探索 Azure ExpressRoute
ExpressRoute 可讓您藉由連線提供者的協助,透過私人連線將內部部署網路延伸至 Microsoft 雲端。 透過 ExpressRoute,您可以建立各種 Microsoft 雲端服務的連線,例如 Microsoft Azure 和 Microsoft 365。 連線可以來自任意 (IP VPN) 網路、點對點乙太網路,也可以是在共置設施透過連線提供者的虛擬交叉連線。 由於 ExpressRoute 連線不會經過公用網際網路,因此這種方法可讓 ExpressRoute 連線提供更高的可靠性、更快的速度、一致的延遲和更高的安全性。
ExpressRoute 功能
ExpressRoute 的一些主要優點如下:
- 內部部署網路與 Microsoft Cloud 之間透過連線提供者的第 3 層連線能力
- 連線出發點可為任意對任意 (IPVPN) 網路、點對點乙太網路連線,或是透過乙太網路交換的虛擬交叉連線
- 跨地緣政治區域中的所有區域連線到 Microsoft 雲端服務
- 透過 ExpressRoute Premium 附加元件從全球連線到所有區域的 Microsoft 服務
- 每個對等互連位置均有內建備援,可靠性更高
Azure ExpressRoute 用來在 Azure 資料中心和內部部署或共置環境中的基礎結構之間建立私人連線。 ExpressRoute 連線不經過公用網際網路,相較於一般網際網路連線更為可靠、速度更快且延遲更低。
了解 Azure ExpressRoute 的使用案例
以更快且更可靠的連線連至 Azure 服務 - 利用 Azure 服務的組織都在尋求能連至 Azure 服務與資料中心的可靠連線。 公用網際網路依賴許多因素,因此可能不適合用於商務環境。 Azure ExpressRoute 可用來在 Azure 資料中心和內部部署或共置環境中的基礎結構之間建立私人連線。 使用 ExpressRoute 連線在內部部署系統與 Azure 之間傳輸資料,也可能產生顯著的成本效益。
儲存體、備份及復原 - 對於組織的商務持續性以及從中斷復原的能力而言,備份與復原至關重要。 ExpressRoute 頻寬最高可達 100 Gbps,能為您提供連至 Azure 的快速可靠連線,是適用於定期資料移轉、商務持續性複寫、災害復原及其他高可用性策略的極佳選擇。
延伸資料中心功能 - ExpressRoute 可用於對您現有的資料中心連線及新增計算與儲存體容量。 因為有著高輸送量與極低延遲的優點,您將感受到 Azure 與您的資料中心近在咫尺,使您能享有公用雲端的規模與經濟效益,而不必犧牲網路效能。
可預測、可靠且高輸送量的連線 - 有了 ExpressRoute 所提供可預測、可靠且高輸送量的連線,企業能夠建置跨內部部署架構與 Azure 的應用程式,而不犧牲隱私權或效能。 舉例來說,在 Azure 中執行會向內部部署 Active Directory 服務驗證您客戶的內部網路應用程式,並在不透過公用網際網路路由任何流量的情況下為企業客戶提供服務。
ExpressRoute 連線模型
您可以使用四種不同的方式建立內部部署網路與 Microsoft 雲端之間的連線,包括 CloudExchange 共置、點對點乙太網路連線、任意點對任意點 (IPVPN) 連線以及 ExpressRoute Direct。 連線提供者可能會提供一或多個連線模型。
共置於雲端交換
如果您共置於具有雲端交換的設施中,您可以指示透過共置提供者的乙太網路交換,對 Microsoft 雲端進行虛擬交叉連線。 共置提供者可以在您於共置設施中的基礎結構與 Microsoft 雲端之間,提供第 2 層交叉連線或受控的第 3 層交叉連線。
點對點乙太網路連線
