Подключите цепь ExpressRoute к виртуальной сети

  • 5 мин

Канал ExpressRoute представляет собой логическое подключение между вашей локальной инфраструктурой и облачные службы (Майкрософт) через поставщика услуг связи. Вы можете заказать несколько каналов ExpressRoute. Каждый канал может находиться в одном или разных регионах и может быть подключен к вашему помещению через разных поставщиков услуг связи. Каналы ExpressRoute не сопоставляют с физическими сущностями. Канал использует стандартный GUID, называемый ключом службы (s-key).

Подключение виртуальной сети к каналу ExpressRoute

  • Вам потребуется активный канал ExpressRoute.
  • Убедитесь, что для вашего канала настроен частный пиринг Azure.
  • Для создания сквозного подключения обязательно настройте частный пиринг Azure, а также пиринг BGP между своей сетью и сетью Майкрософт.
  • Вам необходимо создать и полностью подготовить виртуальную сеть и шлюз виртуальной сети. Для ExpressRoute используется шлюз виртуальной сети типа ExpressRoute, а не VPN.
  • К стандартному каналу ExpressRoute можно подключить не более 10 виртуальных сетей. Если используется стандартный канал ExpressRoute, все виртуальные сети должны находиться в одном геополитическом регионе.
  • Одна виртуальная сеть может быть связана с 16 каналами ExpressRoute. Каналы ExpressRoute могут быть размещены в той же подписке, в других подписках или и там, и там.
  • Если вы включите надстройку ExpressRoute Premium, вы сможете подключить к каналу ExpressRoute виртуальные сети из другого геополитического региона. Надстройка premium позволяет подключать более 10 виртуальных сетей к каналу ExpressRoute в зависимости от выбранной пропускной способности.
  • Чтобы создать соединение от цепи ExpressRoute к целевому шлюзу виртуальной сети ExpressRoute, количество адресных пространств, объявляемых из локальных или одноранговых виртуальных сетей, должно быть равно или меньше 200. После успешного создания подключения можно добавить другие адресные пространства до 1000 в локальные или пиринговые виртуальные сети.

Добавление VPN к развертыванию ExpressRoute

Этот раздел поможет вам настроить безопасное зашифрованное соединение между вашей локальной сетью и вашими виртуальными сетями (VNets) Azure через частное соединение ExpressRoute. Вы можете использовать пиринг Майкрософт для создания VPN-туннеля типа "сеть — сеть" IPsec/IKE между выбранными локальными сетями и виртуальными сетями Azure. Настройка безопасного туннеля через ExpressRoute обеспечивает конфиденциальный обмен данными, защиту от повтора, подлинность и целостность данных.

Примечание.

При настройке VPN типа "сеть — сеть" через пиринговый канал Майкрософт вы платите за VPN-шлюз и исходящий трафик VPN.

Для обеспечения высокой доступности и избыточности вы можете настроить несколько туннелей через две пары MSEE-PE в цепи ExpressRoute и включить балансировку нагрузки между туннелями.

VPN-туннели через пиринг Майкрософт могут быть завершены либо с помощью VPN-шлюза, либо с помощью соответствующего сетевого виртуального устройства (NVA), доступного через Azure Marketplace. Вы можете менять маршруты статически или динамически через зашифрованные туннели, не отображая обмен маршрутов в базовом пиринговом канале Майкрософт. В этом разделе BGP (отличный от сеанса BGP, используемого для создания пиринга Майкрософт) используется для динамического обмена префиксами по зашифрованным туннелям.

Внимание

На стороне локальной среды пиринг Майкрософт обычно завершается в сети периметра, а частный пиринг завершается в основной сети. Две зоны будут разделены с помощью брандмауэров. Если вы настроите пиринг Майкрософт исключительно для обеспечения безопасного туннелирования через ExpressRoute, не забудьте фильтровать только публичные IP-адреса, которые объявляются через пиринг Майкрософт.

Шаги

  • Настройте пиринг Майкрософт для своего канала ExpressRoute.
  • Объявите выбранные региональные префиксы Azure в своей локальной сети через пиринг Майкрософт.
  • Настройте VPN-шлюз и установите IPsec-туннели.
  • Настройте локальное VPN-устройство.
  • Создайте подключение типа "сеть — сеть" IPsec/IKE.
  • (Необязательно.) Настройте брандмауэры или фильтрацию на локальном VPN-устройстве.
  • Протестируйте и проверьте обмен данными IPsec через канал ExpressRoute.