此參考架構示範如何使用 Azure ExpressRoute 將內部部署網路連線到 Azure 虛擬網路,並將站對站虛擬專用網 (VPN) 作為故障轉移連線。
架構
下載此架構的 Visio 檔案。
工作流程
此結構由下列元件組成。
內部部署網路。 在組織內執行的私人局域網路。
Azure 虛擬網路。 每個虛擬網路都位於單一 Azure 區域中,而且可以裝載多個應用層。 您可以使用每個虛擬網路中的子網來分割應用層。
- 閘道子網。 虛擬網路閘道位於相同的子網中。
VPN 設備。 提供內部部署網路外部連線的裝置或服務。 VPN 設備可以是硬體裝置,也可以是軟體解決方案,例如 Windows Server 2012 中的路由和遠端存取服務 (RRAS)。 如需支援的 VPN 設備清單,以及設定連線至 Azure 之所選 VPN 設備的相關信息,請參閱關於站對站連線的 VPN 裝置 VPN 閘道。
ExpressRoute 線路。 連線提供者提供的第 2 層或第 3 層線路,可透過邊緣路由器將內部部署網路與 Azure 聯結在一起。 線路會使用由連線提供者管理的硬體基礎結構。
本機邊緣路由器。 將內部部署網路連線到提供者所管理的線路的路由器。 視連線佈建方式而定,您可能需要提供路由器使用的公用IP位址。
Microsoft邊緣路由器。 主動-主動、高可用性組態中的兩個路由器。 這些路由器可讓連線提供者將其線路直接連線到其數據中心。 視連線佈建方式而定,您可能需要提供路由器使用的公用IP位址。
ExpressRoute 虛擬網路閘道。 ExpressRoute 虛擬網路閘道可讓 Azure 虛擬網路連線到用來與內部部署網路連線的 ExpressRoute 線路。
VPN 虛擬網路閘道。 VPN 虛擬網路閘道可讓 Azure 虛擬網路連線到內部部署網路中 VPN 設備。 VPN 虛擬網路閘道設定為只透過 VPN 裝置接受來自內部部署網路的要求。 如需詳細資訊,請參閱「將內部部署網路連線至 Microsoft Azure 虛擬網路」。
VPN 連線。 線上具有屬性,可指定連線類型 (IPSec) 和與內部部署 VPN 裝置共用的金鑰,以加密流量。
Azure 公用服務。 可在混合式應用程式中使用的 Azure 服務。 這些服務也可透過因特網使用,但使用 ExpressRoute 線路存取這些服務可提供低延遲和更可預測的效能,因為流量不會通過因特網。
Microsoft 365 服務。 Microsoft提供的公開Microsoft 365 應用程式和服務。 聯機會使用 Microsoft組織所擁有的對等互連 和位址,或由您的連線提供者提供。 您也可以使用Microsoft對等互連,直接連線到 Microsoft CRM Online。
線上提供者 (未顯示)。 使用數據中心與 Azure 資料中心之間的第 2 層或第 3 層連線來提供連線的公司。
元件
Azure ExpressRoute。 您可以使用 ExpressRoute,透過私人連線將內部部署網路延伸至 Microsoft 雲端,並透過連線提供者的協助。 透過 ExpressRoute,您可以建立Microsoft雲端服務的連線,例如 Azure 和 Microsoft 365。
Azure 虛擬網路。 Azure 虛擬網絡 是 Azure 上專用網的基本建置組塊。 虛擬網絡 可讓許多類型的 Azure 資源,例如 Azure 虛擬機器,以增強安全性彼此通訊、因特網和內部部署網路。
Azure VPN 閘道。 VPN 閘道 是一種虛擬網路網關,可讓您使用站對站虛擬專用網 (VPN) 連線,將內部部署網路連線到 Azure 虛擬網路。
案例詳細資料
此參考架構示範如何使用 ExpressRoute 將內部部署網路連線至 Azure 虛擬網路,並將站對站虛擬專用網 (VPN) 作為故障轉移連線。 內部部署網路與 Azure 虛擬網路之間的流量會透過 ExpressRoute 連線流動。 如果 ExpressRoute 線路中連線中斷,流量會透過 IPSec VPN 信道路由傳送。 部署此解決方案。
如果 ExpressRoute 線路無法使用,VPN 路由只會處理私人對等互連連線。 公用對等互連和Microsoft對等互連聯機會透過因特網傳遞。
建議
下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。
連線提供者
為您的位置選取適當的 ExpressRoute 連線提供者。 若要取得您位置可用的連線提供者清單,請使用下列 PowerShell 命令:
Get-AzExpressRouteServiceProvider
ExpressRoute 連線提供者會以下列方式將數據中心連線到Microsoft:
共置於雲端交換。 如果您位於具有雲端交換的設施中,您可以透過共置提供者的乙太網路交換來訂購與 Azure 的虛擬交叉連線。 共置提供者可以在共置設施和 Azure 中的基礎結構之間提供第 2 層交叉連線或受控第 3 層交叉連線。
點對點乙太網路連線。 您可以使用點對點乙太網路連結,將內部部署數據中心/辦公室連線到 Azure。 點對點乙太網路提供者可以提供月臺與 Azure 之間的第 2 層連線或受控第 3 層連線。
任意對任意 (IPVPN) 網路。 您可以將廣域網 (WAN) 與 Azure 整合。 因特網通訊協定虛擬專用網 (IPVPN) 提供者提供分公司與數據中心之間的任何對任意連線。 (IPVPN 通常是多項目標籤切換 VPN。Azure 可以與您的 WAN 互連,使其看起來就像任何其他分公司一樣。 WAN 提供者通常會提供受控第 3 層連線。
如需連線提供者的詳細資訊,請參閱 ExpressRoute 簡介。
ExpressRoute 線路
您可以使用下列步驟來建立 ExpressRoute 線路。
執行下列 PowerShell 命令:
New-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> -Location <location> -SkuTier <SKU-tier> -SkuFamily <SKU-family> -ServiceProviderName <service-provider-name> -PeeringLocation <peering-location> -BandwidthInMbps <bandwidth-in-Mbps>ServiceKey將新線路的 傳送給服務提供者。等候提供者布建線路。 若要確認線路的布建狀態,請執行下列 PowerShell 命令:
Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>Provisioning state輸出區段中的欄位Service Provider會在線路就緒時從NotProvisioned變更為Provisioned。注意
如果您使用第 3 層連線,提供者應該為您設定和管理路由。 您提供讓提供者實作適當路由所需的資訊。
如果您使用第 2 層連線:
針對您想要實作的每個對等互連類型,保留由有效公用IP位址組成的兩個 /30 子網。 這些 /30 子網可用來提供用於線路之路由器的IP位址。 如果您要實作私人和Microsoft對等互連,則需要具有有效公用IP位址的四個 /30子網。
設定 ExpressRoute 線路的路由。 針對私人和Microsoft對等互連執行下列 PowerShell 命令。 如需詳細資訊,請參閱 建立和修改 ExpressRoute 線路的路由。
Set-AzExpressRouteCircuitPeeringConfig -Name <peering-name> -ExpressRouteCircuit <circuit-name> -PeeringType <peering-type> -PeerASN <peer-ASN> -PrimaryPeerAddressPrefix <primary-peer-address-prefix> -SecondaryPeerAddressPrefix <secondary-peer-address-prefix> -VlanId <vlan-ID> Set-AzExpressRouteCircuit -ExpressRouteCircuit <circuit-name>保留另一個有效的公用IP位址集區,以用於網路位址轉換(NAT)以進行Microsoft對等互連。 建議您針對每個對等互連使用不同的集區。 指定連線提供者的集區,以便設定這些範圍的邊界網關通訊協定 (BGP) 公告。
VPN 和 ExpressRoute 閘道
如果您的 Azure 虛擬網路中已經有現有的 VPN 虛擬網路閘道,您可以建立 ExpressRoute 虛擬網路閘道,而不需要刪除現有的虛擬網路閘道。
依照使用 Azure ExpressRoute 設定混合式網路架構中的指示來建立 ExpressRoute 連線。
遵循使用 Azure 和內部部署 VPN 設定混合式網路架構中的指示,以建立 VPN 虛擬網路網關聯機。
建立虛擬網路網關聯機之後,請遵循下列步驟來測試環境:
- 請確定您可以從內部部署網路連線到 Azure 虛擬網路。
- 請連絡您的提供者,以停止 ExpressRoute 連線以進行測試。
- 確認您仍然可以使用 VPN 虛擬網路網關聯機,從內部部署網路連線到 Azure 虛擬網路。
- 請連絡您的提供者以重新建立 ExpressRoute 連線。
疑難排解
如果先前運作的 ExpressRoute 線路無法連線,且內部部署或私人虛擬網路內沒有任何組態變更,您可能需要連絡連線提供者,並與其合作以修正問題。 使用下列 PowerShell 命令來確認 ExpressRoute 線路已正確布建:
Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
此指令的輸出會顯示線路的數個屬性,包括 ProvisioningState、 CircuitProvisioningState和 ServiceProviderProvisioningState,如下所示:
ProvisioningState : Succeeded
Sku : {
"Name": "Standard_MeteredData",
"Tier": "Standard",
"Family": "MeteredData"
}
CircuitProvisioningState : Enabled
ServiceProviderProvisioningState : NotProvisioned
如果您 ProvisioningState 嘗試建立新的線路之後未設定為 Succeeded ,請使用下列命令移除線路,然後再嘗試建立一次。
Remove-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
如果您的提供者已佈建線路,且 ProvisioningState 設定為 Failed 或 CircuitProvisioningState 不是 Enabled,請連絡您的提供者以尋求協助。
考量
這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構。
延展性
ExpressRoute 線路提供網路之間的高頻寬路徑。 一般而言,頻寬越高,成本就越高。
ExpressRoute 提供兩 個定價方案:計量方案與無限制數據方案。 費用會根據線路頻寬而有所不同。 可用的頻寬可能會因提供者而異。 Get-AzExpressRouteServiceProvider使用 Cmdlet 來查看您區域中可用的提供者及其提供的頻寬。
單一 ExpressRoute 線路可以支援特定數目的對等互連和虛擬網路連結。 如需詳細資訊,請參閱 ExpressRoute 限制 。
ExpressRoute Premium 附加元件提供:
- 提高私人對等互連的路由限制。
- 每個 ExpressRoute 線路的虛擬網路連結數目增加。
- 從全球連線到服務。
如需詳細資訊,請參閱 ExpressRoute 定價 。
雖然某些提供者可讓您變更頻寬,但請務必選擇超過您需求的初始頻寬,並提供成長空間。 如果您需要在未來增加頻寬,您有兩個選項:
增加頻寬。 盡可能避免此選項。 並非所有提供者都可讓您動態增加頻寬。 但如果您需要增加頻寬,請洽詢您的提供者,以確保其支援使用 PowerShell 命令變更 ExpressRoute 帶寬屬性。 如果這樣做,請執行下列命令:
$ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> $ckt.ServiceProviderProperties.BandwidthInMbps = <bandwidth-in-Mbps> Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt您可以增加頻寬,而不會失去連線能力。 降級頻寬會中斷連線,因為您需要刪除線路,並使用新的組態重新建立它。
變更您的定價方案和/或升級至 Premium。 若要這樣做,請執行下列命令。 屬性
Sku.Tier可以是Standard或Premium。 屬性Sku.Name可以是MeteredData或UnlimitedData。$ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> $ckt.Sku.Tier = "Premium" $ckt.Sku.Family = "MeteredData" $ckt.Sku.Name = "Premium_MeteredData" Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt重要
