Přehled architektury Azure s návrhem architektury v Azure ExpressRoute
Azure ExpressRoute umožňuje vytvářet privátní připojení mezi datovými centry Azure a infrastrukturou, která je místně nebo v zařízení pro kolokaci. Připojení ExpressRoute neprocházejí přes veřejný internet, nabízejí větší zabezpečení, rychlejší rychlost a nižší latenci než typická připojení k internetu.
Tento článek předpokládá, že máte funkční znalosti o Azure ExpressRoute a máte přehled o všech jeho funkcích. Pokyny v tomto článku poskytují doporučení architektury, která jsou namapovaná na principy pilířů architektury Azure Well-Architected Framework.
Důležité
Jak používat tohoto průvodce
Každá část obsahuje kontrolní seznam návrhu, který představuje oblasti zájmu architektury spolu se strategiemi návrhu lokalizovanými do oboru technologie.
Zahrnuté jsou také doporučení týkající se technologických možností, které můžou pomoct tyto strategie materializovat. Doporučení nepředstavují vyčerpávající seznam všech konfigurací dostupných pro Azure ExpressRoute a jejich závislosti. Místo toho zobrazí seznam klíčových doporučení mapovaných na perspektivy návrhu. Pomocí doporučení můžete vytvořit testování konceptu nebo optimalizovat vaše stávající prostředí.
Základní architektura, která demonstruje klíčová doporučení: Implementace cílových zón architektury Cloud Adoption Framework na podnikové úrovni v Azure
Rozsah technologií
Tato kontrola se zaměřuje na vzájemně nesouvisející rozhodnutí pro následující prostředky Azure:
- Azure ExpressRoute
Spolehlivost
Účelem pilíře spolehlivosti je poskytovat nepřetržitou funkčnost tím, že vytváří dostatečnou odolnost a schopnost rychle se zotavit ze selhání.
Vysoce spolehlivá, odolná a dostupná síťová připojení jsou zásadní pro dobře strukturovaný systém. Spolehlivost se skládá ze dvou principů: odolnosti a dostupnosti. Cílem odolnosti je zabránit selháním a v případě, že dojde k obnovení aplikací do plně provozního stavu. Dostupnost zajišťuje konzistentní přístup k vašim aplikacím nebo úlohám. Je důležité proaktivně naplánovat spolehlivost na základě vašich obchodních potřeb a požadavků na aplikace.
Principy návrhu spolehlivosti poskytují strategii návrhu vysoké úrovně použité pro jednotlivé komponenty, systémové toky a systém jako celek.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro spolehlivost. Určete její význam pro vaše obchodní požadavky a mějte přitom na paměti funkce a možnosti Azure ExpressRoute. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.
Zajištění redundance, posílení odolnosti: Eliminujte jediné body selhání stejně jako praktické. Naplánujte redundanci v návrhu sítě konfigurací několika okruhů ExpressRoute, různých cest a několika umístění peeringu nejblíže místním umístěním. Definujte cíle dostupnosti a obnovení pro komponenty, toky a celkové řešení. Vizualizujte cíle pro vyjednávání, získání konsensu, nastavení očekávání a řízení akcí k dosažení ideálního stavu.
Předvídejte potenciální selhání: Plánování strategií zmírnění potenciálních selhání Následující tabulka uvádí příklady analýzy režimu selhání.
Selhání Zmírnění Přerušení okruhu, například selhání hardwaru v umístění partnerského vztahu. Při obnovení služby je sekundární okruh pro redundanci. Monitorujte stav okruhu a zjistěte, kdy mohou nastat problémy. Přerušení brány ve virtuálních sítích Azure Nasaďte bránu v několika zónách dostupnosti a s konfigurací Aktivní/Aktivní, aby přerušení brány v jedné zóně nezabránily připojení. Plánování odolnosti lokality: Plánování odolnosti lokality je zásadní pro zajištění vysoké dostupnosti. ExpressRoute nabízí tři architektury odolnosti webu: Standard, High a Maximum. Standardní odolnost poskytuje základní ochranu proti selháním propojení, ale neposkytuje ochranu proti selháním lokality. Vysoká odolnost nabízí vylepšenou ochranu pomocí dalších mechanismů převzetí služeb při selhání a maximální odolnost zajišťuje nejvyšší úroveň ochrany s několika redundantními systémy a mechanismy převzetí služeb při selhání.
Plánování oblastí a zón dostupnosti: Naplánujte si více oblastí a zón dostupnosti, které jsou nejblíže místním umístěním, aby byla zajištěna odolnost a vysoká dostupnost.
Plánování okruhu ExpressRoute nebo ExpressRoute Direct: Během počáteční fáze plánování se chcete rozhodnout, jestli chcete nakonfigurovat okruh ExpressRoute nebo přímé připojení ExpressRoute.
Zvolte správnou skladovou položku okruhu: Skladové položky okruhu ExpressRoute poskytují redundanci prostřednictvím geografického rozšíření. ExpressRoute má tři skladové položky: místní, standardní a premium.
