Implementieren von Azure ExpressRoute

  • 15 Minuten

Das IT-Sicherheitsteam von Contoso ist besorgt hinsichtlich der Implementierung einer VPN-Verbindung zwischen den Rechenzentren von Contoso und der Microsoft-Cloud. Bei der Untersuchung von VPN-Gateway-Optionen haben Sie ExpressRoute als mögliche Lösung entdeckt. Mit ExpressRoute verwenden die Verbindungen nicht das Internet. So werden die möglichen Sicherheitsbedrohungen für Daten während der Übertragung zwischen der Unternehmensinfrastruktur bei Contoso und Azure-Ressourcen in Microsoft-Rechenzentren reduziert.

Was ist ExpressRoute?

ExpressRoute bietet eine Möglichkeit, Ihre Organisation mit Azure-Ressourcen zu verbinden. Beim Implementieren von ExpressRoute stehen Ihnen die folgenden Verbindungsoptionen zur Verfügung:

  • Any-to-Any-VPN-Verbindung: Hiermit können Sie Ihr WAN mit Azure integrieren. Azure wird mit Ihrer WAN-Verbindung integriert, um eine nahtlose Verbindung zu bieten. Über Any-to-Any-Verbindungen stellen alle WAN-Anbieter Layer 3-Konnektivität bereit.
  • P2P-Ethernetverbindung: Dieser Verbindungstyp bietet sowohl Schicht-2- als auch Schicht-3-Konnektivität zwischen Ihrem lokalen Standort und Azure. Hierbei verbinden Sie Ihre Rechenzentren oder Filialen über die P2P-Verbindungen mit Azure.
  • CloudExchange-Colocation: Dieser Typ bietet in der Regel sowohl Schicht-2- als auch Schicht-3-Verbindungen zwischen der Infrastruktur Ihrer Organisation und der Microsoft-Cloud, wenn sich Erstere in einer Colocationeinrichtung befindet, z. B. bei einem Internetdienstanbieter (Internet Service Provider, ISP).

Hinweis

Für ExpressRoute-Konnektivität wird nicht das Internet genutzt. Dies bedeutet, dass solche Verbindungen eine geringere Latenz, hohe Geschwindigkeit und mehr Sicherheit bieten.

Die folgende Grafik zeigt ein typisches Szenario für duale ExpressRoute-Verbindungen.

Ein Diagramm, das Möglichkeiten zeigt, wie Sie ExpressRoute-Verbindungen verwenden können. In der Grafik ist das Netzwerk eines Kunden mit einem Partnerumkreisnetzwerk verbunden. Zwei Verbindungen – eine primäre und eine sekundäre – verbinden sich mit dem Microsoft Edge-Netzwerk. Datenverkehr wird über beide Leitungen an Microsoft Peering für Office 365 und verwandte Dienste weitergeleitet sowie ebenfalls als andere VNets, indem privates Azure-Peering verwendet wird.

Neben ExpressRoute gibt es noch zwei weitere Lösungen, mit denen Sie eine Verbindung zwischen Ihrem lokalen Netzwerk und Azure herstellen können. Die anderen beiden, S2S und P2S, werden in der folgenden Tabelle beschrieben.

Alternative Lösung BESCHREIBUNG
S2S-VPN Diese Lösung ermöglicht Ihnen das Verbinden Ihres lokalen Netzwerk mit Azure über einen IPsec/IKE-Tunnel zum Erstellen eines Hybridnetzwerks. Für eine Site-to-Site-Verbindung konfigurieren Sie ein lokales VPN-Gerät mit einer öffentlichen IP-Adresse. Anschließend verbinden Sie dieses Gerät über ein Azure-VNET-Gateway mit einem Azure-VNET.
P2S-VPN Diese Lösung ermöglicht das Herstellen einer sicheren Verbindung zwischen einzelnen Computern und Ressourcen in einem lokalen Netzwerk. Sie eignet sich für Organisationen, die Verbindungen mit Azure von Remotestandorten wie der Wohnung eines Benutzers aus ermöglichen möchten. P2S-Verbindungen sind nützlich, wenn Sie über wenige Clients verfügen, die eine Verbindung mit einem VNET herstellen müssen.

In den folgenden Fällen ist Azure ExpressRoute wahrscheinlich eher der richtige Dienst:

  • Für Organisationen, die lokale Unternehmenssysteme zu Azure migrieren
  • Für sichere Netzwerke, bei denen das Internet möglichst nicht genutzt werden soll
  • Für große Rechenzentren mit vielen Benutzern und Systemen, die auf SaaS-Systeme und -Produkte (Software-as-a-Service) zugreifen

Für die folgenden Szenarios sollten Sie die Verwendung von ExpressRoute in Betracht ziehen:

  • Implementieren von latenzarmen Verbindungen mit cloudbasierten Diensten
  • Zugriff auf cloudbasierte Systeme für große Datenvolumen
  • Verbinden mit Microsoft Cloud Services wie Office 365 und Microsoft Dynamics 365

Vorteile von ExpressRoute

ExpressRoute bietet gegenüber anderen Konnektivitätsoptionen eine Reihe von Vorteilen. Diese sind in der folgenden Tabelle beschrieben.

Funktion Vorteil
Layer 3-Konnektivität Bei diesen Verbindungen kann es sich um Point-to-Point-Verbindungen, solche über ein Any-to-Any-Netzwerk oder virtuelle Querverbindungen über einen Exchange handeln.
Integrierte Redundanz Alle Konnektivitätsanbieter verwenden redundante Geräte, um Hochverfügbarkeit zu gewährleisten.
Verbindung mit Microsoft-Clouddiensten Unterstützt Verbindungen mit Office 365, Dynamics 365 und Azure-Diensten wie Azure Virtual Machines, Azure Cosmos DB und Azure Storage
Ausdehnen der lokalen Konnektivität mit ExpressRoute Global Reach Ermöglicht es Ihnen, Ihre privaten Rechenzentren über mehrere ExpressRoute-Verbindungen miteinander zu verbinden und den Datenverkehr zwischen Rechenzentren über das Microsoft-Netzwerk zu übertragen
Dynamisches Routing ExpressRoute ermöglicht dynamisches Routing zwischen Ihrer lokalen Infrastruktur und Diensten, die in der Microsoft-Cloud ausgeführt werden. Hierfür wird das Border Gateway Protocol (BGP) verwendet, das Routen zwischen lokalen Netzwerken und in Azure ausgeführten Ressourcen austauscht.

Funktionsweise

Damit Sie ExpressRoute implementieren können, müssen Sie mit einem ExpressRoute-Partner zusammenarbeiten. Dieser Partner stellt eine autorisierte und authentifizierte Verbindung bereit, die als Edgedienst bezeichnet wird. Über diesen Edgedienst können Sie Ihre Organisation mit der Microsoft-Cloud verbinden. Der von Ihnen gewählte Partner ermöglicht die Verbindung mit dem Microsoft-Cloud-Edgerouter, dem sogenannten ExpressRoute-Endpunkt. Verbindungen mit dem ExpressRoute-Endpunkt über den Edgedienst werden ExpressRoute-Verbindungen genannt. Diese werden über eine private Verbindung hergestellt, nicht über das Internet.

Voraussetzungen

Damit Sie eine ExpressRoute-Verbindung implementieren können, muss Ihre Organisation einige Voraussetzungen erfüllen, z. B. die folgenden:

  • Sie muss mit einem ExpressRoute-Konnektivitätspartner oder einem Cloud-Exchange-Anbieter zusammenarbeiten.

Hinweis

Diese Organisationen ermöglichen die Bereitstellung der Verbindung.

  • Sie muss ihr Azure-Abonnement bei ihrem ExpressRoute-Konnektivitätspartner registrieren.
  • Sie muss eine ExpressRoute-Verbindung mit einem aktiven Azure-Konto anfordern.
  • Für die optionale Konnektivität mit Office 365-Diensten muss sie über ein aktives Office 365-Abonnement verfügen.

Da ExpressRoute ein Peering für Ihre lokale Infrastruktur mit Microsoft-Cloud-Netzwerken durchführt, können Ressourcen in Ihren Netzwerken direkt mit von Microsoft gehosteten Ressourcen kommunizieren. Damit diese Peerings unterstützt werden, müssen Sie jedoch die folgenden Schritte ausführen:

  • Stellen Sie sicher, dass Sie alle erforderlichen BGP-Sitzungen für Routingdomänen konfiguriert haben.
  • Implementieren Sie einen NAT-Dienst (Network Address Translation, Netzwerkadressenübersetzung), um die lokal verwendeten privaten IP-Adressen in öffentliche IP-Adressen zu übersetzen.
  • Reservieren Sie in Ihrem Netzwerk mehrere IP-Adressblöcke für das Weiterleiten von Datenverkehr an die Microsoft-Cloud.

Tipp

Konfigurieren Sie diese reservierten Blöcke in Ihrem IP-Adressraum entweder als ein /29-Subnetz oder als zwei /30-Subnetze.

Konfigurieren von ExpressRoute

Damit über ExpressRoute eine Verbindung mit Microsoft-Ressourcen in Azure hergestellt werden kann, müssen Sie einige allgemeine Schritte ausführen, um den Einrichtungsprozess für eine ExpressRoute-Verbindung abzuschließen. Die Voraussetzungen lauten wie folgt:

  • Erstellen Sie eine Verbindung.
  • Erstellen Sie eine Peeringkonfiguration.
  • Verbinden Sie ein VNET mit einer ExpressRoute-Verbindung.

Erstellen einer Leitung

Melden Sie sich beim Azure-Portal an, und führen Sie die folgenden Schritte aus, um eine Verbindung zu erstellen:

  1. Klicken Sie im Azure-Portal auf Ressource erstellen.

  2. Wählen Sie Netzwerk und dann ExpressRoute aus.

  3. Wählen Sie auf dem Blatt „Create ExpressRoute“ (ExpressRoute erstellen) das Abonnement, die Ressourcengruppe und die Region aus, und geben Sie dann einen Namen für die Verbindung ein.

  4. Klicken Sie auf Weiter: Konfiguration> aus.

  5. Konfigurieren Sie auf der Registerkarte Konfiguration Folgendes:

    • Porttyp: Wählen Sie Anbieter aus.
    • Wählen Sie den Anbieter aus.
    • Wählen Sie den Peeringstandort aus.
    • Wählen Sie die Bandbreite aus.
    • Wählen Sie die SKU aus.

    Screenshot des Blatts „ExpressRoute erstellen“ mit der Registerkarte „Konfiguration“. Der Porttyp ist auf „Anbieter“ festgelegt. Der Anzeige ist British Telecom. Der Peeringstandort ist London. Die Bandbreite beträgt 1 GBit/s. Die Standard-SKU ist ausgewählt.

  6. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

Das Bereitstellen der Verbindung dauert einige Minuten. Öffnen Sie nach Abschluss dieses Vorgangs die neu erstellte Ressource. Auf der Seite Übersicht für Ihre Verbindung sollten Sie sehen, dass als Leitungsstatus „Aktiviert“ angegeben ist, als Anbieterstatus jedoch Nicht bereitgestellt. Dies bedeutet, dass die Microsoft-Seite der Verbindung bereit ist, Verbindungen zu akzeptieren, der Anbieter seine Seite der Verbindung jedoch noch nicht konfiguriert hat.

Screenshot der Seite „ContosoExpressRoute“ im Azure-Portal. Der Leitungsstatus ist aktiviert, aber der Anbieterstatus lautet „Nicht bereitgestellt“.

Erstellen einer Peeringkonfiguration

Der nächste Schritt ist das Konfigurieren von Peerings. Die Peerings für die Verbindung finden Sie auf der Registerkarte Übersicht. Sie können ein privates Azure-Peering, ein öffentliches Azure-Peering oder ein Microsoft-Peering erstellen. In diesem Fall müssen Sie ein privates Azure-Peering und ein Microsoft-Peering erstellen.

Konfigurieren des privaten Peerings

Mit einem privaten Peering stellen Sie eine Verbindung zwischen Ihrem Netzwerk und Ihren VNETs in Azure her. Zur Konfiguration eines privaten Peerings müssen Sie die folgenden Informationen angeben:

  • Peer-ASN: Hier wird die autonome Systemnummer (ASN) für Ihre Seite des Peerings angegeben.
  • Primäres Subnetz: Hier wird der Adressbereich des in Ihrem Netzwerk erstellten primären /30-Subnetzes angegeben.
  • Sekundäres Subnetz: Adressbereich des sekundären /30-Subnetzes.
  • VLAN-ID: Dies ist das virtuelle lokale Netzwerk (Virtual Local Area Network, VLAN), in dem Sie das Peering aktivieren möchten.
  • Gemeinsam verwendeter Schlüssel: Dies ist ein optionaler Schlüssel für das Codieren von Nachrichten, die über die Verbindung geleitet werden.

Gehen Sie wie folgt vor, um das private Azure-Peering zu ändern: Wählen Sie auf dem Blatt ExpressRoute-Leitung auf der Seite Peerings die Option Azure, privat aus, und konfigurieren Sie die erforderlichen Werte.

Konfigurieren des Microsoft-Peerings

Mit dem Microsoft-Peering können Sie eine Verbindung mit Office 365 und den zugehörigen Diensten herstellen. Zum Konfigurieren des Microsoft-Peerings müssen Sie die gleichen Details wie bei einem privaten Peering sowie die folgenden Informationen angeben:

  • Angekündigte öffentliche Präfixe: Hierbei handelt es sich um eine Liste der Adresspräfixe, die Sie während der BGP-Sitzung verwenden.
  • Kunden-ASN: Dies ist ein optionaler Wert.
  • Name der Routingregistrierung: Hier wird die Registrierung angegeben, bei der Sie Ihre Kunden-ASN und öffentlichen Präfixe registrieren.

Hinweis

Sie können das Peering nur konfigurieren, wenn für den AnbieterstatusBereitgestellt angegeben ist.

Gehen Sie wie folgt vor, um das Microsoft-Peering zu ändern: Wählen Sie auf dem Blatt ExpressRoute-Leitung auf der Seite Peerings die Option Microsoft aus, und konfigurieren Sie die erforderlichen Werte.

Screenshot des Blatts „Microsoft-Peering“. Es können keine Werte konfiguriert werden, weil die Leitung nicht bereitgestellt ist. Die konfigurierbaren Werte lauten jedoch wie zuvor beschrieben.

Verbinden eines VNET mit der Verbindung

Wenn der Anbieterstatus „Bereitgestellt“ ist und Sie die Peerings konfiguriert haben, können Sie ein VNET mit der ExpressRoute-Verbindung verbinden. Führen Sie dazu das folgende Verfahren aus:

  1. Klicken Sie im Azure-Portal auf Ressource erstellen.

  2. Suchen Sie nach Virtuelles Netzwerkgateway, und wählen Sie die Option aus.

  3. Klicken Sie auf dem Blatt Gateway für virtuelle Netzwerke auf Erstellen.

  4. Erstellen Sie das Gateway auf dem Blatt Gateway für virtuelle Netzwerke erstellen, indem Sie die entsprechenden Eigenschaften angeben: Abonnement, Name und Region.

  5. Wählen Sie unter Gatewaytyp die Option ExpressRoute aus.

    Screenshot: Blatt „Gateway für virtuelle Netzwerke erstellen“, auf dem der Administrator die Werte wie im Text oben beschrieben konfiguriert hat.

  6. Wählen Sie die SKU aus und das virtuelle Netzwerk, mit dem Sie eine Verbindung herstellen möchten.

  7. Konfigurieren Sie die Einstellungen Adressbereich für Gatewaysubnetz und Öffentliche IP-Adresse.

  8. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

Nun können Sie wie folgt ein Peering mit einem VNET-Gateway verbinden:

  1. Wählen Sie auf der Seite ExpressRoute-Leitung für Ihre Leitung die Option Verbindungen aus.
  2. Wählen Sie auf der Seite Verbindungen die Option Hinzufügen aus.
  3. Geben Sie auf der Seite Verbindung hinzufügen einen Namen für Ihre Verbindung an, und wählen Sie anschließend Ihr VNET-Gateway aus.

Nach Abschluss dieses Vorgangs ist Ihr lokales Netzwerk über das VNET-Gateway mit Ihrem VNET in Azure verbunden. Die Verbindung erfolgt dabei über die ExpressRoute-Leitung.

Hinweis

Dieser letzte Schritt kann nur ausgeführt werden, wenn der AnbieterstatusBereitgestellt ist.

Zusätzliche Lektüre

Weitere Informationen finden Sie in den folgenden Artikeln: