Реализация Azure ExpressRoute

  • 15 мин

Специалисты по ИТ-безопасности Contoso беспокоятся о реализации VPN-подключения из центров обработки данных Contoso в Microsoft Cloud. При исследовании параметров VPN-шлюза вы обнаружили, что одним из возможных решений является ExpressRoute. Если используется ExpressRoute, подключения не проходят через Интернет, и это позволяет уменьшить число возможных угроз безопасности для данных, передаваемых между корпоративной инфраструктурой Contoso и ресурсами Azure в центрах обработки данных Майкрософт.

Что такое ExpressRoute?

ExpressRoute предоставляет возможность подключения организации к ресурсам Azure. При реализации ExpressRoute можно реализовать следующие параметры соединения.

  • VPN-подключение "любой к любому". Позволяет интегрировать вашу глобальную сеть с Azure. Azure интегрируется с подключением к глобальной сети, чтобы обеспечить бесперебойное соединение. При использовании подключений типа "любой к любому" все поставщики глобальной сети предлагают подключение на уровне 3.
  • Ethernet-соединение P2P. Подключения типа "точка-точка" обеспечивают взаимодействие на уровнях 2 и 3 между локальным сайтом и Azure. Вы подключаете центры обработки данных или офисы к Azure с помощью ссылок P2P.
  • Совместное размещение в Cloud Exchange. Обычно обеспечивает соединения уровня 2 и 3 между инфраструктурой организации, которая находится в объекте совместного размещения, таком как поставщик услуг Интернета (ISP) и Microsoft Cloud.

Примечание.

Подключение ExpressRoute не осуществляется через Интернет. Это означает, что подключения имеют меньшую задержку, обеспечивают высокую скорость и более безопасны.

На следующем рисунке показан типичный сценарий для двух подключений ExpressRoute.

Схема, демонстрирующая способы использования подключений ExpressRoute. На рисунке сеть клиента подключена к партнерской сети периметра. Два подключения, первичное и вторичное, подключаются к сети Microsoft Edge. Трафик направляется через обе цепи в пиринг Майкрософт для Office 365 и связанные службы, а также в другие виртуальные сети с помощью частного пиринга Azure.

ExpressRoute является одним из трех решений, которые можно использовать для подключения локальной сети к Azure. Два других, S2S и P2S, описаны в следующей таблице.

Альтернативное решение Description
VPN типа "сеть — сеть" Позволяет подключить локальную сеть к Azure через туннель IPsec/IKE для создания гибридной сети. Чтобы включить подключение S2S, настройте локальное VPN-устройство с общедоступным IP-адресом. Затем вы подключаете это устройство к виртуальной сети Azure через шлюз виртуальной сети Azure.
VPN-соединение P2S Позволяет установить безопасное подключение между отдельными компьютерами и ресурсами, размещенными в локальной сети. Это решение рекомендуется для организаций, которым необходимо организовать подключение к Azure из удаленных расположений (например, из дома пользователя). P2S-подключения также рекомендуется использовать, если имеется всего несколько клиентов, которые должны подключиться к виртуальной сети.

Azure ExpressRoute лучше использовать в следующих сценариях:

  • Для организаций, которые переносят корпоративные локальные системы в Azure
  • Для защищенных сетей, где желательно избегать использования Интернета
  • Для больших центров обработки данных с множеством пользователей и систем, которые обращаются к системам программного обеспечения как услуга (SaaS) и продуктам

Рассмотрите использование ExpressRoute в следующих сценариях.

  • Реализация подключения с низкой задержкой к облачным службам
  • Доступ к масштабным облачным системам, которые работают с большими объемами данных
  • Подключение к облачным службам Microsoft, таким как Office 365 и Dynamics 365

Преимущества ExpressRoute

ExpressRoute предоставляет ряд преимуществ по сравнению с другими вариантами подключения, как описано в следующей таблице.

Функция Преимущества
Подключение уровня 3 Это могут быть подключения P2P, "любая сеть к любой сети" или виртуальные межсоединения посредством Exchange.
Встроенная избыточность Все поставщики услуг подключения используют резервные устройства, чтобы обеспечить высокий уровень доступности.
Подключение к облачным службам Майкрософт Поддерживает подключения к Office 365, Dynamics 365 и службам Azure, таким как виртуальные машины Azure, Azure Cosmos DB и служба хранилища Azure.
Локальные подключения с помощью ExpressRoute Global Reach Позволяет подключать частные центры обработки данных по нескольким каналам ExpressRoute и обеспечивает передачу трафика между центрами обработки данных через сеть Майкрософт.
Динамическая маршрутизация Этот протокол обеспечивает динамическую маршрутизацию между локальной сетью и службами, запущенными в облаке Майкрософт. Он использует протокол BGP, который обменивается маршрутами между локальными сетями и ресурсами, работающими в Azure.

Принцип работы

Для внедрения ExpressRoute требуется взаимодействие с партнером ExpressRoute. Партнер предоставляет авторизованное и аутентифицированное подключение, которое называется пограничной службой. Это пограничная служба, которая позволяет подключить вашу организацию к Microsoft Cloud. Выбранный партнер позволяет подключиться к граничному маршрутизатору Microsoft Cloud, который называется конечной точкой ExpressRoute. Подключения через граничную службу к конечной точке ExpressRoute называются каналами. Каналы устанавливаются по частной ссылке, а не через Интернет.

Необходимые компоненты

Прежде чем реализовать канал ExpressRoute, ваша организация должна обеспечить соответствие ряду обязательных требований, в том числе:

  • Работа с партнером по подключению или поставщиком услуг облачного обмена данными.

Примечание.

Эти организации упрощают подготовку канала.

  • Регистрация подписки Azure с помощью партнера по услугам подключения ExpressRoute.
  • Запрос канала ExpressRoute с помощью активной учетной записи Azure.
  • Дополнительно: наличие активной подписки Office 365 для подключения к службам Office 365.

Так как ExpressRoute использует пиринг локальной инфраструктуры с сетями Майкрософт, ресурсы в ваших сетях могут напрямую взаимодействовать с ресурсами, размещенными корпорацией Майкрософт. Однако для поддержки этих одноранговых узлов необходимо:

  • Убедитесь, что настроены все необходимые сеансы BGP для доменов маршрутизации.
  • Реализуйте службу преобразования сетевых адресов (NAT) для преобразования частных IP-адресов, используемых локально, в общедоступные IP-адреса.
  • Зарезервируйте несколько блоков IP-адресов в своей сети для маршрутизации трафика в Microsoft Cloud.

Совет

Такие зарезервированные блоки можно настроить либо как подсеть /29 или как две подсети /30 в пространстве IP-адресов.

Настройка ExpressRoute

Чтобы упростить подключение к ресурсам Microsoft в Azure с помощью ExpressRoute, необходимо выполнить ряд действий, чтобы завершить процесс установки соединения ExpressRoute. Следует сделать:

  • Создать канал.
  • Создать пиринговую конфигурацию.
  • Подключите виртуальную сеть к каналу ExpressRoute.

Создание цепи

Чтобы создать канал, войдите на портал Azure, а затем выполните следующую процедуру:

  1. На портале Azure выберите Создать ресурс.

  2. Выберите Сеть, а затем ExpressRoute.

  3. В области "Создание ExpressRoute" выберите Подписка, Группа ресурсов и Регион, а затем введите имя канала.

  4. Выберите Далее: конфигурация >.

  5. На вкладке Конфигурация укажите следующие данные:

    • Тип порта. Выберите Поставщик.
    • Выберите поставщика.
    • Выберите Расположение пиринга.
    • Выберите Пропускная способность.
    • Выберите SKU.

    Снимок экрана: колонка

  6. Выберите Проверить и создать, а затем выберите Создать.

Подготовка канала будет завершена через несколько минут. После завершения этого процесса откройте только что созданный ресурс. На странице Обзор для канала обратите внимание, что, что для параметра Состояние канала установлено значение "Включено", однако Состояние поставщикаНе подготовлено. Эти значения означают, что сторона канала Майкрософт готова принимать подключения, но поставщик еще не настроил свою сторону канала.

Снимок экрана: страница ContosoExpressRoute на портале Azure. Состояние канала —

Создание конфигурации пиринга

Следующий шаг — настройка пирингов. Вы можете просмотреть пиринги для канала на вкладке "Обзор ". Вы можете создать частный пиринг Azure, общедоступный пиринг Azure и пиринг Майкрософт. В этом случае вам потребуется создать частный пиринг Azure и пиринг Майкрософт.

Настройка частного пиринга

Частный пиринг используется для подключения вашей сети к виртуальным сетям, работающим в Azure. Чтобы настроить частный пиринг, нужно предоставить следующие сведения:

  • Одноранговый ASN. Номер автономной системы для вашей стороны пиринга.
  • Первичная подсеть. Это диапазон адресов первичной подсети /30, созданной в вашей сети.
  • Вторичная подсеть. Это диапазон адресов вторичной подсети /30.
  • Идентификатор виртуальной локальной сети. Это виртуальная локальная сеть (VLAN), в которой необходимо включить пиринг.
  • Общий ключ. Это дополнительный ключ, используемый для кодирования сообщений, передаваемых по каналу.

Чтобы изменить частный пиринг Azure, в области Канал ExpressRoute на странице Пиринги выберите Частный Azure и настройте необходимые значения.

Настройка пиринга Майкрософт

Пиринг Майкрософт используется для подключения к Office 365 и связанным службам. Чтобы настроить пиринг Майкрософт, укажите те же сведения, что и для частного пиринга, а также предоставить следующие сведения.

  • Объявленные общедоступные префиксы. Список префиксов адреса, которые будут использоваться в сеансе BGP.
  • ASN клиента. Необязательное значение.
  • Имя реестра маршрутизации. Указывает реестр, в котором регистрируется ASN клиента и общедоступные префиксы.

Примечание.

Настроить пиринг можно только в том случае, если в качестве статуса поставщика отображается значение Подготовлено.

Чтобы изменить пиринг Майкрософт, в области Канал ExpressRoute на странице Пиринги выберите Майкрософт, а затем настройте необходимые значения.

Снимок экрана: колонка

Подключение виртуальной сети к каналу

После того как отобразится состояние поставщика "Подготовлено" и завершится настройка пиринга, можно подключить к каналу виртуальную сеть. Для этого выполните следующие действия:

  1. На портале Azure выберите Создать ресурс.

  2. Найдите и выберите Шлюз виртуальной сети.

  3. В области Шлюз виртуальной сети выберите Создать.

  4. В области Создание шлюза виртуальной сети создайте шлюз, указав соответствующие свойства: Подписка, Имя и Регион.

  5. В поле Тип шлюза выберите ExpressRoute.

    Снимок экрана: колонка

  6. Выберите SKU, а затем выберите виртуальную сеть, к которой необходимо подключиться.

  7. Настройте Диапазон адресов подсети шлюза и параметры Общедоступный IP-адрес.

  8. Выберите Проверить и создать, а затем выберите Создать.

Наконец, можно подключить пиринг к шлюзу виртуальной сети следующим образом:

  1. На странице Цепь ExpressRoute для своей цепи выберите Подключения.
  2. На странице Подключения нажмите кнопку Добавить.
  3. На странице Добавление подключения укажите имя подключения и выберите свой шлюз виртуальной сети.

После завершения операции ваша локальная сеть будет подключена через шлюз виртуальной сети к виртуальной сети в Azure. Это подключение будет установлено через подключение ExpressRoute.

Примечание.

Этот заключительный шаг можно выполнить, только если в качестве статуса поставщика отображается значение Подготовлено.

Дополнительные материалы

Вы можете продолжить изучение, ознакомившись со следующими документами: