Esplorare Azure ExpressRoute
ExpressRoute consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata con il supporto di un provider di connettività. Con ExpressRoute è possibile stabilire connessioni a diversi servizi cloud Microsoft, come Microsoft Azure e Microsoft 365. La connettività può essere stabilita da una rete Any-To-Any (IP VPN), da una rete Ethernet da punto a punto o con una Cross Connection virtuale tramite un provider di connettività in una struttura di coubicazione. Poiché le connessioni ExpressRoute non passano attraverso la rete Internet pubblica, questo approccio consente alle connessioni ExpressRoute di offrire più affidabilità, velocità più elevate, latenze coerenti e maggiore sicurezza.
Funzionalità di ExpressRoute
Alcuni vantaggi chiave di ExpressRoute sono:
- Connettività di livello 3 tra la rete locale e il cloud Microsoft tramite un provider di connettività
- La connettività può essere stabilita da una rete (IPVPN) any-to-any, da una connessione Ethernet punto a punto o con una Cross Connection virtuale tramite scambio Ethernet
- Connettività ai servizi cloud Microsoft in tutte le aree all'interno dell'area geopolitica
- Connettività globale ai servizi Microsoft di tutte le aree con il componente aggiuntivo ExpressRoute Premium
- Ridondanza incorporata in ogni località di peering per una maggiore affidabilità
Azure ExpressRoute viene usato per creare connessioni private tra i data center di Azure e l'infrastruttura disponibile localmente o in un ambiente con percorso condiviso. Le connessioni ExpressRoute non usano la rete Internet pubblica e offrono maggiore affidabilità, velocità più elevate e latenze più basse rispetto alle connessioni Internet tradizionali.
Informazioni sui casi d'uso per Azure ExpressRoute
Connessione più veloce e affidabile ai servizi di Azure - Le organizzazioni che sfruttano i servizi di Azure cercano connessioni affidabili ai servizi e ai data center di Azure. La rete Internet pubblica dipende da molti fattori e potrebbe non essere adatta per un'azienda. Azure ExpressRoute consente di creare connessioni private tra i data center di Azure e l'infrastruttura disponibile localmente o in un ambiente con percorso condiviso. L'uso di connessioni ExpressRoute per trasferire dati tra sistemi locali e Azure può offrire vantaggi significativi in termini di costi.
Archiviazione, backup e ripristino - Il backup e il ripristino sono importanti per un'organizzazione per la continuità aziendale e il ripristino in seguito a interruzioni. ExpressRoute offre una connessione veloce e affidabile ad Azure con larghezze di banda fino a 100 Gbps. È ideale per scenari come la migrazione periodica dei dati, la replica per la continuità aziendale, il ripristino di emergenza e altre strategie a disponibilità elevata.
Estensione delle funzionalità dei data center - ExpressRoute può essere usato per connettere e aggiungere capacità di calcolo e archiviazione ai data center esistenti. Grazie alla velocità effettiva elevata e alle latenze rapide, Azure costituirà una naturale estensione verso o tra i data center e consentirà di sfruttare la scalabilità e i costi ridotti del cloud pubblico senza compromettere le prestazioni della rete.
Connessioni prevedibili, affidabili e a velocità effettiva elevata - Grazie alle connessioni prevedibili, affidabili e a velocità effettiva elevata offerte da ExpressRoute, le aziende possono creare applicazioni che abbracciano l'infrastruttura locale e Azure senza compromettere la privacy o le prestazioni. È ad esempio possibile eseguire in Azure un'applicazione Intranet aziendale che autentica i clienti con un servizio Active Directory locale e gestire tutti i clienti aziendali senza mai indirizzare il traffico alle rete Internet pubblica.
Modelli di connettività di ExpressRoute
È possibile creare una connessione tra la rete locale e il cloud Microsoft in quattro modi diversi: condivisione CloudExchange, connessione Ethernet Point-to-Point, connessione Any-to-Any (IPVPN) ed ExpressRoute Direct. I provider di connettività possono offrire uno o più modelli di connettività.
