Jak služba ExpressRoute funguje

Dokončeno

Seznámili jste se s účelem služby Azure ExpressRoute a se službami, pro které ji můžete použít. Teď se dozvíte, jak tato služba funguje. Pojďme se podívat, jak komunikuje s Azure a místními sítěmi, abychom vám pomohli vytvořit zabezpečené a spolehlivé připojení mezi místním datacentrem a cloudem Microsoftu.

V této lekci se naučíte vytvářet a používat okruhy Azure k propojení místních sítí s cloudem. Zobrazí se kroky, které je potřeba provést k vytvoření okruhu. Dozvíte se také o dalších komponentách připojení ExpressRoute, které společně tvoří připojení z místního datacentra do cloudu Microsoftu.

Architektura ExpressRoute

Služba ExpressRoute je podporovaná ve všech oblastech a umístěních. Abyste mohli ExpressRoute implementovat, musíte spolupracovat s partnerem ExpressRoute. Partner poskytuje hraniční službu – autorizované a ověřené připojení, které funguje přes partnerem ovládaný směrovač. Tato hraniční služba zodpovídá za rozšíření vaší sítě do cloudu Microsoftu.

Partner nastaví připojení ke koncovému bodu v umístění ExpressRoute (implementovaném hraničním směrovačem Microsoftu). Tato připojení umožňují peering místních sítí s virtuálními sítěmi dostupnými prostřednictvím koncového bodu. Tato připojení se označují jako okruhy.

Poznámka:

V kontextu ExpressRoute popisuje Microsoft Edge hraniční směrovače na straně Microsoftu okruhu ExpressRoute.

Okruh poskytuje fyzické připojení pro přenos dat přes hraniční směrovače poskytovatele ExpressRoute k hraničním směrovačům Microsoftu. Okruh je vytvořený přes privátní síťový kabel, ne přes veřejný internet. Vaše místní síť je připojená k hraničním směrovačům poskytovatele ExpressRoute. Hraniční směrovače Microsoftu poskytují vstupní bod do cloudu Microsoftu.

Požadavky připojení ExpressRoute

Abyste se mohli pomocí služby ExpressRoute připojit ke cloudovým službám Microsoftu, musíte mít:

• Partnera připojení ExpressRoute nebo poskytovatele cloudové výměny, který může nastavit připojení z místních sítí do cloudu Microsoftu.
• Předplatné Azure, které je zaregistrované u zvoleného partnera připojení ExpressRoute.
• Aktivní účet Microsoft Azure, který se dá použít k vyžádání okruhu ExpressRoute.
• Aktivní předplatné Office 365 (pokud se chcete připojit ke cloudu Microsoftu a přistupovat ke službám Office 365).

ExpressRoute pracuje na základě partnerských vztahů (peeringu) mezi místními sítěmi a sítěmi, které běží v cloudu Microsoftu. Prostředky ve vašich sítích můžou komunikovat přímo s prostředky hostovanými Microsoftem. Pro podporu těchto partnerských vztahů má ExpressRoute několik požadavků na síť a směrování:

• Zajistěte, aby byly nakonfigurovány relace protokolu BGP pro domény směrování. V závislosti na vašem partnerovi může být tato konfigurace jejich nebo vaše odpovědnost. Kromě toho pro každý okruh ExpressRoute vyžaduje Microsoft redundantní relace protokolu BGP mezi směrovači Microsoftu a směrovači partnerského vztahu.
• Vy nebo vaši poskytovatelé musí pomocí služby překladu adres (NAT) přeložit privátní IP adresy používané místně na veřejné IP adresy. Microsoft odmítne cokoli kromě veřejných IP adres prostřednictvím partnerského vztahu Microsoftu.
• Vyhraďte několik bloků IP adres ve vaší síti pro směrování provozu do cloudu Microsoftu. Tyto bloky nakonfigurujte jako podsíť /29 nebo dvě podsítě /30 ve svém adresním prostoru IP adres. Jedna z těchto podsítí slouží ke konfiguraci primárního propojení s cloudem Microsoftu a druhá implementuje sekundární propojení. První adresa v těchto podsítích představuje váš konec partnerského vztahu protokolu BGP a druhou adresou je IP adresa partnerského uzlu protokolu BGP společnosti Microsoft.

ExpressRoute podporuje dvě schémata peeringu:

• Pomocí privátního peeringu se připojíte ke službám Azure IaaS a PaaS nasazeným ve virtuálních sítích Azure. Prostředky, ke kterým přistupujete, musí být umístěné v jedné nebo několika virtuálních sítích Azure s privátními IP adresami. Přes privátní peering nemůžete získat přístup k prostředkům prostřednictvím veřejné IP adresy.
• Pomocí peeringu s Microsoftem se připojíte ke službám Azure PaaS, službám Office 365 a Dynamics 365.

Poznámka:

Ke konfiguraci veřejného peeringu můžete použít také Azure Portal. Tato forma peeringu vám umožní připojit se k veřejným adresám vystaveným službami Azure. Tento partnerský vztah je ale zastaralý a pro nové okruhy není k dispozici. Tento modul nepopisuje veřejné partnerské vztahy.

Vytvoření okruhu ExpressRoute a partnerských vztahů

Vytvoření připojení k Azure prostřednictvím ExpressRoute je proces skládající se z několika kroků. Mnoho z těchto kroků můžete provést buď pomocí webu Azure Portal, nebo z příkazového řádku pomocí PowerShellu nebo Azure CLI. V této části je popsán proces používající Azure Portal. Pokyny k PowerShellu a CLI najdete na konci tohoto modulu v části Další informace.

Vytvoření okruhu

Když používáte Azure Portal, vyberte + Vytvořit prostředek a vyhledejte ExpressRoute. Stránka Vytvořit okruh ExpressRoute vyžaduje vyplnění těchto polí:

Karta Základní informace

Vlastnost	Value
Předplatné	Předplatné, které jste zaregistrovali u svého poskytovatele ExpressRoute
Skupina prostředků	Skupina prostředků Azure, ve které se má okruh vytvořit
Oblast	Umístění Azure, ve kterém se má okruh vytvořit
Název	Výstižný název okruhu bez prázdných nebo speciálních znaků

Karta konfigurace

Vlastnost	Value
Typ portu	Pokud se připojujete přes poskytovatele služeb, vyberte Poskytovatele nebo pokud se připojujete přímo k Microsoftu.
Vytvoření nového nebo importu z modelu Classic	Vytvořte nový okruh nebo vyberte Importovat a přesuňte existující okruh z modelu Classic do Resource Manageru.
Zprostředkovatel	Poskytovatel ExpressRoute, u kterého jste zaregistrovali své předplatné
Umístění peeringu	Umístění povolené poskytovatelem ExpressRoute, ve kterém se má okruh vytvořit
Šířka pásma	Vyberte šířku pásma od 50 Mb/s do 10 Gb/s. Začněte nižší hodnotou. Později ji můžete bez přerušení služby zvětšit. Pokud ale nastavíte příliš vysokou počáteční hodnotu, nemůžete šířku pásma zmenšit.
Skladová jednotka (SKU)	Vyberte Místní (pokud je k dispozici), pokud se potřebujete připojit jenom k prostředku Azure ve 1 nebo 2 oblastech Azure ve stejném metro. Vyberte Standard , pokud máte až 10 virtuálních sítí a potřebujete se připojit jenom k prostředkům ve stejné geografické oblasti. V opačném případě vyberte Premium , abyste mohli připojit více než 10 virtuálních sítí a globální připojení k prostředkům Azure.
Model fakturace	Vyberte Neomezené, pokud chcete platit paušální poplatek bez ohledu na využití. Nebo vyberte Měřené, pokud chcete platit podle objemu provozu, který v rámci okruhu vstupuje a vystupuje.
Povolit klasické operace	Když vyberete Ano , umožníte klasickým virtuálním sítím připojit se k okruhu. Jinak vyberte Ne.

Vytvoření okruhu může několik minut trvat. Po zřízení okruhu můžete pomocí webu Azure Portal zobrazit vlastnosti. Můžete vidět, že je povolený stav okruhu, což znamená, že strana microsoftu okruhu je připravená přijímat připojení. Stav poskytovatele je zpočátku nastavený na Nezřizované , protože poskytovatel nenakonfiguroval jeho stranu okruhu pro připojení k síti.

Zprostředkovateli odešlete hodnotu v poli Klíč služby, aby bylo možné nakonfigurovat připojení. Tato konfigurace může trvat několik dní. Tuto stránku můžete znovu navštívit a ověřit stav poskytovatele.

Vytvoření konfigurace peeringu

Až se stav poskytovatele změní na Zajištěno, můžete pro peering nakonfigurovat směrování. Tento postup platí jen pro okruhy vytvořené s poskytovateli služeb nabízejícími služby připojení vrstvy 2. Pro všechny okruhy, které pracují ve vrstvě 3, může poskytovatel nakonfigurovat směrování za vás.

Stránka okruhu ExpressRoute zobrazená dříve uvádí každý partnerský vztah a jeho vlastnosti. Když některý peering vyberete, můžete nakonfigurovat jeho vlastnosti.

Konfigurace privátního peeringu

Privátní partnerský vztah můžete použít k připojení sítě k virtuálním sítím běžícím v Azure. Při konfiguraci privátního peeringu je nutné zadat následující informace:

• Partnerské číslo ASN: Číslo autonomního systému pro vaši stranu partnerského vztahu. Toto číslo ASN může být veřejné nebo soukromé a 16bitové nebo 32bitové.
• Podsítě: Vyberte, jestli chcete pro podsítě partnerského vztahu použít protokol IPv4, IPv6 nebo obojí.
• Primární podsíť: Rozsah adres primární podsítě /30, kterou jste vytvořili ve své síti. Pro směrovač použijete první IP adresu v této podsíti. Microsoft používá pro svůj směrovač druhou.
• Sekundární podsíť: Rozsah adres sekundární podsítě /30. Tato podsíť poskytuje sekundární propojení s Microsoftem. První dvě adresy jsou určené pro IP adresu vašeho směrovače a IP adresu směrovače Microsoftu.
• Povolit partnerský vztah IPv4: Tato možnost umožňuje povolit a zakázat relaci protokolu BGP privátního partnerského vztahu.
• ID sítě VLAN: ID sítě VLAN, na které se má partnerský vztah vytvořit. Primární i sekundární propojení používají toto ID sítě VLAN.
• Sdílený klíč: Tento klíč je volitelná hodnota hash MD5, která se používá ke kódování zpráv předávaných okruhem.

Konfigurace peeringu s Microsoftem

Pomocí peeringu s Microsoftem se připojíte k Office 365 a přidruženým službám. Pokud chcete nakonfigurovat partnerský vztah Microsoftu, zadáte většinu informací popsaných pro privátní partnerský vztah: ASN partnerského vztahu, rozsah adres primární podsítě, rozsah adres sekundární podsítě, verzi PROTOKOLU IP podsítě, ID sítě VLAN a volitelný sdílený klíč. Musíte zadat také následující informace:

• Inzerované veřejné předpony: Seznam předpon adres, které používáte v relaci protokolu BGP. Tyto předpony musí být zaregistrované pro vás a musí být předponami rozsahů veřejných adres.
• Zákazník ASN: Volitelné číslo autonomního systému na straně klienta, které se má použít, pokud inzerujete předpony, které nejsou zaregistrované v partnerském ASN.
• Název registru směrování: Tento název identifikuje registr, ve kterém jsou zaregistrované asn zákazníka a veřejné předpony.

Připojení virtuální sítě k okruhu ExpressRoute

Po vytvoření okruhu ExpressRoute se pro váš okruh nakonfiguruje privátní partnerský vztah Azure. Relace protokolu BGP mezi vaší sítí a Microsoftem je aktivní, takže můžete povolit připojení z místní sítě do Azure.

Než se budete moct připojit k privátnímu okruhu, musíte vytvořit bránu virtuální sítě Azure pomocí podsítě v jedné z vašich virtuálních sítí Azure. Tato brána virtuální sítě poskytuje vstupní bod pro síťový provoz, který přichází z vaší místní sítě. Směruje příchozí provoz přes virtuální síť do vašich prostředků Azure.

Pro řízení provozu, který je směrovaný z vaší místní sítě, můžete nakonfigurovat skupiny zabezpečení sítě a pravidla brány firewall. Můžete také blokovat žádosti z neautorizovaných adres ve vaší místní síti.

Poznámka:

Bránu virtuální sítě musíte vytvořit s použitím typu ExpressRoute, nikoli VPN.

Až 10 virtuálních sítí je možné propojit s okruhem ExpressRoute, ale tyto virtuální sítě musí být ve stejné geopolitické oblasti jako okruh ExpressRoute při použití skladové položky Standard. V případě potřeby můžete jednu virtuální síť propojit se čtyřmi okruhy ExpressRoute. Okruh ExpressRoute může být ve stejném předplatném jako je virtuální síť nebo v jiném.

Při použití webu Azure Portal připojíte peering k bráně virtuální sítě takto:

1. Na stránce Okruh ExpressRoute pro váš okruh vyberte Připojení.
2. Na stránce Připojení vyberte Přidat.
3. Na stránce Přidat připojení zadejte název připojení a pak vyberte bránu virtuální sítě. Po dokončení operace se vaše místní síť připojí přes bránu virtuální sítě k vaší virtuální síti v Azure. Připojení se provádí přes připojení ExpressRoute.

Vysoká dostupnost a převzetí služeb při selhání u ExpressRoute

V každém okruhu ExpressRoute existují dvě připojení od poskytovatele připojení ke dvěma různým hraničním směrovačům Microsoftu. Tato konfigurace probíhá automaticky. Poskytuje určitý stupeň dostupnosti v rámci jednoho umístění.

Zvažte nastavením okruhů ExpressRoute v různých umístěních peeringu zajistit vysokou dostupnost a ochranu před oblastním výpadkem. Můžete například vytvořit okruhy v oblastech USA – východ a USA – střed a připojit tyto okruhy k vaší virtuální síti. Pokud dojde k výpadku jednoho okruhu ExpressRoute, nepřijdete o připojení ke svému prostředku a můžete převzít služby při selhání připojení k jinému okruhu ExpressRoute.

Můžete mít také více okruhů mezi různými poskytovateli, abyste zajistili, že vaše síť zůstane dostupná, i když výpadek zasáhne všechny okruhy od jednoho schváleného poskytovatele. Jeden okruh před druhým můžete upřednostnit nastavením vlastnosti Váha připojení.

ExpressRoute Direct a FastPath

Microsoft poskytuje také vysokorychlostní možnost označovanou jako ExpressRoute Direct. Tato služba umožňuje duální připojení 100 Gb/s. Je vhodná v situacích, kdy je potřeba obrovský a častý příjem dat. Je také vhodná pro řešení, která vyžadují extrémní škálovatelnost, například v oblasti bankovnictví, státní správy a maloobchodu.

Předplatné můžete zaregistrovat u Microsoftu a aktivovat ExpressRoute Direct. Další informace najdete v článku o ExpressRoute, na který najdete odkaz na konci tohoto modulu v části Další informace.

ExpressRoute Direct podporuje FastPath. Když je funkce FastPath povolená, posílá síťový provoz přímo do virtuálního počítače, který je zamýšleným cílem. Tento provoz obchází bránu virtuální sítě, což zvyšuje výkon mezi virtuálními sítěmi Azure a místními sítěmi.

FastPath podporuje partnerský vztah virtuálních sítí (kde máte propojené virtuální sítě). Podporuje také trasy definované uživatelem v podsíti brány.

Prověřte si své znalosti

1.

Co je peering s Microsoftem?

Poskytuje přímé připojení z vaší místní sítě do datacentra Azure.

Umožňuje připojit vaši místní síť ke službám Office 365 a k Dynamics 365.

Zajišťuje spojení mezi vaší místní sítí a poskytovatelem ExpressRoute.

Poskytuje počítačům v místním umístění připojení typu point-to-site ke službám Office 365.

2.

Co je okruh ExpressRoute?

Okruh ExpressRoute implementuje připojení typu site-to-site přes připojení VPN k datovému centru Azure.

Okruh ExpressRoute je přímé kabelové připojení mezi místním datovým centrem a datovým centrem Azure.

Záložní služba, která poskytuje připojení ke cloudu Microsoftu v případě, že selže připojení VPN.

Okruh poskytuje fyzické připojení pro přenos dat přes hraniční směrovače poskytovatele ExpressRoute k hraničním směrovačům Microsoftu.

3.

Jaké výhody zabezpečení poskytuje Azure ExpressRoute?

Připojení ExpressRoute je automaticky šifrované a chrání tak provoz procházející přes internet do cloudu Microsoftu.

Rychlost, jakou data procházejí připojením ExpressRoute, znemožňuje programům pro sledování sítě a sledovacím programům paketů, aby odposlouchávaly provoz.

ExpressRoute používá pro připojení ke cloudu Microsoftu vyhrazenou privátní síť. Provoz neprochází přes veřejný internet, takže je obtížné ho odposlouchávat.

ExpressRoute používá proprietární přenosový protokol, který se neustále mění, což ztěžuje odposlouchávání provozu.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.