您可以透過點對點乙太網路連結,將內部部署資料中心/辦公室連線到 Microsoft 雲端。 點對點乙太網路提供者可以在您的網站與 Microsoft 雲端之間,提供第 2 層連線或受控的第 3 層連線。
任意 (IPVPN) 網路
您可以整合 WAN 與 Microsoft 雲端。 IPVPN 提供者 (通常是 MPLS VPN) 會提供分公司與資料中心之間的任意連線。 Microsoft 雲端可以與您的 WAN 互連,使其看起來就像任何其他分公司一樣。 WAN 提供者通常會提供受控的第 3 層連線。
直接從 ExpressRoute 站台
您可以透過策略性分散於世界各地的對等互連位置,直接連線至 Microsoft 的全球網路。 ExpressRoute Direct 提供雙重 100 Gbps 或 10 Gbps 連線,且支援大規模主動/主動連線。
ExpressRoute 部署的設計考量
規劃 ExpressRoute 部署時,需要做出許多決策。 本節討論在設計部署時,必須考慮的幾個重要部分。
選擇提供者或直接模型 (ExpressRoute Direct)
ExpressRoute Direct
ExpressRoute Direct 讓您能夠在策略性分散於世界各地的對等互連位置,直接連線至 Microsoft 的全球網路。 ExpressRoute Direct 提供雙重 100 Gbps 或 10 Gbps 連線,且支援大規模主動/主動連線。 您可以使用適用於 ExpressRoute Direct 的任何服務提供者。
ExpressRoute Direct 提供的主要功能包括:
- 將資料大量內嵌至儲存體與 Cosmos DB 等服務
- 實體隔離,適用於銀行、政府與零售等受管制且需要專用隔離連線的產業
- 根據業務單位更細微地控制線路分佈
使用 ExpressRoute Direct 與使用服務提供者
| 使用服務提供者的 ExpressRoute | ExpressRoute Direct |
|---|---|
| 使用服務提供者可讓您快速上線並連線至現有的基礎結構 | 需要 100 Gbps/10 Gbps 基礎結構和所有層的完整管理 |
| 與數百個提供者整合,包括乙太網路和 MPLS | 適用於受管制產業和大規模資料內嵌的直接/專用容量 |
| 從 50 Mbps 到 10 Gbps 的線路 SKU | 客戶可在 100 Gbps 的 ExpressRoute Direct 選擇下列線路 SKU 組合:5 Gbps 10 Gbps 40 Gbps 100 Gbps 客戶可在 10 Gbps 的 ExpressRoute Direct 選擇下列線路 SKU 組合:1 Gbps 2 Gbps 5 Gbps 10 Gbps |
| 已針對單一租用戶最佳化 | 為具有多個營業單位和多種工作環境的單一租使用者進行了最佳化 |
路由公告
在 ExpressRoute 線路上設定 Microsoft 對等互連後,Microsoft 邊緣路由器會透過您的連線提供者,建立一組邊界閘道協定 (BGP) 工作階段與邊緣路由器。 沒有路由會公告至您的網路。 若要讓路由公告至您的網路,您必須建立與路由篩選的關聯。
若要建立路由篩選的關聯:
- 您必須具有已佈建 Microsoft 對等互連的使用中 ExpressRoute 線路。
- 繼續之前,請建立 ExpressRoute 線路,並讓您的連線提供者啟用線路。 ExpressRoute 線路必須處於已佈建及已啟用的狀態。
- 如果您直接管理 BGP 工作階段,請建立 Microsoft 對等互連。 或者,讓您的連線提供者為您的線路佈建 Microsoft 對等互連。
取得 BGP 社群值清單
如需與可透過 Microsoft 對等互連存取之服務相關聯的 BGP 社群值,請參閱 ExpressRoute 路由需求頁面。
製作您想要使用的值清單
製作您想要在路由篩選中使用的 BGP 社群值清單。
雙向轉送偵測
ExpressRoute 支援透過私用對等互連進行雙向轉送偵測 (BFD)。 當您透過 ExpressRoute 啟用 BFD 時,可以加速 Microsoft Enterprise Edge (MSEE) 裝置與您 ExpressRoute 線路 (CE/PE) 設定的路由器之間的連結失敗偵測。 您可以透過邊緣路由裝置或協力廠商邊緣路由裝置來設定 ExpressRoute (前提是您已使用受控的第 3 層連線服務)。 本節將逐步引導您了解 BFD 的需求,以及如何透過 ExpressRoute 啟用 BFD。
您可以透過第 2 層連線或受控的第 3 層連線啟用 ExpressRoute 線路。 在這兩種情況下,如果 ExpressRoute 連線路徑中有多部第 2 層裝置,都會是上層的 BGP 工作階段要負責偵測路徑中的任何連結失敗。
在 MSEE 裝置上,BGP 保持運作時間和保留時間通常會分別設定為 60 和 180 秒。 因此,在發生連結失敗之後,最多需要三分鐘的時間才能偵測到任何連結失敗,並將流量切換至其他連線。
您可以控制 BGP 計時器,方法是在邊緣對等互連裝置上設定較低的 BGP 保持運作時間和保留時間。 如果兩個對等互連裝置之間的 BGP 計時器不同,則會使用較低的時間值來建立 BGP 工作階段。 BGP 保持運作時間最低可設定為三秒,而保留時間最低可設定為 10 秒。 但是,不建議設定過於緊湊的 BGP 計時器,因為通訊協定需要大量處理。
在此案例中,BFD 可以提供協助。 BFD 以不到一秒的時間間隔提供低額外負荷的連結失敗偵測。
下圖顯示透過 ExpressRoute 路線啟用 BFD 的好處:
啟用 BFD
MSEE 上所有新建立的 ExpressRoute 私人對等互連介面下預設都會設定 BFD。 因此,若要啟用 BFD,您只需要在主要和次要裝置上都設定 BFD 即可。 設定 BFD 需要兩個步驟。 在介面上設定 BFD,然後將其連結至 BGP 工作階段。
當您停用對等互連時,ExpressRoute 線路主要與次要連線上的邊界閘道協定 (BGP) 工作階段都會關閉。 當您啟用對等互連時,ExpressRoute 線路主要與次要連線上的 BGP 工作階段就會恢復。
注意
當您第一次在 ExpressRoute 線路上設定對等互連時,系統會根據預設啟用對等互連。
在下列案例中,重設您的 ExpressRoute 對等互連可能會有幫助:
您在測試災害復原的設計和實作。 例如,假設您有兩個 ExpressRoute 線路。 您可以停用一個線路的對等互連,並強制將網路流量使用另一個線路。
您想要在 Azure 私人對等互連或 Microsoft 對等互連上啟用雙向轉送偵測 (BFD)。 如果您的 ExpressRoute 線路在 2018 年 8 月 1 日之前於 Azure 私人對等互連建立,或在 2020 年 1 月 10 日之前於 Microsoft 對等互連建立,則預設不會啟用 BFD。 重設對等互連以啟用 BFD。
透過 ExpressRoute 設定加密
本節說明如何使用 Azure 虛擬 WAN,透過 Azure ExpressRoute 線路的私人對等互連,建立從內部部署網路到 Azure 的 IPsec/IKE VPN 連線。 此技術可透過 ExpressRoute 來提供內部部署網路與 Azure 虛擬網路之間的加密傳輸,而不需要經過公用網際網路或使用公用 IP 位址。
拓撲和路由
下圖顯示透過 ExpressRoute 私用對等互連的 VPN 連線範例:
圖表顯示透過 ExpressRoute 私人對等互連連線到 Azure 中樞 VPN 閘道之內部部署網路中的網路。 建立連線的方法很簡單:
- 使用 ExpressRoute 線路和私人對等互連建立 ExpressRoute 連線。
- 建立 VPN 連線。
這項設定的重要層面是在內部部署網路與 Azure 之間,透過 ExpressRoute 和 VPN 路徑兩者進行路由。
從內部部署網路到 Azure 的流量
針對從內部部署網路到 Azure 的流量,Azure 首碼 (包括虛擬中樞以及連線至中樞的所有輪輻虛擬網路) 會透過 ExpressRoute 私人對等互連 BGP 和 VPN BGP 兩者進行公告。 這會產生兩個從內部部署網路到 Azure 的網路路由 (路徑):
- 一個透過受 IPsec 保護的路徑
- 另一個直接透過沒有 IPsec 保護的 ExpressRoute
若要將加密套用至通訊,您必須確定對於圖表中連線到 VPN 的網路,透過內部部署 VPN 閘道的 Azure 路由會優先於直接 ExpressRoute 路徑。
從 Azure 到內部部署網路的流量
相同需求適用於從 Azure 到內部部署網路的流量。 若要確保 IPsec 路徑會優先於直接 ExpressRoute 路徑 (沒有 IPsec),您有兩個選項:
- 在連線到 VPN 之網路的 VPN BGP 工作階段公告更明確的首碼。 您可以透過 ExpressRoute 私人對等互連來公告包含連線到 VPN 之網路在內的較大範圍,然後公告 VPN BGP 工作階段中較具體的範圍。 例如,透過 ExpressRoute 公告 10.0.0.0/16,並透過 VPN 公告 10.0.1.0/24。
- 公告 VPN 和 ExpressRoute 的不相鄰首碼。 如果連線到 VPN 的網路範圍與其他 ExpressRoute 連線網路不相鄰,您可以分別在 VPN 和 ExpressRoute BGP 工作階段中公告首碼。 例如,透過 ExpressRoute 公告 10.0.0.0/24,並透過 VPN 公告 10.0.1.0/24。
在這兩個範例中,Azure 都會透過 VPN 連線將流量傳送至 10.0.1.0/24,而不是直接透過沒有 VPN 保護的 ExpressRoute 傳送。
[!警告]
如果您在 ExpressRoute 和 VPN 連線上公告相同的首碼,Azure 將直接使用沒有 VPN 保護的 ExpressRoute 路徑。
設計 ExpressRoute 部署的備援
有 2 種方式可規劃 ExpressRoute 部署的備援。
- 設定 ExpressRoute 和站對站並存連線
- 在 Azure 可用性區域中建立區域備援 VNET 閘道
設定 ExpressRoute 和站對站並存連線
本節將協助您設定並存的 ExpressRoute 和站對站 VPN 連線。 能夠設定站對站 VPN 和 ExpressRoute 有幾個優點。 您可以將站對站 VPN 設定為 ExressRoute 的安全容錯移轉路徑,或使用站對站 VPN 來連線至不是透過 ExpressRoute 連線的網站。
設定站對站 VPN 和 ExpressRoute 並存連線有幾個優點:
- 您可以設定站對站 VPN 作為 ExpressRoute 的安全容錯移轉路徑。
- 或者,您可以使用站對站 VPN 來連線到未透過 ExpressRoute 連線的網站。
您可以先設定任一閘道。 通常,在新增閘道或閘道連線時,不會產生任何停機時間。
網路限制和限制
- 僅支援路由式 VPN 閘道。 您必須使用路由式 VPN 閘道。 您也可以使用針對「以原則為基礎的流量選取器」設定 VPN 連線的路由式 VPN 閘道。
- Azure VPN 閘道的 ASN 必須設定為 65515。 Azure VPN 閘道支援 BGP 路由通訊協定。 若要讓 ExpressRoute 和 Azure VPN 一起運作,您必須將 Azure VPN 閘道的自治系統號碼維持在預設值 65515。 如果之前選取了 65515 以外的 ASN,後來又將設定變更為 65515,您必須重設 VPN 閘道,設定才會生效。
