Configurare il peering per una distribuzione di ExpressRoute
A un circuito ExpressRoute sono associate due opzioni di peering: privato di Azure e Microsoft. Ogni peering è configurato in modo identico in una coppia di router (in una configurazione di tipo attivo-attivo o di condivisione del carico) per offrire una disponibilità elevata. Per rappresentare gli schemi di indirizzamento IP, i servizi di Azure sono classificati come pubblici di Azure e privati di Azure.
Creare la configurazione del peering
- Per un circuito ExpressRoute, è possibile configurare il peering privato e il peering Microsoft. Il peering può essere configurato nell'ordine che si preferisce. assicurandosi, tuttavia, di completare la configurazione di un peering per volta.
- È necessario avere un circuito ExpressRoute attivo. Per configurare i peering, il circuito ExpressRoute deve trovarsi in uno stato di provisioning e abilitato.
- Se si prevede di usare una chiave condivisa o un hash MD5, assicurarsi di usare la chiave su entrambi i lati del tunnel. Il limite massimo è di 25 caratteri alfanumerici. I caratteri speciali non sono supportati.
Scegliere tra solo peering privato, solo peering Microsoft o entrambi
Nella tabella seguente vengono confrontati i due peering. Il peering pubblico è deprecato per il nuovo peering.
Funzionalità | Peering privato | Peering Microsoft |
---|---|---|
Massimo. Numero di prefissi supportati per peering | 4000 per impostazione predefinita, 10.000 con ExpressRoute Premium | 200 |
Intervalli di indirizzi IP supportati | Qualsiasi indirizzo IP valido entro la rete WAN. | Indirizzi IP pubblici di proprietà dell'utente o del provider di connettività. |
Requisiti del numero AS | Numeri AS pubblici e privati. È necessario possedere un numero AS pubblico se si sceglie di usarne uno. | Numeri AS pubblici e privati. È tuttavia necessario dimostrare la proprietà degli indirizzi IP pubblici. |
Protocolli IP supportati | IPv4, IPv6 (anteprima) | IPv4, IPv6 |
Indirizzi IP per l'interfaccia di routing | Indirizzi IP pubblici e RFC1918 | Indirizzi IP pubblici registrati a nome dell'utente nei registri di routing. |
Supporto per Hash MD5 | Sì | Sì |
È possibile scegliere di abilitare uno o più domini di routing come parte del circuito ExpressRoute. È possibile scegliere di posizionare tutti i domini di routing nella stessa rete VPN se si vuole combinarli in un singolo dominio di routing. La configurazione consigliata consiste nel connettere il peering privato direttamente alla rete di base e i collegamenti del peering pubblico e Microsoft alla rete perimetrale.
Ogni peering richiede sessioni BGP separati (una coppia per ogni tipo di peering). Le coppie di sessioni BGP forniscono un collegamento a disponibilità elevata. Se si stabilisce la connessione tramite provider di connettività di livello 2, l'utente è responsabile della configurazione e della gestione del routing.
Importante
Il supporto di IPv6 per il peering privato è attualmente disponibile in anteprima pubblica. Per connettere la rete virtuale a un circuito ExpressRoute con il peering privato basato su IPv6 configurato, verificare che la rete virtuale sia dual stack e segua le linee guida per IPv6 per la rete virtuale di Azure.
Configurare il peering privato
I servizi di calcolo di Azure, ovvero le macchine virtuali, e i servizi cloud distribuiti all'interno di una rete virtuale possono essere collegati tramite il dominio di peering privato. Il dominio di peering privato è un'estensione attendibile della rete di base in Microsoft Azure. È possibile configurare la connettività bidirezionale tra la rete di base e le reti virtuali (VNet) di Azure. Questo peering permette la connessione diretta a macchine virtuali e servizi cloud nei rispettivi indirizzi IP privati.
È possibile connettere più di una rete virtuale al dominio di peering privato. Per informazioni aggiornate sui limiti, visitare la pagina Sottoscrizione di Azure e limiti dei servizi, quote e vincoli .
Configurare il peering Microsoft
La connettività ai servizi online Microsoft (servizi Microsoft 365 e Azure PaaS) viene stabilita tramite il peering Microsoft. È possibile abilitare la connettività bidirezionale tra la rete WAN e i servizi cloud Microsoft tramite il dominio di routing di peering Microsoft. È necessario connettersi ai servizi cloud Microsoft solo su indirizzi IP pubblici di proprietà dell'utente o del provider di connettività e rispettare tutte le regole definite.
Configurare i filtri di route per il peering Microsoft
I filtri di route rappresentano un modo per usare un subset di servizi supportati tramite il peering Microsoft.
I servizi di Microsoft 365 come Exchange Online, SharePoint Online e Skype for Business sono accessibili tramite il peering Microsoft. Quando il peering Microsoft viene configurato in un circuito ExpressRoute, tutti i prefissi relativi a questi servizi vengono annunciati tramite le sessioni BGP stabilite. A ogni prefisso viene associato un valore di community BGP per identificare il servizio offerto tramite il prefisso.
Con la connettività a tutti i servizi di Azure e Microsoft 365 vengono annunciati molti prefissi tramite BGP. Questo numero elevato aumenta notevolmente le dimensioni delle tabelle di route gestite dai router all'interno della rete. Se si prevede di usare solo un subset dei servizi offerti tramite il peering Microsoft, è possibile ridurre le dimensioni delle tabelle di route in due modi. È possibile:
- Escludere i prefissi indesiderati applicando filtri di route alle community BGP. Il filtro di route è una procedura di rete standard usata comunemente in molte reti.
- Definire i filtri di route e applicarli al circuito ExpressRoute. Un filtro di route è una nuova risorsa che consente di selezionare l'elenco dei servizi che si prevede di usare tramite il peering Microsoft. I router ExpressRoute inviano solo l'elenco dei prefissi che appartengono ai servizi identificati nel filtro di route.
Informazioni sui filtri di route
Quando il peering Microsoft viene configurato nel circuito ExpressRoute, i router perimetrali Microsoft stabiliscono una coppia di sessioni BGP con i router perimetrali dell'utente attraverso il provider di connettività. Non viene annunciata alcuna route per la rete. Per abilitare gli annunci delle ruote per la rete, è necessario associare un filtro di route.
Un filtro di route consente di identificare i servizi da usare tramite il peering Microsoft del circuito di ExpressRoute. Si tratta fondamentalmente di un elenco elementi consentiti di tutti i valori di community BGP. Dopo aver definito una risorsa filtro di route e averla associata a un circuito ExpressRoute, tutti i prefissi corrispondenti ai valori di community BGP vengono annunciati alla rete.
Per associare i filtri di route ai servizi Microsoft 365, è necessario avere l'autorizzazione per l'utilizzo di tali servizi tramite ExpressRoute. Se non si è autorizzati a utilizzare i servizi Microsoft 365 tramite ExpressRoute, l'operazione di associazione dei filtri di route non riesce.