Udostępnij za pośrednictwem

Migrowanie do nowego obwodu usługi ExpressRoute

  • Artykuł

Jeśli chcesz przełączyć się z jednego obwodu usługi ExpressRoute na inny, możesz to zrobić bezproblemowo z minimalnymi przerwami w działaniu usługi. Ten dokument przeprowadzi Cię przez kroki migracji ruchu produkcyjnego bez powodowania poważnych zakłóceń lub zagrożeń. Ta metoda ma zastosowanie niezależnie od tego, czy przechodzisz do nowej, czy tej samej lokalizacji komunikacji równorzędnej.

Jeśli masz obwód usługi ExpressRoute za pośrednictwem dostawcy usług warstwy 3, utwórz nowy obwód w ramach subskrypcji w witrynie Azure Portal. Skontaktuj się z dostawcą usług, aby bezproblemowo przełączyć ruch do nowego obwodu. Po anulowaniu aprowizacji starego obwodu przez dostawcę usług usuń go z witryny Azure Portal.

Pozostała część artykułu ma zastosowanie, jeśli masz obwód usługi ExpressRoute za pośrednictwem dostawcy usług warstwy 2 lub portów bezpośrednich usługi ExpressRoute.

Procedura bezproblemowej migracji obwodu usługi ExpressRoute

Diagram przedstawiający migrację obwodu usługi ExpressRoute z obwodu A do obwodu B.

Na poprzednim diagramie przedstawiono proces migracji z istniejącego obwodu usługi ExpressRoute, nazywanego obwodem A, do nowego obwodu usługi ExpressRoute, nazywanego obwodem B. Obwód B może znajdować się w tej samej lub innej lokalizacji komunikacji równorzędnej co obwód A. Proces migracji składa się z następujących kroków:

  1. Wdróż obwód B w izolacji: chociaż ruch nadal przepływa przez obwód A, wdróż nowy obwód B bez wpływu na środowisko produkcyjne.

  2. Blokuj przepływ ruchu produkcyjnego przez obwód B: zapobiegaj używaniu dowolnego ruchu przy użyciu obwodu B, dopóki nie zostanie przetestowany w pełni i zweryfikowany.

  3. Ukończ i zweryfikuj kompleksową łączność obwodu B: upewnij się, że obwód B może ustanowić i utrzymać stabilne i bezpieczne połączenie ze wszystkimi wymaganymi punktami końcowymi.

  4. Przełącz ruch: przekieruj przepływ ruchu z obwodu A do obwodu B i zablokuj przepływ ruchu przez obwód A.

  5. Likwidowanie obwodu A: Usuń obwód A z sieci i zwolnij jej zasoby.

Wdrażanie nowego obwodu w izolacji

Aby zastąpić jeden do jednego istniejącego obwodu, wybierz opcję Odporność w warstwie Standardowa i wykonaj kroki opisane w przewodniku Tworzenie obwodu za pomocą usługi ExpressRoute, aby utworzyć nowy obwód usługi ExpressRoute (obwód B) w żądanej lokalizacji komunikacji równorzędnej. Następnie wykonaj kroki opisane w temacie Konfigurowanie komunikacji równorzędnej dla obwodu usługi ExpressRoute, aby skonfigurować wymagane typy komunikacji równorzędnej: prywatne i microsoft.

Aby zapobiec używaniu obwodu B przez prywatną komunikację równorzędną przed rozpoczęciem testowania i walidacji, nie należy łączyć bramy sieci wirtualnej z wdrożeniem produkcyjnym do obwodu B. Podobnie, aby uniknąć ruchu produkcyjnego komunikacji równorzędnej firmy Microsoft z użyciem obwodu B, nie należy kojarzyć filtru tras z obwodem B.

Blokowanie przepływu ruchu produkcyjnego przez nowo utworzony obwód

Zapobiegaj anonsowaniu trasy przez co najmniej jedną nową komunikację równorzędną na urządzeniach CE.

W przypadku aplikacji Cisco IOS można użyć elementu route-map i , prefix-list aby filtrować trasy anonsowane za pośrednictwem komunikacji równorzędnej BGP. W poniższym przykładzie pokazano, jak utworzyć i zastosować element route-map i w prefix-list tym celu:

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Użyj zasad eksportowania/importowania, aby filtrować trasy anonsowane i odbierane na nowej komunikacji równorzędnej na urządzeniach Junos. W poniższym przykładzie pokazano, jak skonfigurować zasady eksportowania/importowania w tym celu:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

Weryfikowanie kompleksowej łączności nowo utworzonego obwodu

Prywatna komunikacja równorzędna

Aby połączyć nowy obwód z bramą testowej sieci wirtualnej i zweryfikować łączność prywatnej komunikacji równorzędnej, wykonaj kroki opisane w artykule Łączenie sieci wirtualnej z obwodem usługi ExpressRoute. Po połączeniu sieci wirtualnych z obwodem sprawdź tabelę tras prywatnej komunikacji równorzędnej, aby upewnić się, że została uwzględniona przestrzeń adresowa sieci wirtualnej. W poniższym przykładzie przedstawiono tabelę tras prywatnej komunikacji równorzędnej obwodu usługi ExpressRoute w portalu zarządzania Azure:

Zrzut ekranu przedstawiający tabelę tras dla podstawowego linku obwodu usługi ExpressRoute.

Na poniższym diagramie przedstawiono testową maszynę wirtualną w testowej sieci wirtualnej i testowe urządzenie lokalne używane do weryfikowania łączności za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.

Diagram przedstawiający maszynę wirtualną na platformie Azure komunikującą się z urządzeniem testowym lokalnie za pośrednictwem połączenia usługi ExpressRoute.

Zmodyfikuj konfigurację mapy tras lub zasad, aby filtrować anonsowane trasy i zezwalać na określony adres IP lokalnego urządzenia testowego. Podobnie zezwól testowej przestrzeni adresowej sieci wirtualnej z platformy Azure.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Aby zezwolić na określone prefiksy adresów IP dla urządzeń testowych w systemie Junos, skonfiguruj listę prefiksów. Następnie skonfiguruj zasady importowania/eksportowania protokołu BGP, aby zezwolić na te prefiksy i odrzucić wszystkie inne elementy.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Sprawdź kompleksową łączność za pośrednictwem prywatnej komunikacji równorzędnej. Możesz na przykład wysłać polecenie ping do testowej maszyny wirtualnej na platformie Azure z lokalnego urządzenia testowego i sprawdzić wyniki. Aby uzyskać szczegółowe informacje na temat walidacji krok po kroku, zobacz Weryfikowanie łączności usługi ExpressRoute.

Komunikacja równorzędna firmy Microsoft

Weryfikacja komunikacji równorzędnej firmy Microsoft wymaga starannego planowania, aby uniknąć wpływu na ruch produkcyjny. Wykonaj następujące kroki, aby zapewnić bezproblemowy proces:

  1. Użyj odrębnych prefiksów: skonfiguruj komunikację równorzędną firmy Microsoft dla obwodu B z prefiksami innymi niż te używane dla obwodu A, aby zapobiec konfliktom routingu. Aby uzyskać wskazówki, zapoznaj się z artykułem Tworzenie komunikacji równorzędnej firmy Microsoft.
  2. Oddzielne filtry tras: łączenie komunikacji równorzędnej firmy Microsoft obwodu B z innym filtrem tras niż Obwód A. Wykonaj kroki konfigurowania filtrów tras dla komunikacji równorzędnej firmy Microsoft.
  3. Unikaj typowych tras: upewnij się, że filtry tras dla obu obwodów nie współużytkują wspólnych tras, aby zapobiec routingowi asymetrycznemu. Można to zrobić za pomocą:
    • Wybranie usługi lub regionu platformy Azure do testowania obwodu B, który nie jest używany przez ruch produkcyjny obwodu A.
    • Minimalizacja nakładania się między dwoma filtrami tras i zezwalaniem na tylko określone testowe publiczne punkty końcowe za pośrednictwem obwodu B.

Po połączeniu filtru trasy sprawdź trasy anonsowane i odebrane za pośrednictwem komunikacji równorzędnej BGP na urządzeniu CE. Zmodyfikuj konfigurację zasad route-map lub Junos, aby filtrować anonsowane trasy, zezwalając na testowanie tylko lokalnych prefiksów komunikacji równorzędnej firmy Microsoft i określonych adresów IP wybranych publicznych punktów końcowych firmy Microsoft.

Aby przetestować łączność z punktami końcowymi platformy Microsoft 365, wykonaj kroki opisane w artykule Implementowanie usługi ExpressRoute dla platformy Microsoft 365 — tworzenie procedur testowych. W przypadku publicznych punktów końcowych platformy Azure rozpocznij od podstawowych testów łączności, takich jak traceroute ze środowiska lokalnego, aby upewnić się, że żądania przechodzą przez punkty końcowe usługi ExpressRoute. Poza punktami końcowymi usługi ExpressRoute komunikaty ICMP są pomijane przez sieć firmy Microsoft. Ponadto przetestuj łączność na poziomie aplikacji. Jeśli na przykład masz maszynę wirtualną platformy Azure z publicznym adresem IP z uruchomionym serwerem internetowym, spróbuj uzyskać dostęp do publicznego adresu IP serwera internetowego z sieci lokalnej za pośrednictwem połączenia usługi ExpressRoute. Potwierdza to, że złożony ruch, taki jak żądania HTTP, może uzyskiwać dostęp do usług platformy Azure.

Prywatna komunikacja równorzędna

  1. Odłącz obwód B od wszystkich testowych bram sieci wirtualnej.
  2. Usuń wszelkie wyjątki wprowadzone w zasadach Cisco route-maps lub Junos.
  3. Połącz obwód B z produkcyjną bramą sieci wirtualnej, wykonując kroki opisane w artykule Łączenie sieci wirtualnej z obwodem usługi ExpressRoute.
  4. Upewnij się, że obwód B jest gotowy do anonsowania wszystkich tras aktualnie anonsowanych za pośrednictwem obwodu A. Sprawdź, czy interfejsy obwodu B są skojarzone z odpowiednim rozwiązaniem VRF lub wystąpieniem routingu.
  5. Usuń mapy tras lub zasady w interfejsach Obwodu B i zastosuj je do interfejsów Obwodu A, aby zablokować anonse tras w obwodzie A, przełączając przepływ ruchu do obwodu B.
  6. Sprawdź przepływ ruchu przez obwód B. Jeśli weryfikacja nie powiedzie się, przywróć zmiany i przełącz przepływ ruchu z powrotem do obwodu A.
  7. Jeśli weryfikacja zakończy się pomyślnie, usuń obwód A.

Komunikacja równorzędna firmy Microsoft

  1. Usuń obwód B z dowolnego testowego filtru tras platformy Azure.
  2. Usuń wszelkie wyjątki wprowadzone w mapach tras lub zasadach.
  3. Upewnij się, że interfejsy obwodu B są skojarzone z odpowiednim wystąpieniem VRF lub routingu.
  4. Zweryfikuj i potwierdź anonsowane prefiksy za pośrednictwem komunikacji równorzędnej firmy Microsoft.
  5. Kojarzenie komunikacji równorzędnej obwodu B firmy Microsoft z filtrem tras platformy Azure skojarzonym obecnie z obwodem A.
  6. Usuń mapy tras lub zasady eksportowania/importowania w interfejsach obwodu B i zastosuj je do interfejsów Obwodu A, aby zablokować anonse tras za pośrednictwem obwodu A, przełączając przepływ ruchu do obwodu B.
  7. Sprawdź przepływ ruchu przez obwód B. Jeśli weryfikacja nie powiedzie się, przywróć zmiany i przełącz przepływ ruchu z powrotem do obwodu A.
  8. Jeśli weryfikacja zakończy się pomyślnie, usuń obwód A.

Następny krok

Aby uzyskać więcej informacji na temat konfiguracji routera, zobacz Przykłady konfiguracji routera, aby skonfigurować routing i zarządzać nim.