Sdílet prostřednictvím

Návrh pro zajištění vysoké dostupnosti s využitím Azure ExpressRoute

  • Článek

Azure ExpressRoute je navržený pro vysokou dostupnost a poskytuje privátní síťové připojení na úrovni operátora k prostředkům Microsoftu. To znamená, že v síti Microsoftu neexistuje jediný bod selhání. Aby se maximalizovala dostupnost, měly by být pro zajištění vysoké dostupnosti navrženy také segmenty poskytovatele služeb i zákazníka vašeho okruhu Azure ExpressRoute. Tento článek popisuje aspekty síťové architektury pro vytváření robustního připojení s využitím Azure ExpressRoute a vyladění funkcí, které zlepšují vysokou dostupnost okruhu Azure ExpressRoute.

Poznámka:

Koncepty popsané v tomto článku platí stejně bez ohledu na to, jestli je okruh Azure ExpressRoute vytvořený ve službě Virtual WAN nebo mimo něj.

Aspekty architektury

Následující obrázek znázorňuje doporučený způsob připojení pomocí okruhu Azure ExpressRoute, který maximalizuje dostupnost.

0

Pro zajištění vysoké dostupnosti je nezbytné udržovat redundanci v celé koncové síti. To znamená zachování redundance v rámci místní sítě a neohrožování redundance v síti poskytovatele služeb. To minimálně zahrnuje zabránění kritickým bodům selhání sítě. Redundantní napájení a chlazení síťových zařízení dále vylepšují vysokou dostupnost.

Aspekty návrhu fyzické vrstvy první míle

Pokud ukončíte primární i sekundární připojení okruhu Azure ExpressRoute na stejném zařízení CPE (Customer Premises Equipment), dojde k ohrožení vysoké dostupnosti v rámci místní sítě. Kromě toho konfigurace obou připojení pomocí stejného portu CPE vynutí partnera ohrozit vysokou dostupnost ve svém segmentu sítě. K tomu může dojít ukončením dvou připojení pod různými podinterfaces nebo sloučením dvou připojení v rámci partnerské sítě, jak je znázorněno níže.

2

Ukončení primárního a sekundárního připojení okruhu Azure ExpressRoute v různých geografických umístěních může ohrozit výkon sítě. Pokud se provoz aktivně vyrovnává zatížení mezi připojeními ukončeným v různých umístěních, může mít za následek neoptimální výkon značné rozdíly v latenci sítě mezi těmito dvěma cestami.

Informace o geograficky redundantním návrhu najdete v tématu Návrh pro zotavení po havárii pomocí Azure ExpressRoute.

Aktivní-aktivní připojení

Síť Microsoftu provozuje primární a sekundární připojení okruhů Azure ExpressRoute v režimu aktivní-aktivní. Redundantní připojení však můžete vynutit, aby fungovala v režimu aktivní-pasivní prostřednictvím inzerování tras. Inzerování konkrétnějších tras a předběžného nastavení cesty AS protokolu BGP jsou běžné techniky, které dávají přednost jedné cestě před druhou.

Pokud chcete zlepšit vysokou dostupnost, doporučujeme používat obě připojení v režimu aktivní-aktivní. To umožňuje síti Microsoftu vyrovnávat zatížení provozu napříč připojeními na základě jednotlivých toků.

Spuštění připojení v režimu aktivní-pasivní riskuje selhání obou připojení v případě selhání aktivní cesty. Mezi běžné příčiny selhání patří nedostatek aktivní správy pasivního připojení a pasivních připojení inzerce zastaralých tras.

Případně spuštění připojení v režimu aktivní-aktivní vede k selhání a přesměrování pouze poloviny toků, což výrazně zlepšuje střední dobu obnovení (MTTR).

Poznámka:

Během údržby nebo neplánovaných událostí, které mají vliv na jedno připojení, Microsoft použije před ukončením provozu provoz do připojení, které je v pořádku. Ujistěte se, že provoz může směrovat přes cestu, která je v pořádku, když je služba Microsoftu nakonfigurovaná před zahájením cesty, a aby se zabránilo přerušení služeb, jsou správně nastavené požadované inzerování tras.

Překlad adres (NAT) pro partnerský vztah Microsoftu

Partnerský vztah Microsoftu je navržený pro komunikaci mezi veřejnými koncovými body. Místní privátní koncové body jsou obvykle překlad síťových adres (NATed) s veřejnými IP adresami v síti zákazníka nebo partnera před komunikací přes partnerský vztah Microsoftu. Použití primárního i sekundárního připojení v nastavení aktivní-aktivní má vliv na to, jak rychle se můžete zotavit z selhání v jednom z připojení. Níže jsou znázorněny dvě různé možnosti překladu adres (NAT):

3

Možnost 1:

Překlad adres (NAT) se použije po rozdělení provozu mezi primární a sekundární připojení. Nezávislé fondy překladu adres (NAT) se používají pro primární a sekundární zařízení, aby splňovala stavové požadavky NAT. Návratový provoz přichází na stejném hraničním zařízení, přes které tok ustupoval.

Pokud připojení Azure ExpressRoute selže, odpovídající fond překladu adres (NAT) přestane být dostupný a přeruší všechny síťové toky. Tyto toky musí být po vypršení časového limitu okna znovu vytvořeny protokolem TCP nebo aplikační vrstvou. Během selhání se Azure nemůže spojit s místními servery pomocí odpovídajícího překladu adres (NAT), dokud se připojení neobnoví.

Možnost 2:

Před rozdělením provozu mezi primární a sekundární připojení se používá společný fond NAT. To nezavádí jediný bod selhání, a proto udržuje vysokou dostupnost.

Fond překladu adres (NAT) zůstane dostupný i v případě, že primární nebo sekundární připojení selže, což vrstvě sítě umožní přesměrovat pakety a rychleji obnovit.

Poznámka:

  • Pokud používáte možnost NAT 1 (nezávislé fondy PŘEKLADU adres pro primární a sekundární připojení) a namapujete port IP adresy z jednoho fondu NAT na místní server, nebude server dostupný přes okruh Azure ExpressRoute, pokud odpovídající připojení selže.
  • Ukončení připojení BGP Azure ExpressRoute na stavových zařízeních může způsobit problémy s převzetím služeb při selhání během plánované nebo neplánované údržby microsoftem nebo vaším poskytovatelem Azure ExpressRoute. Otestujte nastavení, abyste zajistili správné převzetí služeb při selhání a pokud je to možné, ukončete relace protokolu BGP na bezstavových zařízeních.

Vyladění funkcí privátního partnerského vztahu

Tato část popisuje volitelné funkce, které pomáhají zlepšit vysokou dostupnost okruhu Azure ExpressRoute v závislosti na nasazení Azure a citlivosti na MTTR. Konkrétně se zabývá nasazením bran virtuální sítě Azure ExpressRoute a obousměrným zjišťováním předávání (BFD).

Brány virtuální sítě Azure ExpressRoute s podporou zóny dostupnosti

Zóna dostupnosti v oblasti Azure kombinuje doménu selhání a aktualizační doménu. Pokud chcete dosáhnout nejvyšší odolnosti a dostupnosti, nakonfigurujte zónově redundantní bránu virtuální sítě Azure ExpressRoute. Další informace najdete v tématu O zónově redundantních branách virtuální sítě v Azure Zóny dostupnosti. Pokud chcete nakonfigurovat zónově redundantní bránu virtuální sítě, přečtěte si téma Vytvoření zónově redundantní brány virtuální sítě v Azure Zóny dostupnosti.

Zlepšení doby detekce selhání

Azure ExpressRoute podporuje BFD přes privátní partnerský vztah, což zkracuje dobu detekce selhání v síti vrstvy 2 mezi microsoft Enterprise Edge (MSEE) a jejich sousedy protokolu BGP na místní straně z přibližně 3 minut (výchozí) na méně než sekundu. Rychlá detekce selhání pomáhá urychlit obnovení. Další informace najdete v tématu Konfigurace BFD přes Azure ExpressRoute.

Další kroky

Tento článek popisuje návrh pro zajištění vysoké dostupnosti okruhu Azure ExpressRoute. Bod partnerského vztahu okruhu Azure ExpressRoute je připnutý k zeměpisnému umístění a může být ovlivněn katastrofickými selháními, které mají vliv na celé umístění.

Aspekty návrhu pro sestavení geograficky redundantního síťového připojení k páteřní síti Microsoftu, které můžou odolat katastrofickým selháním ovlivňujícím celou oblast, najdete v tématu Návrh zotavení po havárii s využitím privátního partnerského vztahu Azure ExpressRoute.