將 ExpressRoute 線路連線到虛擬網路
ExpressRoute 線路代表內部部署基礎結構與 Microsoft 雲端服務之間,透過連線提供者的邏輯連線。 您可以定購多個 ExpressRoute 線路。 每個線路可以位於相同或不同的地區,而且可以透過不同的連線提供者連線至您的內部部署。 ExpressRoute 線路不會對應至任何實際實體。 線路是由稱為服務金鑰 (s-key) 的標準 GUID 來唯一識別。
在先前的練習中,您已建立 ExpressRoute 閘道和 ExpressRoute 線路。 如此即學會如何設定 ExpressRoute 線路的對等互連。 現在您要學習如何建立 ExpressRoute 線路與 Azure 虛擬網路間的連線。
將虛擬網路連線到 ExpressRoute 線路
- 您必須具有作用中的 ExpressRoute 線路。
- 請確定您已為線路設定 Azure 私人對等互連。
- 請確定您已設定 Azure 私人對等互連,並在您的網路與 Microsoft 之間建立 BGP 對等互連,以進行端對端連線。
- 請確定您已建立並完全佈建虛擬網路和虛擬網路閘道。 ExpressRoute 的虛擬網路閘道是使用 GatewayType 'ExpressRoute',而不是 VPN。
- 您可將最多 10 個虛擬網路連結至標準 ExpressRoute 線路。 使用標準 ExpressRoute 線路時,所有虛擬網路都必須位於相同的地緣政治區域中。
- 單一 VNet 最多可連結 16 個 ExpressRoute 線路。 使用下列程序為您要連線的每個 ExpressRoute 線路,建立新的連線物件。 ExpressRoute 線路可位於相同的訂用帳戶和/或不同的訂用帳戶中。
- 如果您啟用 ExpressRoute 進階附加元件,則可以在 ExpressRoute 線路的地緣政治區域外部連結虛擬網路。 進階附加元件也可讓您根據所選擇的頻寬,將超過 10 個虛擬網路連線到 ExpressRoute 線路。
- 若要建立 ExpressRoute 線路到目標 ExpressRoute 虛擬網路閘道的連線,從本機或對等互連虛擬網路公告的位址空間數目必須等於或小於 200。 成功建立連線後,您就可以將其他位址空間 (上限 1,000) 新增至本機或對等互連虛擬網路。
將 VPN 新增至 ExpressRoute 部署
本節可協助您透過 ExpressRoute 私人連線,在內部部署網路與 Azure 虛擬網路 (VNet) 之間設定安全加密的連線。 您可以使用 Microsoft 對等互連來建立所選內部部署網路與 Azure VNet 之間的站對站 IPsec/IKE VPN 通道。 透過 ExpressRoute 設定安全通道可讓您進行資料交換時具有機密性、反重新執行、真確性和完整性。
注意
當您透過 Microsoft 對等互連設定站對站 VPN 時,您需支付 VPN 閘道和 VPN 輸出的費用。
為獲得高可用性和備援功能,您可以透過 ExpressRoute 線路的兩個 MSEE-PE 組設定多個通道,並在通道之間啟用負載平衡。
您可以使用 VPN 閘道,或使用透過 Azure Marketplace 取得的適當網路虛擬設備 (NVA),終止透過 Microsoft 對等互連的 VPN 通道。 您可以透過加密通道以靜態或動態方式交換路由,而不需向基礎 Microsoft 對等互連公開路由交換。 在本節中,您使用 BGP (不同於建立 Microsoft 對等互連所使用的 BGP 工作階段),透過加密通道動態交換前置詞。
重要
針對內部部署端,通常會在 DMZ 上終止 Microsoft 對等互連,而私人對等互連會在核心網路區域終止。 這兩個區域會使用防火牆來隔離。 如果您要專門設定 Microsoft 對等互連來啟用透過 ExpressRoute 的安全通道,請記得只篩選想要透過 Microsoft 對等互連公告的公用 IP。
步驟
- 設定 ExpressRoute 線路的 Microsoft 對等互連。
- 透過 Microsoft 對等互連,將選取的 Azure 區域公用前置詞公告至您的內部部署網路。
- 設定 VPN 閘道並建立 IPsec 通道
- 設定內部部署 VPN 裝置。
- 建立站對站 IPsec/IKE 連線。
- (選擇性) 在內部部署 VPN 裝置上設定防火牆/篩選。
- 測試並驗證透過 ExpressRoute 線路的 IPsec 通訊。