Konfigurieren des Peerings für eine ExpressRoute-Bereitstellung
Einer ExpressRoute-Leitung sind zwei Peeringoptionen zugeordnet: „Azure, privat“ und „Microsoft“. Alle Peerings sind für Hochverfügbarkeit auf einem Routerpaar identisch konfiguriert (mit einer Aktiv/Aktiv-Konfiguration oder einer Nutzlastverteilungskonfiguration). Azure-Dienste sind zur Darstellung der IP-Adressierungsschemas als Azure – Öffentlich und Azure – Privat kategorisiert.
Erstellen der Peeringkonfiguration
- Sie können privates Peering und Microsoft-Peering für eine ExpressRoute-Verbindung konfigurieren. Sie können Peering in beliebiger Reihenfolge konfigurieren. Sie müssen jedoch sicherstellen, dass Sie die Konfiguration jedes Peerings einzeln nacheinander durchführen.
- Sie benötigen eine aktive ExpressRoute-Verbindung. Zum Konfigurieren von Peerings muss die ExpressRoute-Leitung den Zustand „Bereitgestellt“ und „Aktiviert“ aufweisen.
- Wenn Sie einen freigegebenen Schlüssel/MD5-Hash nutzen möchten, verwenden Sie den Schlüssel unbedingt auf beiden Seiten des Tunnels. Es gilt ein Grenzwert von maximal 25 alphanumerische Zeichen. Sonderzeichen werden nicht unterstützt.
Wählen Sie ausschließlich privates Peering, ausschließlich Microsoft-Peering oder beide Peeringoptionen aus.
In der folgenden Tabelle werden die beiden Peeringoptionen verglichen. Öffentliches Peering ist für neues Peering veraltet.
| Funktionen | Privates Peering | Microsoft-Peering |
|---|---|---|
| Maximal Anzahl von unterstützten Präfixen pro Peering | Standardmäßig 4.000, bei ExpressRoute Premium 10.000 | 200 |
| Unterstützte IP-Adressbereiche | Jede gültige IPv4-Adresse innerhalb des WAN | Öffentliche IP-Adressen in Ihrem Besitz oder im Besitz des Konnektivitätsanbieters |
| Anforderungen für AS-Nummern | Private und öffentliche AS-Nummern. Wenn Sie eine öffentliche AS-Nummer verwenden möchten, muss diese in Ihrem Besitz sein. | Private und öffentliche AS-Nummern. Sie müssen allerdings den Besitz öffentlicher IP-Adressen nachweisen. |
| Unterstützte IP-Protokolle | IPv4, IPv6 (Vorschau) | IPv4, IPv6 |
| IP-Adressen der Routingschnittstelle | RFC1918 und öffentliche IP-Adressen | In Routingregistrierungen für Sie registrierte öffentliche IP-Adressen. |
| MD5-Hash-Unterstützung | Ja | Ja |
Sie können mehrere Routingdomänen als Teil der ExpressRoute-Verbindung aktivieren. Sie können alle Routingdomänen durch das gleiche VPN leiten, wenn sie diese zu einer einzelnen Routingdomäne zusammenführen möchten. Die empfohlene Konfiguration sieht folgendermaßen aus: Das private Peering ist direkt mit dem Kernnetzwerk verbunden, und die öffentlichen Peeringlinks und die Microsoft-Peeringlinks sind mit Ihrer DMZ verbunden.
Jedes Peering erfordert separate BGP-Sitzungen (ein Sitzungspaar für jeden Peeringtyp). Die BGP-Sitzungspaare bieten einen hoch verfügbaren Link. Wenn Sie die Verbindung über Layer-2-Konnektivitätsanbieter herstellen, sind Sie für das Konfigurieren und Verwalten des Routings verantwortlich.
Wichtig
Die IPv6-Unterstützung für privates Peering befindet sich zurzeit in Public Preview. Wenn Sie Ihr virtuelles Netzwerk mit einer ExpressRoute-Verbindung verbinden möchten, bei der IPv6-basiertes privates Peering konfiguriert ist, stellen Sie sicher, dass Ihr virtuelles Netzwerk ein dualer Stapel ist und die Richtlinien für IPv6 für Azure VNet einhält.
Konfigurieren des privaten Peerings
Azure-Computedienste, sprich virtuelle Computer und Clouddienste, die in einem virtuellen Netzwerk bereitgestellt werden, können über die private Peeringdomäne verbunden werden. Die private Peeringdomäne ist eine vertrauenswürdige Erweiterung Ihres Kernnetzwerks für Microsoft Azure. Sie können eine bidirektionale Verbindung zwischen Ihrem Kernnetzwerk und den virtuellen Azure-Netzwerken (VNets) einrichten. Durch dieses Peering können Sie direkt über ihre privaten IP-Adressen eine Verbindung zwischen virtuellen Computern und Clouddiensten herstellen.
Sie können mehr als ein virtuelles Netzwerk mit der privaten Peeringdomäne verbinden. Aktuelle Informationen zu Grenzwerten finden Sie auf der Seite Grenzwerte, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste .
Konfigurieren des Microsoft-Peerings
Verbindungen mit Onlinediensten von Microsoft (Microsoft 365 und Azure-PaaS-Dienste) erfolgen per Microsoft-Peering. Sie können über die Peeringrouting-Domäne von Microsoft bidirektionale Konnektivität zwischen Ihrem WAN und den Microsoft-Clouddiensten aktivieren. Sie dürfen nur über öffentliche IP-Adressen, die Ihnen oder Ihrem Konnektivitätsanbieter gehören, eine Verbindung mit den Microsoft-Clouddiensten herstellen und müssen alle definierten Regeln einhalten.
Konfigurieren von Routenfiltern für das Microsoft-Peering
Routenfilter stellen eine Möglichkeit dar, um eine Teilmenge von unterstützten Diensten durch das Microsoft-Peering zu nutzen.
Das Microsoft-Peering ermöglicht den Zugriff auf Microsoft 365-Dienste wie Exchange Online, SharePoint Online und Skype for Business. Wenn das Microsoft-Peering in einer ExpressRoute-Verbindung konfiguriert wird, werden alle Präfixe im Zusammenhang mit diesen Diensten über die eingerichteten BGP-Sitzungen angekündigt. Jedem Präfix wird zur Identifizierung des Diensts, der über das Präfix angeboten wird, ein BGP-Communitywert angefügt.
Die Konnektivität mit allen Azure- und Microsoft 365-Diensten bewirkt, dass viele Präfixe über BGP angekündigt werden. Dadurch werden die Routingtabellen, die von Routern innerhalb Ihres Netzwerks verwaltet werden, erheblich größer. Wenn Sie nur eine Teilmenge der Dienste nutzen möchten, die über das Microsoft-Peering angeboten werden, können Sie die Routentabellen auf zwei Arten verringern. Ihre Möglichkeiten:
- Sie filtern unerwünschte Präfixe heraus, indem Sie Routenfilter auf BGP-Communitys anwenden. Routenfilterung ist eine standardmäßige Vorgehensweise bei Netzwerken, die bei zahlreichen Netzwerken zum Einsatz kommt.
- Sie definieren Routenfilter und wenden sie auf Ihre ExpressRoute-Verbindung an. Ein Routenfilter ist eine neue Ressource, mit der Sie die Liste der Dienste, die Sie über das Microsoft-Peering nutzen möchten, auswählen können. ExpressRoute-Router senden lediglich die Liste der Präfixe, die den im Routenfilter identifizierten Diensten zugehörig sind.
Informationen zu Routenfiltern
Wenn das Microsoft-Peering in Ihrer ExpressRoute-Verbindung konfiguriert wird, richten die Microsoft Edge-Router über Ihren Konnektivitätsanbieter ein BGP-Sitzungspaar mit den Edge-Routern ein. Ihrem Netzwerk werden keine Routen angekündigt. Um Routenankündigungen für Ihr Netzwerk zu aktivieren, müssen Sie einen Routenfilter zuordnen.
Durch einen Routenfilter können Sie die Dienste identifizieren, die Sie über das Microsoft-Peering Ihrer ExpressRoute-Verbindung nutzen möchten. Im Wesentlichen handelt es sich um eine Zulassungsliste für alle BGP-Communitywerte. Sobald eine Routenfilterressource definiert und an eine ExpressRoute-Leitung angefügt ist, werden Ihrem Netzwerk alle Präfixe angekündigt, die den BGP-Communitywerten zugeordnet sind.
Um Routenfilter mit Microsoft 365-Diensten anfügen zu können, müssen Sie zur Nutzung von Microsoft 365-Diensten über ExpressRoute autorisiert sein. Wenn Sie nicht zur Nutzung von Microsoft 365-Diensten über ExpressRoute autorisiert sind, tritt beim Vorgang zum Anfügen von Routenfiltern ein Fehler auf.