Konfigurace partnerského vztahu pro nasazení ExpressRoute
Okruh ExpressRoute má přidružené dvě možnosti partnerského vztahu: privátní Azure a Microsoft. Každý partnerský vztah je nakonfigurovaný identicky na dvojici směrovačů (v konfiguraci sdílení aktivní-aktivní nebo sdílení zatížení) pro zajištění vysoké dostupnosti. Služby Azure jsou rozdělené do kategorií jako veřejné a soukromé služby Azure, aby představovaly schémata přidělování IP adres.
Vytvoření konfigurace partnerského vztahu
- Pro okruh ExpressRoute můžete nakonfigurovat privátní partnerský vztah a partnerský vztah Microsoftu. Partnerský vztah je možné nakonfigurovat v libovolném pořadí, které zvolíte. Musíte se ale přesvědčit, že jste vždy konfiguraci každého partnerského vztahu dokončili.
- Musí mít aktivní okruh ExpressRoute. Pokud chcete nakonfigurovat partnerské vztahy, musí být okruh ExpressRoute ve zřízeném a povoleném stavu.
- Pokud plánujete použít hodnotu hash sdíleného klíče nebo MD5, nezapomeňte použít klíč na obou stranách tunelu. Limit je maximálně 25 alfanumerických znaků. Speciální znaky nejsou podporované.
Volba mezi pouze privátním partnerským vztahem, pouze partnerským vztahem Microsoftu nebo obojím
Následující tabulka porovnává dva partnerské vztahy. Veřejný partnerský vztah je pro nový partnerský vztah zastaralý.
| Funkce | Soukromý partnerský vztah | Partnerský vztah Microsoftu |
|---|---|---|
| Max. Podporované předpony # pro každý partnerský vztah | 4000 ve výchozím nastavení, 10 000 s ExpressRoute Premium | 200 |
| Podporované rozsahy IP adres | Libovolná platná IP adresa v rámci vaší sítě WAN. | Veřejné IP adresy, které vlastníte vy nebo váš poskytovatel připojení. |
| Požadavky na číslo AS | Soukromá a veřejná čísla AS. Pokud se rozhodnete použít veřejné číslo AS, musíte ho vlastnit. | Soukromá a veřejná čísla AS. Musíte ale prokázat vlastnictví veřejných IP adres. |
| Podporované protokoly IP | IPv4, IPv6 (Preview) | protokol IPv4, protokol IPv6 |
| IP adresy rozhraní směrování | RFC1918 a veřejné IP adresy | Veřejné IP adresy registrované pro vás v registrech směrování. |
| Podpora hodnot hash MD5 | Yes | Yes |
V rámci okruhu ExpressRoute můžete povolit jednu nebo více domén směrování. Pokud je chcete zkombinovat do jedné domény směrování, můžete zvolit, aby všechny domény směrování byly vloženy do stejné sítě VPN. Doporučená konfigurace spočívá v tom, že privátní partnerský vztah je připojený přímo k základní síti a veřejné a partnerské propojení Microsoftu jsou připojené k vašemu DMZ.
Každý partnerský vztah vyžaduje samostatné relace protokolu BGP (jeden pár pro každý typ partnerského vztahu). Páry relací protokolu BGP poskytují vysoce dostupný odkaz. Pokud se připojujete přes poskytovatele připojení vrstvy 2, zodpovídáte za konfiguraci a správu směrování.
Důležité
Podpora protokolu IPv6 pro privátní peering je aktuálně ve verzi Public Preview. Pokud chcete připojit virtuální síť k okruhu ExpressRoute s nakonfigurovaným privátním partnerským vztahem založeným na protokolu IPv6, ujistěte se, že je vaše virtuální síť duální, a postupujte podle pokynů pro protokol IPv6 pro virtuální síť Azure.
Konfigurace privátního peeringu
Výpočetní služby Azure, konkrétně virtuální počítače a cloudové služby, které jsou nasazené ve virtuální síti, je možné připojit prostřednictvím domény privátního partnerského vztahu. Privátní doména partnerského vztahu je důvěryhodné rozšíření vaší základní sítě do Microsoft Azure. Můžete nastavit obousměrné připojení mezi vaší základní sítí a virtuálními sítěmi Azure. Tento peering umožňuje přímé připojení k virtuálním počítačům a cloudovým službám přes jejich privátní IP adresy.
K doméně privátního partnerského vztahu můžete připojit více než jednu virtuální síť. Aktuální informace o limitech najdete na stránce Omezení, kvóty a omezení předplatného a služeb Azure.
Konfigurace peeringu s Microsoftem
Připojení ke službám Microsoft online služby (Microsoft 365 a Azure PaaS) probíhá prostřednictvím partnerského vztahu Microsoftu. Můžete povolit obousměrné připojení mezi vaší sítí WAN a cloudovými službami Microsoftu prostřednictvím domény směrování partnerského vztahu Microsoftu. Ke cloudovým službám Microsoftu se musíte připojit jenom přes veřejné IP adresy vlastněné vámi nebo vaším poskytovatelem připojení a musíte dodržovat všechna definovaná pravidla.
Konfigurace filtrů tras pro partnerský vztah Microsoftu
Filtry tras představují způsob, jak spotřebovat dílčí sadu podporovaných služeb přes partnerský vztah Microsoftu.
Služby Microsoft 365, jako je Exchange Online, SharePoint Online a Skype pro firmy, jsou přístupné prostřednictvím partnerského vztahu Microsoftu. Když je v okruhu ExpressRoute nakonfigurován partnerský vztah Microsoftu, všechny předpony související s těmito službami jsou inzerovány prostřednictvím vytvořených relací protokolu BGP. Ke každé předponě je připojená hodnota komunity protokolu BGP, která identifikuje službu nabízenou prostřednictvím dané předpony.
Připojení ke všem službám Azure a Microsoft 365 způsobí, že se prostřednictvím protokolu BGP inzeruje mnoho předpon. Velký počet předpon výrazně zvyšuje velikost směrovacích tabulek udržovaných směrovači v síti. Pokud plánujete využívat pouze podmnožinu služeb nabízených prostřednictvím partnerského vztahu Microsoftu, můžete velikost směrovacích tabulek zmenšit dvěma způsoby. Můžete provádět následující akce:
- Vyfiltrujte nežádoucí předpony použitím filtrů tras v komunitách protokolu BGP. Filtrování tras je standardní síťový postup a běžně se používá v mnoha sítích.
- Definujte filtry tras a použijte je pro okruh ExpressRoute. Filtr tras je nový prostředek, který umožňuje vybrat seznam služeb, které plánujete využívat prostřednictvím partnerského vztahu Microsoftu. Směrovače ExpressRoute odesílají pouze seznam předpon, které patří službám identifikovaným ve filtru tras.
Filtry tras
Když se partnerský vztah Microsoftu nakonfiguruje v okruhu ExpressRoute, směrovače Microsoft Edge vytvoří dvojici relací protokolu BGP s hraničními směrovači prostřednictvím poskytovatele připojení. Do vaší sítě se žádné trasy neinzerují. Pokud chcete povolit inzerování tras do vaší sítě, je potřeba k ní přidružit filtr tras.
Filtr tras umožňuje identifikovat služby, které chcete využívat prostřednictvím partnerského vztahu Microsoftu s vaším okruhem ExpressRoute. V podstatě se jedná o seznam všech povolených hodnot komunit protokolu BGP. Jakmile je prostředek filtru tras definován a připojen k okruhu ExpressRoute, všechny předpony mapované na hodnoty komunit protokolu BGP se inzerují do vaší sítě.
Pokud chcete připojit filtry tras ke službám Microsoft 365, musíte mít oprávnění využívat služby Microsoft 365 prostřednictvím ExpressRoute. Pokud nemáte oprávněni využívat služby Microsoft 365 prostřednictvím ExpressRoute, operace připojení filtrů trasy selže.