Azure ExpressRoute 工作原理

  • 10 分钟

你已经了解 Azure ExpressRoute 服务的用途以及其适用的服务。 现在,可以开始了解这项服务的工作原理了。 让我们了解一下它如何与 Azure 和本地网络交互,帮助在本地数据中心和 Microsoft 云之间创建安全可靠的连接。

本单元介绍如何创建和使用 Azure 线路将本地网络连接到云。 你将看到创建线路所需的步骤。 你还将了解 ExpressRoute 连接的其他组件,它们共同构成从本地数据中心到 Microsoft 云的连接。

ExpressRoute 的体系结构

所有的区域和位置都支持 ExpressRoute。 若要实施 ExpressRoute,需与 ExpressRoute 合作伙伴合作。 合作伙伴提供边缘服务:通过合作伙伴控制的路由器运行的经过授权和身份验证的连接。 边缘服务负责将网络扩展到 Microsoft 云。

合作伙伴在 ExpressRoute 位置(由 Microsoft 边缘路由器实现)中设置到终结点的连接。 通过这些连接,可以将本地网络与通过终结点提供的虚拟网络对等互连。 这些连接称为线路。

Diagram of a high-level overview of the Azure ExpressRoute service.

注意

在 ExpressRoute 的背景下,Microsoft Edge 描述了 ExpressRoute 线路 Microsoft 端的 Edge 路由器。

线路提供物理连接,通过 ExpressRoute 提供程序的边缘路由器将数据传输到 Microsoft 边缘路由器。 通过专用线路而不是公共 Internet 建立线路。 本地网络连接到 ExpressRoute 提供程序的边缘路由器。 Microsoft 边缘路由器提供了 Microsoft 云的入口点。

ExpressRoute 的先决条件

在使用 ExpressRoute 连接到 Microsoft 云服务之前,你需要:

  • ExpressRoute 连接合作伙伴或云交换提供商,可以设置从本地网络到 Microsoft 云的连接。
  • 向所选的 ExpressRoute 连接合作伙伴注册的 Azure 订阅。
  • 可用于请求 ExpressRoute 线路的有效 Microsoft Azure 帐户。
  • 有效的 Office 365 订阅(如果要连接到 Microsoft 云并访问 Office 365 服务)。

ExpressRoute 的工作原理是将本地网络与运行在 Microsoft 云上的网络进行对等互连。 网络上的资源可以直接与 Microsoft 托管的资源进行通信。 为了支持这些对等互连,ExpressRoute 有若干网络和路由要求:

  • 确保已配置路由域的 BGP 会话。 这配置可能是你或你的合作伙伴的责任,具体取决于你的合作伙伴。 此外,对于每个 ExpressRoute 线路,Microsoft 要求 Microsoft 的路由器和对等互连路由器之间存在冗余的 BGP 会话。
  • 你或你的提供商需要使用 NAT 服务将本地使用的专用 IP 地址转换为公共 IP 地址。 Microsoft 将通过 Microsoft 对等互连拒绝公共 IP 地址以外的任何地址。
  • 在网络中保留几个 IP 地址块,以便将流量路由到 Microsoft 云。 可将这些块配置为 IP 地址空间中的一个 /29 子网或两个 /30 子网。 其中一个子网用于配置到 Microsoft 云的主链路,另一个子网实现次链路。 这些子网中的第一个地址表示你这边的 BGP 对等节点,第二个地址是 Microsoft 的 BGP 对等节点 IP。

ExpressRoute 支持两种对等互连方案:

  • 使用专用对等互连连接到部署在 Azure 虚拟网络中的 Azure IaaS 和 PaaS 服务。 访问的资源必须全部位于具有专用 IP 地址的一个或多个 Azure 虚拟网络中。 无法使用专用对等互连通过公共 IP 地址来访问资源。
  • 使用 Microsoft 对等互连连接到 Azure PaaS 服务、Office 365 服务和 Dynamics 365。

Diagram of Azure peering.

注意

还可以使用 Azure 门户来配置公共对等互连。 这种形式的对等互连允许你连接到由 Azure 服务公开的公共地址。 但是,这种对等互连已被弃用,不适用于新线路。 此模块不描述公共对等互连。

创建 ExpressRoute 线路和对等互连

通过 ExpressRoute 建立到 Azure 的连接是一个多步骤过程。 可以使用 Azure 门户或使用 PowerShell 或 Azure CLI 从命令行执行这些步骤。 本部分介绍使用 Azure 门户的过程。 有关 PowerShell 和 CLI 的说明,请参阅本模块末尾的“了解详细信息”部分。

创建线路

使用 Azure 门户时,选择“+ 创建资源”,并搜索“ExpressRoute”。 “创建 ExpressRoute 线路”页面要求填写以下字段:

“基本信息”选项卡

属性
订阅 你在 ExpressRoute 提供商处注册的订阅。
资源组 要在其中创建线路的 Azure 资源组。
区域 用于创建线路的 Azure 位置。
名称 有意义的线路名称,不含任何空格或特殊字符。

Screenshot showing the Create ExpressRoute Basics tab by using the Azure portal.

配置选项卡

属性
端口类型 如果通过服务提供商进行连接,请选择“提供商”;如果要直接连接到 Microsoft,请选择“直接”。
新建或从经典模型中导入 创建新线路,或选择“导入”以将现有线路从经典模型移至资源管理器。
提供商 你已向其注册订阅的 ExpressRoute 提供商。
对等互连位置 由 ExpressRoute 提供程序启用的位置,用于创建线路。
带宽 选择带宽(从 50 Mbps 到 10 Gbps)。 一开始,请选择较小的值。 稍后可以增加带宽,不会中断服务。 但是,如果一开始设置得太高,则不能减少带宽。
SKU 如果只需要连接到同一城市中 1 个或 2 个 Azure 区域的 Azure 资源,请选择“本地”(如果可用)。 如果最多有 10 个虚拟网络并且只需要连接到同一地理区域中的资源,请选择“标准”。 否则,请选择“高级”,这样就可以连接 10 多个虚拟网络并实现 Azure 资源的全球连接。
计费模式 选择“无限制”以支付固定费用,无需考虑使用情况。 或者选择“按流量计费”,根据进入和退出线路的流量进行支付。
允许经典操作 选择“是”,将允许经典虚拟网络连接到线路。 否则请选择“否”

Screenshot showing the Create ExpressRoute Configuration tab by using the Azure portal.

线路创建过程可能耗时几分钟。 配置完线路后,可以使用 Azure 门户查看属性。 你可以看到“线路状态”已启用,这意味着线路的 Microsoft 端已准备好接受连接。 最初,“提供程序状态”设置为“未预配”,因为提供商尚未配置其线路端以连接到你的网络。

请向服务提供商发送“服务密钥”字段中的值,以使其能够配置连接。 此配置可能需要几天才能完成。 可以重新访问此页面以检查提供商状态。

Screenshot of provisioning a circuit by using the Azure portal.

创建对等互连配置

提供商状态报告为“已预配”后,即可配置对等互连的路由。 这些步骤仅适用于由提供第 2 层连接的服务提供商创建的线路。 对于在第 3 层运行的任何线路,提供商或许能够为你配置路由。

如上所示的“ExpressRoute 线路”页面列出了每个对等互连及其属性。 可以选择对等互连以配置这些属性。

配置专用对等互连

可以使用专用对等互连将网络连接到 Azure 中运行的虚拟网络。 若要配置专用对等互连,必须提供以下信息:

  • 对等 ASN:你的对等互连端的自治系统编号。 该 ASN 可以是公共的或专用的,可以是 16 位或 32 位。
  • 子网:选择是否要对对等互连子网使用 IPv4 和/或 IPv6。
  • 主子网:你在你的网络中创建的主 /30 子网的地址范围。 将此子网中的第一个 IP 地址用于你的路由器。 将第二个用于 Microsoft 路由器。
  • 辅助子网:辅助 /30 子网的地址范围。 此子网提供到 Microsoft 的辅助链接。 前两个地址用于承载你的路由器和 Microsoft 路由器的 IP 地址。
  • 启用 IPv4 对等互连:可以通过此选项启用和禁用专用对等互连 BGP 会话。
  • VLAN ID:要在其上建立对等互连的 VLAN 的 ID。 主链接和辅助链接都使用此 VLAN ID。
  • 共享密钥:此密钥是一个可选的 MD5 哈希,用于编码通过线路传递的消息。

配置 Microsoft 对等互连

使用 Microsoft 对等互连连接到 Office 365 及其相关服务。 若要配置 Microsoft 对等互连,需要提供针对专用对等互连描述的许多信息:对等 ASN、主子网地址范围、辅助子网地址范围、子网 IP 版本、VLAN ID 和可选的共享密钥。 还必须提供以下信息:

  • 播发的公共前缀:在 BGP 会话中使用的地址前缀列表。 这些前缀必须注册给你,并且必须是公共地址范围的前缀。
  • 客户 ASN:要播发未注册到对等 ASN 的前缀时要使用的可选的客户端自治系统编号。
  • 路由注册表名称:此名称标识客户 ASN 和公共前缀注册到的注册表。

将虚拟网络连接到 ExpressRoute 线路

建立 ExpressRoute 线路后,会为线路配置 Azure 专用对等互连。 你的网络和 Microsoft 之间的 BGP 会话是活动的,因此可以启用从本地网络到 Azure 的连接。

在连接到专用线路之前,必须使用其中一个 Azure 虚拟网络上的子网创建一个 Azure 虚拟网络网关。 虚拟网络网关为从本地网络进入的网络流量提供入口点。 它通过虚拟网络将传入流量定向到 Azure 资源。

可以配置网络安全组和防火墙规则,以控制从本地网络路由的流量。 还可以阻止来自本地网络中未经授权地址的请求。

注意

必须使用“ExpressRoute”类型而不是“VPN”创建虚拟网络网关。

Screenshot of creating a virtual network gateway with the gateway type set to ExpressRoute.

使用标准 SKU 时,最多可以将 10 个虚拟网络链接到一个 ExpressRoute 线路,但这些虚拟网络必须与 ExpressRoute 线路位于相同的地缘政治区域。 如有必要,可将单个虚拟网络链接到四条 ExpressRoute 线路。 ExpressRoute 线路可以位于虚拟网络的同一订阅中,也可以位于其他订阅中。

如果使用 Azure 门户,请将对等互连连接到虚拟网络网关,如下所示:

  1. 在线路的“ExpressRoute 线路”页面上,选择“连接”。
  2. 在“连接”页面上,选择“添加”。
  3. 在“添加连接”页面上,为连接指定名称,然后选择虚拟网络网关。 操作完成后,本地网络会通过虚拟网络网关连接到 Azure 中的虚拟网络。 通过 ExpressRoute 连接建立连接。

使用 ExpressRoute 实现高可用性和故障转移

在每个 ExpressRoute 线路中,从连接提供商到两个不同的 Microsoft 边缘路由器有两个连接。 配置会自动进行。 它在单个位置提供了一定程度的可用性。

考虑在不同的对等互连位置设置 ExpressRoute 线路,以提供高可用性并防止区域中断。 例如,可以在美国东部和中部地区创建线路,并将这些线路连接到虚拟网络。 这样,如果一个 ExpressRoute 线路出现故障,你不会失去与资源的连接,而可以将连接故障转移到另一个 ExpressRoute 线路。

还可以在不同的提供商之间拥有多个线路,这样,即使来自单个已批准的提供商的所有线路都受到中断影响,也可确保你的网络始终可用。 可以设置“连接权重”属性,使一条线路优先于另一条。

ExpressRoute Direct 和 FastPath

Microsoft 还提供名为 ExpressRoute Direct 的超高速选项。 此服务可实现双 100 Gbps 连接。 它适用于涉及大规模和频繁数据引入的场景。 还适用于需要极大可伸缩性的解决方案,如银行、政府和零售业。

可以向 Microsoft 注册订阅以激活 ExpressRoute Direct。 有关详细信息,请参阅本单元末尾“了解详细信息”部分中的 ExpressRoute 文章。

ExpressRoute Direct 支持 FastPath。 启用 FastPath 后,它会将网络流量直接发送到作为预期目标的虚拟机。 流量会绕过虚拟网络网关,从而提高 Azure 虚拟网络与本地网络之间的性能。

FastPath 支持虚拟网络对等互连(将虚拟网络连接在一起)。 也支持网关子网上的用户定义路由。

知识检查

1.

什么是 Microsoft 对等互连?

2.

什么是 ExpressRoute 线路?

3.

Azure ExpressRoute 提供了哪些安全优势?