請確定
Sku.Name屬性符合Sku.Tier和Sku.Family。 如果您變更系列和階層,但未變更名稱,將會停用您的連線。您可以在不中斷的情況下升級 SKU,但無法從無限制定價方案切換至計量付費方案。 如果您降級 SKU,頻寬耗用量必須維持在標準 SKU 的預設限制內。
可用性
ExpressRoute 不支援路由器備援通訊協定,例如熱待命路由通訊協定(HSRP)和虛擬路由器備援通訊協定(VRRP),以達到高可用性。 相反地,它會為每個對等互連使用一對備援的 BGP 會話。 為了加速與網路的高可用性連線,Azure 會在主動-主動設定中布建兩個備援埠(Microsoft邊緣的一部分)。
根據預設,BGP 會話會使用 60 秒的閒置逾時值。 如果會話逾時三次(總計 180 秒),路由器會標示為無法使用,且所有流量都會重新導向至其餘路由器。 對於關鍵應用程式而言,這個 180 秒的逾時時間可能太長。 如果您需要,您可以將內部部署路由器上的 BGP 逾時設定變更為較短的持續時間。 ExpressRoute 也透過私人對等互連支援雙向轉送偵測 (BFD)。 透過 ExpressRoute 啟用 BFD,您可以加速Microsoft Enterprise Edge (MSEE) 裝置與終止 ExpressRoute 線路的路由器之間的鏈接失敗偵測。 您可以透過 Customer Edge 路由裝置或合作夥伴 Edge 路由裝置終止 ExpressRoute(如果您有受控第 3 層連線服務)。
您可以根據您使用的提供者類型,以及您願意設定的 ExpressRoute 線路和虛擬網路網關聯機數目,以不同方式設定 Azure 連線的高可用性。 以下是可用性選項的摘要:
如果您使用第 2 層連線,請在主動-主動組態的內部部署網路中部署備援路由器。 將主要線路連線到一個路由器,並將次要線路連接到另一個路由器。 此組態會在兩端提供高可用性連線。 如果您需要 ExpressRoute 服務等級協定 (SLA),則需要此設定。 如需詳細資訊,請參閱 Azure ExpressRoute 的 SLA。
下圖顯示已連線到主要和次要線路的備援內部部署路由器組態。 每個線路都會處理私人對等互連的流量。 (每個對等互連都會指定一對 /30 位址空間,如上一節所述。
如果您使用第 3 層連線,請確認它提供可為您處理可用性的備援 BGP 會話。
將虛擬網路連線到由不同服務提供者提供的多個 ExpressRoute 線路。 此策略提供更多高可用性和災害復原功能。
將站對站 VPN 設定為 ExpressRoute 的故障轉移路徑。 如需此選項的詳細資訊,請參閱 使用 ExpressRoute 搭配 VPN 故障轉移將內部部署網路連線到 Azure。 此選項僅適用於私人對等互連。 針對 Azure 和 Microsoft 365 服務,因特網是唯一的故障轉移路徑。
安全性
安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀。
您可以根據安全性考慮和合規性需求,以不同方式設定 Azure 連線的安全性選項。
ExpressRoute 會在第 3 層中運作。 您可以使用將流量限制為合法資源的網路安全性設備,來提供應用層威脅的保護。
若要將安全性最大化,請在內部部署網路與提供者邊緣路由器之間新增網路安全性設備。 這有助於限制來自虛擬網路的未經授權流量流入:
若要進行稽核或合規性,您可能需要針對在虛擬網路中執行的元件封鎖直接因特網存取,並實作強制通道。 在此情況下,因特網流量應該透過執行內部部署的 Proxy 重新導向回,您可以在其中進行稽核。 您可以設定 Proxy 來封鎖未經授權的流量流出,並篩選潛在的惡意輸入流量。
若要最大化安全性,請勿為您的 VM 啟用公用 IP 位址,並使用 NSG 來協助確保無法公開存取這些 VM。 VM 只能透過內部IP位址使用。 您可以透過 ExpressRoute 網路存取這些位址,讓內部部署 DevOps 人員能夠執行設定或維護。
如果您必須將 VM 的管理端點公開至外部網路,請使用 NSG 或存取控制清單來限制這些埠的可見度,以允許 IP 位址或網路清單。
注意
透過 Azure 入口網站 部署的 Azure VM 可以包含提供登入存取權的公用 IP 位址。 不過,最佳做法是禁止此存取。
