实现 Azure ExpressRoute

已完成

Contoso IT 安全团队关注如何实现从其数据中心到 Microsoft 云的 VPN 连接。 调查 VPN 网关选项时,你发现 ExpressRoute 是一个可能的解决方案。 使用 ExpressRoute,连接不经过 Internet,从而减少了在 Contoso 的企业基础结构与 Microsoft 数据中心的 Azure 资源之间传输数据时可能面临的安全威胁。

什么是 ExpressRoute?

ExpressRoute 提供了一种将组织与 Azure 资源连接起来的方式。 实现 ExpressRoute 时,可以实现以下连接选项:

  • 任意位置之间的 VPN 连接。 这使你能将 WAN 与 Azure 集成。 Azure 与 WAN 连接集成,以提供无缝连接。 通过任意到任意连接,所有 WAN 提供商都提供第 3 层连接。
  • P2P 以太网连接。 提供本地站点和 Azure 之间的第 2 层和第 3 层连接。 你使用 P2P 链接将数据中心/办公室连接到 Azure。
  • CloudExchange 场地租用。 通常在组织位于场地租用设施(例如 Internet 服务提供商 (ISP))中的基础设施和 Microsoft 云之间提供第 2 层和第 3 层连接。

备注

ExpressRoute 连接不经由 Internet,这意味着连接的延迟较低、速度快且更安全。

下图显示典型的双重 ExpressRoute 连接方案。

A diagram identifies ways in which you can use ExpressRoute connections. In the graphic, a customer's network is connected to a partner edge network. Two connections, one primary and a secondary, connect to the Microsoft Edge network. Traffic is routed through both circuits to Microsoft Peering for Office 365 and related services, and also to other VNets by using Azure Private peering.

ExpressRoute 是可用于将本地网络连接到 Azure 的三种解决方案之一。 在下表介绍另两种解决方案,即 S2S 和 P2S。

替代解决方案 描述
S2S VPN 使你能通过 IPsec/IKE 隧道将本地网络连接到 Azure,以创建一个混合网络。 要启用 S2S 连接,需要为本地 VPN 设备配置公共 IP 地址。 然后通过 Azure VNet 网关将该设备连接到 Azure VNet。
P2S VPN 可以建立从单个计算机到位于本地网络中的资源的安全连接。 此解决方案对希望从远程位置(如用户的家中)连接到 Azure 的组织很有用。 只有几个必须连接到 VNet 的客户端时,P2S 连接很有用。

在以下场景中,可能使用 Azure ExpressRoute 服务更合适:

  • 组织要将企业本地系统迁移到 Azure
  • 安全网络中需要避免使用 Internet
  • 有许多用户和系统访问软件即服务 (SaaS) 系统和产品的大型数据中心

在下列情况中,考虑使用 ExpressRoute:

  • 要实现与基于云的服务的低延迟连接
  • 要访问处理大量数据的基于云的大容量系统
  • 要连接到 Microsoft 云服务,例如 Office 365 和 Microsoft Dynamics 365

ExpressRoute 的优势

与其他连接选项相比,ExpressRoute 有许多优势,详见下表。

功能 好处
第 3 层连接 这些连接可以是 P2P 连接、任意网络之间的连接,或者通过交换进行的虚拟交叉连接。
内置冗余 每个连接提供商都使用冗余设备来帮助提供高可用性。
与 Microsoft 云服务建立连接 支持与 Office 365、Dynamics 365 和 Azure 服务(如 Azure VM、Azure Cosmos DB 和 Azure 存储)的连接。
使用 ExpressRoute Global Reach 进行本地连接 能够通过多条 ExpressRoute 线路连接专用数据中心,并使跨数据中心的流量能够通过 Microsoft 网络进行传输。
动态路由 可以在本地基础结构和 Microsoft 云中运行的服务之间进行动态路由。 使用边界网关协议 (BGP),该协议在本地网络和 Azure 中运行的资源之间交换路由。

工作原理

若要实现 ExpressRoute,需与 ExpressRoute 合作伙伴合作。 合作伙伴提供经过授权和身份验证的连接,称为边缘服务。 通过这种边缘服务,你可以将组织连接到 Microsoft 云。 选择的合作伙伴启用与 Microsoft 云边缘路由器(称为 ExpressRoute 终结点)的连接。 通过边缘服务连接到 ExpressRoute 终结点的连接被称为线路。 线路是通过专用链接而不是 Internet 建立的。

先决条件

实现 ExpressRoute 线路前,组织必须满足一些先决条件,其中包括:

  • 与 ExpressRoute 连接合作伙伴或云交换提供商协作。

备注

这些组织辅助线路预配。

  • 在 ExpressRoute 连接合作伙伴处注册 Azure 订阅。
  • 使用有效的 Azure 帐户请求 ExpressRoute 线路。
  • (可选)拥有一个有效的 Office 365 订阅,用于连接 Office 365 服务。

ExpressRoute 的工作原理是将本地基础结构与Microsoft 云网络对等互连,所以网络上的资源可直接与 Microsoft 托管的资源通信。 但是,要支持这些对等互连,你必须:

  • 确保已为路由域配置需要的任何 BGP 会话。
  • 实现网络地址转换 (NAT) 服务,将本地使用的专用 IP 地址转换为公共 IP 地址。
  • 在网络中保留几个 IP 地址块,以便将流量路由到 Microsoft 云。

提示

可将这些保留的块配置为 IP 地址空间中的一个 /29 子网或两个 /30 子网。

配置 ExpressRoute

若要使用 ExpressRoute 帮助连接到 Azure 中的 Microsoft 资源,你必须执行一些基本步骤来完成建立 ExpressRoute 连接的过程。 必须具备以下条件:

  • 创建线路。
  • 创建对等互连配置。
  • 将 VNet 连接到 ExpressRoute 线路。

创建线路

若要创建线路,请登录到 Azure 门户,然后使用以下过程:

  1. 在 Azure 门户中,选择“创建资源”。

  2. 选择“网络”,然后选择“ExpressRoute”。

  3. 在“创建 ExpressRoute”边栏选项卡上,依次选择“订阅”、“资源组”和“区域”,然后输入线路的名称。

  4. 选择“下一步: 配置 ”。

  5. 在“配置”选项卡上,配置以下信息:

    • 端口类型。 选择“提供商”。
    • 选择提供商。
    • 选择对等互连位置。
    • 选择带宽。
    • 选择 SKU。

    A screenshot of the Create ExpressRoute blade, Configuration tab. The Port type is set to Provider. The Provider is British Telecom. The Peering location is London. The bandwidth is 1 Gbps. The Standard SKU is selected.

  6. 选择“查看 + 创建”,然后选择“创建”。

完成线路的预配可能需要几分钟时间。 完成后,打开新创建的资源。 你应注意到,在线路的“概述”页上,“线路状态”为“已启用”,但“提供商状态”为“未预配”。 这些值表示 Microsoft 端的线路已准备好接受连接,但提供商尚未配置他们一端的线路。

A screenshot of the ContosoExpressRoute page in the Azure portal. The Circuit status is enabled but Provider status is Not provisioned.

创建对等互连配置

下一步是配置对等互连。 你可以在“概述”选项卡上查看线路的对等互连。可以创建 Azure 专用对等互连、Azure 公共对等互连和 Microsoft 对等互连。 在本例中,你需要创建 Azure 专用对等互连和 Microsoft 对等互连。

配置专用对等互连

你使用专用对等互连将网络连接到在 Azure 中运行的 VNet。 若要配置专用对等互连,必须提供以下信息:

  • 对等 ASN。 你的对等互连端的自治系统编号 (ASN)。
  • 主要子网。 这是你在网络中创建的主要 /30 子网的地址范围。
  • 辅助子网。 这是辅助 /30 子网的地址范围。
  • VLAN ID。 这是要在其上启用对等互连的虚拟局域网 (VLAN)。
  • 共享密钥。 这是一个可选的密钥,用于编码通过线路传递的消息。

要修改 Azure 专用对等互连,在“ExpressRoute 线路”边栏选项卡的“对等互连”页上,选择“Azure 专用”,然后配置需要的值。

配置 Microsoft 对等互连

你使用 Microsoft 对等互连来连接 Office 365 及其相关服务。 要配置 Microsoft 对等互连,需提供为专用对等互连提供的相同的详细信息,还必须提供以下信息:

  • 已播发的公共前缀。 你将在 BGP 会话中使用的地址前缀的列表。
  • 客户 ASN。 它是一个可选值。
  • 路由注册表名称。 标识用于注册客户 ASN 和公共前缀的注册表。

备注

你只能在“提供商状态”设置为“已预配”时,才能配置对等互连。

要修改 Microsoft 对等互连,在“ExpressRoute 线路”边栏选项卡的“对等互连”页上,选择“Microsoft”,然后配置所需的值。

A screenshot pf the Microsoft peering blade. No values can be configured as the circuit is not provisioned. However, configurable values are as previously described.

将 VNet 连接到线路

在提供商状态为已预配,且配置了对等互连后,可以将 VNet 连接到线路。 为此,请使用以下过程:

  1. 在 Azure 门户中,选择“创建资源”。

  2. 搜索并选择“虚拟网关”。

  3. 在“虚拟网关”边栏选项卡上,选择“创建”。

  4. 在“创建虚拟网关”边栏选项卡上,通过指定相应的属性(订阅、名称和区域)来创建网关。

  5. “网关类型”选择“ExpressRoute”。

    A screenshot of the Create virtual network gateway blade. The administrator has configured the values described in the preceding text.

  6. 选择 SKU,然后选择要连接的虚拟网络。

  7. 配置“网关子网地址范围”和“公共 IP 地址”设置。

  8. 选择“查看 + 创建”,然后选择“创建”。

最后,你可以像下面这样进行与 VNet 网关的对等互连:

  1. 在线路的“ExpressRoute 线路”页面上,选择“连接”。
  2. 在“连接”页面上,选择“添加”。
  3. 在“添加连接”页面上,提供连接的名称,然后选择 VNet 网关。

操作完成后,本地网络将通过 VNet 网关连接到 Azure 中的 VNet。 将通过 ExpressRoute 连接建立连接。

备注

仅当“提供商状态”设置为“已预配”时,才能执行最后的这一步。

附加阅读材料

你可以通过查看以下文档来了解详细信息: