之間有備援的 BGP 工作階段。
- 您或您的提供者需要透過使用 NAT 服務,將內部部署所使用的私人 IP 位址轉譯為公用 IP 位址。 除了透過 Microsoft 對等互連的公用 IP 位址以外,Microsoft 會拒絕任何 IP 位址。
- 在您的網路中保留數個 IP 位址區塊,以將流量路由傳送至 Microsoft 雲端。 您可以將這些區塊設定為 IP 位址空間中的一個 /29 子網路或兩個 /30 子網路。 其中一個子網路是用來設定 Microsoft 雲端的主要連結,另一個則是實作次要連結。 這些子網路中的第一個位址代表您的 BGP 對等體結尾,第二個位址是 Microsoft 的 BGP 對等體 IP。
ExpressRoute 支援兩種對等互連配置:
- 使用私人對等互連來連線至 Azure 虛擬網路內部署的 Azure IaaS 與 PaaS 服務。 您存取的資源必須都位於使用私人 IP 位址的一或多個 Azure 虛擬網路中。 您無法透過私人對等互連,經由其公用 IP 位址來存取資源。
- 請使用 Microsoft 對等互連來連線至 Azure PaaS 服務、Office 365 服務與 Dynamics 365。
注意
您也可以使用 Azure 入口網站設定公用對等互連。 這種形式的對等互連可讓您連線至 Azure 服務所公開的公用位址。 不過,此對等互連已淘汰,不適用於新的線路。 本課程模組不會描述公用對等互連。
建立 ExpressRoute 線路和對等互連
透過 ExpressRoute 建立與 Azure 的連線是一個多步驟程序。 您可以透過使用 Azure 入口網站,或從命令列透過使用 PowerShell 或 Azure CLI 來執行這其中的許多步驟。 本節描述使用 Azure 入口網站的程序。 如需 PowerShell 與 CLI 指示,請參閱本課程模組結尾的<深入了解>一節。
建立線路
當您使用 Azure 入口網站時,選取 [+ 建立資源],然後搜尋 ExpressRoute。 [建立 ExpressRoute 線路] 頁面會要求您完成下列欄位:
[基本] 索引標籤
| 屬性 | 值 |
|---|---|
| 訂用帳戶 | 您向 ExpressRoute 提供者註冊的訂用帳戶。 |
| 資源群組 | 要在其中建立線路的 Azure 資源群組。 |
| 區域 | 要在其中建立線路的 Azure 位置。 |
| 名稱 | 您線路的有意義名稱,不含任何空白字元或特殊字元。 |
設定索引標籤
| 屬性 | 值 |
|---|---|
| 連接埠類型 | 如果您要透過服務提供者連線,請選取 [提供者],或者,如果您要直接連線至 Microsoft,請選取 [直接]。 |
| 建立新的或從傳統匯入 | 建立新的線路,或選取 [匯入],將現有的線路從傳統模型移至 Resource Manager。 |
| 提供者 | 您向其註冊訂用帳戶的 ExpressRoute 提供者。 |
| 對等位置 | ExpressRoute 提供者所啟用的位置,您可在其中建立線路。 |
| 頻寬 | 選取您的頻寬,從 50 Mbps 到最高 10 Gbps。 請以較低的值開始。 您可以稍後再增加,並不會中斷服務。 不過,如果您一開始將它設定得太高,就無法減少頻寬。 |
| SKU | 如果您只需要連接相同捷運系統中 1 或 2 個 Azure 區域的 Azure 資源,請選取 [區域] (如果可以)。 如果您有最多 10 個虛擬網路,且只需要連線至相同地理區域中的資源,請選取 [標準]。 否則,請選取 [進階],此選項可讓您連線 10 個以上虛擬網路,並建立 Azure 資源的全域連線。 |
| 計費模型 | 選取 [無限制] 以支付固定費用,無論使用量多寡。 或者,選取 [計量付費],根據進入與離開線路的流量來支付費用。 |
| 允許傳統作業 | 選取 [是],表示允許傳統虛擬網路連線至線路。 否則,請選取 [否] 。 |
線路建立可能需要數分鐘的時間。 佈建線路之後,您就可以使用 Azure 入口網站來檢視屬性。 您可以看到已啟用 [線路狀態],這表示線路的 Microsoft 端已準備好接受連線。 [提供者狀態] 一開始設定為 [未佈建],這是因為提供者尚未設定用以連線至您網路的線路端。
您會將 [服務金鑰] 欄位中的值傳送給提供者,讓他們可以設定連線。 此組態可能需要數天的時間來完成。 您可以重新瀏覽此頁面以檢查提供者狀態。
建立對等互連設定
提供者狀態回報為 [已佈建] 之後,您就可以設定對等互連的路由。 這些步驟適用的線路,僅限於由提供第 2 層連線的服務提供者所建立的線路。 針對在第 3 層運作的任何線路,提供者可能可以為您設定路由。
稍早所示的 [ExpressRoute 線路] 頁面會列出每個對等互連及其屬性。 您可以選取對等互連來設定這些屬性。
設定私人對等互連
您可以使用私人對等互連,將網路連線至 Azure 中執行的虛擬網路。 若要設定私人對等互連,您必須提供下列資訊:
- 對等互連 ASN:您這端對等互連的自發系統編號。 此 ASN 可以是公用或私人,以及 16 位元或 32 位元。
- 子網路:如果您想要在對等互連的子網路使用 IPv4 和/或 IPv6,請選取此選項。
- 主要子網路:您在網路中建立的主要 /30 子網路位址範圍。 針對您的路由器,您會使用此子網路中的第一個 IP 位址。 Microsoft 會針對其路由器使用第二個 IP 位址。
- 次要子網路:次要 /30 子網路的位址範圍。 這個子網路提供對 Microsoft 的次要連結。 前兩個位址可用來保存您路由器與 Microsoft 路由器的 IP 位址。
- 啟用 IPv4 對等互連:此選項可讓您啟用和停用私人對等互連 BGP 工作階段。
- VLAN 識別碼:這是要在其中建立對等互連的 VLAN 識別碼。 主要與次要連結都會使用這個 VLAN 識別碼。
- 共用金鑰:此金鑰是選擇性的 MD5 雜湊,可用來將透過線路所傳遞的訊息編碼。
設定 Microsoft 對等互連
您可以使用 Microsoft 對等互連來連線到 Office 365 與其相關聯的服務。 若要設定 Microsoft 對等互連,請提供針對私人對等互連所述的資訊:對等互連 ASN、主要子網路位址範圍、次要子網路位址範圍、子網路 IP 版本、VLAN 識別碼,以及選擇性的共用金鑰。 您也必須提供下列資訊:
- 已公告公用首碼:您在 BGP 工作階段上使用的位址首碼清單。 這些首碼必須註冊給您,且必須是公用位址範圍的首碼。
- 客戶 ASN:如果您要公告未註冊給對等 ASN 的首碼,則這是要使用的選擇性用戶端自發系統編號。
- 路由登錄名稱:這個名稱會識別客戶 ASN 與公用首碼註冊所在的登錄。
將虛擬網路連線到 ExpressRoute 線路
建立 ExpressRoute 線路之後,系統會為您的線路設定 Azure 私人對等互連。 您的網路與 Microsoft 之間的 BGP 工作階段為使用中,因此您可以啟用從內部部署網路到 Azure 的連線。
您必須先透過在其中一個 Azure 虛擬網路上使用子網路建立 Azure 虛擬網路閘道,然後才能連線至私人線路。 虛擬網路閘道會為從內部部署網路進入的網路流量提供進入點。 它會將透過虛擬網路連入的流量引導至 Azure 資源。
您可以設定網路安全性群組與防火牆規則,以控制從內部部署網路路由傳送的流量。 您也可以封鎖內部部署網路中,來自未經授權位址的要求。
注意
您必須使用 ExpressRoute 類型,而不是 VPN,來建立虛擬網路閘道。
最多可將 10 個虛擬網路連結至 ExpressRoute 線路,但使用標準 SKU 時,這些虛擬網路必須與 ExpressRoute 線路位於相同的地緣政治區域。 如有必要,您最多可以將單一虛擬網路連結至四個 ExpressRoute 線路。 ExpressRoute 線路可以位於與虛擬網路相同的訂用帳戶中,或位於不同的訂用帳戶中。
如果您使用 Azure 入口網站,則可以將對等互連連線至虛擬網路閘道,如下所示:
- 在線路的 [ExpressRoute 線路] 頁面上,選取 [連線]。
- 在 [連線] 頁面上,選取 [新增]。
- 在 [新增連線] 頁面上,為連線指定名稱,然後選取您的虛擬網路閘道。 當作業完成時,您的內部部署網路會透過虛擬網路閘道連線至您在 Azure 中的虛擬網路。 連線會透過 ExpressRoute 連線進行。
ExpressRoute 的高可用性和容錯移轉
在每個 ExpressRoute 線路中,連線提供者有兩個連線連至兩個不同的 Microsoft 邊緣路由器。 此設定會自動進行。 其會在單一位置內提供某種程度的可用性。
請考慮在不同的對等互連位置中設定 ExpressRoute 線路,以提供高可用性並協助防止區域性中斷。 例如,您可以在美國東部和美國中部區域建立線路,並將這些線路連線到您的虛擬網路。 如此一來,如果其中一個 ExpressRoute 線路中斷,您並不會失去對資源的連線,且可以將連線容錯移轉至另一個 ExpressRoute 線路。
您也可以在不同的提供者之間擁有多個線路,以確保即使中斷會影響來自單一核准提供者的所有線路,您的網路仍可使用。 您可以設定 [連線權數] 屬性來偏好兩個線路中的某一個。
ExpressRoute Direct 與 FastPath
Microsoft 也提供稱為 ExpressRoute Direct 的超高速選項。 此服務可提供雙重 100 Gbps 的連線能力。 這適用於涉及大量與頻繁資料擷取的案例。 這也適用於需要極高可擴縮性的解決方案,例如銀行、政府機構與零售業。
您可以向 Microsoft 註冊訂用帳戶,以啟用 ExpressRoute Direct。 如需詳細資訊,請前往本課程模組結尾<深入了解>一節中的 ExpressRoute 文章。
ExpressRoute Direct 支援 FastPath。 FastPath 在啟用時,會將網路流量直接傳送至做為預定目的地的虛擬機器。 流量會略過虛擬網路閘道,以改善 Azure 虛擬網路與內部部署網路之間的效能。
FastPath 支援虛擬網路對等互連 (亦即您將虛擬網路連線在一起)。 其也支援閘道子網路上的使用者定義路由。