Implementowanie usługi Azure ExpressRoute

  • 15 min

Zespół ds. zabezpieczeń IT firmy Contoso jest zaniepokojony wdrażaniem połączenia sieci VPN z centrów danych do chmury firmy Microsoft. Podczas badania opcji usługi VPN Gateway okazało się, że usługa ExpressRoute jest jednym z potencjalnych rozwiązań. Dzięki usłudze ExpressRoute połączenia nie przechodzą przez Internet, zmniejszając w ten sposób możliwe zagrożenia bezpieczeństwa dla danych przesyłanych między infrastrukturą firmową w firmie Contoso i zasobami platformy Azure w centrach danych firmy Microsoft.

Co to jest usługa ExpressRoute?

Usługa ExpressRoute umożliwia łączenie organizacji z zasobami platformy Azure. Podczas implementowania usługi ExpressRoute można zaimplementować następujące opcje połączenia:

  • Połączenie sieci VPN typu dowolne-dowolne. Umożliwia integrację sieci WAN z platformą Azure. Platforma Azure integruje się z połączeniem sieci WAN, aby zapewnić bezproblemowe połączenie. W przypadku połączeń typu dowolny-dowolny wszyscy dostawcy sieci WAN oferują łączność w warstwie 3.
  • Połączenie Ethernet P2P. Zapewnia łączność warstwy 2 i 3 między lokacją lokalną a platformą Azure. Centra danych lub biura można połączyć z platformą Azure przy użyciu linków P2P.
  • Wspólna lokalizacja rozwiązania CloudExchange. Zazwyczaj oferuje połączenia warstwy 2 i warstwy 3 między infrastrukturą organizacji, która znajduje się w wspólnej lokalizacji, takiej jak usługodawca internetowy (ISP) i Microsoft Cloud.

Uwaga

Łączność usługi ExpressRoute nie jest przez Internet, co oznacza, że połączenia mają mniejsze opóźnienia, są szybkie i bezpieczniejsze.

Poniższa ilustracja przedstawia typowy scenariusz dla dwóch połączeń usługi ExpressRoute.

Diagram identyfikuje sposoby używania połączeń usługi ExpressRoute. Na ilustracji sieć klienta jest połączona z siecią brzegową partnera. Dwa połączenia: jeden podstawowy i pomocniczy, łączą się z siecią przeglądarki Microsoft Edge. Ruch jest kierowany przez oba obwody do komunikacji równorzędnej firmy Microsoft dla usługi Office 365 i powiązanych usług, a także do innych sieci wirtualnych przy użyciu prywatnej komunikacji równorzędnej azure.

Usługa ExpressRoute jest jednym z trzech rozwiązań, których można użyć do połączenia sieci lokalnej z platformą Azure. Pozostałe dwa, S2S i P2S, zostały opisane w poniższej tabeli.

Alternatywne rozwiązanie opis
Międzylokacyjna sieć VPN Umożliwia połączenie sieci lokalnej z platformą Azure za pośrednictwem tunelu IPsec/IKE w celu utworzenia sieci hybrydowej. Aby włączyć połączenie typu lokacja-lokacja, należy skonfigurować lokalne urządzenie sieci VPN z publicznym adresem IP. Następnie połączysz to urządzenie z siecią wirtualną platformy Azure za pośrednictwem bramy sieci wirtualnej platformy Azure.
Sieć VPN punkt-lokacja Umożliwia nawiązanie bezpiecznego połączenia z poszczególnych komputerów do zasobów znajdujących się w sieci lokalnej. To rozwiązanie jest przydatne w przypadku organizacji, które chcą włączyć połączenia z platformą Azure z lokalizacji zdalnych, takich jak domy użytkowników. Połączenia punkt-lokacja są przydatne, jeśli masz tylko kilku klientów, którzy muszą nawiązać połączenie z siecią wirtualną.

Usługa Azure ExpressRoute jest bardziej prawdopodobna w następujących scenariuszach:

  • W przypadku organizacji, które migrują systemy lokalne przedsiębiorstwa na platformę Azure
  • W przypadku bezpiecznych sieci, w których unikanie Internetu jest pożądane
  • W przypadku dużych centrów danych z wieloma użytkownikami i systemami korzystającymi z oprogramowania jako usługi (SaaS) i produktów

Rozważ użycie usługi ExpressRoute w następujących sytuacjach:

  • Aby zaimplementować łączność o małych opóźnieniach z usługami opartymi na chmurze
  • Aby uzyskać dostęp do systemów opartych na chmurze o dużej ilości danych
  • Aby nawiązać połączenie z usługami w chmurze firmy Microsoft, takimi jak Office 365 i Microsoft Dynamics 365

Zalety usługi ExpressRoute

Usługa ExpressRoute oferuje szereg korzyści z innych opcji łączności, zgodnie z opisem w poniższej tabeli.

Funkcja Korzyści
Łączność w warstwie 3 Te połączenia mogą być połączeniami typu P2P, dowolną-dowolną siecią lub mogą być wirtualnymi połączeniami krzyżowymi za pośrednictwem wymiany.
Wbudowana nadmiarowość Każdy dostawca łączności używa nadmiarowych urządzeń, aby zapewnić wysoką dostępność.
Łączność z usługami w chmurze firmy Microsoft Obsługuje połączenia z usługami Office 365, Dynamics 365 i Azure, takimi jak maszyny wirtualne platformy Azure, Azure Cosmos DB i Azure Storage.
Łączność między sieciami lokalnymi za pomocą rozwiązania ExpressRoute Global Reach Umożliwia łączenie prywatnych centrów danych za pośrednictwem wielu obwodów usługi ExpressRoute i umożliwia przechodzenie przez sieć firmy Microsoft ruchu między centrami danych.
Routing dynamiczny Umożliwia dynamiczny routing między infrastrukturą lokalną a usługami działającymi w chmurze firmy Microsoft. Używa protokołu BGP (Border Gateway Protocol), który wymienia trasy między sieciami lokalnymi i zasobami działającymi na platformie Azure.

Jak to działa

Aby zaimplementować usługę ExpressRoute, musisz pracować z partnerem usługi ExpressRoute. Partner zapewnia autoryzowane i uwierzytelnione połączenie nazywane usługą brzegową. Dzięki tej usłudze brzegowej możesz połączyć organizację z chmurą firmy Microsoft. Wybrany partner umożliwia połączenie z routerem brzegowym chmury firmy Microsoft nazywanym punktem końcowym usługi ExpressRoute. Połączenia za pośrednictwem usługi brzegowej do punktu końcowego usługi ExpressRoute są nazywane obwodami. Obwody są ustanawiane za pośrednictwem łącza prywatnego, a nie za pośrednictwem Internetu.

Wymagania wstępne

Aby można było zaimplementować obwód usługi ExpressRoute, organizacja musi spełnić szereg wymagań wstępnych, w tym:

  • Praca z partnerem łączności usługi ExpressRoute lub dostawcą wymiany w chmurze.

Uwaga

Te organizacje ułatwiają aprowizację obwodu.

  • Zarejestrowanie subskrypcji platformy Azure za pomocą partnera łączności usługi ExpressRoute.
  • Żądanie obwodu usługi ExpressRoute przy użyciu aktywnego konta platformy Azure.
  • Opcjonalnie posiadanie aktywnej subskrypcji usługi Office 365 na potrzeby łączności z usługami Office 365.

Ponieważ usługa ExpressRoute działa przez komunikację równorzędną infrastruktury lokalnej z sieciami w chmurze firmy Microsoft, zasoby w sieciach mogą komunikować się bezpośrednio z zasobami hostowanymi przez firmę Microsoft. Jednak aby obsługiwać te komunikacje równorzędne, należy:

  • Upewnij się, że skonfigurowano wszystkie wymagane sesje protokołu BGP dla domen routingu.
  • Zaimplementuj usługę translatora adresów sieciowych (NAT), aby przetłumaczyć prywatne adresy IP używane lokalnie na publiczne adresy IP.
  • Zarezerwuj kilka bloków adresów IP w sieci na potrzeby routingu ruchu do chmury firmy Microsoft.

Napiwek

Te bloki zarezerwowane można skonfigurować jako podsieć /29 lub dwie podsieci /30 w przestrzeni adresowej IP.

Konfigurowanie usługi ExpressRoute

Aby ułatwić połączenie z zasobami firmy Microsoft na platformie Azure przy użyciu usługi ExpressRoute, należy wykonać szereg kroków wysokiego poziomu, aby ukończyć proces ustanawiania połączenia usługi ExpressRoute. Należy wykonać:

  • Utwórz obwód.
  • Utwórz konfigurację komunikacji równorzędnej.
  • Łączenie sieci wirtualnej z obwodem usługi ExpressRoute.

Tworzenie obwodu

Aby utworzyć obwód, zaloguj się do witryny Azure Portal, a następnie wykonaj następującą procedurę:

  1. W witrynie Azure Portal wybierz polecenie Utwórz zasób.

  2. Wybierz pozycję Sieć, a następnie wybierz pozycję ExpressRoute.

  3. W bloku Tworzenie usługi ExpressRoute wybierz pozycję Subskrypcja, Grupa zasobów i Region, a następnie wprowadź nazwę obwodu.

  4. Wybierz pozycję Dalej: Konfiguracja >.

  5. Na karcie Konfiguracja skonfiguruj następujące informacje:

    • Typ portu. Wybierz pozycję Dostawca.
    • Wybierz dostawcę.
    • Wybierz lokalizację komunikacji równorzędnej.
    • Wybierz przepustowość.
    • Wybierz jednostkę SKU.

    Zrzut ekranu przedstawiający blok Tworzenie usługi ExpressRoute, kartę Konfiguracja. Typ portu jest ustawiony na Wartość Dostawca. Dostawca jest British Telecom. Lokalizacja komunikacji równorzędnej to Londyn. Przepustowość wynosi 1 Gb/s. Wybrano jednostkę SKU w warstwie Standardowa.

  6. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

Aprowizacja obwodu potrwa kilka minut. Po zakończeniu otwórz nowo utworzony zasób. Na stronie Przegląd obwodu należy zauważyć, że stan obwodu jest włączony, ale stan dostawcy nie jest aprowizowany. Te wartości oznaczają, że strona firmy Microsoft obwodu jest gotowa do akceptowania połączeń, ale dostawca nie skonfigurował jeszcze swojej strony obwodu.

Zrzut ekranu przedstawiający stronę ContosoExpressRoute w witrynie Azure Portal. Stan obwodu jest włączony, ale stan dostawcy to Nie aprowizowana.

Tworzenie konfiguracji komunikacji równorzędnej

Następnym krokiem jest skonfigurowanie komunikacji równorzędnej. Komunikację równorzędną obwodu można przejrzeć na karcie Przegląd . Możesz utworzyć prywatną komunikację równorzędną platformy Azure, publiczną komunikację równorzędną platformy Azure i komunikację równorzędną firmy Microsoft. W takim przypadku należy utworzyć prywatną komunikację równorzędną platformy Azure i komunikację równorzędną firmy Microsoft.

Konfigurowanie prywatnej komunikacji równorzędnej

Prywatna komunikacja równorzędna służy do łączenia sieci z sieciami wirtualnymi działającymi na platformie Azure. Aby skonfigurować prywatną komunikację równorzędną, musisz podać następujące informacje:

  • Równorzędny numer ASN. Numer systemu autonomicznego (ASN) dla twojej strony komunikacji równorzędnej.
  • Podsieć podstawowa. Jest to zakres adresów podstawowej podsieci /30 utworzonej w sieci.
  • Dodatkowa podsieć. Jest to zakres adresów podsieci pomocniczej /30.
  • Identyfikator sieci VLAN. Jest to wirtualna sieć lokalna (VLAN), na której chcesz włączyć komunikację równorzędną.
  • Klucz wspólny. Jest to opcjonalny klucz używany do kodowania komunikatów przechodzących przez obwód.

Aby zmodyfikować prywatną komunikację równorzędną platformy Azure, w bloku obwodu usługi ExpressRoute na stronie Komunikacja równorzędna wybierz pozycję Prywatna platforma Azure, a następnie skonfiguruj wymagane wartości.

Konfigurowanie komunikacji równorzędnej firmy Microsoft

Komunikacja równorzędna firmy Microsoft służy do nawiązywania połączenia z usługą Office 365 i powiązanymi z nią usługami. Aby skonfigurować komunikację równorzędną firmy Microsoft, należy podać te same szczegóły co prywatna komunikacja równorzędna, ale należy również podać następujące informacje:

  • Rozgłaszane prefiksy publiczne. Lista prefiksów adresów używanych w sesji protokołu BGP.
  • Numer ASN klienta. Opcjonalna wartość.
  • Nazwa rejestru routingu. Identyfikuje rejestr, w którym rejestrujesz numer ASN klienta i publiczne prefiksy.

Uwaga

Komunikację równorzędną można skonfigurować tylko wtedy, gdy stan dostawcy ma wartość Aprowizowana.

Aby zmodyfikować komunikację równorzędną firmy Microsoft, w bloku obwodu usługi ExpressRoute na stronie Komunikacje równorzędne wybierz pozycję Microsoft, a następnie skonfiguruj wymagane wartości.

Zrzut ekranu przedstawiający blok komunikacji równorzędnej firmy Microsoft. Nie można skonfigurować żadnych wartości, ponieważ obwód nie jest aprowizacji. Jednak konfigurowalne wartości są zgodnie z wcześniejszym opisem.

Łączenie sieci wirtualnej z obwodem

Po zainicjowaniu obsługi administracyjnej dostawcy i skonfigurowaniu komunikacji równorzędnej można połączyć sieć wirtualną z obwodem. Aby to zrobić, skorzystaj z następującej procedury:

  1. W witrynie Azure Portal wybierz polecenie Utwórz zasób.

  2. Wyszukaj i wybierz pozycję Brama sieci wirtualnej.

  3. W bloku Brama sieci wirtualnej wybierz pozycję Utwórz.

  4. W bloku Tworzenie bramy sieci wirtualnej utwórz bramę, określając odpowiednie właściwości: Subskrypcja, Nazwa i Region.

  5. W polu Typ bramy wybierz pozycję ExpressRoute.

    Zrzut ekranu przedstawiający blok Tworzenie bramy sieci wirtualnej. Administrator skonfigurował wartości opisane w poprzednim tekście.

  6. Wybierz jednostkę SKU, a następnie wybierz sieć wirtualną, z którą chcesz nawiązać połączenie.

  7. Skonfiguruj zakres adresów podsieci bramy i ustawienia publicznego adresu IP.

  8. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

Na koniec możesz połączyć komunikację równorzędną z bramą sieci wirtualnej w następujący sposób:

  1. Na stronie obwodu usługi ExpressRoute dla usługi wybierz pozycję Połączenia.
  2. Na stronie Połączenia wybierz pozycję Dodaj.
  3. Na stronie Dodawanie połączenia podaj nazwę połączenia, a następnie wybierz bramę sieci wirtualnej.

Po zakończeniu operacji sieć lokalna zostanie połączona za pośrednictwem bramy sieci wirtualnej z siecią wirtualną na platformie Azure. Połączenie zostanie nawiązane za pośrednictwem połączenia usługi ExpressRoute.

Uwaga

Ten ostatni krok można wykonać tylko wtedy, gdy stan dostawcy jest ustawiony na Aprowizowana.

Materiały uzupełniające

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami: