Jak Azure ExpressRoute funguje

Dokončeno

Dozvěděli jste se o účelu služby Azure ExpressRoute a o službách, pro které ji můžete použít. Teď jste připraveni začít se seznamovat s tím, jak služba funguje. Pojďme se podívat, jak komunikuje s Azure a místními sítěmi, abychom vám pomohli vytvořit zabezpečené a spolehlivé připojení mezi místním datacentrem a cloudem Microsoftu.

V této lekci se naučíte vytvářet a používat okruhy Azure k propojení místních sítí s cloudem. Zobrazí se kroky, které je potřeba provést k vytvoření okruhu. Dozvíte se také o dalších komponentách připojení ExpressRoute, které společně tvoří připojení z místního datacentra do cloudu Microsoftu.

Architektura ExpressRoute

ExpressRoute se podporuje ve všech oblastech a umístěních. Pokud chcete implementovat ExpressRoute, musíte spolupracovat s partnerem ExpressRoute. Partner poskytuje hraniční službu: autorizované a ověřené připojení, které funguje prostřednictvím směrovače řízeného partnerem. Periferní služba zodpovídá za rozšíření vaší sítě do Microsoftového cloudu.

Partner nastaví připojení ke koncovému bodu v lokalitě ExpressRoute, kterou zajišťuje hraniční směrovač Microsoftu. Tato připojení umožňují propojení vašich místních sítí s virtuálními sítěmi dostupnými prostřednictvím koncového bodu. Tato připojení se nazývají obvody.

Poznámka

V kontextu ExpressRoute popisuje Microsoft Edge hraniční směrovače na straně Microsoftu okruhu ExpressRoute.

Okruh poskytuje fyzické připojení pro přenos dat prostřednictvím hraničních směrovačů poskytovatele ExpressRoute do hraničních směrovačů Microsoftu. Okruh se vytváří přes privátní drát, nikoli přes veřejný internet. Vaše lokální síť je připojena k hraničním routerům poskytovatele ExpressRoute. Okrajové směrovače Microsoftu poskytují vstupní bod do Microsoft Cloudu.

Požadavky pro ExpressRoute

Než se budete moct připojit ke cloudovým službám Microsoftu pomocí ExpressRoute, musíte mít:

• Partner připojení ExpressRoute nebo poskytovatel cloudové výměny, který může nastavit připojení z místních sítí ke cloudu Microsoftu.
• Předplatné Azure, které je zaregistrované u zvoleného partnera pro připojení ExpressRoute.
• Aktivní účet Microsoft Azure, který lze použít k vyžádání okruhu ExpressRoute.
• Aktivní předplatné Office 365 (pokud se chcete připojit ke cloudu Microsoftu a přistupovat ke službám Office 365).

ExpressRoute funguje na základě propojení vašich místních sítí se sítěmi provozovanými v cloudu Microsoftu. Prostředky ve vašich sítích můžou komunikovat přímo s prostředky hostovanými Microsoftem. Pro podporu těchto partnerských vztahů má ExpressRoute několik požadavků na síť a směrování:

• Ujistěte se, že jsou konfigurovány relace protokolu BGP pro směrovací domény. V závislosti na vašem partnerovi může být tato konfigurace jejich nebo vaše odpovědnost. Kromě toho Microsoft pro každý okruh ExpressRoute vyžaduje redundantní relace protokolu BGP mezi směrovači Microsoftu a vašimi partnerskými směrovači.
• Vy nebo vaši poskytovatelé potřebujete přeložit privátní IP adresy používané místně na veřejné IP adresy pomocí služby NAT. Microsoft odmítá vše kromě veřejných IP adres přes partnerské připojení Microsoftu.
• Vyhraďte si několik bloků IP adres ve vaší síti pro směrování provozu do cloudu Microsoftu. Tyto bloky nakonfigurujete jako podsíť /29 nebo dvě podsítě /30 v adresovém prostoru IP adres. Jedna z těchto podsítí slouží ke konfiguraci primárního propojení s cloudem Microsoftu a druhá implementuje sekundární propojení. První adresa v těchto podsítích představuje váš konec partnerského vztahu protokolu BGP a druhou adresou je IP adresa partnerského uzlu protokolu BGP společnosti Microsoft.

ExpressRoute podporuje dvě schémata peeringu:

• Pomocí privátního partnerského vztahu se připojte ke službám Azure IaaS a PaaS nasazenými ve virtuálních sítích Azure. Prostředky, ke kterým přistupujete, musí být umístěné v jedné nebo více virtuálních sítích Azure s privátními IP adresami. K prostředkům nemůžete přistupovat prostřednictvím jejich veřejné IP adresy přes privátní peerování.
• Pomocí partnerského vztahu Microsoftu se připojte ke službám Azure PaaS, službám Office 365 a Dynamics 365.

Poznámka

Můžete také použít Azure portal ke konfiguraci veřejného peeringu. Tato forma peeringu umožňuje připojení k veřejným adresám vystaveným službami Azure. Nicméně, toto propojení je zastaralé a není k dispozici pro nové okruhy. Tento modul nepopisuje veřejný peering.

Vytvořte okruh ExpressRoute a peerování

Vytvoření připojení k Azure prostřednictvím ExpressRoute je proces s více kroky. Mnoho z těchto kroků můžete provést buď pomocí webu Azure Portal, nebo z příkazového řádku pomocí PowerShellu nebo Azure CLI. Tato část popisuje proces použití webu Azure Portal. Pokyny k PowerShellu a rozhraní příkazového řádku najdete v části Další informace na konci tohoto modulu.

Vytvořte okruh

Když používáte portál Azure, vyberte + Vytvořit prostředek a vyhledejte ExpressRoute. Stránka Vytvoření okruhu ExpressRoute vyžaduje, abyste dokončili následující pole:

Karta Základy

Vlastnost	Hodnota
Předplatné	Předplatné, které jste zaregistrovali u svého poskytovatele ExpressRoute.
Skupina prostředků	Skupina prostředků Azure, ve které se má vytvořit okruh.
oblast	Umístění Azure, ve kterém se má okruh vytvořit.
název	Smysluplný název pro váš okruh, bez jakýchkoliv mezer nebo speciálních znaků.

Karta Konfigurace

Vlastnost	Hodnota
typ portu	Pokud se připojujete prostřednictvím poskytovatele služeb, vyberte poskytovatele nebo pokud se připojujete přímo k Microsoftu, vyberte Direct.
Vytvořit nový nebo importovat z klasické verze	Vytvořte nový okruh nebo vyberte Import a přesuňte existující okruh z modelu Classic do Resource Manageru.
poskytovatel	Poskytovatel ExpressRoute, u kterého jste zaregistrovali své předplatné.
Peeringové místo	Umístění povolené poskytovatelem ExpressRoute, ve kterém se má váš okruh vytvořit.
šířky pásma	Vyberte šířku pásma od 50 Mb/s až do 10 Gb/s. Začněte s nízkou hodnotou. Můžete ho později zvýšit bez přerušení služby. Pokud ale nastavíte příliš vysokou šířku pásma, nemůžete šířku pásma snížit.
SKU	Vyberte místní (pokud je k dispozici), pokud se potřebujete připojit jen k prostředku Azure v jedné nebo dvou oblastech Azure ve stejném metropolitním regionu. Pokud máte až 10 virtuálních sítí a potřebujete se připojit jenom k prostředkům ve stejné geografické oblasti, vyberte Standard. Jinak vyberte Premium, která umožňuje připojit více než 10 virtuálních sítí a globální připojení k prostředkům Azure.
model fakturace	Vyberte Neomezený, pokud chcete platit paušální poplatek bez ohledu na využití. Nebo vyberte účtované podle měřené spotřeby, aby bylo účtováno podle objemu provozu, který vstupuje do okruhu a vystupuje z něj.
Povolit klasické operace	Vyberte Ano, umožňuje klasickým virtuálním sítím připojit se k okruhu. V opačném případě vyberte Bez.

Vytvoření okruhu může trvat několik minut. Po zřízení okruhu můžete využít Azure Portal ke zobrazení vlastností. Vidíte, že stav okruhu je povolený, což znamená, že strana okruhu Microsoftu je připravená přijímat připojení. Stav poskytovatele je zpočátku nastaven na Nenakonfigurováno, protože poskytovatel nenakonfiguroval svou část okruhu pro připojení k vaší síti.

Zprostředkovateli odešlete hodnotu v poli Klíč služby, aby bylo možné nakonfigurovat připojení. Tato konfigurace může trvat několik dní. K této stránce se můžete vrátit a zkontrolovat stav poskytovatele.

Vytvořte konfiguraci peeringu

Po nahlášení stavu poskytovatele jako Zřízenýmůžete nakonfigurovat směrování pro peeringy. Tento postup platí jenom pro okruhy vytvořené u poskytovatelů služeb, kteří nabízejí připojení vrstvy 2. U všech okruhů, které pracují ve vrstvě 3, může být poskytovatel schopen nakonfigurovat směrování za vás.

Stránka okruhu ExpressRoute zobrazená dříve uvádí každé peerování a jeho vlastnosti. Můžete vybrat peering k nakonfigurování těchto vlastností.

Konfigurace privátního propojení

Privátní propojení můžete použít k připojení vaší sítě k virtuálním sítím běžícím v Azure. Pokud chcete nakonfigurovat privátní peering, musíte zadat následující informace:

• peer ASN: Číslo autonomního systému pro vaši stranu peeringu. Tento ASN může být veřejný nebo soukromý a 16 bitů nebo 32 bitů.
• podsítě: Vyberte, jestli chcete pro podsítě peeringu použít protokol IPv4, IPv6 nebo obojí.
• primární podsíť: Rozsah adres primární podsítě /30, kterou jste vytvořili ve své síti. V této podsíti použijete první IP adresu pro svůj směrovač. Microsoft používá druhý pro svůj směrovač.
• Sekundární podsíť: Rozsah adres vaší sekundární podsítě /30. Tato podsíť poskytuje sekundární propojení s Microsoftem. První dvě adresy slouží k uložení IP adresy vašeho směrovače a směrovače Microsoftu.
• Povolit IPv4 Peering: Tato možnost umožňuje povolit a zakázat privátní peeringovou BGP relaci.
• ID sítě VLAN: ID sítě VLAN, na které se má partnerský vztah vytvořit. Primární i sekundární propojení používají toto ID sítě VLAN.
• sdílený klíč: Tento klíč je volitelná hodnota hash MD5, která se používá ke kódování zpráv přenášených přes okruh.

Konfigurace partnerského vztahu Microsoftu

Partnerský vztah Microsoftu použijete k připojení k Office 365 a jeho přidruženým službám. Pokud chcete nakonfigurovat partnerský vztah Microsoftu, zadáte většinu informací popsaných pro privátní partnerský vztah: ASN partnerského vztahu, rozsah adres primární podsítě, rozsah adres sekundární podsítě, verzi PROTOKOLU IP podsítě, ID sítě VLAN a volitelný sdílený klíč. Musíte také zadat následující informace:

• Inzerované veřejné předpony: Seznam předpon adres, které používáte v relaci protokolu BGP. Tyto předpony musí být zaregistrované na vaše jméno a musí se jednat o předpony pro rozsahy veřejných adres.
• zákazníka ASN: Volitelné číslo autonomního systému na straně klienta, které se má použít, pokud inzerujete předpony, které nejsou zaregistrované v partnerském asN.
• Název registru směrování: Tento název identifikuje registr, kde jsou registrované ASN zákazníka a veřejné předpony.

Připojení virtuální sítě k okruhu ExpressRoute

Po vytvoření okruhu ExpressRoute se pro váš okruh nakonfiguruje privátní peerování Azure. Relace protokolu BGP mezi vaší sítí a Microsoftem je aktivní, takže můžete povolit připojení z místní sítě do Azure.

Než se budete moct připojit k privátnímu okruhu, musíte vytvořit bránu virtuální sítě Azure pomocí podsítě v jedné z virtuálních sítí Azure. Brána virtuální sítě poskytuje vstupní bod síťového provozu, který vstupuje z vaší místní sítě. Směruje příchozí provoz přes virtuální síť do vašich prostředků Azure.

Skupiny zabezpečení sítě a pravidla brány firewall můžete nakonfigurovat tak, aby kontrolovaly provoz směrovaný z vaší místní sítě. Můžete také blokovat žádosti z neautorizovaných adres ve vaší místní síti.

Poznámka

Bránu virtuální sítě musíte vytvořit pomocí typu ExpressRoute , nikoli typu VPN .

Až 10 virtuálních sítí je možné propojit s okruhem ExpressRoute, ale tyto virtuální sítě musí být ve stejné geopolitické oblasti jako okruh ExpressRoute při použití skladové položky Standard. V případě potřeby můžete propojit jednu virtuální síť se čtyřmi okruhy ExpressRoute. Okruh ExpressRoute může být buď ve stejném předplatném jako virtuální síť, nebo v jiném předplatném.

Pokud používáte Azure portal, připojíte peerování do brány virtuální sítě takto:

1. Na stránce okruhu ExpressRoute vyberte Připojení .
2. Na stránce Připojení vyberte Přidat.
3. Na stránce Přidat připojení zadejte název připojení a pak vyberte bránu virtuální sítě. Po dokončení operace se vaše místní síť připojí přes bránu virtuální sítě k vaší virtuální síti v Azure. Připojení se provádí přes připojení ExpressRoute.

Vysoká dostupnost a zotavení při selhání s využitím ExpressRoute

V každém okruhu ExpressRoute jsou dvě připojení, která poskytovatel připojení zajišťuje ke dvěma různým hraničním směrovačům Microsoftu. K této konfiguraci dochází automaticky. Poskytuje stupeň dostupnosti v rámci jedné lokality.

Zvažte nastavení okruhů ExpressRoute v různých lokalitách peeringu, abyste zajistili vysokou dostupnost a pomohli zabránit regionálním výpadkům. Můžete například vytvořit okruhy v oblastech USA – východ a USA – střed a tyto okruhy propojit s vaší virtuální sítí. Pokud dojde k výpadku jednoho okruhu ExpressRoute, nepřijdete o připojení ke svému prostředku a můžete přepnout připojení na jiný okruh ExpressRoute.

Můžete mít také více okruhů mezi různými poskytovateli, abyste zajistili, že vaše síť zůstane dostupná, i když výpadek ovlivní všechny okruhy od jednoho schváleného poskytovatele. Můžete nastavit vlastnost Váha připojení tak, aby dávala přednost jednomu okruhu před druhým.

ExpressRoute Direct a FastPath

Microsoft také poskytuje ultravysokorychlostní možnost s názvem ExpressRoute Direct. Tato služba umožňuje duální připojení 100 Gb/s. Je vhodný pro scénáře, které zahrnují masivní a častý příjem dat. Je také vhodný pro řešení, která vyžadují extrémní škálovatelnost, jako je bankovnictví, státní správa a maloobchod.

Předplatné můžete zaregistrovat u Microsoftu a aktivovat ExpressRoute Direct. Další informace najdete v článku ExpressRoute v části Další informace na konci tohoto modulu.

ExpressRoute Direct podporuje FastPath. Pokud je povolená aplikace FastPath, odesílá síťový provoz přímo do virtuálního počítače, který je zamýšleným cílem. Provoz obchází bránu virtuální sítě a zlepšuje výkon mezi virtuálními sítěmi Azure a místními sítěmi.

FastPath podporuje propojení virtuálních sítí (kde máte propojené virtuální sítě). Podporuje také trasy definované uživatelem v podsíti brány.

Kontrola znalostí

1.

Co je partnerský vztah Microsoftu?

Poskytuje přímé připojení z místní sítě k datacentru Azure.

Umožňuje připojit místní síť ke službám Office 365 a Dynamics 365.

Poskytuje připojení mezi vaší místní sítí a poskytovatelem ExpressRoute.

Poskytuje připojení typu point-to-site pro počítače ve vaší lokalitě ke službám Office 365.

2.

Co je okruh ExpressRoute?

Okruh ExpressRoute implementuje připojení typu site-to-site přes připojení VPN k datacentru Azure.

Okruh ExpressRoute je přímé pevné připojení mezi místním datacentrem a datacentrem Azure.

Služba zálohování, která poskytuje připojení ke cloudu Microsoftu v případě selhání připojení VPN.

Okruh zajišťuje fyzické připojení pro přenos dat přes hraniční směrovače poskytovatele ExpressRoute k hraničním směrovačům Microsoftu.

3.

Jaké výhody zabezpečení poskytuje Azure ExpressRoute?

Připojení ExpressRoute se automaticky šifruje, aby bylo snazší chránit provoz, který prochází přes internet do cloudu Microsoftu.

Rychlost, jakou data procházejí připojením ExpressRoute, znemožňuje jejich zachycení síťovými monitory a sniffery paketů.

ExpressRoute používá k připojení ke cloudu Microsoftu vyhrazenou privátní síť. Provoz neprochází veřejným internetem, takže je obtížné ho zachytit.

ExpressRoute používá proprietární přenosový protokol, který se neustále liší, takže je obtížné zachytit provoz.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.