Så här fungerar Azure ExpressRoute

  • 10 minuter

Du har lärt dig om syftet med Azure ExpressRoute-tjänsten och de tjänster som du kan använda den för. Nu är du redo att börja lära dig hur tjänsten fungerar. Nu ska vi undersöka hur det interagerar med Azure och lokala nätverk för att skapa en säker och tillförlitlig anslutning mellan ditt lokala datacenter och Microsoft-molnet.

I den här lektionen får du lära dig hur du skapar och använder Azure-kretsar för att ansluta dina lokala nätverk till molnet. Du ser de steg som du behöver vidta för att skapa en krets. Du får också lära dig mer om de andra komponenterna i en ExpressRoute-anslutning som fungerar tillsammans för att bilda en anslutning från ditt lokala datacenter till Microsoft-molnet.

Arkitektur för ExpressRoute

ExpressRoute stöds i alla regioner och platser. För att implementera ExpressRoute måste du arbeta med en ExpressRoute-partner. Partnern tillhandahåller edge-tjänsten: en auktoriserad och autentiserad anslutning som fungerar via en partnerkontrollerad router. Edge-tjänsten ansvarar för att utöka nätverket till Microsoft-molnet.

Partnern konfigurerar anslutningar till en slutpunkt på en ExpressRoute-plats (implementerad av en Microsoft Edge-router). Med de här anslutningarna kan du sammankoppla dina lokala nätverk med de virtuella nätverk som är tillgängliga via slutpunkten. Dessa anslutningar kallas kretsar.

Diagram över en översikt på hög nivå över Azure ExpressRoute-tjänsten.

Not

I expressroute beskriver Microsoft Edge gränsroutrarna på Microsoft-sidan av ExpressRoute-kretsen.

En krets tillhandahåller en fysisk anslutning för överföring av data via ExpressRoute-providerns gränsroutrar till Microsoft Edge-routrarna. En krets upprättas via en privat kabel i stället för det offentliga Internet. Ditt lokala nätverk är anslutet till ExpressRoute-providerns gränsroutrar. Microsoft Edge-routrarna tillhandahåller startpunkten till Microsoft-molnet.

Krav för ExpressRoute

Innan du kan ansluta till Microsofts molntjänster med hjälp av ExpressRoute måste du ha:

  • En ExpressRoute-anslutningspartner eller molnutbytesleverantör som kan konfigurera en anslutning från dina lokala nätverk till Microsoft-molnet.
  • En Azure-prenumeration som är registrerad hos din valda ExpressRoute-anslutningspartner.
  • Ett aktivt Microsoft Azure-konto som kan användas för att begära en ExpressRoute-krets.
  • En aktiv Office 365-prenumeration (om du vill ansluta till Microsoft-molnet och få åtkomst till Office 365-tjänster).

ExpressRoute fungerar genom att peerkoppla dina lokala nätverk med nätverk som körs i Microsoft-molnet. Resurser i dina nätverk kan kommunicera direkt med resurser som hanteras av Microsoft. För att stödja dessa peerings har ExpressRoute flera nätverks- och routningskrav:

  • Kontrollera att BGP-sessioner för routningsdomäner har konfigurerats. Beroende på din partner kan den här konfigurationen vara deras eller ditt ansvar. För varje ExpressRoute-krets kräver Microsoft dessutom redundanta BGP-sessioner mellan Microsofts routrar och dina peeringroutrar.
  • Du eller dina leverantörer måste översätta de privata IP-adresser som används lokalt till offentliga IP-adresser med hjälp av en NAT-tjänst. Microsoft avvisar allt utom offentliga IP-adresser via Microsoft-peering.
  • Reservera flera block med IP-adresser i nätverket för att dirigera trafik till Microsoft-molnet. Du konfigurerar dessa block som antingen ett /29-undernät eller två /30-undernät i DITT IP-adressutrymme. Ett av dessa undernät används för att konfigurera den primära länken till Microsoft-molnet, och det andra implementerar en sekundär länk. Den första adressen i dessa undernät representerar din slutpunkt för BGP-peer och den andra adressen är Microsofts BGP-peer-IP.

ExpressRoute stöder två peering-scheman:

  • Använd privat peering för att ansluta till Azure IaaS- och PaaS-tjänster som distribuerats i virtuella Azure-nätverk. Alla resurser som du kommer åt måste finnas i ett eller flera virtuella Azure-nätverk med privata IP-adresser. Du kan inte komma åt resurser via deras offentliga IP-adress via en privat peering.
  • Använd Microsoft-peering för att ansluta till Azure PaaS-tjänster, Office 365-tjänster och Dynamics 365.

Diagram över Azure-peering.

Not

Du kan också använda Azure-portalen för att konfigurera offentlig peering. Med den här typen av peering kan du ansluta till de offentliga adresser som exponeras av Azure-tjänster. Den här peeringen är dock föråldrad och är inte tillgänglig för nya kretsar. Den här modulen beskriver inte offentlig peering.

Skapa en ExpressRoute-krets och peering

Att upprätta en anslutning till Azure via ExpressRoute är en process med flera steg. Du kan utföra många av dessa steg antingen med hjälp av Azure-portalen eller från kommandoraden med hjälp av PowerShell eller Azure CLI. I det här avsnittet beskrivs hur du använder Azure-portalen. PowerShell- och CLI-instruktioner finns i avsnittet "Läs mer" i slutet av den här modulen.

Skapa en krets

När du använder Azure-portalen väljer du + Skapa en resurs och söker efter ExpressRoute-. Sidan Skapa ExpressRoute-krets kräver att du slutför följande fält:

Fliken Grundläggande

Egenskap Värde
Prenumeration Den prenumeration som du har registrerat hos din ExpressRoute-provider.
resursgrupp Den Azure-resursgrupp där kretsen ska skapas.
region Den Azure-plats där kretsen ska skapas.
Namn Ett beskrivande namn för kretsen, utan blanksteg eller specialtecken.

Skärmbild som visar fliken Skapa ExpressRoute Basics med hjälp av Azure-portalen.

Konfigurationsfliken

Egenskap Värde
porttyp Välj Provider om du ansluter via en tjänstleverantör eller väljer Direct om du ansluter direkt till Microsoft.
Skapa ny eller importera från klassisk Skapa en ny krets eller välj Importera för att flytta en befintlig krets från den klassiska modellen till Resource Manager.
Leverantör ExpressRoute-providern som du har registrerat din prenumeration med.
Peeringplats En plats som aktiveras av ExpressRoute-providern där du kan skapa kretsen.
Bandbredd Välj din bandbredd, från 50 Mbit/s upp till 10 Gbit/s. Börja med ett lågt värde. Du kan öka den senare utan avbrott i tjänsten. Du kan dock inte minska bandbredden om du ställer in den för högt från början.
SKU- Välj Lokala (om tillgängligt) om du bara behöver ansluta till Azure-resursen i 1 eller 2 Azure-regioner i samma tunnelbana. Välj Standard om du har upp till 10 virtuella nätverk och bara behöver ansluta till resurser i samma geografiska region. Annars väljer du Premium- som gör att du kan ansluta fler än 10 virtuella nätverk och global anslutning till Azure-resurser.
Faktureringsmodell Välj Obegränsad för att betala en fast avgift oavsett användning. Eller välj Metered för att betala enligt mängden trafik som går in i och ut ur nätverket.
Tillåt klassiska åtgärder Välj Ja tillåter klassiska virtuella nätverk att ansluta till kretsen. Annars väljer du Nej.

Skärmbild som visar fliken Skapa ExpressRoute-konfiguration med hjälp av Azure-portalen.

Det kan ta flera minuter att skapa kretsen. När kretsen har etablerats kan du använda Azure-portalen för att visa egenskaperna. Du kan se att Kretsstatus är aktiverat, vilket innebär att Microsoft-sidan av kretsen är redo att acceptera anslutningar. Providerstatus är inställd på Inte provisionerad från början eftersom providern inte har konfigurerat sin sida av kretsen för anslutning till ditt nätverk.

Du skickar värdet för providern i fältet Tjänstnyckel så att de kan konfigurera anslutningen. Den här konfigurationen kan ta flera dagar. Du kan gå tillbaka till den här sidan för att kontrollera providerstatusen.

Skärmbild av etablering av en krets med hjälp av Azure-portalen.

Skapa en peering-konfiguration

När providerstatusen har rapporterats som Etableradkan du konfigurera routning för peerings. De här stegen gäller endast för kretsar som skapas med tjänstleverantörer som erbjuder Layer 2-anslutning. För alla kretsar som körs på Layer 3 kan providern kanske konfigurera routningen åt dig.

ExpressRoute-kretsens sida, som visades tidigare, listar varje peering och dess egenskaper. Du kan välja en peering för att konfigurera dessa egenskaper.

Konfigurera privat peering

Du kan använda privat peering för att ansluta nätverket till dina virtuella nätverk som körs i Azure. Om du vill konfigurera privat peering måste du ange följande information:

  • Peer ASN: Det autonoma systemnumret för din sida av peeringprocessen. Detta ASN kan vara offentligt eller privat och 16 bitar eller 32 bitar.
  • undernät: Välj om du vill använda IPv4, IPv6 eller båda för peering-undernäten.
  • Primärt undernät: Adressintervallet för det primära /30-undernätet som du skapade i nätverket. Du använder den första IP-adressen i det här undernätet för routern. Microsoft använder den andra för sin router.
  • sekundärt undernät: Adressintervallet för ditt sekundära /30-undernät. Det här undernätet tillhandahåller en sekundär länk till Microsoft. De två första adresserna används för att lagra IP-adressen för routern och Microsoft-routern.
  • Aktivera IPv4-peering: Med det här alternativet kan du aktivera och inaktivera BGP-sessionen för privat peering.
  • VLAN-ID: ID:t för det VLAN som peering ska upprättas på. De primära och sekundära länkarna använder båda detta VLAN-ID.
  • Delad nyckel: Den här nyckeln är en valfri MD5-hash som används för att koda meddelanden som skickas över kretsen.

Konfigurera Microsoft-peering

Du använder Microsoft-peering för att ansluta till Office 365 och dess associerade tjänster. För att konfigurera Microsoft-peering anger du mycket av den information som beskrivs för en privat peering: Ett peer-ASN, ett primärt undernätsadressintervall, ett sekundärt undernätsadressintervall, ip-version för undernätet, ett VLAN-ID och en valfri delad nyckel. Du måste också ange följande information:

  • Annonserade publika prefix: En lista över de adressprefix som du använder under BGP-sessionen. Dessa prefix måste vara registrerade för dig och måste vara prefix för offentliga adressintervall.
  • Customer ASN: Ett valfritt autonomt systemnummer på klientsidan som ska användas om du annonserar prefix som inte är registrerade i peer-ASN.
  • Routningsregisternamn: Det här namnet identifierar registret där kundens ASN och offentliga prefix registreras.

Ansluta ett virtuellt nätverk till en ExpressRoute-krets

När ExpressRoute-kretsen har upprättats konfigureras privat Azure-peering för din krets. BGP-sessionen mellan ditt nätverk och Microsoft är aktiv, så du kan aktivera anslutning från ditt lokala nätverk till Azure.

Innan du kan ansluta till en privat krets måste du skapa en virtuell Azure-nätverksgateway med hjälp av ett undernät i ett av dina virtuella Azure-nätverk. Den virtuella nätverksgatewayen tillhandahåller startpunkten för nätverkstrafik som kommer in från ditt lokala nätverk. Den dirigerar inkommande trafik via det virtuella nätverket till dina Azure-resurser.

Du kan konfigurera nätverkssäkerhetsgrupper och brandväggsregler för att styra trafiken som dirigeras från ditt lokala nätverk. Du kan också blockera begäranden från obehöriga adresser i ditt lokala nätverk.

Not

Du måste skapa den virtuella nätverksgatewayen med hjälp av typen ExpressRoute och inte VPN-.

Skärmbild av hur du skapar en virtuell nätverksgateway med gatewaytypen inställd på ExpressRoute.

Upp till 10 virtuella nätverk kan länkas till en ExpressRoute-krets, men dessa virtuella nätverk måste finnas i samma geopolitiska region som ExpressRoute-kretsen när du använder en standard-SKU. Du kan länka ett enda virtuellt nätverk till fyra ExpressRoute-kretsar om det behövs. ExpressRoute-kretsen kan finnas i samma prenumeration på det virtuella nätverket eller i en annan.

Om du använder Azure-portalen ansluter du en peering till en virtuell nätverksgateway på följande sätt:

  1. På sidan för din ExpressRoute-krets, välj Anslutningar.
  2. På sidan Anslutningar väljer du Lägg till.
  3. På sidan Lägg till anslutning ger du anslutningen ett namn och väljer sedan din virtuella nätverksgateway. När åtgärden är klar ansluts ditt lokala nätverk via den virtuella nätverksgatewayen till ditt virtuella nätverk i Azure. Anslutningen görs via ExpressRoute-anslutningen.

Hög tillgänglighet och redundans med ExpressRoute

I varje ExpressRoute-krets finns det två anslutningar från anslutningsleverantören till två olika Microsoft Edge-routrar. Den här konfigurationen sker automatiskt. Det ger en viss tillgänglighet på en enda plats.

Överväg att konfigurera ExpressRoute-kretsar på olika peeringplatser för att ge hög tillgänglighet och skydda mot ett regionalt avbrott. Du kan till exempel skapa kretsar i regionerna USA, östra och USA, centrala och ansluta dessa kretsar till ditt virtuella nätverk. På så sätt förlorar du inte anslutningen till resursen om en ExpressRoute-krets går ned och du kan redundansväxla anslutningen till en annan ExpressRoute-krets.

Du kan också ha flera kretsar mellan olika leverantörer för att säkerställa att nätverket förblir tillgängligt även om ett avbrott påverkar alla kretsar från en enda godkänd leverantör. Du kan ange egenskapen anslutningsvikt för att föredra en krets framför en annan.

ExpressRoute Direct och FastPath

Microsoft tillhandahåller också ett alternativ med ultrahög hastighet som kallas ExpressRoute Direct. Den här tjänsten möjliggör dubbel anslutning på 100 Gbit/s. Det är lämpligt för scenarier som omfattar massiv och frekvent datainmatning. Det är också lämpligt för lösningar som kräver extrem skalbarhet, till exempel bank, myndigheter och detaljhandel.

Du kan registrera din prenumeration med Microsoft för att aktivera ExpressRoute Direct. Mer information finns i ExpressRoute-artikeln i avsnittet "Läs mer" i slutet av den här modulen.

ExpressRoute Direct stöder FastPath. När FastPath är aktiverat skickar den nätverkstrafik direkt till en virtuell dator som är det avsedda målet. Trafiken kringgår den virtuella nätverksgatewayen, vilket förbättrar prestandan mellan virtuella Azure-nätverk och lokala nätverk.

FastPath stöder peering av virtuella nätverk (där virtuella nätverk är anslutna med varandra). Det stöder också användardefinierade vägar i gateway-undernätet.