Знакомство с Azure ExpressRoute

  • 22 мин

ExpressRoute расширяет локальные сети в облако Майкрософт через частное подключение с помощью поставщика подключений. ExpressRoute устанавливает подключения к различным облачным службам Майкрософт, таким как Microsoft Azure и Microsoft 365. Это может быть подключение типа "любой к любому" (IP VPN), подключение Ethernet типа "точка-точка" или виртуальное кросс-подключение через поставщика услуг подключения на совместно используемом сервере. Так как подключения ExpressRoute не проходят через общедоступный Интернет, этот подход позволяет подключениям ExpressRoute повысить надежность, ускорить скорость, согласованные задержки и более высокую безопасность.

Возможности ExpressRoute

Некоторые ключевые преимущества ExpressRoute:

  • Подключение уровня 3 между локальной сетью и Microsoft Cloud через поставщика подключений
  • Связь может осуществляться по сети "любой к любому" (IPVPN), по Ethernet-соединению "точка — точка" или через виртуальное кросс-соединение через обмен Ethernet
  • Возможность подключения к облачным сервисам Майкрософт во всех регионах геополитического региона
  • Глобальное подключение к службам Майкрософт во всех регионах с помощью надстройки ExpressRoute премиум
  • Встроенная избыточность в каждом расположении пиринга для более высокой надежности

Azure ExpressRoute используется для создания частных подключений между центрами обработки данных Azure и локальной инфраструктурой или в среде совместного размещения. Подключения ExpressRoute не проходят через общедоступный Интернет и обеспечивают повышенную надежность и быстродействие, а также более низкую задержку по сравнению с обычными интернет-подключениями.

Общие сведения о вариантах использования Azure ExpressRoute

Быстрое и надежное подключение к службам Azure. Организации, использующие службы Azure, ищут надежные подключения к службам Azure и центрам обработки данных. Общедоступный Интернет зависит от многих факторов и может не подходить для бизнеса. Azure ExpressRoute используется для создания частных подключений между центрами обработки данных Azure и инфраструктурой в вашем помещении или в среде совместного размещения. Использование подключений ExpressRoute для передачи данных между локальными системами и Azure также может дать значительную экономическую выгоду.

Хранение, резервное копирование и восстановление — резервное копирование и восстановление важны для организации для обеспечения непрерывности бизнеса и восстановления после сбоев. ExpressRoute обеспечивает быстрое и надежное подключение к Azure с пропускной способностью до 100 Гбит/с. ExpressRoute отлично подходит для таких сценариев, как периодическая миграция данных, репликация для обеспечения непрерывности бизнес-процессов, аварийного восстановления и других стратегий высокой доступности.

Расширяет возможности центра обработки данных — ExpressRoute можно использовать для подключения и добавления ресурсов вычислений и хранилища в существующие центры обработки данных. Благодаря высокой пропускной способности и быстрой задержке Azure чувствует себя естественным расширением между центрами обработки данных, поэтому вы пользуетесь масштабом и экономикой общедоступного облака без необходимости компрометировать производительность сети.

Предсказуемые, надежные и высокопроизводительные соединения — благодаря предсказуемым, надежным и высокопроизводительным соединениям, предлагаемым ExpressRoute, предприятия могут создавать приложения, охватывающие локальную инфраструктуру и Azure, без ущерба для конфиденциальности или производительности. Например, запустите приложение корпоративной интрасети в Azure, которое аутентифицирует ваших клиентов с помощью локальной службы Active Directory и обслуживает всех ваших корпоративных клиентов без маршрутизации трафика через общедоступный Интернет.

Модели подключения ExpressRoute

Существует несколько способов подключения локальной сети и облака Майкрософт: CloudExchange Colocation, подключения Ethernet типа "точка — точка", подключение "любой к любому" (IPVPN) и ExpressRoute Direct. Поставщики услуг подключения могут предлагать одну или несколько моделей подключения.

Схема моделей подключения ExpressRoute.

Совместное размещение в облачной бирже

В объекте с облачным обменом виртуальные перекрестные подключения к облаку Майкрософт предоставляются через обмен Ethernet поставщика совместного размещения. Поставщики совместного размещения могут предлагать межсоединяемые подключения уровня 2 или управляемые подключения уровня 3 между инфраструктурой в объекте совместного размещения и облаком Майкрософт.

Подключение Ethernet точка — точка

Поставщики подключений Ethernet типа "точка-точка" могут предлагать подключения второго уровня или управляемые подключения третьего уровня между вашей сетью и облаком Майкрософт.

Сети типа любой к любому (IPVPN)

Поставщики IPVPN предлагают любое подключение между филиалами и центрами обработки данных. Облако Майкрософт можно связать с вашей глобальной вычислительной сетью, так чтобы оно выглядело как любой другой филиал. Обычно поставщики глобальных вычислительных сетей предлагают управляемые подключения третьего уровня.

Напрямую с сайтов ExpressRoute

ExpressRoute Direct обеспечивает двойное подключение 100 Гбит/с или 10 Гбит/с, которое поддерживает подключение "активный — активный" в большом масштабе.

Рекомендации по проектированию для развертываний ExpressRoute

В этом разделе рассматривается несколько ключевых областей, которые следует учитывать при развертывании ExpressRoute.

Выберите между провайдером и прямой моделью (ExpressRoute Direct)

ExpressRoute Direct

ExpressRoute Direct подключается непосредственно к глобальной сети Майкрософт в расположениях пиринга, стратегически распределенных по всему миру. ExpressRoute Direct обеспечивает двойное подключение 100 Гбит/с или 10 Гбит/с, которое поддерживает подключение "активный — активный" в большом масштабе. Вы можете работать с любым поставщиком услуг для ExpressRoute Direct.

Ключевые функции, которые предоставляет ExpressRoute Direct, включают:

  • возможность приема больших объемов данных в службах, таких как служба хранилища и Cosmos DB;
  • физическая изоляция для регулируемых отраслей, в которых требуются выделенные и изолированные каналы связи, например банков, государственных учреждений и розничной торговли;
  • четкий контроль распределения схем на основе бизнес-единиц.

Использование ExpressRoute direct или поставщика услуг

ExpressRoute с использованием поставщика служб ExpressRoute Direct
Использует поставщиков услуг для быстрого подключения и подключения к существующей инфраструктуре Требуется инфраструктура 100 Гбит/с / 10 Гбит/с и полное управление всеми уровнями
Интегрируется с сотнями провайдеров, включая Ethernet и MPLS Прямая/выделенная мощность для регулируемых отраслей и массового приема данных
Номера SKU для каналов со скоростью от 50 Мбит/с до 10 Гбит/с. Заказчик может выбрать комбинацию следующих SKU каналов в ExpressRoute Direct со скоростью 100 Гбит/с: 5 Гбит/с 10 Гбит/с 40 Гбит/с 100 Гбит/с Заказчик может выбрать комбинацию следующих SKU каналов в ExpressRoute Direct 10 Гбит/с: 1 Гбит/с 2 Гбит/с 5 Гбит/с 10 Гбит/с
Оптимизировано для одного клиента Оптимизирован для одного клиента с несколькими бизнес-подразделениями и несколькими рабочими средами

Избыточность проекта для развертывания ExpressRoute

Существует два способа планирования избыточности для развертывания ExpressRoute.

  • Настройка ExpressRoute и сосуществующих подключений между сайтами
  • Создание шлюза виртуальной сети с избыточностью между зонами в зонах доступности Azure

Настройка ExpressRoute и сосуществующих подключений между сайтами

Настройка параллельных VPN-подключений типа "сеть — сеть" и ExpressRoute дает ряд преимуществ.

  • VPN типа "сеть — сеть" — это безопасный путь отработки отказа для ExpressRoute.
  • VPN типа "сеть — сеть" для подключения к сайтам, которые не подключены через ExpressRoute.
  • Время простоя не возникает при добавлении нового шлюза или подключения шлюза.

Сетевые ограничения и ограничения

  • Поддерживаются только VPN-шлюзы на основе маршрутов.
  • Значение ASN VPN-шлюза Azure должно быть равно 65515.
  • Подсеть шлюза должна иметь значение /27 или более короткий префикс.
  • Сосуществование в виртуальной сети с двумя стеками не поддерживается.

Создание шлюза виртуальной сети с избыточностью между зонами в зонах доступности Azure

Вы можете развернуть VPN-шлюзы и шлюзы ExpressRoute в зонах доступности Azure. При развертывании в зонах доступности Azure происходит физическое и логическое разделение шлюзов в пределах региона с одновременной защитой локального сетевого подключения к Azure от сбоев на уровне зоны.

Шлюзы, избыточные между зонами

Чтобы автоматически развернуть шлюзы виртуальной сети в зонах доступности, можно использовать шлюзы виртуальной сети, избыточные между зонами. Благодаря избыточным между зонами шлюзам можно получать доступ к критически важным и масштабируемым службам в Azure.

Схема макета избыточных между зонами шлюзов.

Зональные шлюзы

Зональные шлюзы применяются для развертывания шлюзов в определенной зоне. При развертывании зонального шлюза все его экземпляры развертываются в одной зоне доступности.

Схема зонального макета шлюза.

SKU шлюза

Шлюзы, избыточные между зонами, и зональные шлюзы используют номера SKU шлюзов. Эти номера SKU похожи на соответствующие существующие номера SKU для ExpressRoute и VPN-шлюз, за исключением того, что они относятся к избыточным по зонам и зональным шлюзам. Эти ценовые категории можно отличить по наличию подстроки AZ в имени ценовой категории.

Номера SKU общедоступных IP-адресов

Для избыточных между зонами и зональных шлюзов применяется номер SKU Стандартный для общедоступного IP-ресурса Azure. Конфигурация общедоступного IP-ресурса Azure определяет, является ли развертываемый шлюз избыточным между зонами или зональным.

Настройка VPN типа "сеть-сеть" как пути отработки отказа для ExpressRoute

VPN-подключение типа "сеть-сеть" можно настроить как службу архивации для ExpressRoute. Это подключение применяется только к виртуальным сетям, связанным с путем частного пиринга Azure. Для служб, доступ к которым осуществляется через пиринг Microsoft Azure, решения для отработки отказа на основе VPN не существует. Канал ExpressRoute всегда является основной ссылкой. Данные передаются по пути VPN "сеть — сеть", только если канал ExpressRoute не справляется с этой задачей. Во избежание ассиметричной маршрутизации конфигурация локальной сети должна предпочитать канал ExpressRoute, а не VPN типа "сеть — сеть". Чтобы настроить предпочтение для канала ExpressRoute, задайте для маршрутов, полученных через ExpressRoute, более высокий локальный приоритет.