Как работает Azure ExpressRoute

  • 10 мин

Вы узнали о назначении службы Azure ExpressRoute и службах, для которых его можно использовать. Теперь вы готовы приступить к изучению того, как работает служба. Давайте рассмотрим, как он взаимодействует с Azure и локальными сетями, чтобы помочь создать безопасное и надежное подключение между локальным центром обработки данных и облаком Майкрософт.

В этом уроке вы узнаете, как создавать и использовать каналы Azure для подключения локальных сетей к облаку. Вы увидите шаги, необходимые для создания электрической цепи. Вы также узнаете о других компонентах подключения ExpressRoute, которые совместно формируют подключение из локального центра обработки данных к облаку Майкрософт.

Архитектура ExpressRoute

ExpressRoute поддерживается во всех регионах и расположениях. Чтобы реализовать ExpressRoute, необходимо работать с партнером ExpressRoute. Партнер предоставляет услугу на границе сети : авторизованное и проверенное подключение, которое осуществляется через маршрутизатор, управляемый партнером. Периферийный сервис отвечает за расширение вашей сети в облачную платформу Microsoft.

Партнер настраивает подключения к конечной точке в расположении ExpressRoute (реализуется маршрутизатором Microsoft Edge). Эти подключения позволяют выполнять пиринг локальных сетей с виртуальными сетями, доступными через конечную точку. Эти подключения называются каналами .

схема высокого уровня службы Azure ExpressRoute.

Заметка

В контексте ExpressRoute Microsoft Edge описывает пограничные маршрутизаторы на стороне Microsoft канала ExpressRoute.

Канал предоставляет физическое подключение для передачи данных через маршрутизаторы на границе сети поставщика ExpressRoute к маршрутизаторам на границе сети Microsoft. Канал устанавливается через частный провод, а не через общедоступный Интернет. Ваша локальная сеть подключена к пограничным маршрутизаторам поставщика ExpressRoute. Маршрутизаторы Microsoft Edge предоставляют точку входа в облако Майкрософт.

Предварительные требования для ExpressRoute

Прежде чем подключиться к облачным службам Майкрософт с помощью ExpressRoute, необходимо:

  • Партнер по подключению ExpressRoute или поставщик облачных услуг exchange, которые могут настроить подключение от ваших локальных сетей к облаку Microsoft.
  • Подписка Azure, зарегистрированная в выбранном партнере по подключению ExpressRoute.
  • Активная учетная запись Microsoft Azure, которую можно использовать для запроса канала ExpressRoute.
  • Активная подписка На Office 365 (если вы хотите подключиться к облаку Майкрософт и получить доступ к службам Office 365).

ExpressRoute работает путем пиринга локальных сетей с сетями, работающими в облаке Майкрософт. Ресурсы в сетях могут напрямую взаимодействовать с ресурсами, размещенными корпорацией Майкрософт. Для поддержки этих пирингов ExpressRoute имеет несколько требований к сети и маршрутизации:

  • Убедитесь, что сеансы BGP для доменов маршрутизации настроены. В зависимости от партнера эта конфигурация может быть их или вашей ответственностью. Кроме того, для каждого канала ExpressRoute корпорация Майкрософт требует организации резервных сеансов BGP между маршрутизаторами корпорации Майкрософт и вашими маршрутизаторами пиринга.
  • Вам или вашим поставщикам необходимо перевести частные IP-адреса, используемые локально в общедоступные IP-адреса, с помощью службы NAT. Корпорация Майкрософт отклоняет все, кроме общедоступных IP-адресов через пиринг Майкрософт.
  • Зарезервируйте несколько блоков IP-адресов в сети для маршрутизации трафика в облако Майкрософт. Эти блоки настраивается как подсеть /29 или две подсети /30 в пространстве IP-адресов. Одна из этих подсетей используется для настройки основной ссылки на облако Майкрософт, а другая — вторичную ссылку. Первый адрес в этих подсетях представляет конец однорангового узла BGP, а второй — IP-адрес однорангового узла BGP Майкрософт.

ExpressRoute поддерживает две схемы пиринга:

  • Используйте частный пиринг для подключения к службам IaaS и PaaS Azure, развернутыми в виртуальных сетях Azure. Доступ к ресурсам должен находиться в одной или нескольких виртуальных сетях Azure с частными IP-адресами. Доступ к ресурсам нельзя получить через общедоступный IP-адрес через частный пиринг.
  • Используйте пиринг Майкрософт для подключения к службам PaaS Azure, службам Office 365 и Dynamics 365.

схема пиринга Azure.

Заметка

Вы также можете использовать портал Azure для настройки публичного пиринга. Эта форма пиринга позволяет подключаться к общедоступным адресам, предоставляемым службами Azure. Однако этот пиринг устарел и недоступен для новых каналов. Этот модуль не описывает общедоступный пиринг.

Создайте схему ExpressRoute и выполните пиринговое подключение

Установка подключения к Azure через ExpressRoute — это многоэтапный процесс. Вы можете выполнить многие из этих действий с помощью портала Azure или из командной строки с помощью PowerShell или Azure CLI. В этом разделе описывается процесс использования портала Azure. Инструкции По PowerShell и CLI см. в разделе "Дополнительные сведения" в конце этого модуля.

Создать цепь

При использовании портала Azure выберите + Создать ресурс и найдите ExpressRoute. Страница создания схемы ExpressRoute требует заполнения следующих полей:

Вкладка "Основы"

Свойство Ценность
Подписка Подписка, зарегистрированная у поставщика ExpressRoute.
группа ресурсов Группа ресурсов Azure, в которой следует создать канал.
региона Расположение Azure, в котором нужно создать канал.
имя Понятное имя для вашей схемы без пробелов или специальных символов.

снимок экрана, на котором показана вкладка

Вкладка "Конфигурация"

Свойство Ценность
типа порта Выберите поставщика, если вы подключаетесь через поставщика услуг или выберите Direct, если вы подключаетесь напрямую к Корпорации Майкрософт.
Создать новое или импортировать из классической Создайте новую цепь или выберите Импорт, чтобы перенести существующую цепь из классической модели в Resource Manager.
поставщика Поставщик ExpressRoute, с помощью которого вы зарегистрировали подписку.
точка пиринга Предоставляемое поставщиком ExpressRoute местоположение, где можно создать ваш канал.
Пропускная способность Выберите пропускную способность от 50 Мбит/с до 10 Гбит/с. Начните с низкого значения. Вы можете увеличить его позже без прерывания работы службы. Тем не менее, вы не можете уменьшить пропускную способность, если вы задали ее слишком высокую изначально.
SKU Выберите Локальный (если доступно), если необходимо подключиться только к ресурсу Azure в 1 или 2 регионах Azure в одном метрополисе. Выберите стандартный, если у вас есть до 10 виртуальных сетей и необходимо подключиться только к ресурсам в одном географическом регионе. В противном случае выберите premium, что позволяет подключать более 10 виртуальных сетей и глобальных подключений к ресурсам Azure.
модель выставления счетов Выберите Неограниченное, чтобы платить фиксированную плату независимо от использования. Или выберите для оплаты в соответствии с объемом трафика, который входит и выходит из сети.
Разрешить классические операции Выберите Да позволяет классическим виртуальным сетям подключаться к каналу. В противном случае выберите Нет.

снимок экрана: вкладка

Создание схемы может занять несколько минут. После подготовки цепи можно использовать портал Azure, чтобы просмотреть свойства. Вы увидите, что состояние канала включено, то есть сторона Майкрософт готова принять подключения. состояние поставщика имеет значение Изначально не подготовлено, так как поставщик не настроил свою сторону канала для подключения к сети.

Вы отправляете поставщику значение в поле ключа службы, чтобы разрешить им настроить подключение. Эта конфигурация может занять несколько дней. Эту страницу можно пересмотреть, чтобы проверить состояние поставщика.

снимок экрана: подготовка канала с помощью портала Azure.

Создание конфигурации пиринга

После того как состояние поставщика сообщается как подготовленный, можно настроить маршрутизацию для пирингов. Эти действия применяются только к каналам, созданным с поставщиками услуг, которые предлагают подключение уровня 2. Для любых каналов, работающих на уровне 3, поставщик может настроить маршрутизацию для вас.

На странице канала ExpressRoute отображаются предыдущие списки каждого пиринга и его свойств. Для настройки этих свойств можно выбрать пиринг.

Настройка частной пиринговой связи

Вы можете использовать частный пиринг для подключения сети к виртуальным сетям, работающим в Azure. Чтобы настроить частный пиринг, необходимо указать следующие сведения:

  • ASN однорангового взаимодействия: номер автономной системы для вашей стороны пиринга. Это ASN может быть общедоступным или частным, и 16 битов или 32 бита.
  • подсети: Выберите, хотите ли вы использовать IPv4, IPv6 или оба варианта для пиринговых подсетей.
  • основной подсети: диапазон адресов основной подсети /30, созданной в сети. Для маршрутизатора используется первый IP-адрес в этой подсети. Корпорация Майкрософт использует второй для своего маршрутизатора.
  • вторичная подсеть: диапазон адресов вторичной подсети /30. Эта подсеть предоставляет вторичную ссылку на Корпорацию Майкрософт. Первые два адреса используются для хранения IP-адреса маршрутизатора и маршрутизатора Майкрософт.
  • Включить пиринг IPv4: этот параметр позволяет включать и выключать сеанс частного пиринга BGP.
  • идентификатор виртуальной локальной сети: идентификатор виртуальной локальной сети, в которой необходимо установить пиринг. Основные и вторичные ссылки используют этот идентификатор виртуальной ЛС.
  • общий ключ: этот ключ является необязательным хэшом MD5, который используется для кодирования сообщений, передаваемых по каналу.

Настройка пиринга Майкрософт

Пиринг Майкрософт используется для подключения к Office 365 и связанным службам. Чтобы настроить пиринг Майкрософт, вы предоставляете большую часть информации, описанной для частного пиринга: одноранговый ASN, диапазон адресов основной подсети, диапазон адресов вторичной подсети, IP-версия подсети, идентификатор виртуальной локальной сети и дополнительный общий ключ. Кроме того, необходимо указать следующие сведения:

  • объявленные общедоступные префиксы: список префиксов адресов, используемых в сеансе BGP. Эти префиксы должны быть зарегистрированы для вас и должны быть префиксами для диапазонов общедоступных адресов.
  • asN клиента: необязательный номер автономной системы на стороне клиента, который используется, если вы рекламируете префиксы, которые не зарегистрированы в одноранговом ASN.
  • имя реестра маршрутизации: это имя определяет реестр, в котором регистрируются имена ASN клиента и общедоступные префиксы.

Подключение виртуальной сети к каналу ExpressRoute

После установки канала ExpressRoute частный пиринг Azure настраивается для вашего канала. Сеанс BGP между сетью и Корпорацией Майкрософт активен, поэтому вы можете включить подключение из локальной сети к Azure.

Прежде чем подключиться к частному каналу, необходимо создать шлюз виртуальной сети Azure с помощью подсети в одной из виртуальных сетей Azure. Шлюз виртуальной сети предоставляет точку входа сетевому трафику, который входит из локальной сети. Он направляет входящий трафик через виртуальную сеть к ресурсам Azure.

Вы можете настроить группы безопасности сети и правила брандмауэра для управления трафиком, который направляется из локальной сети. Вы также можете заблокировать запросы от несанкционированных адресов в локальной сети.

Заметка

Необходимо создать шлюз виртуальной сети с помощью типа ExpressRoute, а не VPN-.

снимок экрана: создание шлюза виртуальной сети с типом шлюза, заданным для ExpressRoute.

До 10 виртуальных сетей можно связать с каналом ExpressRoute, но эти виртуальные сети должны находиться в том же геополитическом регионе, что и канал ExpressRoute при использовании номера SKU уровня "Стандартный". При необходимости можно связать одну виртуальную сеть с четырьмя каналами ExpressRoute. Канал ExpressRoute может находиться в той же подписке, что и виртуальная сеть, или в другой подписке.

Если вы используете портал Azure, подключите пиринг к шлюзу виртуальной сети следующим образом:

  1. На странице канала ExpressRoute для вашего подключения выберите Соединения.
  2. На странице Подключения выберите Добавить.
  3. На странице Добавление подключения укажите имя подключения и выберите шлюз виртуальной сети. По завершении операции локальная сеть подключается через шлюз виртуальной сети к виртуальной сети в Azure. Подключение выполняется через подключение ExpressRoute.

Высокая доступность и отказоустойчивость с помощью ExpressRoute

В каждом канале ExpressRoute есть два подключения от поставщика подключений к двум разным маршрутизаторам Microsoft Edge. Эта конфигурация выполняется автоматически. Он обеспечивает некоторую степень доступности в одном месте.

Рекомендуется настроить каналы ExpressRoute на разных узлах пиринга, чтобы повысить уровень доступности и защитить от регионального сбоя. Например, можно создавать каналы в регионах "Восточная часть США" и "Центральная часть США" и подключать эти каналы к виртуальной сети. Таким образом, если один канал ExpressRoute выходит из строя, вы не теряете подключение к вашему ресурсу и можете переключить соединение на другой канал ExpressRoute.

Вы также можете использовать несколько каналов для разных поставщиков, чтобы обеспечить доступность сети, даже если сбой влияет на все каналы от одного утвержденного поставщика. Вы можете установить свойство "Вес подключения", чтобы отдать предпочтение одному каналу над другим.

ExpressRoute Direct и FastPath

Корпорация Майкрософт также предоставляет ультра-высокоскоростный вариант ExpressRoute Direct. Эта служба обеспечивает двойное подключение 100 Гбит/с. Он подходит для сценариев, в которых происходит массовая и частая загрузка данных. Он также подходит для решений, требующих крайней масштабируемости, таких как банковские, государственные и розничные.

Вы можете зарегистрировать подписку в Корпорации Майкрософт для активации ExpressRoute Direct. Дополнительные сведения см. в статье ExpressRoute в разделе "Дополнительные сведения" в конце этого модуля.

ExpressRoute Direct поддерживает FastPath. Если FastPath включен, он отправляет сетевой трафик непосредственно на виртуальную машину, предназначенную для назначения. Трафик проходит шлюз виртуальной сети, повышая производительность между виртуальными сетями Azure и локальными сетями.

FastPath поддерживает пиринг между виртуальными сетями (где виртуальные сети объединены между собой). Он также поддерживает определяемые пользователем маршруты в подсети шлюза.