Skladová jednotka (SKU) Geografické rozšíření Redundance Případ použití Místní Přístup k oblastem Azure v rámci stejné oblasti metra nebo v blízkosti stejné oblasti metra. Lokalizovaná redundance Vysokorychlostní připojení s nízkou latencí v oblasti metra. Standard Přístup ke všem oblastem Azure v rámci konkrétní geopolitické oblasti Regionální redundance Širší potřeby regionálního propojení. Premium Globální připojení k libovolné oblasti Azure po celém světě. Globální redundance Rozsáhlý geografický dosah pro globální provoz. Plánování připojení typu Active-Active: Vyhrazené okruhy ExpressRoute poskytují dostupnost, když je nakonfigurované připojení aktivní-aktivní mezi místním prostředím a Azure. Tato konfigurace poskytuje vyšší dostupnost připojení ExpressRoute.
Plánování geograficky redundantních okruhů: Nakonfigurujte okruhy ExpressRoute ve více než jednom umístění partnerského vztahu, abyste zajistili, že mezi místními sítěmi a Azure existuje více geograficky různorodých cest. Tím se snižuje riziko jediného bodu selhání způsobujícího výpadek sítě, což zvyšuje spolehlivost a dostupnost připojení.
Konfigurace služby ExpressRoute Global Reach: Jako funkce SKU okruhu ExpressRoute Úrovně Premium umožňuje ExpressRoute Global Reach propojit místní sítě napříč různými geografickými umístěními přímo prostřednictvím páteřní sítě Azure. Propojením místních sítí s několika oblastmi Azure poskytuje služba Global Reach další vrstvu redundance. Pokud se jedna oblast Azure stane nedostupnou, můžete rychle přesměrovat provoz do jiné oblasti, aniž byste se museli spoléhat na veřejný internet a udržovat zabezpečené a spolehlivé připojení.
Nakonfigurujte síť VPN typu site-to-site jako zálohu privátního partnerského vztahu ExpressRoute: Tato konfigurace poskytuje další vrstvu redundance a zajišťuje, že vaše síť zůstane funkční, i když dojde k výpadku připojení ExpressRoute.
Plánování bran virtuální sítě: Při výběru a konfiguraci brány virtuální sítě ExpressRoute pro zajištění odolnosti zvažte následující osvědčené postupy:
Vyberte správnou skladovou položku brány virtuální sítě ExpressRoute, která odpovídá správnému výkonu a propustnosti vaší firmy.
Nakonfigurujte brány ExpressRoute v různých oblastech pro regionální redundanci a odolnost.
Nakonfigurujte zónově redundantní bránu virtuální sítě v rámci Zóny dostupnosti pro redundanci a odolnost zón.
Nasaďte škálovatelné brány virtuální sítě, které umožňují automatické škálování na základě požadované propustnosti.
Plánování pro poskytovatele služeb: Zvolte pro každý okruh různé poskytovatele služeb, aby se zajistily různé cesty. Tato rozmanitost u poskytovatelů služeb minimalizuje riziko výpadků sítě kvůli výpadku jednoho poskytovatele.
Testování spolehlivosti: Otestujte návrh sítě pro odolnost, abyste zajistili, že síť dokáže odolat selháním. Testování můžete dosáhnout pomocí sady Azure Connectivity Toolkit k otestování výkonu v okruhu ExpressRoute, abyste porozuměli kapacitě šířky pásma a latenci síťového připojení. Ověřte, že mechanismy převzetí služeb při selhání fungují podle očekávání.
Konfigurace monitorování pro okruhy ExpressRoute a stav brány virtuální sítě ExpressRoute: Nakonfigurujte monitorování a výstrahy pro okruh ExpressRoute a stav brány virtuální sítě ExpressRoute na základě různých dostupných metrik.
Pomocí indikátorů stavu identifikujte přerušení: Nakonfigurujte monitorování a výstrahy pro okruh ExpressRoute a stav brány virtuální sítě ExpressRoute na základě různých dostupných metrik.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Předvídejte a zmírníte potenciální selhání při návrhu a architektuře Azure ExpressRoute. | Předvídání selhání vede k návrhu robustnější a odolnější síťové architektury, která dokáže odolat různým scénářům selhání. |
| Naplánujte odolnost webu. Pokud chcete mít maximální nebo vysokou odolnost, naplánujte si více cest mezi místním hraničním zařízením a umístěním partnerského vztahu (umístění poskytovatele nebo hraničních umístění Microsoftu). V případě maximální odolnosti nakonfigurujte více okruhů na různá umístění partnerského vztahu. V případě vysoké odolnosti nakonfigurujte okruh mezi několika umístěními peeringu ve stejné metropolitní oblasti (označované také jako ExpressRoute Metro) z místní sítě. | Díky tomu, že má několik cest mezi místním hraničním zařízením a umístěním partnerského vztahu, může síť dál fungovat i v případě, že jedna cesta selže. Tato redundance je zásadní pro zachování nepřetržitého připojení a minimalizaci výpadků. |
| Naplánujte více oblastí a zón dostupnosti. | Zóny dostupnosti jsou fyzicky oddělená umístění v rámci oblasti a poskytují izolaci chyb. To znamená, že selhání v jedné zóně nemají vliv na ostatní, což zvyšuje celkovou spolehlivost systému. |
| Naplánujte okruh ExpressRoute nebo ExpressRoute Direct. Během počáteční fáze plánování se chcete rozhodnout, jestli chcete nakonfigurovat okruh ExpressRoute nebo připojení ExpressRoute Direct. Musíte také identifikovat požadavek na šířku pásma a požadavek na typ skladové položky pro vaše obchodní potřeby. | Okruh ExpressRoute umožňuje privátní vyhrazené připojení k Azure pomocí poskytovatele připojení. ExpressRoute Direct umožňuje rozšířit místní síť přímo do sítě Microsoftu v umístění partnerského vztahu. |
| Zvolte správnou skladovou položku okruhu pro redundanci pomocí geografického rozšíření. SKU Local, Standard a Premium nabízejí různé úrovně připojení, přístupu a výkonu. Skladová položka Premium poskytuje nejvyšší úroveň redundance s globálním připojením k libovolné oblasti Azure po celém světě. | Volba správné skladové položky okruhu zajišťuje, že máte odpovídající úroveň redundance a připojení pro vaše úlohy. |
| Naplánujte připojení typu Active-Active. Pokud chcete zlepšit vysokou dostupnost, redundanci a odolnost, doporučujeme provozovat obě připojení okruhu ExpressRoute v režimu aktivní-aktivní. Kromě toho nakonfigurujte obousměrnou detekci předávání (BFD) u privátního partnerského vztahu i partnerského vztahu Microsoftu pro rychlejší převzetí služeb při selhání propojení. | Režim aktivní-aktivní poskytuje vyšší dostupnost připojení ExpressRoute. BFD poskytuje rychlou detekci selhání propojení a umožňuje rychlejší převzetí služeb při selhání na cesty zálohování. Tím se minimalizuje výpadek a zajistí se nepřetržité připojení. |
| Plánování geograficky redundantních okruhů | Existují scénáře, kdy může dojít ke snížení výkonu umístění partnerského vztahu ExpressRoute nebo celé regionální služby. Geografická redundance zvyšuje zotavení po havárii a vysokou dostupnost tím, že zajišťuje, že mezi místními sítěmi a Azure existuje více geograficky různorodých cest. Tím se snižuje riziko jediného bodu selhání způsobujícího výpadek sítě, což zvyšuje spolehlivost a dostupnost připojení. |
| Díky službě ExpressRoute Global Reach můžete propojit okruhy ExpressRoute a vytvořit privátní síť mezi místními sítěmi. Nakonfigurujte službu ExpressRoute Global Reach na skladové po straně okruhu ExpressRoute Premium. | ExpressRoute Global Reach poskytuje další vrstvu redundance propojením místních sítí napříč různými geografickými umístěními přímo prostřednictvím páteřní sítě Azure. Tím zajistíte, že vaše síť zůstane připojená a funkční i v případě, že jedna oblast Azure nebude dostupná. |
| Pro každý okruh zvolte jiné poskytovatele služeb ExpressRoute. | Rozmanitost poskytovatelů služeb minimalizuje riziko výpadků sítě kvůli výpadku jednoho poskytovatele. Výběrem různých poskytovatelů služeb pro každý okruh můžete zajistit, aby vaše síť zůstala funkční i v případě, že jeden poskytovatel dojde k výpadku. Tato redundance je nezbytná pro zachování nepřetržitého připojení a minimalizaci výpadků. |
| Nakonfigurujte síť VPN typu Site-to-Site přes partnerský vztah Microsoftu jako zálohu privátního partnerského vztahu ExpressRoute. Síť VPN typu Site-to-Site poskytuje další vrstvu redundance a zajišťuje, že vaše síť zůstane funkční i v případě výpadku připojení ExpressRoute. | Konfigurací sítě VPN typu site-to-site jako zálohování privátního partnerského vztahu ExpressRoute můžete udržovat nepřetržité připojení a minimalizovat výpadky. |
