Připojení okruhu ExpressRoute k virtuální síti

  • 5 min

Okruh ExpressRoute představuje logické propojení mezi vaší místní infrastrukturou a cloudovými službami společnosti Microsoft prostřednictvím poskytovatele připojení. Můžete si objednat více okruhů ExpressRoute. Každý okruh může být ve stejných nebo různých oblastech a může být připojen k vašim prostorám prostřednictvím různých poskytovatelů připojení. Okruhy ExpressRoute se nemapují na žádné fyzické entity. Okruh používá standardní identifikátor GUID volaný jako klíč služby (s-key).

Připojení virtuální sítě k okruhu ExpressRoute

  • Musí mít aktivní okruh ExpressRoute.
  • Ujistěte se, že máte pro okruh nakonfigurovaný privátní partnerský vztah Azure.
  • Ujistěte se, že je nakonfigurovaný privátní partnerský vztah Azure a vytvoří partnerský vztah protokolu BGP mezi vaší sítí a Microsoftem pro kompletní připojení.
  • Ujistěte se, že máte vytvořenou a plně zřízenou bránu virtuální sítě a bránu virtuální sítě. Brána virtuální sítě pro ExpressRoute používá GatewayType ExpressRoute, nikoli VPN.
  • Můžete propojit až 10 virtuálních sítí se standardním okruhem ExpressRoute. Při použití standardního okruhu ExpressRoute musí být všechny virtuální sítě ve stejné geopolitické oblasti.
  • Jednu virtuální síť je možné propojit s až 16 okruhy ExpressRoute. Okruhy ExpressRoute můžou být ve stejném předplatném, různých předplatných nebo kombinaci obou.
  • Pokud povolíte doplněk ExpressRoute Premium, můžete propojit virtuální sítě mimo geopolitickou oblast okruhu ExpressRoute. Doplněk Premium umožňuje připojit k okruhu ExpressRoute více než 10 virtuálních sítí v závislosti na zvolené šířce pásma.
  • Pokud chcete vytvořit připojení z okruhu ExpressRoute k cílové bráně virtuální sítě ExpressRoute, musí být počet adresních prostorů inzerovaných z místních nebo partnerských virtuálních sítí roven nebo menší než 200. Po úspěšném vytvoření připojení můžete do místních nebo partnerských virtuálních sítí přidat další adresní prostory až 1 000.

Přidání sítě VPN do nasazení ExpressRoute

Tato část vám pomůže nakonfigurovat zabezpečené šifrované připojení mezi vaší místní sítí a virtuálními sítěmi Azure přes privátní připojení ExpressRoute. Partnerský vztah Microsoftu můžete použít k vytvoření tunelu VPN typu site-to-site IPsec/IKE mezi vybranými místními sítěmi a virtuálními sítěmi Azure. Konfigurace zabezpečeného tunelu přes ExpressRoute umožňuje výměnu dat s důvěrností, antireplay, pravostí a integritou.

Poznámka:

Když nastavíte síť VPN typu site-to-site přes partnerský vztah Microsoftu, budou se vám účtovat poplatky za bránu VPN a výchozí přenos dat VPN.

Pro zajištění vysoké dostupnosti a redundance můžete nakonfigurovat více tunelů přes dva páry MSEE-PE okruhu ExpressRoute a povolit vyrovnávání zatížení mezi tunely.

Tunely VPN přes partnerský vztah Microsoftu je možné ukončit buď pomocí brány VPN, nebo pomocí vhodného síťového virtuálního zařízení dostupného prostřednictvím Azure Marketplace. Trasy můžete vyměňovat staticky nebo dynamicky přes šifrované tunely bez vystavení výměny tras podkladovému partnerskému vztahu Microsoftu. V této části se protokol BGP (jiný než relace protokolu BGP sloužící k vytvoření partnerského vztahu Microsoftu) používá k dynamické výměně předpon přes šifrované tunely.

Důležité

U místní strany se obvykle partnerský vztah Microsoftu ukončí v zóně DMZ a privátní partnerský vztah se ukončí v zóně základní sítě. Dvě zóny by se oddělily pomocí bran firewall. Pokud konfigurujete partnerský vztah Microsoftu výhradně pro povolení zabezpečeného tunelování přes ExpressRoute, nezapomeňte filtrovat jenom veřejné IP adresy, které se inzerují prostřednictvím partnerského vztahu Microsoftu.

Kroky

  • Nakonfigurujte partnerský vztah Microsoftu pro váš okruh ExpressRoute.
  • Inzerujte vybrané veřejné předpony Azure do místní sítě prostřednictvím partnerského vztahu Microsoftu.
  • Konfigurace brány VPN a vytvoření tunelů IPsec
  • Nakonfigurujte místní zařízení VPN.
  • Vytvořte připojení IPsec/IKE typu site-to-site.
  • (Volitelné) Nakonfigurujte brány firewall a filtrování na místním zařízení VPN.
  • Otestujte a ověřte komunikaci protokolu IPsec přes okruh ExpressRoute.