如需一般 Azure 安全性考慮,請參閱 Microsoft雲端服務和網路安全性。
網路監視
使用 Azure 網路監看員 來監視和疑難解答網路元件。 使用分析之類的工具可識別虛擬網路中產生最多流量的系統,讓您能夠在發生問題之前以可視化方式識別瓶頸。 線上監視器可以監視 ExpressRoute 線路。
您也可以使用 Azure 連線工具組 (AzureCT) 來監視內部部署資料中心與 Azure 之間的連線。
如需詳細資訊,請參閱 監視DevOps。
成本最佳化
成本最佳化與減少不必要費用,及提升營運效率有關。 如需詳細資訊,請參閱 成本優化要素概觀。
如需 ExpressRoute 成本考慮,請參閱下列文章:
- 使用 Azure ExpressRoute 設定混合式網路架構的成本考慮。
ExpressRoute
在此架構中,ExpressRoute 線路可用來透過邊緣路由器將內部部署網路與 Azure 聯結。
ExpressRoute 提供兩個定價方案。 使用計量數據方案時,所有輸入數據傳輸都是免費的。 所有輸出數據傳輸都會根據預先決定的費率收費。
使用無限制的數據方案,所有輸入和輸出數據傳輸都是免費的。 根據高可用性雙重埠,您需支付固定的每月埠費用。
計算您的使用率,並據以選擇計費方案。 如果您超過約 68% 的使用率,建議您使用無限制的數據方案。
如需詳細資訊,請參閱 Azure ExpressRoute 定價。
Azure 虛擬網路
所有應用層都會裝載在單一虛擬網路中,並分割成子網。
Azure 虛擬網絡 是免費的。 針對每個訂用帳戶,您可以跨所有區域建立多達50個虛擬網路。 在虛擬網路界限內發生的所有流量都是免費的,因此單一虛擬網路中的兩部 VM 之間的通訊是免費的。
卓越營運
卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊,請參閱 營運卓越支柱概觀。
如需 ExpressRoute DevOps 考慮,請參閱 使用 Azure ExpressRoute 設定混合式網路架構指引。
如需站對站 VPN DevOps 考慮,請參閱 使用 Azure 和內部部署 VPN 設定混合式網路架構指引。
部署此案例
必要條件。 您必須已使用適當的網路設備設定現有的內部部署基礎結構。
若要部署解決方案,請執行下列步驟。
選取下列連結:
等候連結在 Azure 入口網站 中開啟,然後選取您要將這些資源部署到或建立新的資源群組的資源群組。 區域和位置會自動變更以符合資源群組。
如果您想要變更您環境的資源名稱、提供者、SKU 或網路IP位址,請更新其餘欄位。
選取 [ 檢閱 + 建立 ],然後 選取 [建立] 以部署這些資源。
等待部署完成。
注意
此樣本部署只會部署下列資源:
- 資源群組(如果您建立新資源群組)
- ExpressRoute 線路
- Azure 虛擬網路
- ExpressRoute 虛擬網路閘道
若要建立從內部部署到 ExpressRoute 線路的私人對等互連連線,您必須為服務提供者提供線路服務密鑰。 您可以在 ExpressRoute 線路資源的概觀頁面上找到服務密鑰。 如需設定 ExpressRoute 線路的詳細資訊,請參閱 建立或修改對等互連設定。 設定私人對等互連之後,您可以將 ExpressRoute 虛擬網路閘道連結至線路。 如需詳細資訊,請參閱教學課程:使用 Azure 入口網站 將虛擬網路連線到 ExpressRoute 線路。
若要完成將站對站 VPN 部署為 ExpressRoute 的備份,請參閱 建立站對站 VPN 連線。
成功設定 VPN 連線到您已設定 ExpressRoute 的相同內部部署網路之後,如果對等互連位置發生完全失敗,您就會完成設定以備份 ExpressRoute 連線。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- 莎拉·帕克斯 |資深雲端解決方案架構師
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
產品文件:
- ExpressRoute 文件
- ExpressRoute 的 Azure 安全性基準
- 如何建立 ExpressRoute 線路
- Azure 網路部落格
- 使用 PowerShell 設定 ExpressRoute 和站對站並存連線
- 什麼是 Azure 虛擬網路?
- Microsoft 365 服務
Microsoft Learn 模組: