Поделиться через

Проектирование высокого уровня доступности с помощью Azure ExpressRoute

  • Статья

Azure ExpressRoute предназначен для обеспечения высокого уровня доступности, обеспечивая подключение частной сети уровня оператора к ресурсам Майкрософт. Это означает, что в сети Майкрософт нет единой точки сбоя. Чтобы обеспечить максимальную доступность, необходимо также разработать сегменты поставщика услуг и клиента в канале Azure ExpressRoute для обеспечения высокой доступности. В этой статье рассматриваются рекомендации по созданию надежного подключения с помощью Azure ExpressRoute и функций точной настройки для повышения доступности канала Azure ExpressRoute.

Примечание.

Основные понятия, описанные в этой статье, применяются так же, создаются ли каналы Azure ExpressRoute в Виртуальная глобальная сеть или за ее пределами.

Рекомендации по архитектуре

На следующем рисунке показан рекомендуемый способ подключения с помощью канала Azure ExpressRoute для обеспечения максимальной доступности.

1

Для обеспечения высокой доступности важно поддерживать избыточность в сквозной сети. Это означает поддержание избыточности в локальной сети и не компрометации избыточности в сети поставщика услуг. Как минимум, это включает в себя предотвращение отдельных точек сбоя сети. Избыточное питание и охлаждение для сетевых устройств улучшает высокий уровень доступности.

Рекомендации по проектированию физического слоя "первой мили"

Если вы завершаете как первичные, так и вторичные подключения канала Azure ExpressRoute в одном локальном оборудовании клиента (CPE), вы скомпрометируете высокий уровень доступности в локальной сети. Кроме того, настройка обоих подключений с использованием одного порта CPE заставляет партнера компрометировать высокий уровень доступности в своем сетевом сегменте. Это может произойти путем прекращения двух подключений в разных подмножиях или объединения двух подключений в партнерской сети, как показано ниже.

2

Завершение основных и вторичных подключений канала Azure ExpressRoute в разных географических расположениях может скомпрометировать производительность сети. Если трафик активно балансируется между подключениями в разных расположениях, существенные различия в задержке сети между двумя путями могут привести к неоптимальной производительности.

Рекомендации по проектированию с геоизбыточными параметрами см. в статье "Проектирование аварийного восстановления с помощью Azure ExpressRoute".

Соединения в режиме "активный — активный"

Сеть Майкрософт управляет основными и вторичными подключениями каналов Azure ExpressRoute в активном режиме. Однако вы можете принудительно принудительно использовать избыточные подключения в активно-пассивном режиме с помощью рекламы маршрутов. Реклама более конкретных маршрутов и предустановка пути BGP AS являются общими методами, чтобы предпочесть один путь по другому.

Чтобы повысить уровень доступности, рекомендуется использовать оба подключения в активном режиме. Это позволяет сети Майкрософт балансировать трафик между подключениями на основе потока.

Выполнение подключений в активно-пассивном режиме рискует сбоем обоих подключений, если активный путь завершается ошибкой. Распространенные причины сбоя включают отсутствие активного управления пассивным подключением и пассивным подключением к устаревшим маршрутам.

Кроме того, выполнение подключений в активном режиме приводит к сбою только в половине потоков и перенаправляется, значительно улучшая среднее время восстановления (MTTR).

Примечание.

Во время обслуживания или незапланированных событий, влияющих на одно подключение, корпорация Майкрософт будет использовать путь AS для очистки трафика к работоспособному подключению. Убедитесь, что трафик может направляться через здоровый путь, если предустановка пути настроена корпорацией Майкрософт, и необходимые объявления маршрутов настроены соответствующим образом, чтобы избежать нарушений работы службы.

NAT для пиринга Майкрософт

Пиринг Майкрософт предназначен для обмена данными между общедоступными конечными точками. Как правило, локальные частные конечные точки — это переключение сетевых адресов (NATed) с общедоступными IP-адресами в клиентской или партнерской сети перед обменом данными через пиринг Майкрософт. Использование первичных и вторичных подключений в установке active-active влияет на то, как быстро восстановиться после сбоя в одном из подключений. Ниже показаны два различных варианта NAT:

3

Вариант 1:

NAT применяется после разделения трафика между основными и вторичными подключениями. Независимые пулы NAT используются для основных и вторичных устройств для удовлетворения требований NAT с отслеживанием состояния. Возврат трафика поступает на то же пограничное устройство, через которое исходящий поток.

Если подключение Azure ExpressRoute завершается сбоем, соответствующий пул NAT становится недоступным, нарушая все сетевые потоки. Эти потоки должны быть восстановлены TCP или уровнем приложений после времени ожидания окна. Во время сбоя Azure не может связаться с локальными серверами с помощью соответствующего NAT, пока подключение не будет восстановлено.

Вариант 2.

Общий пул NAT используется перед разделением трафика между основными и вторичными подключениями. Это не представляет собой одну точку сбоя, что обеспечивает высокий уровень доступности.

Пул NAT остается доступным, даже если основное или вторичное подключение завершается сбоем, что позволяет сетевому уровню перенаправить пакеты и ускорить восстановление.

Примечание.

  • Если используется вариант NAT 1 (независимые пулы NAT для основных и вторичных подключений) и сопоставление порта IP-адреса из одного пула NAT с локальным сервером, сервер не будет доступен через канал Azure ExpressRoute, если соответствующее подключение завершается ошибкой.
  • Завершение подключений Azure ExpressRoute BGP на устройствах с отслеживанием состояния может привести к проблемам отработки отказа во время планового или незапланированного обслуживания корпорацией Майкрософт или поставщиком ExpressRoute Azure. Проверьте настройку, чтобы обеспечить правильную отработку отказа и по возможности завершить сеансы BGP на устройствах без отслеживания состояния.

Возможности тонкой настройки для частного пиринга

В этом разделе рассматриваются необязательные функции, которые помогают повысить доступность канала Azure ExpressRoute в зависимости от развертывания Azure и конфиденциальности к MTTR. В частности, он охватывает развертывание шлюзов виртуальной сети Azure ExpressRoute с поддержкой зон и двунаправленного обнаружения перенаправления (BFD).

Зона доступности, учитываемая шлюзы виртуальной сети Azure ExpressRoute

Зона доступности в регионе Azure объединяет домен сбоя и домен обновления. Чтобы обеспечить максимальную устойчивость и доступность, настройте шлюз виртуальной сети, избыточный между зонами, Azure ExpressRoute. Дополнительные сведения см. в статье о шлюзах виртуальной сети, избыточных между зонами, в Azure Зоны доступности. Сведения о настройке шлюза виртуальной сети, избыточного между зонами, см. в статье "Создание шлюза виртуальной сети, избыточного между зонами" в Azure Зоны доступности.

Повышение быстроты обнаружения сбоев

Azure ExpressRoute поддерживает BFD через частный пиринг, уменьшая время обнаружения сбоев в сети Уровня 2 между Microsoft Enterprise Edge (MSEEs) и их соседями BGP на локальной стороне примерно с 3 минут (по умолчанию) до менее чем секунды. Быстрое обнаружение сбоев помогает ускорить восстановление. Дополнительные сведения см. в статье "Настройка BFD через Azure ExpressRoute".

Следующие шаги

В этой статье рассматривается проектирование для обеспечения высокой доступности канала Azure ExpressRoute. Точка пиринга каналов Azure ExpressRoute закреплена в географическом расположении и может влиять на катастрофические сбои, влияющие на все расположение.

Рекомендации по проектированию для создания геоизбыточного сетевого подключения к магистрали Майкрософт, которая может противостоять катастрофическим сбоям, влияющим на весь регион, см. в статье "Проектирование аварийного восстановления с помощью частного пиринга Azure ExpressRoute".