- 閘道子網路必須是 /27 或較短的前置詞 (例如 /26、/25),否則當您新增 ExpressRoute 虛擬網路閘道時,將會收到錯誤訊息。
- 雙重堆疊 VNet 中不支援共存。 如果您使用 ExpressRoute IPv6 支援和雙重堆疊 ExpressRoute 閘道,將無法與 VPN 閘道共存。
在 Azure 可用性區域中建立區域備援 VNET 閘道
您可以在 Azure 可用性區域中部署 VPN 和 ExpressRoute 閘道。 此方式可為虛擬網路閘道帶來復原力、延展性和更高的可用性。 在 Azure 可用性區域中部署閘道可從根本上和邏輯上分隔區域內的閘道,同時還能在發生區域層級的失敗時,保護您內部部署項目與 Azure 的網路連線。
區域備援閘道
若要在各個可用性區域上自動部署虛擬網路閘道,您可以使用區域備援虛擬網路閘道。 有了區域備援閘道,您就可以利用區域備援來存取 Azure 上具任務關鍵性且可調整規模的服務。
分區閘道
若要在特定區域中部署閘道,您可以使用分區閘道。 當您部署分區閘道時,閘道的所有執行個體都會部署在相同的可用性區域中。
閘道 SKU
區域備援和分區閘道都是以閘道 SKU 的形式提供。 Azure AZ 區域中有新的虛擬網路閘道 SKU。 這些 SKU 與 ExpressRoute 和 VPN 閘道的現有 SKU 相類似,不同之處在於這些 SKU 專用於區域備援和分區閘道。 這些 SKU 可用 SKU 名稱中的 "AZ" 加以識別。
公用 IP SKU
區域備援閘道和分區閘道均依賴 Azure 公用 IP 資源標準 SKU。 Azure 公用 IP 資源的設定可決定您部署的閘道是區域備援或分區閘道。 如果您以基本 SKU 建立公用 IP 資源,閘道就不會有任何區域備援,且閘道資源將會是區域性的。
區域備援閘道
- 當您使用標準公用 IP SKU 建立公用 IP 位址,但沒有指定區域時,行為會根據閘道是 VPN 閘道或 ExpressRoute 閘道而有所差異。
- 如果是 VPN 閘道,會將兩個閘道執行個體部署在這三個區域的其中任 2 個,以提供區域備援。
- 如果是 ExpressRoute 閘道,由於可能會有兩個以上的執行個體,因此閘道可以橫跨所有三個區域。
分區閘道
- 當您使用標準公用 IP SKU 建立公用 IP 位址,並指定區域 (1、2 或 3) 時,所有閘道執行個體都會部署在相同的區域中。
區域閘道
- 當您使用基本公用 IP SKU 建立公用 IP 位址時,閘道會部署為區域閘道,而且不會在閘道內建任何區域備援。
設定站對站 VPN 作為 ExpressRoute 的容錯移轉路徑
您可以設定站對站 VPN 連線作為 ExpressRoute 的備份。 此連線僅適用於連結至 Azure 私人對等路徑的虛擬網路。 對於可透過 Microsoft Azure 對等互連存取的服務,沒有以 VPN 為基礎的容錯移轉解決方案。 ExpressRoute 線路一律為主要連結。 只有在 ExpressRoute 線路失敗時,資料才會流經站對站 VPN 路徑。 為了避免非對稱式路由,您的本機網路設定也應該偏好透過 ExpressRoute 線路而不是站對站 VPN。 您可以為接收 ExpressRoute 的路由設定較高的本機喜好設定,來偏好透過 ExpressRoute 路徑。
注意
如果您已啟用 ExpressRoute Microsoft 對等互連,您會在 ExpressRoute 連線上收到 Azure VPN 閘道的公用 IP 位址。 若要將您的站對站 VPN 連線設定為備份,您必須設定內部部署網路,以將 VPN 連線路由到網際網路。
注意
雖然當兩個路由相同時,ExpressRoute 線路偏好透過站對站 VPN,但 Azure 會使用最長的相符前置詞來選擇朝向封包目的地的路由。