| Plánování zónově redundantních bran virtuální sítě Vyberte správnou skladovou položku brány virtuální sítě ExpressRoute, která odpovídá správnému výkonu a propustnosti vaší firmy. Zvažte nasazení škálovatelné brány virtuální sítě, která vám umožní dosáhnout připojení 40 Gb/s a automaticky škálovat na základě požadované propustnosti. Nasaďte brány virtuální sítě ExpressRoute, které jsou zónově redundantní pro zajištění maximální odolnosti a redundance napříč Zóny dostupnosti. | Výběrem příslušné skladové položky zajistíte, že brána dokáže zpracovat požadovaný výkon a propustnost pro vaše obchodní potřeby. Škálovatelná brána virtuální sítě se automaticky škáluje na základě požadované propustnosti a umožňuje síti přizpůsobit se měnícím se požadavkům. Tato flexibilita pomáhá udržovat výkon během doby využití ve špičce a zabraňuje přetížení. Nasazení zónově redundantních bran virtuální sítě navíc zajišťuje, že síť zůstane funkční, i když dojde k výpadku jedné zóny dostupnosti, což zvyšuje celkovou spolehlivost a odolnost. |
| Testování spolehlivosti pomocí sady Azure Connectivity Toolkit zajistěte odolnost návrhu sítě a odolnost proti chybám. | Testování spolehlivosti pomáhá identifikovat potenciální problémy a slabá místa v návrhu sítě, což vám umožní je aktivně řešit. Provedením testování spolehlivosti můžete zajistit, aby síť byla robustní a odolná, minimalizovala výpadky a zajistila nepřetržité připojení. |
| Nakonfigurujte monitorování a výstrahy pro okruhy ExpressRoute, partnerské vztahy, porty a stav prostředků brány virtuální sítě na základě různých dostupných metrik. To pomáhá aktivně spravovat a udržovat stav vaší sítě. Pomocí Služby Network Insights pro ExpressRoute můžete vizualizovat topologické mapy a řídicí panely stavu, které poskytují jasné zobrazení konfigurací a jejich stavu. | Nastavením monitorování a upozornění na základě různých metrik můžete proaktivně zjišťovat a řešit problémy, jako jsou zvýšená latence, výpadky provozu nebo výpadky okruhu, než ovlivní vaše služby. |
| Nakonfigurujte stav služby tak, aby vás informoval o plánované a neplánované údržbě. Konfigurace stavu služby vás upozorní na změny provedené v okruhech ExpressRoute. | Ve službě Service Health můžete na webu Azure Portal zobrazit plánovanou a předchozí údržbu spolu s konfigurací upozornění a oznámení, která nejlépe vyhovují vašim potřebám. |
Zabezpečení
Účelem pilíře zabezpečení je poskytnout úlohu záruky důvěrnosti, integrity a dostupnosti .
Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů použitím přístupů k technickému návrhu Azure ExpressRoute.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu zabezpečení a identifikujte ohrožení zabezpečení a kontroly, abyste zlepšili stav zabezpečení. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.
Využití standardních hodnot zabezpečení Azure pro ExpressRoute: Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení k zabezpečení cloudových řešení v Azure.
Implementace řízení přístupu na základě role Azure (RBAC): Pomocí Azure RBAC můžete nakonfigurovat role pro omezení uživatelských účtů, které můžou přidávat, aktualizovat nebo odstraňovat konfigurace partnerského vztahu v okruhu ExpressRoute nebo měnit prostředky ExpressRoute.
Konfigurace šifrování ExpressRoute: Šifrování přenášených dat přes okruhy ExpressRoute, aby se zajistilo, že data přenášená mezi místními sítěmi a virtuálními sítěmi Azure jsou zabezpečená a chráněná před neoprávněným přístupem. ExpressRoute podporuje následující možnosti šifrování:
Zabezpečení řízení přístupu k médiím (MACsec) použité u prostředků ExpressRoute Direct, MACsec vylepšuje zabezpečení ExpressRoute tím, že poskytuje ochranu před šifrováním a integritou na úrovni propojení a zajišťuje, aby data přenášená přes okruhy ExpressRoute byla zabezpečená, manipulována a splňovala zákonné požadavky.
Protokol IPsec (Internet Protocol Security) použitý u privátního partnerského vztahu ExpressRoute zajišťuje zabezpečenou komunikaci mezi místními sítěmi a virtuálními sítěmi Azure šifrováním přenášených dat. Konfigurací protokolu IPsec můžete zajistit, aby data přenášená přes okruhy ExpressRoute byla zabezpečená a chráněná před neoprávněným přístupem.
Konfigurace hodnoty hash MD5 v okruhu ExpressRoute: Během konfigurace privátního partnerského vztahu nebo partnerského vztahu Microsoftu použijte hodnotu hash MD5 pro zabezpečení zpráv mezi místním směrovačem a směrovači MSEE.
Konfigurace protokolu aktivit pro odesílání protokolů do archivu: Protokoly aktivit jsou nezbytné pro auditování, dodržování předpisů, reakce na incidenty, provozní viditelnost a vynucení zásad pro ExpressRoute. Nakonfigurujte protokol aktivit tak, aby odesílal protokoly do archivu pro dlouhodobé uchovávání a analýzu.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro zabezpečení.
| Doporučení | Výhoda |
|---|---|
| Využití standardních hodnot zabezpečení Azure pro ExpressRoute Tento směrný plán zabezpečení používá pokyny z srovnávacího testu Microsoft Cloud Security Benchmark verze 1.0 na ExpressRoute. | Obsah je uspořádaný kontrolními mechanismy zabezpečení definovanými v srovnávacím testu a obsahuje související pokyny specifické pro ExpressRoute. |
| Implementujte řízení přístupu na základě role v Azure (RBAC) a určete, kdo může spravovat prostředky ExpressRoute, jako jsou okruhy ExpressRoute a brány. | Díky poskytování podrobné správy přístupu k prostředkům můžete udržovat inventář účtů pro správu s přístupem k prostředkům ExpressRoute a zajistit, aby konkrétní akce mohli provádět jenom autorizovaní uživatelé. |
| Nakonfigurujte MACsec pro porty ExpressRoute Direct. | MACsec (Zabezpečení řízení přístupu k médiím) vylepšuje zabezpečení šifrováním dat, zajištěním integrity dat a ochranou ohrožených protokolů. Zabezpečuje protokoly, které nejsou obvykle chráněné na ethernetových propojeních, jako jsou ARP, DHCP a LACP, a brání tak potenciálním bezpečnostním hrozbám určeným na tyto protokoly. |
| Šifrování provozu pomocí protokolu IPsec (Internet Protocol Security) pro privátní partnerský vztah ExpressRoute nebo konfigurace tunelu pomocí privátního partnerského vztahu | Protokol IPsec šifruje data v síťové vrstvě (vrstva 3) a vylepšuje zabezpečení tím, že poskytuje šifrování, ověřování, ochranu integrity a dodržování předpisů. Tím se zajistí, že data přenášená přes okruhy ExpressRoute jsou zabezpečená a chráněná před neoprávněným přístupem a manipulací. |
| Nakonfigurujte hodnotu hash MD5 v okruhu ExpressRoute během konfigurace privátního partnerského vztahu nebo partnerského vztahu Microsoftu pro zabezpečení zpráv mezi místní trasou a směrovači MSEE. | Vygenerováním hodnoty hash MD5 dat před přenosem a jejich porovnáním s hodnotou hash vygenerovanou po přijetí můžete zajistit, že během přenosu nedošlo k manipulaci s daty. |
| Nakonfigurujte protokoly aktivit a odešlete protokoly do archivu. Uchovávání dat je jenom 90 dnů a musí být uložené v Log Analytics, Event Hubs nebo účtu úložiště pro archivaci. Další informace o protokolech aktivit v ExpressRoute najdete v tématu Monitorování Azure ExpressRoute. | Protokoly aktivit poskytují přehled o operacích provedených na úrovni předplatného pro prostředky ExpressRoute. Pomocí protokolů aktivit můžete určit, kdo a kdy byla operace provedena v řídicí rovině. |
Optimalizace nákladů
Optimalizace nákladů se zaměřuje na zjišťování vzorců výdajů, stanovení priorit investic do kritických oblastí a optimalizaci v jiných oblastech, aby splňovaly rozpočet organizace při plnění obchodních požadavků.
Principy návrhu optimalizace nákladů poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů a dosažení kompromisů v technickém návrhu souvisejícím s vašimi webovými aplikacemi a prostředím, ve kterém běží.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu kontroly návrhu pro optimalizaci nákladů pro investice a vylaďte návrh tak, aby úloha odpovídala rozpočtu přidělenému pro danou úlohu. Váš návrh by měl využívat správné možnosti Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.
Seznamte se s cenami ExpressRoute: V rámci cvičení modelu nákladů odhadněte náklady na ExpressRoute. Ujistěte se, že jsou možnosti dostatečně velké tak, aby splňovaly poptávku po kapacitě a poskytovaly očekávaný výkon bez plýtvání prostředky.
Určení požadované skladové položky okruhu a šířky pásma: Založte svůj výběr okruhu ExpressRoute a skladové položky brány virtuální sítě a šířky pásma na vyžádání kapacity a požadavky na výkon vaší úlohy.
Určení velikosti brány virtuální sítě ExpressRoute: Zvolte správnou velikost brány virtuální sítě ExpressRoute na základě požadavků na kapacitu a výkonu vaší úlohy.
Monitorování nákladů a vytváření upozornění rozpočtu: Monitorujte náklady na okruh ExpressRoute a vytvářejte výstrahy pro anomálie útraty a rizika nadměrného přespívání.
Zrušení zřízení a odstranění nepoužívaných okruhů ExpressRoute: Azure Advisor dokáže zjistit okruhy ExpressRoute, které byly nasazeny po dlouhou dobu, ale mají stav poskytovatele Nenařazeno.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro optimalizaci nákladů.
| Doporučení | Výhoda |
|---|---|
| Seznamte se s cenami ExpressRoute. K odhadu nákladů použijte cenovou kalkulačku Azure. ExpressRoute Direct má měsíční poplatek za port, který zahrnuje poplatek za okruhy Local a Standard SKU ExpressRoute. U okruhů SKU Premium se účtuje další poplatek za okruh. Odchozí přenos dat se účtuje za využité GB v závislosti na počtu zón umístění partnerského vztahu. Poplatky za odchozí data se vztahují pouze na skladové položky Standard a Premium. Další informace najdete v tématu Plánování a správa nákladů na Azure ExpressRoute. | Pochopení cen ExpressRoute umožňuje lepší správu nákladů, informované rozhodování, zabránění neočekávaným poplatkům a maximalizaci hodnoty. |
| Určete požadovanou skladovou položku okruhu a požadovanou šířku pásma . Způsob, jakým se vám účtují poplatky za využití ExpressRoute, se liší mezi třemi různými typy skladových položek. S místní skladovou jednotkou se vám automaticky účtuje neomezený datový tarif. S skladovými položkami Standard a Premium si můžete vybrat mezi měřeným nebo neomezeným datovým tarifem. Všechna příchozí data jsou bezplatná, s výjimkou použití doplňku Global Reach, který za přenos dat mezi různými geografickými umístěními účtují další náklady. Je důležité zkontrolovat a změnit velikost okruhu ExpressRoute. | Je důležité vědět, které typy skladových položek a datový plán nejlépe vyhovují vašim úlohům, abyste optimalizovali náklady a rozpočet. |
| Určete velikost brány virtuální sítě ExpressRoute. Brány virtuální sítě ExpressRoute slouží k předávání provozu do virtuální sítě přes privátní partnerský vztah. Vyberte příslušnou skladovou položku brány v místním prostředí pro úlohy Azure. Vysvětlení cen služby ExpressRoute Gateway na základě oblasti a typu Brány ExpressRoute se účtují každou hodinu plus náklady na okruh ExpressRoute. Nakonfigurujte škálovatelné brány ExpressRoute tak, aby nastavily minimální a maximální jednotky škálování pro bránu, které se automaticky škálují na základě aktivní šířky pásma nebo počtu toků. Podívejte se na ceny ExpressRoute a výběrem bran ExpressRoute zobrazte sazby pro různé skladové položky brány. | To vám přináší výhodu tím, že povolíte správnou velikost prostředků a získáte flexibilitu pro škálování, optimalizaci výkonu a podporu proaktivní správy nákladů. Tento přístup zajišťuje efektivní a nákladově efektivní používání prostředků. |
| Monitorování nákladů a vytváření upozornění na rozpočet Monitorujte náklady na okruh ExpressRoute a vytvářejte upozornění na anomálie útraty a rizika nadměrného přespívání. | Monitorování a upozornění poskytují nástroje pro řízení útraty, zlepšení finančního plánování, zajištění odpovědnosti a optimalizaci využití prostředků. |
| Zrušení zřízení a odstranění nepoužívaných okruhů ExpressRoute Azure Advisor dokáže zjistit okruhy ExpressRoute, které byly nasazeny po určitou dobu, ale mají stav poskytovatele Nenařazeno. | Okruhy ExpressRoute se účtují od okamžiku jejich vytvoření. Pokud chcete snížit zbytečné náklady, zrušte zřízení okruhu u poskytovatele služeb a odstraňte okruh ExpressRoute z vašeho předplatného. |
Efektivita provozu
Efektivita provozu se primárně zaměřuje na postupy vývoje , pozorovatelnost a správu verzí.
Principy návrhu efektivity provozu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů směrem k provozním požadavkům úlohy.
Kontrolní seznam návrhu
Zahajte strategii návrhu založenou na kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu pro definování procesů pozorovatelnosti, testování a nasazení souvisejících s ExpressRoute.
Zvolte nejbližší umístění partnerského vztahu: Zvolte nejbližší umístění peeringu k vaší místní síti, abyste snížili latenci a náklady.
Konfigurace monitorování připojení mezi vaší místní sítí a sítí Azure: Pomocí Monitorování připojení můžete monitorovat připojení mezi místními prostředky a Azure přes privátní partnerský vztah ExpressRoute a připojením partnerského vztahu Microsoftu.
Nakonfigurujte dynamické směrování pro okruh ExpressRoute s povoleným partnerským vztahem Microsoftu: Dynamické směrování pro ExpressRoute využívá protokol BGP k poskytování automatických aktualizací tras, optimálního výběru cesty, škálovatelnosti a interoperability pro vaši síť.
Konfigurace služby Service Health pro příjem oznámení: Nakonfigurujte oznámení služby Service Health tak, aby vás upozorňovala na plánovanou a nadcházející údržbu všech okruhů ExpressRoute ve vašem předplatném. Další informace o integraci s celkovým modelem stavu pro úlohu najdete v tématu Modelování stavu pro úlohy.
Konfigurace kolektoru provozu pro ExpressRoute: Kolektor provozu ExpressRoute umožňuje vzorkování síťových toků přes okruhy ExpressRoute.
Shromažďování, analýza a vizualizace metrik a protokolů: Shromážděte metriky a protokoly jako součást celkové strategie monitorování vašeho řešení. Nastavte upozornění, která vás proaktivně upozorní, když je splněna určitá prahová hodnota. Projděte si metriky a řídicí panely dostupné prostřednictvím přehledů ExpressRoute a zobrazte si podrobnosti o komponentách partnerského vztahu na jednom místě.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro efektivitu provozu.
| Doporučení | Výhoda |
|---|---|
| Zvolte nejbližší umístění partnerského vztahu k místní síti, abyste snížili latenci a náklady. | Výběrem nejbližšího umístění partnerského vztahu k místní síti můžete snížit latenci a náklady a zajistit optimální výkon a nákladovou efektivitu. |
| Nakonfigurujte Monitorování připojení mezi vaší místní sítí a sítí Azure. | Monitorování připojení dokáže rozpoznat síťové problémy tím, že zjistí, kde se nachází cesta k síti, a pomůže vám rychle vyřešit selhání konfigurace nebo hardwaru. Monitorování připojení je součástí protokolů služby Azure Monitor. |
| Nakonfigurujte dynamické směrování okruhu ExpressRoute s povoleným partnerským vztahem Microsoftu. | Dynamické směrování umožňuje efektivnější a flexibilnější směrování, což zajišťuje optimální výběr cesty a automatické aktualizace směrovacích tabulek v reakci na změny sítě. |
| Nakonfigurujte oznámení služby Service Health tak, aby vás upozorňovala na plánovanou a nadcházející údržbu pro všechny okruhy ExpressRoute ve vašem předplatném. Service Health také zobrazuje minulé události údržby spolu s analýzou původní příčiny (RCA), pokud dojde k neplánované události údržby. | Oznámení služby Service Health poskytují včasné výstrahy o plánované a neplánované údržbě, výpadkech a včasných upozorněních na potenciální problémy. Díky tomu budete mít přehled o stavu okruhů ExpressRoute. |
| Konfigurace kolektoru provozu pro ExpressRoute | Kolektor provozu ExpressRoute umožňuje vzorkování síťových toků přes okruhy ExpressRoute. Podporuje privátní partnerský vztah i partnerský vztah Microsoftu a poskytuje téměř v reálném čase přehled o propustnosti a výkonu sítě. |
| Projděte si metriky pomocí Služby Network Insights. Přehledy ExpressRoute se službou Network Insights umožňují kontrolovat a analyzovat okruhy ExpressRoute, brány, metriky připojení a řídicí panely stavu. Přehledy ExpressRoute také poskytují zobrazení topologie připojení ExpressRoute, kde můžete zobrazit podrobnosti o komponentách partnerského vztahu na jednom místě. | Network Insights nabízí centralizovanou platformu pro monitorování různých metrik napříč okruhy ExpressRoute, bránami a připojeními a poskytuje komplexní přehled o stavu sítě a výkonu. |
| Projděte si metriky prostředků ExpressRoute. Pomocí služby Azure Monitor můžete shromažďovat metriky a vytvářet výstrahy na základě vaší konfigurace. | Metriky se shromažďují pro okruhy ExpressRoute, brány ExpressRoute, připojení brány ExpressRoute a ExpressRoute Direct. Tyto metriky jsou užitečné pro diagnostiku problémů s připojením a pochopení výkonu připojení ExpressRoute. |
| Zkontrolujte metriky ExpressRoute a vytvořte upozornění. ExpressRoute využívá Azure Monitor ke shromažďování metrik a vytváření upozornění na základě vaší konfigurace. Postupujte podle doporučení pro návrh a vytvoření monitorovacího systému pro implementaci strategie monitorování pro ExpressRoute a úlohy. | Metriky se shromažďují pro okruhy ExpressRoute, brány ExpressRoute, připojení brány ExpressRoute a ExpressRoute Direct. Tyto metriky jsou užitečné pro diagnostiku problémů s připojením a pochopení výkonu připojení ExpressRoute. |
Efektivita výkonu
Efektivita výkonu se týká zachování uživatelského prostředí i v případě, že se zvyšuje zatížení díky správě kapacity. Strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce. Principy návrhu efektivity výkonu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů kapacity proti očekávanému využití.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu týkajícího se efektivity výkonu pro definování směrného plánu na základě klíčových ukazatelů výkonu pro Azure ExpressRoute. Naplánujte škálování sítě tak, aby splňovala požadavky vašich úloh. Pokud se nepodaří správně naplánovat škálování, může dojít k výpadkům nebo dodatečným nákladům. Zajistěte správné škálování, pokud jde o plánování okruhu i plánování brány.
Otestujte výkon brány ExpressRoute tak, aby splňoval požadavky na zatížení práce: Pomocí sady Azure Connectivity Toolkit otestujte výkon v okruhu ExpressRoute, abyste porozuměli kapacitě šířky pásma a latenci síťového připojení.
Plánování škálování: Na základě požadavků na škálovatelnost zvolte správnou skladovou položku okruhu ExpressRoute a také skladové položky brány virtuální sítě. Každá skladová položka nabízí různé funkce a limity. Vezměte v úvahu požadavky vaší sítě na výkon, funkci a směrování. Další pokyny ke škálovatelnosti pro vaše řešení najdete v tématu Doporučení pro optimalizaci škálování a dělení.
Monitorování výkonu prostředků ExpressRoute: Shromážděte a analyzujte telemetrii výkonu v souladu s doporučeními WAF ke shromažďování dat o výkonu. Ověřte, že splňuje vaše cíle výkonu, a nastavte upozornění, která vás budou proaktivně informovat při splnění určité prahové hodnoty.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro zajištění efektivity výkonu.
| Doporučení | Výhoda |
|---|---|
| Otestujte výkon brány ExpressRoute tak, aby splňovaly požadavky na zatížení práce pomocí sady Azure Connectivity Toolkit. Naplánujte operace náročné na šířku pásma, jako jsou zálohování a testování výkonu v době nízkého produkčního provozu. | Sada nástrojů poskytuje uživatelsky přívětivé nástroje a rozhraní, které zjednodušují proces konfigurace a správy síťových připojení k Azure. Sada nástrojů zahrnuje nástroje pro optimalizaci výkonu sítě, zajištění efektivního a spolehlivého připojení ke službám Azure. |
| Plánování škálování okruhů ExpressRoute Upgradujte šířku pásma okruhu ExpressRoute tak, aby splňovala požadavky na produkční úlohy. Šířka pásma okruhu se sdílí mezi všemi virtuálními sítěmi připojenými k okruhu ExpressRoute. V závislosti na vaší úloze může jedna nebo více virtuálních sítí využívat veškerou šířku pásma okruhu. Další informace najdete v tématu Omezení ExpressRoute. | Upgradem šířky pásma zajistíte, že síť dokáže zpracovat rostoucí objemy dat a další uživatele bez ohrožení výkonu. |
| Plánování škálování brány virtuální sítě ExpressRoute Upgradujte skladovou položku brány virtuální sítě ExpressRoute tak, aby splňovala požadavky na produkční úlohy. | Upgrade na větší skladovou položku brány poskytuje vyšší možnosti propustnosti, což umožňuje rychlejší přenos více dat mezi místními sítěmi a Azure. Větší brána může spravovat více souběžných připojení a vyšší objemy provozu, což snižuje pravděpodobnost zahlcení sítě a kritických bodů. |
| Nakonfigurujte škálovatelné brány tak, aby se automaticky škálovat na výkon. | Škálovatelné brány umožňují automaticky vertikálně navýšit a snížit kapacitu instancí brány tak, aby vyhovovaly potřebám výkonu. SKU ErGwScale také umožňuje dosáhnout připojení 40 Gb/s k virtuálním počítačům a privátním koncovým bodům v rámci virtuální sítě. |
| Povolte ExpressRoute FastPath pro vyšší propustnost brány virtuální sítě. | Tato funkce zlepšuje výkon cesty k datům mezi vaší místní sítí a prostředky virtuální sítě tím, že bránu vynechá. S růstem obchodních potřeb poskytuje FastPath potřebnou šířku pásma a výkon pro podporu rostoucích objemů dat a dalších uživatelů bez ohrožení výkonu. Povolení fastPath zajišťuje, aby síť zvládla budoucí rozšíření a nové aplikace a poskytovala tak dlouhodobou efektivitu výkonu. |
| Monitorování metrik okruhu, portu a brány ExpressRoute Nakonfigurujte upozornění pro metriky ExpressRoute, abyste proaktivně upozorňují na splnění určité prahové hodnoty. Metriky okruhu ExpressRoute podporují metriky , jako je dostupnost protokolu Arp, BitsInPerSecond, DroppedInBitsPerSecond. Metriky portů ExpressRoute podporují metriky , jako je AdminState, BitsInPerSecond a FastPathRoutesCount. Metriky brány ExpressRoute podporují metriky, jako jsou bity za sekundu, aktivní toky a počet tras inzerovaných do partnerského vztahu. Monitorujte cíle výkonu pomocí Monitorování připojení. |
Metriky okruhu, portu a brány ExpressRoute jsou užitečné k pochopení anomálií, ke kterým může dojít u připojení ExpressRoute, jako jsou výpadky a údržba okruhů ExpressRoute. Monitorování připojení dokáže rozpoznat síťové problémy tím, že zjistí, kde se nachází cesta k síti, a pomůže vám rychle vyřešit selhání konfigurace nebo hardwaru. |
Azure Policy
Azure Policy neposkytuje žádné předdefinované zásady pro ExpressRoute, ale můžete vytvořit vlastní zásady, které vám pomůžou řídit, jak by okruhy ExpressRoute měly odpovídat požadovanému koncovému stavu, jako je volba skladové položky, typ partnerského vztahu, konfigurace partnerského vztahu atd.
Další kroky
Zvažte následující články jako zdroje informací, které ukazují doporučení zvýrazněná v tomto článku.
Doporučujeme začít s pokyny k metodologii připravenosti architektury přechodu na cloud.
K vytvoření odborných znalostí implementace použijte následující produktovou dokumentaci:
- Nakonfigurujte okruh ExpressRoute nebo port ExpressRoute Direct pro navázání komunikace mezi vaší místní sítí a Azure.
- Dokumentace k produktu Azure ExpressRoute
- Architektem ExpressRoute pro odolnost za účelem zajištění robustního a spolehlivého nastavení.
- Informace o architekturách aplikací s nízkým kódem najdete v doprovodných materiálech k povolení ExpressRoute pro Power Platform při plánování a konfiguraci ExpressRoute pro použití s platformou Microsoft Power Platform.