Łączenie sieci lokalnej z platformą Azure przy użyciu usługi ExpressRoute

Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

Ta architektura referencyjna pokazuje, jak połączyć sieć lokalną z siecią wirtualną platformy Azure przy użyciu usługi Azure ExpressRoute z wirtualną siecią prywatną typu lokacja-lokacja (VPN) jako połączeniem trybu failover.

Architektura

Architektura referencyjna dla architektury sieci hybrydowej o wysokiej dostępności korzystającej z usługi ExpressRoute i bramy sieci VPN.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Niniejsza architektura zawiera następujące składniki.

  • Sieć lokalna. Prywatna sieć lokalna działająca w organizacji.

  • Sieci wirtualne platformy Azure. Każda sieć wirtualna znajduje się w jednym regionie świadczenia usługi Azure i może hostować wiele warstw aplikacji. Warstwy aplikacji można podzielić na segmenty przy użyciu podsieci w każdej sieci wirtualnej.

    • Podsieć bramy. Bramy sieci wirtualnej znajdują się w tej samej podsieci.
  • Urządzenie sieci VPN. Urządzenie lub usługa, która zapewnia sieci lokalnej łączność zewnętrzną. Urządzenie sieci VPN może być urządzeniem sprzętowym lub może być rozwiązaniem programowym, takim jak usługa routingu i dostępu zdalnego (RRAS) w systemie Windows Server 2012. Aby uzyskać listę obsługiwanych urządzeń sieci VPN oraz informacje o konfigurowaniu wybranych urządzeń sieci VPN w celu połączenia z platformą Azure, zobacz About VPN devices for Site-to-Site VPN Gateway connections (Informacje o urządzeniach sieci VPN używanych na potrzeby połączeń bramy sieci VPN typu lokacja-lokacja).

  • Obwód usługi ExpressRoute. Warstwa 2 lub warstwa 3 obwodu dostarczana przez dostawcę łączności łącząca sieć lokalną z platformą Azure za pośrednictwem routerów granicznych. Obwód używa infrastruktury sprzętowej zarządzanej przez dostawcę łączności.

    • Lokalne routery graniczne. Routery łączące sieć lokalną z obwodem zarządzanym przez dostawcę. W zależności od sposobu aprowizowania połączenia może być konieczne podanie publicznych adresów IP używanych przez routery.

    • Routery graniczne firmy Microsoft. Dwa routery w konfiguracji o wysokiej dostępności aktywne-aktywne. Te routery umożliwiają dostawcy łączności połączenie jego obwodów bezpośrednio z centrum danych. W zależności od sposobu aprowizowania połączenia może być konieczne podanie publicznych adresów IP używanych przez routery.

  • Brama sieci wirtualnej usługi ExpressRoute. Brama sieci wirtualnej usługi ExpressRoute umożliwia sieci wirtualnej platformy Azure łączenie się z obwodem usługi ExpressRoute używanym do łączności z siecią lokalną.

  • Brama sieci wirtualnej VPN. Brama sieci wirtualnej sieci VPN umożliwia sieci wirtualnej platformy Azure łączenie się z urządzeniem sieci VPN w sieci lokalnej. Brama sieci wirtualnej VPN jest skonfigurowana do akceptowania żądań z sieci lokalnej tylko za pośrednictwem urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Connect an on-premises network to a Microsoft Azure virtual network (Łączenie sieci lokalnej z siecią wirtualną platformy Microsoft Azure).

  • Połączenie sieci VPN. Połączenie ma właściwości, które określają typ połączenia (IPSec) i klucz udostępniany lokalnemu urządzeniu sieci VPN do szyfrowania ruchu.

  • Usługi publiczne platformy Azure. Usługi platformy Azure, które mogą być używane w ramach aplikacji hybrydowych. Te usługi są również dostępne za pośrednictwem Internetu, ale dostęp do nich za pomocą obwodu usługi ExpressRoute zapewnia małe opóźnienia i bardziej przewidywalną wydajność, ponieważ ruch nie przechodzi przez Internet.

  • Usługi platformy Microsoft 365. Dostępne publicznie aplikacje i usługi platformy Microsoft 365 udostępniane przez firmę Microsoft. Połączenia korzystają z komunikacji równorzędnej firmy Microsoft i adresów należących do Organizacji lub dostarczonych przez dostawcę łączności. Możesz również połączyć się bezpośrednio z usługą Microsoft CRM Online przy użyciu komunikacji równorzędnej firmy Microsoft.

  • Dostawcy połączeń (nie są pokazani). Firmy, które zapewniają połączenie przy użyciu łączności warstwy 2 lub warstwy 3 między centrum danych i centrum danych platformy Azure.

Składniki

  • Azure ExpressRoute. Za pomocą usługi ExpressRoute możesz rozszerzyć sieci lokalne na chmurę firmy Microsoft za pośrednictwem połączenia prywatnego, korzystając z pomocy dostawcy łączności. Za pomocą usługi ExpressRoute można nawiązywać połączenia z usługami w chmurze firmy Microsoft, takimi jak Azure i Microsoft 365.

  • Azure Virtual Network. Usługa Azure Virtual Network to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Usługa Virtual Network umożliwia korzystanie z wielu typów zasobów platformy Azure, takich jak maszyny wirtualne platformy Azure, komunikowanie się ze sobą, internetem i sieciami lokalnymi przy użyciu zwiększonych zabezpieczeń.

  • Azure VPN Gateway. Usługa VPN Gateway to brama sieci wirtualnej, która umożliwia łączenie sieci lokalnej z siecią wirtualną platformy Azure przy użyciu połączenia wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja.

Szczegóły scenariusza

Ta architektura referencyjna pokazuje, jak połączyć sieć lokalną z siecią wirtualną platformy Azure przy użyciu usługi ExpressRoute z wirtualną siecią prywatną typu lokacja-lokacja (VPN) jako połączeniem trybu failover. Ruch przepływa między siecią lokalną a siecią wirtualną platformy Azure za pośrednictwem połączenia usługi ExpressRoute. W przypadku utraty łączności w obwodzie usługi ExpressRoute ruch jest kierowany przez tunel VPN IPSec. Wdróż to rozwiązanie.

Jeśli obwód usługi ExpressRoute jest niedostępny, trasa sieci VPN obsługuje tylko prywatne połączenia komunikacji równorzędnej. Publiczne połączenia komunikacji równorzędnej i komunikacji równorzędnej firmy Microsoft przechodzą przez Internet.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Dostawcy połączeń

Wybierz odpowiedniego dostawcę połączeń usługi ExpressRoute dla swojej lokalizacji. Aby uzyskać listę dostawców łączności dostępnych w twojej lokalizacji, użyj następującego polecenia programu PowerShell:

Get-AzExpressRouteServiceProvider

Dostawcy połączeń usługi ExpressRoute łączą Twoje centrum danych z firmą Microsoft w następujący sposób:

  • Kolokowanie w ramach wymiany w chmurze. Jeśli współlokujesz obiekt, który ma wymianę w chmurze, możesz zamówić wirtualne połączenia krzyżowe z platformą Azure za pośrednictwem wymiany Ethernet dostawcy współlokarzy. Dostawcy wspólnej lokalizacji mogą oferować połączenia krzyżowe warstwy 2 lub zarządzane połączenia w warstwie 3 między infrastrukturą w obiekcie wspólnej lokalizacji i na platformie Azure.

  • Połączenia Ethernet typu punkt-punkt. Lokalne centra danych/biura można połączyć z platformą Azure przy użyciu łączy Ethernet typu punkt-punkt. Dostawcy sieci Ethernet typu punkt-punkt mogą zapewnić połączenia warstwy 2 lub zarządzane połączenia warstwy 3 między lokacją a platformą Azure.

  • Sieci typu dowolna-dowolna (IPVPN). Swoją sieć rozległą (WAN) możesz zintegrować z platformą Azure. Dostawcy wirtualnej sieci prywatnej (IPVPN) protokołu internetowego oferują łączność typu dowolna-dowolna między oddziałami i centrami danych. (Sieć IPVPN jest zazwyczaj siecią VPN z wielomaprotokolami przełączania etykiet). Platforma Azure może być połączona z siecią WAN, aby wyglądała jak każda inna oddział. Dostawcy sieci WAN oferują zazwyczaj łączność zarządzaną w warstwie 3.

Aby uzyskać więcej informacji o dostawcach łączności, zobacz ExpressRoute introduction (ExpressRoute — wprowadzenie).

Obwód usługi ExpressRoute

Aby utworzyć obwód usługi ExpressRoute, możesz użyć poniższych kroków.

  1. Uruchom następujące polecenie programu PowerShell:

    New-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> -Location <location> -SkuTier <SKU-tier> -SkuFamily <SKU-family> -ServiceProviderName <service-provider-name> -PeeringLocation <peering-location> -BandwidthInMbps <bandwidth-in-Mbps>
    
  2. Wyślij element ServiceKey dla nowego obwodu do dostawcy usług.

  3. Poczekaj, aż dostawca rozpocznie aprowizację obwodu. Aby sprawdzić stan aprowizacji obwodu, uruchom następujące polecenie programu PowerShell:

    Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
    

    Pole Provisioning state w Service Provider sekcji danych wyjściowych zmienia się z NotProvisioned na Provisioned , gdy obwód jest gotowy.

    Uwaga

    Jeśli używasz połączenia warstwy 3, dostawca powinien skonfigurować routing i zarządzać nim. Musisz podać informacje niezbędne do umożliwienia dostawcy zaimplementowania odpowiednich tras.

  4. Jeśli używasz połączenia warstwy 2:

    1. Zarezerwuj dwie podsieci /30 składające się z prawidłowych publicznych adresów IP dla każdego typu komunikacji równorzędnej, którą chcesz zaimplementować. Te podsieci /30 są używane do dostarczania adresów IP dla routerów używanych dla obwodu. Jeśli wdrażasz prywatną komunikację równorzędną i komunikację równorzędną firmy Microsoft, potrzebujesz czterech podsieci /30 z prawidłowymi publicznymi adresami IP.

    2. Skonfiguruj routing dla obwodu usługi ExpressRoute. Uruchom następujące polecenia programu PowerShell dla prywatnej komunikacji równorzędnej i komunikacji równorzędnej firmy Microsoft. Aby uzyskać więcej informacji, zobacz Create and modify routing for an ExpressRoute circuit (Tworzenie i modyfikowanie routingu dla obwodu usługi ExpressRoute).

      Set-AzExpressRouteCircuitPeeringConfig -Name <peering-name> -ExpressRouteCircuit <circuit-name> -PeeringType <peering-type> -PeerASN <peer-ASN> -PrimaryPeerAddressPrefix <primary-peer-address-prefix> -SecondaryPeerAddressPrefix <secondary-peer-address-prefix> -VlanId <vlan-ID>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <circuit-name>
      
    3. Zarezerwuj inną pulę prawidłowych publicznych adresów IP do użycia na potrzeby translatora adresów sieciowych (NAT) dla komunikacji równorzędnej firmy Microsoft. Zalecamy posiadanie innej puli dla każdej komunikacji równorzędnej. Określ pulę dostawcy łączności, aby mogli skonfigurować anonse protokołu BGP (Border Gateway Protocol) dla tych zakresów.

Bramy sieci VPN i usługi ExpressRoute

Jeśli masz już istniejącą bramę sieci wirtualnej sieci VPN w sieci wirtualnej platformy Azure, możesz utworzyć bramę sieci wirtualnej usługi ExpressRoute bez konieczności usuwania istniejącej bramy sieci wirtualnej.

Postępuj zgodnie z instrukcjami w temacie Konfigurowanie architektury sieci hybrydowej za pomocą usługi Azure ExpressRoute , aby nawiązać połączenie usługi ExpressRoute.

Postępuj zgodnie z instrukcjami w temacie Konfigurowanie architektury sieci hybrydowej za pomocą platformy Azure i lokalnej sieci VPN , aby ustanowić połączenie bramy sieci wirtualnej sieci VPN.

Po ustanowieniu połączeń bramy sieci wirtualnej przetestuj środowisko, wykonując następujące kroki:

  1. Upewnij się, że możesz nawiązać połączenie z sieci lokalnej z siecią wirtualną platformy Azure.
  2. Skontaktuj się z dostawcą, aby zatrzymać łączność usługi ExpressRoute do testowania.
  3. Sprawdź, czy nadal możesz nawiązać połączenie z sieci lokalnej z siecią wirtualną platformy Azure przy użyciu połączenia bramy sieci wirtualnej sieci VPN.
  4. Skontaktuj się z dostawcą, aby ponownie nawiązać łączność usługi ExpressRoute.

Rozwiązywanie problemów

Jeśli wcześniej działający obwód usługi ExpressRoute nie może nawiązać połączenia i nie ma żadnych zmian konfiguracji lokalnie lub w prywatnej sieci wirtualnej, może być konieczne skontaktowanie się z dostawcą łączności i skontaktowanie się z nim w celu rozwiązania problemu. Użyj następujących poleceń programu PowerShell, aby sprawdzić, czy obwód usługi ExpressRoute jest poprawnie aprowizowany:

Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

Dane wyjściowe tego polecenia przedstawiają kilka właściwości obwodu, w tym ProvisioningState, CircuitProvisioningStatei ServiceProviderProvisioningState, jak pokazano poniżej:

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Jeśli ProvisioningState nie ustawiono wartości na Succeeded wartość po próbie utworzenia nowego obwodu, usuń obwód przy użyciu następującego polecenia i spróbuj utworzyć go ponownie.

Remove-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

Jeśli dostawca już aprowizował obwód i ProvisioningState jest ustawiony na Failed lub CircuitProvisioningState nie Enabled, skontaktuj się z dostawcą, aby uzyskać pomoc.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Skalowalność

Obwody usługi ExpressRoute zapewniają ścieżkę o wysokiej przepustowości między sieciami. Ogólnie rzecz biorąc, im większa przepustowość, tym wyższy koszt.

Usługa ExpressRoute oferuje dwa plany cenowe: plan taryfowy i plan Nieograniczone dane. Opłaty zależą od przepustowości obwodu. Dostępna przepustowość prawdopodobnie będzie się różnić od dostawcy do dostawcy. Użyj polecenia cmdlet Get-AzExpressRouteServiceProvider, aby wyświetlić dostawców dostępnych w Twoim regionie i wartości przepustowości, które oferują.

Pojedynczy obwód usługi ExpressRoute może obsługiwać określoną liczbę komunikacji równorzędnych i łączy sieci wirtualnych. Aby uzyskać więcej informacji, zobacz ExpressRoute limits (ExpressRoute — limity).

Dodatek ExpressRoute Premium zapewnia:

  • Zwiększone limity tras dla prywatnej komunikacji równorzędnej.
  • Zwiększona liczba łączy sieci wirtualnych na obwód usługi ExpressRoute.
  • Globalna łączność dla usług.

Szczegółowe informacje można znaleźć w artykule ExpressRoute — cennik.

Mimo że niektórzy dostawcy umożliwiają zmianę przepustowości, pamiętaj, aby wybrać początkową przepustowość, która przekracza twoje potrzeby i zapewnia miejsce na wzrost. Jeśli chcesz zwiększyć przepustowość w przyszłości, masz dwie opcje:

  • Zwiększyć przepustowość. Unikaj tej opcji jak najwięcej. Nie wszyscy dostawcy umożliwiają dynamiczne zwiększanie przepustowości. Jeśli jednak potrzebujesz zwiększenia przepustowości, sprawdź u dostawcy, aby upewnić się, że obsługują one zmianę właściwości przepustowości usługi ExpressRoute przy użyciu poleceń programu PowerShell. Jeśli to zrobią, uruchom następujące polecenia:

    $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <bandwidth-in-Mbps>
    Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Możesz zwiększyć przepustowość bez utraty łączności. Obniżenie przepustowości zakłóca łączność, ponieważ należy usunąć obwód i utworzyć go ponownie przy użyciu nowej konfiguracji.

  • Zmień swój plan cenowy lub przejdź na wersję Premium. W tym celu uruchom następujące polecenia. Właściwość Sku.Tier może mieć wartość Standard lub Premium. Właściwość Sku.Name może mieć wartość MeteredData lub UnlimitedData.

    $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Ważne

    Upewnij się, że właściwość jest zgodna Sku.Name z właściwością Sku.Tier i Sku.Family. Jeśli zmienisz rodzinę i warstwę, ale nie nazwę, połączenie zostanie wyłączone.

    Jednostkę SKU można uaktualnić bez zakłóceń, ale nie można przełączyć się z nieograniczonego planu cenowego do planu taryfowego. W przypadku obniżenia poziomu jednostki SKU użycie przepustowości musi pozostać w domyślnym limicie standardowej jednostki SKU.

Dostępność

Usługa ExpressRoute nie obsługuje protokołów nadmiarowości routera, takich jak protokół HSRP (Hot Standby Routing Protocol) i protokół VRRP (Virtual Router Redundancy Protocol) w celu zapewnienia wysokiej dostępności. Zamiast tego używa nadmiarowej pary sesji protokołu BGP na połączenie komunikacji równorzędnej. Aby ułatwić połączenia o wysokiej dostępności z siecią, platforma Azure aprowizuje dwa nadmiarowe porty na dwóch routerach (część krawędzi firmy Microsoft) w konfiguracji aktywne-aktywne.

Domyślnie sesje protokołu BGP używają wartości limitu czasu bezczynności równego 60 sekund. Jeśli limit czasu sesji wynosi trzy razy (łączna liczba 180 sekund), router jest oznaczony jako niedostępny i cały ruch jest przekierowywany do pozostałego routera. Ten 180-sekundowy limit może być za długi dla krytycznych aplikacji. Jeśli chcesz, możesz zmienić ustawienia limitu czasu protokołu BGP na routerze lokalnym na krótszy czas trwania. Usługa ExpressRoute obsługuje również dwukierunkowe wykrywanie przekazywania (BFD) za pośrednictwem prywatnej komunikacji równorzędnej. Włączając funkcję BFD za pośrednictwem usługi ExpressRoute, można przyspieszyć wykrywanie niepowodzeń połączenia między urządzeniami brzegowymi (MSEE) firmy Microsoft Enterprise i routerami, na których kończy się obwód usługi ExpressRoute. Usługę ExpressRoute można zakończyć za pośrednictwem urządzeń routingu brzegowego klienta lub urządzeń routingu w przeglądarce Partner Edge (jeśli masz zarządzaną usługę połączenia warstwy 3).

Wysoką dostępność połączenia platformy Azure można skonfigurować na różne sposoby, w zależności od typu używanego dostawcy oraz liczby obwodów usługi ExpressRoute i połączeń bramy sieci wirtualnej, które chcesz skonfigurować. Oto podsumowanie opcji dostępności:

  • Jeśli używasz połączenia warstwy 2, wdróż nadmiarowe routery w sieci lokalnej w konfiguracji aktywne-aktywne. Podłącz obwód podstawowy do jednego routera i obwodu pomocniczego do drugiego. Ta konfiguracja zapewnia połączenie o wysokiej dostępności na obu końcach. Ta konfiguracja jest niezbędna, jeśli wymagana jest umowa dotycząca poziomu usług ExpressRoute (SLA). Aby uzyskać szczegółowe informacje, zobacz SLA for Azure ExpressRoute (ExpressRoute — umowa SLA).

    Na poniższym diagramie przedstawiono konfigurację z nadmiarowymi routerami lokalnymi podłączonymi do obwodów podstawowego i pomocniczego. Każdy obwód obsługuje ruch na potrzeby prywatnej komunikacji równorzędnej. (Każda komunikacja równorzędna jest wyznaczona jako para /30 przestrzeni adresowych, zgodnie z opisem w poprzedniej sekcji).

    Diagram przedstawiający używanie nadmiarowych routerów z obwodami podstawowymi i pomocniczymi usługi ExpressRoute.

  • Jeśli używasz połączenia warstwy 3, sprawdź, czy udostępnia ona nadmiarowe sesje protokołu BGP, które obsługują dostępność.

  • Połącz sieć wirtualną z wieloma obwodami usługi ExpressRoute dostarczanymi przez różnych dostawców usług. Ta strategia zapewnia większą dostępność i możliwości odzyskiwania po awarii.

  • Skonfiguruj sieci VPN typu lokacja-lokacja jako ścieżki pracy awaryjnej dla usługi ExpressRoute. Aby uzyskać więcej informacji na temat tej opcji, zobacz Connect an on-premises network to Azure using ExpressRoute with VPN failover (Łączenie sieci lokalnej z platformą Azure przy użyciu usługi ExpressRoute z trybem failover sieci VPN). Ta opcja ma zastosowanie tylko do prywatnej komunikacji równorzędnej. W przypadku usług platformy Azure i platformy Microsoft 365 Internet jest jedyną ścieżką trybu failover.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Opcje zabezpieczeń dla połączenia platformy Azure możesz skonfigurować na różne sposoby, w zależności od kwestii dotyczących bezpieczeństwa i potrzeb dotyczących zgodności.

Usługa ExpressRoute działa w warstwie 3. Ochronę przed zagrożeniami w warstwie aplikacji można zapewnić przy użyciu urządzenia zabezpieczeń sieci, które ogranicza ruch do uzasadnionych zasobów.

Aby zmaksymalizować bezpieczeństwo, dodaj sieciowe urządzenia zabezpieczające między siecią lokalną a routerami granicznymi dostawcy. Pomaga to ograniczyć przepływ nieautoryzowanego ruchu z sieci wirtualnej:

Diagram przedstawiający dodawanie urządzeń zabezpieczeń do sieci lokalnej.

W przypadku inspekcji lub zgodności może być konieczne zablokowanie bezpośredniego dostępu do Internetu dla składników uruchomionych w sieci wirtualnej i zaimplementowanie wymuszonego tunelowania. W takiej sytuacji ruch internetowy powinien być przekierowywany z powrotem za pośrednictwem serwera proxy działającego lokalnie, gdzie można go przeprowadzić inspekcję. Serwer proxy można skonfigurować tak, aby blokował przepływ nieautoryzowanego ruchu i filtrował potencjalnie złośliwy ruch przychodzący.

Diagram przedstawiający używanie wymuszonego tunelowania do inspekcji ruchu powiązanego z Internetem.

Aby zmaksymalizować bezpieczeństwo, nie włączaj publicznego adresu IP dla maszyn wirtualnych i używaj sieciowych grup zabezpieczeń, aby zapewnić, że te maszyny wirtualne nie są publicznie dostępne. Maszyny wirtualne powinny być dostępne tylko za pośrednictwem wewnętrznego adresu IP. Te adresy można udostępnić za pośrednictwem sieci usługi ExpressRoute, która umożliwia lokalnym pracownikom devOps wykonywanie konfiguracji lub konserwacji.

Jeśli musisz uwidocznić punkty końcowe zarządzania dla maszyn wirtualnych w sieci zewnętrznej, użyj sieciowych grup zabezpieczeń lub list kontroli dostępu, aby ograniczyć widoczność tych portów do listy dozwolonych adresów IP lub sieci.

Uwaga

Maszyny wirtualne platformy Azure wdrożone za pośrednictwem witryny Azure Portal mogą zawierać publiczny adres IP, który zapewnia dostęp do logowania. Jednak najlepszym rozwiązaniem jest zakazanie tego dostępu.

Aby uzyskać informacje o ogólnych zagadnieniach związanych z zabezpieczeniami platformy Azure, zobacz Microsoft cloud services and network security (Zabezpieczenia usług w chmurze i sieci firmy Microsoft).

Monitorowanie sieci

Usługa Azure Network Watcher służy do monitorowania i rozwiązywania problemów ze składnikami sieciowymi. Narzędzia takie jak analiza ruchu identyfikują systemy w sieciach wirtualnych, które generują najwięcej ruchu, dzięki czemu można wizualnie identyfikować wąskie gardła, zanim staną się problemami. Monitor połączeń może monitorować obwody usługi ExpressRoute.

Możesz również użyć zestawu Azure Connectivity Toolkit (AzureCT), aby monitorować łączność między lokalnym centrum danych a platformą Azure.

Aby uzyskać więcej informacji, zobacz Monitorowanie metodyki DevOps.

Optymalizacja kosztów

Optymalizacja kosztów polega na zmniejszeniu niepotrzebnych wydatków i poprawie wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Aby zapoznać się z zagadnieniami dotyczącymi kosztów usługi ExpressRoute, zobacz następujące artykuły:

ExpressRoute

W tej architekturze obwód usługi ExpressRoute jest używany do łączenia sieci lokalnej z platformą Azure za pośrednictwem routerów brzegowych.

Usługa ExpressRoute oferuje dwa plany cenowe. W przypadku planu Danych taryfowych cały transfer danych przychodzących jest bezpłatny. Opłaty za cały transfer danych wychodzących są naliczane na podstawie wstępnie ustalonej stawki.

W przypadku planu Nieograniczone dane cały transfer danych przychodzących i wychodzących jest bezpłatny. Opłata za stały miesięczny port jest naliczana na podstawie podwójnych portów o wysokiej dostępności.

Oblicz wykorzystanie i wybierz odpowiednio plan rozliczeniowy. Zalecamy plan Nieograniczone dane, jeśli przekroczysz około 68% wykorzystania.

Aby uzyskać więcej informacji, zobacz Cennik usługi Azure ExpressRoute.

Azure Virtual Network

Wszystkie warstwy aplikacji są hostowane w jednej sieci wirtualnej i są podzielone na podsieci.

Usługa Azure Virtual Network jest bezpłatna. Dla każdej subskrypcji można utworzyć aż 50 sieci wirtualnych we wszystkich regionach. Cały ruch, który występuje w granicach sieci wirtualnej, jest bezpłatny, więc komunikacja między dwiema maszynami wirtualnymi w jednej sieci wirtualnej jest bezpłatna.

Sprawność operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.

Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps usługi ExpressRoute, zobacz wskazówki dotyczące konfigurowania architektury sieci hybrydowej za pomocą usługi Azure ExpressRoute .

Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps sieci VPN typu lokacja-lokacja, zobacz wskazówki dotyczące konfigurowania architektury sieci hybrydowej za pomocą platformy Azure i lokalnej sieci VPN .

Wdrażanie tego scenariusza

Wymagania wstępne. Musisz już mieć lokalną infrastrukturę skonfigurowaną przy użyciu odpowiedniego urządzenia sieciowego.

Aby wdrożyć to rozwiązanie, wykonaj następujące kroki.

  1. Wybierz poniższy link:

    Ikona przycisku do wdrażania na platformie Azure.

  2. Poczekaj na otwarcie linku w witrynie Azure Portal, a następnie wybierz grupę zasobów, w której chcesz wdrożyć te zasoby, lub utwórz nową grupę zasobów. Region i Lokalizacja zostaną automatycznie zmienione tak, aby pasować do grupy zasobów.

  3. Zaktualizuj pozostałe pola, jeśli chcesz zmienić nazwy zasobów, dostawców, jednostkę SKU lub adresy IP sieci dla danego środowiska.

  4. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz , aby wdrożyć te zasoby.

  5. Zaczekaj na zakończenie wdrażania.

    Uwaga

    To wdrożenie szablonu wdraża tylko następujące zasoby:

    • Grupa zasobów (jeśli tworzysz nową)
    • Obwód usługi ExpressRoute
    • Sieć wirtualna platformy Azure
    • Brama sieci wirtualnej usługi ExpressRoute

    Aby ustanowić prywatną łączność komunikacji równorzędnej ze środowiska lokalnego do obwodu usługi ExpressRoute, musisz podać klucz usługi obwodu dostawcy usług. Klucz usługi można znaleźć na stronie przeglądu zasobu obwodu usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania obwodu usługi ExpressRoute, zobacz Tworzenie lub modyfikowanie konfiguracji komunikacji równorzędnej. Po skonfigurowaniu prywatnej komunikacji równorzędnej można połączyć bramę sieci wirtualnej usługi ExpressRoute z obwodem. Aby uzyskać więcej informacji, zobacz Samouczek: łączenie sieci wirtualnej z obwodem usługi ExpressRoute przy użyciu witryny Azure Portal.

  6. Aby ukończyć wdrażanie sieci VPN typu lokacja-lokacja jako kopii zapasowej w usłudze ExpressRoute, zobacz Tworzenie połączenia sieci VPN typu lokacja-lokacja.

  7. Po pomyślnym skonfigurowaniu połączenia sieci VPN z tą samą siecią lokalną, którą skonfigurowano w usłudze ExpressRoute, konfiguracja została ukończona w celu utworzenia kopii zapasowej połączenia usługi ExpressRoute w przypadku całkowitej awarii w lokalizacji komunikacji równorzędnej.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Dokumentacja produktu:

Moduły microsoft Learn: