你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 架构良好的框架评审 - Azure ExpressRoute
本文提供了 Azure ExpressRoute 的体系结构最佳做法。 本指南基于体系结构卓越五大支柱:
我们假设你对 Azure ExpressRoute 有工作知识,并且熟悉其所有功能。 有关详细信息,请参阅 Azure ExpressRoute。
先决条件
对于上下文,请考虑查看一个参考体系结构,以反映其设计中的这些注意事项。 建议首先云采用框架就绪方法指南连接到 Azure 和架构师,以便与 Azure ExpressRoute 建立混合连接。 对于低代码应用程序体系结构,我们建议在规划和配置 ExpressRoute 以用于 Microsoft Power Platform 时查看 为 Power Platform 启用 ExpressRoute。
可靠性
在云端,我们承认故障总会发生。 我们的目标不是试图防止各种故障,而是最大程度地减轻单个组件故障造成的影响。 使用以下信息在建立使用 Azure ExpressRoute 建立连接时尽量缩短往返 Azure 的时间。
使用 Azure ExpressRoute 讨论可靠性时,请务必考虑带宽使用情况、网络的物理布局以及故障时的灾难恢复。 Azure ExpressRoute 能够实现这些设计注意事项,并针对清单中的每个项提供建议。
在下面的设计清单和建议列表中,会显示信息,以便在 Azure 环境和本地网络之间设计高度可用的网络。
设计清单
为 Azure ExpressRoute 做出设计选择时,请查看 向体系结构添加可靠性的设计原则 。
- 在 ExpressRoute 线路或 ExpressRoute Direct 之间进行选择以满足业务需求。
- 将不同的物理层网络配置为服务提供商。
- 配置具有不同服务提供商的 ExpressRoute 线路,使其具有不同的路由路径。
- 在本地和 Azure 之间配置 Active-Active ExpressRoute 连接。
- 设置可用性区域感知 ExpressRoute 虚拟网络网关。
- 在与本地网络不同的位置配置 ExpressRoute 线路。
- 在不同区域中配置 ExpressRoute 虚拟网络网关。
- 将站点到站点 VPN 配置为备份到 ExpressRoute 专用对等互连。
- 为 ExpressRoute 线路和 ExpressRoute 虚拟网络网关运行状况设置监视。
- 配置服务运行状况以接收 ExpressRoute 线路维护通知。
建议
浏览下表,以优化 ExpressRoute 配置的可靠性。
| 建议 | 好处 |
|---|---|
| 规划 ExpressRoute 线路或 ExpressRoute Direct | 在初始规划阶段,需要确定是要配置 ExpressRoute 线路还是 ExpressRoute 直接连接。 ExpressRoute 线路允许专用连接通过连接提供商帮助连接到 Azure。 ExpressRoute Direct 允许将本地网络直接扩展到对等互连位置Microsoft网络。 还需要确定业务需求的带宽要求和 SKU 类型要求。 |
| 物理层多样性 | 为了提高复原能力,请计划在本地边缘和对等互连位置(提供程序/Microsoft边缘位置)之间具有多个路径。 可以通过通过不同的服务提供商或本地网络的不同位置来实现此配置。 |
| 规划异地冗余线路 | 若要规划灾难恢复,请将 ExpressRoute 线路设置为多个对等互连位置。 可以在同一地铁或不同地铁的对等互连位置创建线路,并选择与不同的服务提供商合作,以便通过每个线路使用不同的路径。 有关详细信息,请参阅 设计灾难恢复 和 高可用性设计。 |
| 规划主动-主动连接 | 在本地和 Azure 之间配置主动-主动连接时,ExpressRoute 专用线路可保证 99.95% 可用性。 此模式提供 Expressroute 连接更高的可用性。 如果连接发生链接故障,建议配置 BFD 以加快故障转移速度。 |
| 规划虚拟网络网关 | 创建可用性区域感知虚拟网络网关以实现更高的复原能力,并规划不同区域中虚拟网络网关以实现灾难恢复和高可用性。 |
| 监视线路和网关运行状况 | 根据可用的各种指标设置 ExpressRoute 线路和虚拟网络网关运行状况的监视和警报。 |
| 启用服务运行状况 | ExpressRoute 使用服务运行状况通知计划内和计划外维护。 配置服务运行状况将通知你对 ExpressRoute 线路所做的更改。 |
有关更多建议,请参阅 可靠性支柱的原则。
Azure 顾问为 ExpressRoute 线路提供了许多建议,因为它们与可靠性相关。 例如,Azure 顾问可以检测:
- 仅部署单个 ExpressRoute 线路的 ExpressRoute 网关,而不是多个。 建议使用多个 ExpressRoute 线路为对等互连位置添加复原能力。
- 连接监视器未观察到的 ExpressRoute 线路,因为 ExpressRoute 线路的端到端监视对于可靠性见解至关重要。
- 涉及多个对等互连位置的网络拓扑,这些位置将受益于 ExpressRoute Global Reach,以改善本地连接的灾难恢复设计,以考虑计划外连接丢失。
安全性
安全是体系结构的首要考虑因素之一。 ExpressRoute 提供的功能既采用最低特权原则,又采用防御防御原则。 建议查看 安全设计原则。
设计清单
- 配置活动日志以将日志发送到存档。
- 维护有权访问 ExpressRoute 资源的管理帐户的清单。
- 在 ExpressRoute 线路上配置 MD5 哈希。
- 为 ExpressRoute Direct 资源配置 MACSec。
- 通过专用对等互连加密流量,并为虚拟网络流量Microsoft对等互连。
建议
浏览下表,以优化 ExpressRoute 配置的安全性。
| 建议 | 好处 |
|---|---|
| 配置活动日志以将日志发送到存档 | 活动日志提供有关在 ExpressRoute 资源的订阅级别执行的操作的见解。 使用活动日志,可以确定在控制平面上执行操作的人员和时间。 数据保留期仅为 90 天,需要存储在 Log Analytics、事件中心或用于存档的存储帐户中。 |
| 维护管理帐户的清单 | 使用 Azure RBAC 配置角色以限制可在 ExpressRoute 线路上添加、更新或删除对等互连配置的用户帐户。 |
| 在 ExpressRoute 线路上配置 MD5 哈希 | 在配置专用对等互连或Microsoft对等互连期间,应用 MD5 哈希来保护本地路由和 MSEE 路由器之间的消息。 |
| 为 ExpressRoute Direct 资源配置 MACSec | 媒体访问控制安全性是数据链接层的点到点安全性。 ExpressRoute Direct 支持配置 MACSec,以防止对 ARP、DHCP、LACP 等协议的安全威胁,该协议通常不会在以太网链路上受到保护。 有关如何配置 MACSec 的详细信息,请参阅 适用于 ExpressRoute Direct 端口的 MACSec。 |
| 使用 IPsec 加密流量 | 通过 ExpressRoute 线路配置站点到站点 VPN 隧道,以加密本地网络和 Azure 虚拟网络之间的数据传输。 可以使用专用对等互连或使用Microsoft对等互连来配置隧道。 |
有关更多建议,请参阅 安全支柱的原则。
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 建议查看 成本优化设计原则 和 规划和管理 Azure ExpressRoute 的成本。
设计清单
- 熟悉 ExpressRoute 定价。
- 确定所需的 ExpressRoute 线路 SKU 和带宽。
- 确定所需的 ExpressRoute 虚拟网络网关大小。
- 监视成本并创建预算警报。
- 取消预配 ExpressRoute 线路不再使用。
建议
浏览下表,以优化 ExpressRoute 配置以优化成本优化。
| 建议 | 好处 |
|---|---|
| 熟悉 ExpressRoute 定价 | 有关 ExpressRoute 定价的信息,请参阅 了解 Azure ExpressRoute 的定价。 还可以使用 定价计算器。 确保这些选项的大小足够大,以满足容量需求并交付预期的性能,而不会浪费资源。 |
| 确定所需的 SKU 和带宽 | ExpressRoute 使用情况的收费方式因三种不同的 SKU 类型而异。 如果使用本地 SKU,将自动按照“不限流量”套餐收费。 如果使用标准和高级 SKU,可以选择按“数据流量”套餐或“不限流量”套餐缴费。 除使用 Global Reach 附加产品的情况外,所有流入数据均免费。 务必要了解哪些 SKU 类型和数据套餐最适合你的工作负载,最能为你的工作负载优化成本和预算。 有关调整 ExpressRoute 线路大小的详细信息,请参阅 升级 ExpressRoute 线路带宽。 |
| 确定 ExpressRoute 虚拟网络网关大小 | ExpressRoute 虚拟网络网关用于通过专用对等互连将流量传入虚拟网络。 查看首选虚拟网络网关 SKU 的性能和缩放需求。 选择本地到 Azure 工作负荷的相应网关 SKU。 |
| 监视成本并创建预算警报 | 监视 ExpressRoute 线路的成本,并为支出异常和超支风险创建警报。 有关详细信息,请参阅 监视 ExpressRoute 成本。 |
| 取消预配和删除不再使用的 ExpressRoute 线路。 | ExpressRoute 线路从创建时起收费。 若要降低不必要的成本,请使用服务提供商取消预配线路,并从订阅中删除 ExpressRoute 线路。 有关如何删除 ExpressRoute 线路的步骤,请参阅 取消预配 ExpressRoute 线路。 |
有关更多建议,请参阅 成本优化的设计评审清单。
Azure 顾问可以检测已部署很长时间但提供程序状态为“未预配”的 ExpressRoute 线路。 处于此状态的线路无法运行;删除未使用的资源将降低不必要的成本。
卓越运营
监视和诊断至关重要。 不仅可以测量性能统计信息,还可以快速使用指标排查和修正问题。 建议查看 卓越运营设计原则。
设计清单
- 配置本地与 Azure 网络之间的连接监视。
- 配置服务运行状况以接收通知。
- 使用网络见解查看 ExpressRoute Insights 提供的指标和仪表板。
- 查看 ExpressRoute 资源指标。
建议
浏览下表,以优化 ExpressRoute 配置,实现卓越运营。
| 建议 | 好处 |
|---|---|
| 配置连接监视 | 通过连接监视 ,可以通过 ExpressRoute 专用对等互连和Microsoft对等互连监视本地资源和 Azure 之间的连接。 连接监视器可以通过确定问题所在网络路径的位置来检测网络问题,并帮助快速解决配置或硬件故障。 |
| 配置服务运行状况 | 设置 服务运行状况通知 ,以在订阅中的所有 ExpressRoute 线路发生计划内和即将进行的维护时发出警报。 如果发生计划外维护,服务运行状况还会显示过去的维护以及 RCA。 |
| 使用网络见解查看指标 | 使用 Network Insights 的 ExpressRoute Insights,可以查看和分析 ExpressRoute 线路、网关、连接指标和运行状况仪表板。 ExpressRoute Insights 还提供 ExpressRoute 连接的拓扑视图,你可以在其中查看所有对等互连组件的详细信息。 可用的指标: -可用性 -吞吐量 - 网关指标 |
| 查看 ExpressRoute 资源指标 | ExpressRoute 使用 Azure Monitor 收集 指标并基于配置创建警报 。 为 ExpressRoute 线路、ExpressRoute 网关、ExpressRoute 网关连接和 ExpressRoute Direct 收集指标。 这些指标可用于诊断连接问题并了解 ExpressRoute 连接的性能。 |
有关更多建议,请参阅 卓越运营支柱的原则。
性能效率
性能效率是指工作负荷能够以高效的方式扩展以满足用户对它的需求。 建议查看 性能效率原则。
设计清单
- 测试 ExpressRoute 网关性能以满足工作负载要求。
- 增加 ExpressRoute 网关的大小。
- 升级 ExpressRoute 线路带宽。
- 启用 ExpressRoute FastPath 以提高吞吐量。
- 监视 ExpressRoute 线路和网关指标。
建议
浏览下表,以优化 ExpressRoute 配置来提高性能效率。
| 建议 | 好处 |
|---|---|
| 测试 ExpressRoute 网关性能以满足工作负载要求。 | 使用 Azure 连接工具包 测试 ExpressRoute 线路的性能,以了解网络连接的带宽容量和延迟。 |
| 增加 ExpressRoute 网关的大小。 | 升级到更高的 网关 SKU ,以提高本地和 Azure 环境之间的吞吐量性能。 |
| 升级 ExpressRoute 线路带宽 | 升级线路带宽以满足工作负载要求。 线路带宽在连接到 ExpressRoute 线路的所有虚拟网络之间共享。 根据工作负载,一个或多个虚拟网络可以使用线路上的所有带宽。 |
| 启用 ExpressRoute FastPath 以提高吞吐量 | 如果使用超级性能或 ErGW3AZ 虚拟网络网关,则可以启用 FastPath 以提高本地网络和 Azure 虚拟网络之间的数据路径性能。 |
| 监视 ExpressRoute 线路和网关指标 | 根据 ExpressRoute 指标 设置警报,以在满足特定阈值时主动通知你。 这些指标有助于了解 ExpressRoute 连接可能发生的异常,例如 ExpressRoute 线路发生中断和维护。 |
有关更多建议,请参阅 性能效率支柱的原则。
Azure 顾问将建议升级 ExpressRoute 线路带宽,以适应使用情况,而线路最近消耗的带宽超过 90%。 如果流量超过分配的带宽,你将遇到丢弃的数据包,这可能会导致显著的性能或可靠性影响。
Azure Policy
Azure Policy 不提供 ExpressRoute 的任何内置策略,但可以创建自定义策略来帮助控制 ExpressRoute 线路应如何与所需的结束状态匹配,例如 SKU 选择、对等类型、对等互连配置等。
其他资源
云采用框架指导
后续步骤
配置 ExpressRoute 线路或 ExpressRoute Direct 端口,以在本地网络和 Azure 之间建立通信。