Принципы работы Azure ExpressRoute

Завершено

Вы узнали о назначении службы Azure ExpressRoute и службах, для которых ее можно использовать. Теперь можно приступить к изучению принципов работы службы. Давайте рассмотрим, как он взаимодействует с Azure и локальными сетями, чтобы помочь создать безопасное и надежное подключение между локальным центром обработки данных и облаком Майкрософт.

В этом уроке вы узнаете, как создавать и использовать каналы Azure для подключения локальных сетей к облаку. Вы увидите шаги, необходимые для создания канала. Вы также узнаете о других компонентах подключения ExpressRoute, которые совместно формируют подключение из локального центра обработки данных к облаку Майкрософт.

Архитектура ExpressRoute

ExpressRoute поддерживается во всех регионах и расположениях. Для внедрения ExpressRoute необходимо обратиться к партнеру ExpressRoute. Он предоставляет пограничную службу — авторизованное подключение с проверкой подлинности, которое работает через управляемый партнером маршрутизатор. Эта служба отвечает за расширение сети до облака Майкрософт.

Партнер устанавливает подключения к конечной точке в расположении ExpressRoute (реализованном с помощью пограничного маршрутизатора Майкрософт). Эти подключения позволяют выполнять пиринг локальных сетей с виртуальными сетями, доступными через конечную точку. Эти соединения называются цепями.

Примечание.

В контексте ExpressRoute Microsoft Edge описывает пограничные маршрутизаторы канала ExpressRoute на стороне Майкрософт.

Цепь обеспечивает физическое подключение для передачи данных через пограничные маршрутизаторы поставщика ExpressRoute на пограничные маршрутизаторы Майкрософт. Цепь устанавливается по частной сети, а не через общедоступный Интернет. Ваша локальная сеть подключается к пограничным маршрутизаторам поставщика ExpressRoute. Пограничные маршрутизаторы Майкрософт предоставляют точку входа в облако Майкрософт.

Предварительные требования для ExpressRoute

Для подключения к облачным службам Майкрософт с помощью ExpressRoute требуется следующее:

• Партнер по подключению ExpressRoute или поставщик CloudExchange, который может настроить подключение из ваших локальных сетей к облаку Майкрософт.
• Подписка Azure, зарегистрированная у выбранного партнера по подключению ExpressRoute.
• Активная учетная запись Microsoft Azure, которую можно использовать для запроса цепи ExpressRoute.
• Активная подписка На Office 365 (если вы хотите подключиться к облаку Майкрософт и получить доступ к службам Office 365).

ExpressRoute работает посредством пиринга ваших локальных сетей с сетями, работающими в облаке Майкрософт. Ресурсы в ваших сетях могут напрямую взаимодействовать с ресурсами, размещенными корпорацией Майкрософт. Для поддержки этих пирингов ExpressRoute имеет несколько требований к сети и маршрутизации:

• Убедитесь, что настроены сеансы BGP для доменов маршрутизации. В зависимости от партнера эта конфигурация может быть их или вашей ответственностью. Кроме того, для каждой цепи ExpressRoute корпорации Майкрософт требуется наличие избыточных сеансов BGP между маршрутизаторами Майкрософт и вашими маршрутизаторами пиринга.
• Вам или вашим поставщикам необходимо преобразовать частные IP-адреса, используемые локально, в общедоступные IP-адреса с помощью службы NAT. Корпорация Майкрософт отклоняет все, кроме общедоступных IP-адресов через пиринг Майкрософт.
• Зарезервируйте несколько блоков IP-адресов в своей сети для маршрутизации трафика в облако Майкрософт. Эти блоки нужно настроить как подсеть /29 или две подсети /30 в пространстве IP-адресов. Одна из этих подсетей используется для настройки основного канала к облаку Майкрософт, а другая — для реализации дополнительного канала. Первый адрес в этих подсетях представляет конец однорангового узла BGP, а второй — IP-адрес однорангового узла BGP Майкрософт.

ExpressRoute поддерживает две схемы пиринга:

• Используйте частный пиринг для подключения к службам Azure IaaS и PaaS, развернутым в виртуальных сетях Azure. Ресурсы, к которым вы обращаетесь, должны находиться в одной или нескольких виртуальных сетях Azure с частными IP-адресами. Доступ к ресурсам по общедоступному IP-адресу через частный пиринг невозможен.
• Используйте пиринг Майкрософт для подключения к службам Azure PaaS, службам Office 365 и Dynamics 365.

Примечание.

Вы также можете настроить общедоступный пиринг на портале Azure. Такая форма пиринга позволяет подключаться к общедоступным адресам, предоставляемым службами Azure. Однако такой общедоступный пиринг устарел и больше не доступен для новых цепей. Этот модуль не описывает общедоступный пиринг.

Создание цепи ExpressRoute и пиринг

Установка подключения к Azure через ExpressRoute является многоэтапным процессом. Многие из этих действий можно выполнить либо на портале Azure, либо из командной строки с помощью PowerShell или Azure CLI. В этом разделе описан процесс использования портала Azure. Инструкции для PowerShell и CLI см. в разделе "Дополнительные сведения" в конце этого модуля.

Создание цепи

При использовании портала Azure выберите + Создать ресурс и выполните поиск ExpressRoute. На странице Создать цепь ExpressRoute потребуется заполнить следующие поля:

Вкладка "Основные сведения"

Свойство	Значение
Подписка	Подписка, зарегистрированная у поставщика ExpressRoute.
Группа ресурсов	Группа ресурсов Azure, в которой создается цепь.
Регион	Расположение Azure, в котором создается цепь.
Название	Понятное имя для цепи без пробелов и специальных знаков.

Вкладка конфигурации

Свойство	Значение
Тип порта	Выберите Поставщик, если вы подключаетесь через поставщика услуг, или Напрямую, если вы подключаетесь напрямую к Microsoft.
Создать или импортировать из классической версии	Создайте новую цепь или выберите Импорт, чтобы переместить существующую цепь из классической модели в Диспетчер ресурсов.
Поставщик	Поставщик ExpressRoute, с помощью которого была зарегистрирована подписка.
Расположение пиринга	Расположение, включенное поставщиком ExpressRoute, для создания цепи.
Пропускная способность	Выберите пропускную способность от 50 Мбит/с до 10 Гбит/с. Начните с низкого значения. Позже вы сможете увеличить его, не прерывая работу службы. Однако вы не можете уменьшить пропускную способность, если изначально установили ее слишком большой.
SKU	Выберите Локальный (если доступно), если требуется подключиться к ресурсу Azure только в одном или двух регионах Azure в пределах одной metro-сети. Выберите Стандартный, если используется до 10 виртуальных сетей и необходимо подключение к ресурсам только в том же географическом регионе. В противном случае выберите "Премиум" , который позволяет подключать более 10 виртуальных сетей и глобальных подключений к ресурсам Azure.
Модель выставления счетов	Выберите Без ограничений, чтобы платить по фиксированному тарифу независимо от использования. Или выберите По показателям, чтобы платить за объем трафика, который входит в цепь и выходит из нее.
Разрешить классические операции	Выберите Да, чтобы разрешить подключение классических виртуальных сетей к цепи. В противном случае нажмите кнопку Нет.

Создание цепи может занять несколько минут. После подготовки цепи можно воспользоваться порталом Azure для просмотра свойств. Вы видите, что состояние канала включено, то есть сторона Майкрософт готова принять подключения. Состояние поставщика имеет значение Not provisioned первоначально, так как поставщик не настроил свою сторону канала для подключения к сети.

Вы отправляете поставщику значение в поле ключа службы, чтобы разрешить им настроить подключение. Эта конфигурация может занять несколько дней. Вы можете возвращаться на эту страницу, чтобы проверить состояние поставщика.

Создание конфигурации пиринга

После того как состояние поставщика изменится на Подготовлено, вы можете настроить маршрутизацию для пирингов. Эти инструкции распространяются только на цепи от поставщиков, предоставляющих услуги подключения уровня 2. Для всех цепей, которые работают на уровне 3, поставщик может настроить маршрутизацию за вас.

На странице канала ExpressRoute показаны предыдущие списки каждого пиринга и его свойств. Вы можете выбрать пиринг для настройки этих свойств.

Настройка частного пиринга

Вы можете использовать частный пиринг для подключения сети к виртуальным сетям, работающим в Azure. Чтобы настроить частный пиринг, нужно предоставить следующие сведения:

• Одноранговый ASN: номер автономной системы для вашей стороны пиринга. Этот ASN может быть общедоступным или частным, а также 16- или 32-разрядным.
• Подсети. Выберите, следует ли использовать IPv4, IPv6 или оба для пиринговых подсетей.
• Основная подсеть: диапазон адресов основной подсети /30, созданной в сети. Для маршрутизатора используется первый IP-адрес в этой подсети. Майкрософт использует второй адрес для своего маршрутизатора.
• Вторичная подсеть: диапазон адресов вторичной подсети /30. Она предоставляет дополнительный канал связи с Майкрософт. Первые два адреса используются для хранения IP-адреса вашего маршрутизатора и маршрутизатора Майкрософт.
• Включение пиринга IPv4. Этот параметр позволяет включить и отключить сеанс BGP приватного пиринга.
• Идентификатор виртуальной ЛС: идентификатор виртуальной локальной сети, в которой необходимо установить пиринг. Основные и вторичные ссылки используют этот идентификатор виртуальной ЛС.
• Общий ключ: этот ключ является необязательным хэшом MD5, который используется для кодирования сообщений, передаваемых по каналу.

Настройка пиринга Майкрософт

Используйте пиринг Майкрософт для подключения к Office 365 и соответствующим службам. Чтобы настроить пиринг Майкрософт, вы предоставляете большую часть информации, описанной для частного пиринга: одноранговый ASN, диапазон адресов основной подсети, диапазон адресов вторичной подсети, IP-версия подсети, идентификатор виртуальной локальной сети и дополнительный общий ключ. Нужно также указать следующие сведения:

• Объявленные общедоступные префиксы: список префиксов адресов, используемых в сеансе BGP. Эти префиксы должны быть зарегистрированы на вас и предназначены для диапазонов общедоступных адресов.
• AsN клиента: необязательный номер автономной системы на стороне клиента, используемый, если вы рекламируете префиксы, которые не зарегистрированы в одноранговом ASN.
• Имя реестра маршрутизации: это имя определяет реестр, в котором регистрируются идентификаторы ASN клиента и общедоступные префиксы.

Подключение виртуальной сети к каналу ExpressRoute

После установки канала ExpressRoute частный пиринг Azure настраивается для вашего канала. Сеанс BGP между сетью и Корпорацией Майкрософт активен, поэтому вы можете включить подключение из локальной сети к Azure.

Прежде чем подключиться к частной сети, вам нужно создать шлюз виртуальной сети Azure, используя подсеть в одной из своих виртуальных сетей Azure. Шлюз виртуальной сети предоставляет точку входа для сетевого трафика, входящего из локальной сети. Он направляет входящий трафик через виртуальную сеть на ваши ресурсы Azure.

Вы можете настроить группы безопасности сети и правила брандмауэра, чтобы управлять трафиком, направляемым из локальной сети. Кроме того, можно блокировать запросы от неавторизованных адресов в локальной сети.

Примечание.

Вам нужно создать шлюз виртуальной сети, используя тип ExpressRoute, а не VPN.

До 10 виртуальных сетей можно связать с каналом ExpressRoute, но эти виртуальные сети должны находиться в том же геополитическом регионе, что и канал ExpressRoute при использовании номера SKU уровня "Стандартный". Можно связать одну виртуальную сеть, куда будет входить до четырех цепей ExpressRoute. Цепь ExpressRoute может находиться в той же подписке на виртуальную сеть или в другой.

Если вы используете портал Azure, подключите пиринг к шлюзу виртуальной сети следующим образом:

1. На странице Цепь ExpressRoute для своей цепи выберите Подключения.
2. На странице Подключения нажмите кнопку Добавить.
3. На странице Добавление подключения укажите имя подключения и выберите свой шлюз виртуальной сети. По завершении операции локальная сеть подключается через шлюз виртуальной сети к виртуальной сети в Azure. Подключение выполняется через подключение ExpressRoute.

Высокий уровень доступности и отработка отказов при использовании ExpressRoute

В каждой цепи ExpressRoute существует два подключения от поставщика услуг подключения к двум различным пограничным маршрутизаторам Майкрософт. Конфигурация происходит автоматически. Это обеспечивает определенную степень доступности в одном месте.

Рекомендуется настроить цепи ExpressRoute в разных расположениях пиринга, чтобы обеспечить высокую доступность и защиту от регионального сбоя. Например, вы можете создать цепи в восточной части США и центральной части США и подключить их к своей виртуальной сети. Таким образом, если один канал ExpressRoute выходит из строя, вы не теряете подключение к ресурсу, и вы можете выполнить отработку отказа подключения к другому каналу ExpressRoute.

Можно также использовать несколько цепей у разных поставщиков, чтобы гарантировать доступность сети даже в том случае, если сбой затрагивает все цепи от одного утвержденного поставщика. Чтобы настроить выбор цепей, можно задать вес подключения.

ExpressRoute Direct и FastPath

Майкрософт также предоставляет сверхскоростной вариант ExpressRoute Direct. Эта служба обеспечивает двустороннее взаимодействие на скорости 100 Гбит/с. Она подходит для сценариев, в которых задействованы значительные объемы и частый прием данных. Она также подходит для решений, требующих большого масштаба, таких как банковские услуги, государственный сектор и розничные продажи.

Вы можете зарегистрировать подписку в Корпорации Майкрософт для активации ExpressRoute Direct. Дополнительные сведения см. в статье об ExpressRoute, указанной в разделе "Дополнительные сведения" в конце этого модуля.

ExpressRoute Direct поддерживает FastPath. Когда FastPath включен, он отправляет сетевой трафик непосредственно на виртуальную машину, которая является его местом назначения. Трафик обходит шлюз виртуальной сети, повышая производительность передачи между виртуальными сетями Azure и локальными сетями.

FastPath поддерживает пиринг между виртуальными сетями (где подключены виртуальные сети). Он также поддерживает определяемые пользователем маршруты в подсети шлюза.

Проверьте свои знания

1.

Что такое пиринг Майкрософт?

Он обеспечивает прямое подключение из локальной сети к центру обработки данных Azure.

Он позволяет подключить локальную сеть к службам Office 365 и Dynamic 365.

Он обеспечивает соединение между локальной сетью и поставщиком ExpressRoute.

Он обеспечивает подключение "точка-сеть" для компьютеров в локальном расположении к службам Office 365.

2.

Что такое цепь ExpressRoute?

Цепь ExpressRoute реализует подключение типа "сеть-сеть" через VPN-подключение к центру обработки данных Azure.

Цепь ExpressRoute — это прямое жесткое соединение между локальным центром обработки данных и центром обработки данных Azure.

Служба архивации, которая обеспечивает возможность подключения к Microsoft Cloud в случае сбоя VPN-подключения.

Цепь обеспечивает физическое подключение для передачи данных через пограничные маршрутизаторы поставщика ExpressRoute на пограничные маршрутизаторы Майкрософт.

3.

Какие преимущества предоставляет Azure ExpressRoute с точки зрения безопасности?

Подключение ExpressRoute автоматически шифруется, защищая трафик, который передается через Интернет в Microsoft Cloud.

Скорость, с которой данные передаются через подключение ExpressRoute, не позволяет осуществить перехват с помощью сетевых мониторов и анализаторов сетевых пакетов.

ExpressRoute использует выделенную частную сеть для подключения к Microsoft Cloud. Трафик не проходит через общедоступный Интернет, что усложняет его перехват.

ExpressRoute использует собственный протокол передачи, который постоянно изменяется, что усложняет перехват трафика.

Вы должны ответить на все вопросы перед проверкой.