Percorso condiviso in uno scambio cloud
Nel caso di percorso condiviso in una struttura con scambio cloud, è possibile ordinare Cross Connection virtuali con il cloud Microsoft tramite lo scambio Ethernet del provider di condivisione del percorso. I provider di coubicazione possono offrire connessioni incrociate di livello 2 o connessioni incrociate di livello 3 gestite tra l'infrastruttura nella struttura di coubicazione e il cloud Microsoft.
Connessione Ethernet da punto a punto
È possibile connettere i data center e/o gli uffici locali al cloud Microsoft tramite collegamenti Ethernet da punto a punto. I provider Ethernet da punto a punto possono offrire connessioni di livello 2 o connessioni di livello 3 gestite tra il sito e il cloud Microsoft.
Reti Any-to-Any (IPVPN)
È possibile integrare la rete WAN con il cloud Microsoft. I provider IPVPN, in genere VPN MPLS, offrono connettività Any-To-Any tra le succursali e i data center. Il cloud Microsoft può essere interconnesso alla rete WAN in modo da sembrare una qualsiasi delle altre succursali. I provider WAN offrono in genere connettività di livello 3 gestita.
Diretta dai siti ExpressRoute
È possibile connettersi direttamente alla rete globale di Microsoft in una località di peering strategicamente distribuita in tutto il mondo. ExpressRoute Direct fornisce doppia connettività a 100 Gbps o a 10 Gbps, che supporta la connettività attiva-attiva su larga scala.
Considerazioni sulla progettazione per le distribuzioni di ExpressRoute
Quando si pianifica una distribuzione di ExpressRoute, ci sono molte decisioni da prendere. Questa sezione illustra alcuni aspetti chiave che è necessario considerare mentre si progetta la distribuzione.
Scegliere tra provider e modello diretto (ExpressRoute Direct)
ExpressRoute Direct
ExpressRoute Direct offre la possibilità di connettersi direttamente alla rete globale di Microsoft in località di peering distribuite in modo strategico in tutto il mondo. ExpressRoute Direct fornisce doppia connettività a 100 Gbps o a 10 Gbps, che supporta la connettività attiva-attiva su larga scala. È possibile usare qualsiasi provider di servizi per ExpressRoute Direct.
Le funzionalità chiave offerte da ExpressRoute Direct includono:
- Inserimento di un numero elevato di dati in servizi come Archiviazione e Cosmos DB
- Isolamento fisico per settori regolamentati e per cui è necessaria una connettività dedicata e isolata, quali il settore bancario, governativo e quello della vendita al dettaglio
- Controllo granulare della distribuzione dei circuiti in base alla business unit
Confronto tra l'uso di ExpressRoute Direct e di un provider di servizi
| ExpressRoute tramite un provider di servizi | ExpressRoute Direct |
|---|---|
| Usa i provider di servizi per abilitare la connettività e l'onboarding rapidi nell'infrastruttura esistente | Richiede un'infrastruttura da 100 Gbps/10 Gbps e la gestione completa di tutti i livelli |
| Si integra con centinaia di provider, tra cui Ethernet e MPLS | Capacità diretta/dedicata per settori regolamentati e inserimento dati massiccio |
| SKU del circuito da 50 Mbps a 10 Gbps | Il cliente può selezionare una combinazione degli SKU del circuito seguenti in ExpressRoute Direct da 100 Gbps: 5 Gbps 10 Gbps 40 Gbps 100 Gbps Il cliente può selezionare una combinazione degli SKU del circuito seguenti in ExpressRoute Direct da 10 Gbps: 1 Gbps 2 Gbps 5 Gbps 10 Gbps |
| Ottimizzato per un singolo tenant | Ottimizzato per un singolo tenant con più business unit e più ambienti di lavoro |
Annuncio della route
Quando il peering Microsoft viene configurato nel circuito ExpressRoute, i router perimetrali Microsoft stabiliscono una coppia di sessioni BGP (Border Gateway Protocol) con i router perimetrali dell'utente attraverso il provider di connettività. Non viene annunciata alcuna route per la rete. Per abilitare gli annunci delle ruote per la rete, è necessario associare un filtro di route.
Per associare un filtro della route:
- È necessario avere un circuito ExpressRoute attivo, per cui è stato effettuato il provisioning del peering Microsoft.
- Creare un circuito ExpressRoute e chiedere al provider di connettività di abilitarlo prima di continuare. È necessario che sia stato effettuato il provisioning del circuito ExpressRoute e che il circuito sia in stato abilitato.
- Creare il peering Microsoft se si gestisce direttamente la sessione BGP. In caso contrario, richiedere al provider della connettività di effettuare il provisioning del peering Microsoft per il circuito.
Ottenere un elenco dei valori della community BGP
I valori di community BGP associati ai servizi accessibili tramite il peering Microsoft sono disponibili nella pagina Requisiti per il routing di ExpressRoute.
Creare un elenco dei valori da usare
Creare un elenco dei valori di community BGP da usare nel filtro di route.
Rilevamento dell'inoltro bidirezionale
ExpressRoute supporta il rilevamento dell'inoltro bidirezionale su peering sia privato che Microsoft. Quando si abilita il rilevamento dell'inoltro bidirezionale su ExpressRoute, è possibile velocizzare il rilevamento degli errori di collegamento tra i dispositivi MSEE (Microsoft Enterprise Edge) e i router configurati dal circuito ExpressRoute (CE/PE). È possibile configurare ExpressRoute sui dispositivi di routing perimetrali di clienti o partner (se si è usato il servizio di connessione gestita di livello 3). Questa sezione illustra i vantaggi offerti dal rilevamento dell'inoltro bidirezionale e mostra come abilitare questa funzionalità su ExpressRoute.
È possibile abilitare un circuito ExpressRoute tramite connessioni di livello 2 o connessioni gestite di livello 3. In entrambi i casi, se nel percorso di connessione di ExpressRoute è presente più di un dispositivo di livello 2, la responsabilità di rilevare eventuali errori di collegamento nel percorso è della sessione BGP sovrastante.
Nei dispositivi MSEE, per i tempi di keep-alive e attesa della sessione BGP sono in genere configurati rispettivamente 60 e 180 secondi. Per tale motivo, quando si verifica un errore di collegamento, possono essere necessari fino a tre minuti per rilevare eventuali errori di collegamento e passare il traffico a una connessione alternativa.
È possibile controllare i timer BGP configurando un tempo inferiore di keep-alive e attesa della sessione nel dispositivo peer perimetrale. Se i timer BGP non sono uguali per i due dispositivi peer, la sessione BGP verrà stabilita usando il valore più basso. Il tempo di keep-alive della sessione BGP può essere impostato su un valore minimo di tre secondi e il tempo di attesa su un valore minimo di 10 secondi. L'impostazione di un timer BGP molto aggressivo non è tuttavia consigliata perché il protocollo richiede un uso elevato dei processi.
In questo scenario, il rilevamento dell'inoltro bidirezionale può essere di aiuto Il rilevamento dell'inoltro bidirezionale consente di rilevare gli errori di collegamento con un sovraccarico ridotto in un intervallo di frazioni di secondo.
Il diagramma seguente illustra i vantaggi offerti dall'abilitazione del rilevamento dell'inoltro bidirezionale su un circuito ExpressRoute:
Abilitazione di BFD
Il rilevamento dell'inoltro bidirezionale è configurato per impostazione predefinita in tutte le nuove interfacce di peering privato ExpressRoute create sui dispositivi MSEE. Di conseguenza, per abilitare il rilevamento dell'inoltro bidirezionale, è sufficiente configurarlo nei dispositivi primario e secondario. La configurazione del rilevamento dell'inoltro bidirezionale è un processo in due passaggi. Si configura il rilevamento dell'inoltro bidirezionale nell'interfaccia e quindi lo si collega alla sessione BGP.
Quando si disabilita un peering, la sessione BGP (Border Gateway Protocol) viene arrestata sia per la connessione primaria che per quella secondaria del circuito ExpressRoute. Quando si abilita un peering, la sessione BGP viene ripristinata sia nella connessione primaria che in quella secondaria del circuito ExpressRoute.
Nota
La prima volta che si configura il peering nel circuito ExpressRoute, i peering sono abilitati per impostazione predefinita.
La reimpostazione dei peering ExpressRoute può essere utile negli scenari seguenti:
Si sta testando la progettazione e l'implementazione del ripristino di emergenza. Si supponga, ad esempio, che siano presenti due circuiti ExpressRoute. È possibile disabilitare i peering di un circuito e forzare il traffico di rete a usare l'altro circuito.
Si vuole abilitare il rilevamento dell'inoltro bidirezionale nel peering privato di Azure o nel peering Microsoft. Se il circuito ExpressRoute è stato creato prima dell'1 agosto 2018 nel peering privato di Azure o prima del 10 gennaio 2020 nel peering Microsoft, il rilevamento dell'inoltro bidirezionale non è stato abilitato per impostazione predefinita. Reimpostare il peering per abilitare l'rilevamento dell'inoltro bidirezionale.
Configurare la crittografia tramite ExpressRoute
Questa sezione illustra come usare la rete WAN virtuale di Azure per stabilire una connessione VPN IPsec/IKE dalla rete locale ad Azure tramite il peering privato di un circuito Azure ExpressRoute. Questa tecnica può fornire un transito crittografato tra le reti locali e le reti virtuali di Azure su ExpressRoute, senza passare attraverso la rete Internet pubblica o usare indirizzi IP pubblici.
Topologia e routing
Il diagramma seguente mostra un esempio di connettività VPN tramite il peering privato di ExpressRoute:
Il diagramma mostra una rete all'interno della rete locale connessa al gateway VPN dell'hub di Azure tramite il peering privato di ExpressRoute. L'attivazione della connettività è semplice:
- Stabilire la connettività di ExpressRoute con un circuito ExpressRoute e un peering privato.
- Stabilire la connettività VPN.
Un aspetto importante di questa configurazione è il routing tra le reti locali e Azure tramite entrambi i percorsi ExpressRoute e VPN.
Traffico dalle reti locali ad Azure
Per il traffico dalle reti locali ad Azure, i prefissi di Azure (inclusi l'hub virtuale e tutte le reti virtuali spoke connesse all'hub) vengono annunciati sia tramite la sessione BGP di peering privato di ExpressRoute che tramite la sessione BGP della VPN. Si ottengono così due route (percorsi) di rete verso Azure dalle reti locali:
- Una sul percorso protetto da IPsec
- Una direttamente su ExpressRoute senza protezione IPsec
Per applicare la crittografia alla comunicazione, è necessario assicurarsi che, per la rete connessa alla VPN nel diagramma, le route di Azure tramite il gateway VPN locale abbiano la precedenza rispetto al percorso ExpressRoute diretto.
Traffico da Azure alle reti locali
Lo stesso requisito si applica al traffico da Azure alle reti locali. Per assicurarsi che il percorso IPsec abbia la precedenza rispetto al percorso ExpressRoute diretto (senza IPsec), sono disponibili due opzioni:
- Annunciare prefissi più specifici nella sessione BGP della VPN per la rete connessa alla VPN. È possibile annunciare un intervallo più ampio che comprende la rete connessa alla VPN tramite il peering privato di ExpressRoute, quindi intervalli più specifici nella sessione BGP della VPN. Annunciare, ad esempio, 10.0.0.0/16 per ExpressRoute e 10.0.1.0/24 per la VPN.
- Annunciare prefissi non contigui per la VPN ed ExpressRoute. Se gli intervalli di reti connesse alla VPN non sono contigui alle altre reti connesse a ExpressRoute, è possibile annunciare i prefissi rispettivamente nelle sessioni BGP della VPN e di ExpressRoute. Annunciare, ad esempio, 10.0.0.0/24 per ExpressRoute e 10.0.1.0/24 per la VPN.
In entrambi gli esempi Azure invierà il traffico alla versione 10.0.1.0/24 tramite la connessione VPN invece che direttamente tramite ExpressRoute senza protezione VPN.
[!AVVISO]
Se si annunciano gli stessi prefissi sia per le connessioni ExpressRoute che per le connessioni VPN, Azure userà il percorso ExpressRoute direttamente senza protezione VPN.
Progettare la ridondanza per una distribuzione di ExpressRoute
La ridondanza per una distribuzione ExpressRoute può essere pianificata in 2 modi.
- Configurare ExpressRoute e le connessioni coesistenti da sito a sito
- Creare un gateway di rete virtuale con ridondanza della zona nelle zone di disponibilità di Azure
Configurare ExpressRoute e le connessioni coesistenti da sito a sito
Questa sezione illustra come configurare connessioni ExpressRoute e VPN da sito a sito coesistenti. La possibilità di configurare una VPN da sito a sito ed ExpressRoute offre diversi vantaggi. È possibile configurare una VPN da sito a sito come percorso di failover sicuro per ExpressRoute oppure usare VPN da sito a sito per connettersi a siti che non sono connessi tramite ExpressRoute.
La configurazione di connessioni coesistenti di tipo VPN da sito a sito ed ExpressRoute offre diversi vantaggi:
- È possibile configurare una VPN da sito a sito come percorso di failover protetto per ExpressRoute.
- In alternativa, è possibile usare la VPN da sito a sito per connettersi ai siti che non sono connessi tramite ExpressRoute.
È possibile configurare per primo uno dei due gateway. In genere, l'aggiunta di un nuovo gateway o di una connessione gateway non comporterà tempi di inattività.
Limiti e limitazioni della rete
- È supportato solo il gateway VPN basato su route. È necessario usare un gateway VPN basato su route. È anche possibile usare un gateway VPN basato su route con una connessione VPN configurata per i "selettori del traffico basati su criteri".
- Il numero ASN di Gateway VPN di Azure deve essere impostato su 65515. Il gateway VPN di Azure supporta il protocollo di routing BGP. Per integrare ExpressRoute e la VPN di Azure, è necessario mantenere il valore predefinito 65515 del numero di sistema autonomo (ASN, Autonomous System Number) del gateway VPN di Azure. Se in precedenza è stato selezionato un numero ASN diverso da 65515 e lo si modifica impostandolo su 65515, è necessario reimpostare il gateway VPN per rendere effettiva l'impostazione.
- La subnet del gateway deve essere /27 o un prefisso più breve (ad esempio, /26, /25) oppure verrà visualizzato un messaggio di errore quando si aggiunge il gateway di rete virtuale di ExpressRoute.
- La coesistenza in una rete virtuale dual stack non è supportata. Se si usa il supporto IPv6 di ExpressRoute e un gateway di ExpressRoute dual stack, la coesistenza con Gateway VPN non sarà possibile.
Creare un gateway di rete virtuale con ridondanza della zona nelle zone di disponibilità di Azure
È possibile distribuire gateway VPN ed ExpressRoute in zone di disponibilità di Azure. In questo modo, i gateway di rete virtuale ottengono maggiore disponibilità, scalabilità e resilienza. La distribuzione di gateway in zone di disponibilità di Azure separa fisicamente e logicamente i gateway all'interno di un'area e consente, al contempo, di proteggere la connettività di rete locale ad Azure da errori a livello di zona.
Gateway con ridondanza della zona
Per distribuire automaticamente i gateway di rete virtuale in zone di disponibilità, è possibile usare i gateway di rete virtuale con ridondanza della zona. Con i gateway con ridondanza della zona, è possibile sfruttare la resilienza della zona per accedere ai servizi cruciali e scalabili in Azure.
Gateway a livello di zona
Per distribuire i gateway in una zona specifica, si usano i gateway a livello di zona. Quando si distribuisce un gateway a livello di zona, tutte le istanze del gateway vengono distribuite nella stessa zona di disponibilità.
SKU del gateway
I gateway con ridondanza della zona e a livello di zona sono disponibili come SKU di gateway. Nelle zone di disponibilità di Azure sono presenti nuovi SKU di gateway di rete virtuale. Questi SKU sono simili ai corrispondenti SKU esistenti per ExpressRoute e Gateway VPN, a eccezione del fatto che sono specifiche dei gateway con ridondanza della zona e a livello di zona. È possibile identificare questi SKU dalle lettere "AZ" presenti nel nome.
SKU dell'indirizzo IP pubblico
I gateway con ridondanza della zona e i gateway a livello di zona si basano sulla SKU Standard della risorsa IP pubblico di Azure. La configurazione della risorsa IP pubblico di Azure determina se il gateway distribuito è del tipo con ridondanza della zona o a livello di zona. Se si crea una risorsa IP pubblico con una SKU Basic, il gateway non avrà alcuna ridondanza della zona e le risorse del gateway saranno a livello di area.
Gateway con ridondanza della zona
- Quando si crea un indirizzo IP pubblico tramite la SKU IP pubblico Standard senza specificare una zona, il comportamento varia a seconda che il gateway sia VPN o ExpressRoute.
- Per un gateway VPN, le due istanze del gateway saranno distribuite in due delle tre zone disponibili per garantire la ridondanza della zona.
- Per un gateway ExpressRoute, poiché possono essere disponibili più di due istanze, il gateway può estendersi su tutte e tre le zone.
Gateway a livello di zona
- Quando si crea un indirizzo IP pubblico usando la SKU IP pubblico Standard e si specifica la zona (1, 2 o 3), tutte le istanze del gateway verranno distribuite nella stessa zona.
Gateway a livello di area
- Quando si crea un indirizzo IP pubblico usando la SKU IP pubblico Basic, il gateway viene distribuito come gateway a livello di area e non dispone di alcuna ridondanza della zona integrata nel gateway.
Configurare una VPN da sito a sito come percorso di failover per ExpressRoute
È possibile configurare una connessione VPN da sito a sito come backup per ExpressRoute. Questa connessione si applica solo alle reti virtuali collegate al percorso di peering privato di Azure. Non esiste alcuna soluzione di failover basato su VPN per i servizi accessibili tramite i peering di Microsoft Azure. Il circuito ExpressRoute è sempre il collegamento principale. Il flusso dei dati attraversa il percorso VPN da sito a sito solo se il circuito ExpressRoute ha esito negativo. Per evitare routing asimmetrici, la configurazione della rete locale dovrebbe anche preferire il circuito ExpressRoute rispetto alla connessione VPN da sito a sito. A tal fine, impostare una preferenza locale prioritaria per le route ricevute tramite il circuito ExpressRoute.
Nota
Se è stato abilitato il peering Microsoft di ExpressRoute, è possibile ricevere l'indirizzo IP pubblico del gateway VPN di Azure nella connessione ExpressRoute. Per configurare la connessione VPN da sito a sito come backup, è necessario configurare la rete locale in modo che la connessione VPN venga instradata a Internet.
Nota
Mentre il circuito ExpressRoute viene preferito sulla VPN da sito a sito quando entrambe le route sono uguali, Azure userà la corrispondenza di prefisso più lunga per scegliere la route verso la destinazione del pacchetto.