Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure ExpressRoute предназначен для обеспечения высокого уровня доступности, обеспечивая подключение частной сети уровня оператора к ресурсам Майкрософт. Это означает, что в сети Майкрософт нет единой точки сбоя. Чтобы обеспечить максимальную доступность, необходимо также разработать сегменты поставщика услуг и клиента в канале Azure ExpressRoute для обеспечения высокой доступности. В этой статье рассматриваются аспекты архитектуры сети для создания надежного подключения с использованием Azure ExpressRoute и функции точной настройки для улучшения высокой доступности вашего канала Azure ExpressRoute.
Примечание.
Основные понятия, описанные в этой статье, применяются одинаково независимо от того, создаётся ли схема Azure ExpressRoute в Virtual WAN или вне её.
Рекомендации по архитектуре
На следующем рисунке показан рекомендуемый способ подключения с помощью канала Azure ExpressRoute для обеспечения максимальной доступности.
Для обеспечения высокой доступности важно поддерживать избыточность в сквозной сети. Это означает поддержание избыточности в локальной сети и не ухудшение избыточности в сети поставщика услуг. Как минимум, это включает в себя предотвращение отдельных точек сбоя сети. Избыточное питание и охлаждение для сетевых устройств улучшает высокий уровень доступности.
Рекомендации по проектированию физического слоя "первой мили"
Если вы завершаете как первичные, так и вторичные подключения канала Azure ExpressRoute в одном локальном оборудовании клиента (CPE), вы скомпрометируете высокий уровень доступности в локальной сети. Кроме того, настройка обоих подключений с использованием одного порта CPE заставляет партнера компрометировать высокий уровень доступности в своем сетевом сегменте. Это может произойти путем прекращения двух подключений под разными субинтерфейсами или объединения двух подключений в пределах партнерской сети, как показано ниже.
Завершение основных и вторичных подключений канала Azure ExpressRoute в разных географических расположениях может скомпрометировать производительность сети. Если трафик активно распределяется по соединениям, завершённым в разных местах, значительные различия в задержке сети между двумя маршрутами могут привести к неоптимальной производительности.
Рекомендации по проектированию с геоизбыточными параметрами см. в статье "Проектирование аварийного восстановления с помощью Azure ExpressRoute".
Соединения в режиме "активный — активный"
Сеть Майкрософт управляет основными и вторичными подключениями каналов Azure ExpressRoute в активном режиме. Однако вы можете принудительно использовать избыточные подключения в режиме активно-пассивного с помощью объявлений маршрутов. Реклама более конкретных маршрутов и предустановка пути BGP AS являются общими методами, чтобы предпочесть один путь по другому.
Чтобы повысить уровень доступности, рекомендуется использовать оба подключения в активном режиме. Это позволяет сети Microsoft балансировать трафик между подключениями на уровне отдельного потока.
Выполнение подключений в активно-пассивном режиме сопряжено с риском сбоя обоих подключений, если активный путь выходит из строя. Распространенные причины сбоя включают отсутствие активного управления пассивным подключением и рекламу устаревших маршрутов через пассивные соединения.
В качестве альтернативы, выполнение подключений в режиме активный-активный приводит к сбоям только примерно в половине потоков, которые затем перенаправляются, что значительно улучшает среднее время восстановления (MTTR).
Примечание.
Во время обслуживания или незапланированных событий, влияющих на одно подключение, корпорация Майкрософт будет использовать путь AS для очистки трафика к работоспособному подключению. Убедитесь, что трафик может направляться через здоровый путь, если предустановка пути настроена корпорацией Майкрософт, и необходимые объявления маршрутов настроены соответствующим образом, чтобы избежать нарушений работы службы.
NAT для подключения с Майкрософт
Пиринг Майкрософт предназначен для обмена данными между общедоступными конечными точками. Как правило, частные локальные конечные точки подвергаются трансляции сетевых адресов (NATed) с использованием общедоступных IP-адресов в клиентской или партнерской сети до взаимодействия через пиринг с Microsoft. Использование первичных и вторичных подключений в установке active-active влияет на то, как быстро восстановиться после сбоя в одном из подключений. Ниже показаны два различных варианта NAT:
Вариант 1:
NAT применяется после разделения трафика между основными и вторичными подключениями. Независимые пулы NAT используются для основных и вторичных устройств для удовлетворения требований NAT с отслеживанием состояния. Возвратный трафик поступает на то же пограничное устройство, через которое проходил исходящий поток.
Если подключение Azure ExpressRoute завершается сбоем, соответствующий пул NAT становится недоступным, нарушая все сетевые потоки. Эти потоки должны быть восстановлены с помощью TCP или прикладного уровня после истечения времени ожидания окна. Во время сбоя Azure не может связаться с локальными серверами с помощью соответствующего NAT, пока подключение не будет восстановлено.
Вариант 2.
Общий пул NAT используется перед разделением трафика между основными и вторичными подключениями. Это не представляет собой одну точку сбоя, что обеспечивает высокий уровень доступности.
Пул NAT остается доступным, даже если основное или вторичное подключение завершается сбоем, что позволяет сетевому уровню перенаправить пакеты и ускорить восстановление.
Примечание.
- Если используется вариант NAT 1 (независимые пулы NAT для основных и вторичных подключений) и сопоставление порта IP-адреса из одного пула NAT с локальным сервером, сервер не будет доступен через канал Azure ExpressRoute, если соответствующее подключение завершается ошибкой.
- Завершение подключений Azure ExpressRoute BGP на устройствах с сохранением состояния может привести к проблемам отработки отказа во время планового или незапланированного обслуживания, выполнение которого обеспечивает корпорация Майкрософт или ваш поставщик Azure ExpressRoute. Проверьте настройку, чтобы обеспечить правильное переключение на резерв и по возможности завершить сеансы BGP на устройствах без сохранения состояния.
Возможности тонкой настройки для частного пиринга
В этом разделе рассматриваются необязательные функции, которые помогают улучшить высокую доступность контура Azure ExpressRoute, в зависимости от вашего развертывания Azure и чувствительности к MTTR. В частности, он охватывает развертывание шлюзов виртуальной сети Azure ExpressRoute с учетом зон и обнаружение двунаправленной передачи BFD.
Виртуальные сетевые шлюзы Azure ExpressRoute, учитывающие зоны доступности
Зона доступности в регионе Azure объединяет домен сбоя и домен обновления. Чтобы обеспечить максимальную устойчивость и доступность, настройте зонально избыточный шлюз виртуальной сети Azure ExpressRoute. Дополнительные сведения см. в статье о зонально-избыточных шлюзах виртуальной сети в зонах доступности Azure. Чтобы настроить межзонный резервный шлюз виртуальной сети, см. Создание межзонного резервного шлюза виртуальной сети в зонах доступности Azure.
Повышение быстроты обнаружения сбоев
Azure ExpressRoute поддерживает BFD через частный пиринг, уменьшая время обнаружения сбоев в сети Уровня 2 между Microsoft Enterprise Edge (MSEEs) и их соседями BGP на локальной стороне примерно с 3 минут (по умолчанию) до менее чем секунды. Быстрое обнаружение сбоев помогает ускорить восстановление. Дополнительные сведения см. в статье "Настройка BFD через Azure ExpressRoute".
Следующие шаги
В этой статье рассматривается проектирование для обеспечения высокой доступности канала Azure ExpressRoute. Точка пиринга канала Azure ExpressRoute закреплена в географическом местоположении и может быть затронута катастрофическими сбоями, затрагивающими весь регион.
Рекомендации по созданию сетевого подключения с географической избыточностью к backbone-сети Microsoft, которое способно выдержать катастрофические сбои, влияющие на весь регион, см. в статье «Проектирование для аварийного восстановления с использованием частного пиринга Azure ExpressRoute».