共用方式為

移轉至新的 ExpressRoute 線路

  • 發行項

如果您想要從一條 ExpressRoute 線路切換到另一條線路,您可能希望在最少的服務中斷情況下順利完成此作業。 本文件可協助您依照步驟來移轉您的生產流量,而不會造成重大中斷或風險。 無論您要移至新的還是相同的對等互連位置,都可以使用此方法。

如果您已透過第 3 層服務提供者取得您的 ExpressRoute 線路,請在 Azure 入口網站中在您的訂用帳戶下建立新的線路。 與您的服務提供者合作,將流量無縫地切換到新的線路。 在服務提供者取消佈建您的舊線路之後,請將其從 Azure 入口網站中刪除。

如果您已透過第 2 層服務提供者或 ExpressRoute 直接埠取得您的 ExpressRoute 線路,則本文的其餘部分適用於您。

無縫 ExpressRoute 線路移轉的步驟

顯示 ExpressRoute 線路從線路 A 移轉至線路 B 的圖表。

上圖說明了從現有的 ExpressRoute 線路 (稱為線路 A) 到新的 ExpressRoute 線路 (稱為線路 B) 的移轉流程。線路 B 可以與線路 A 位於相同或不同的對等互連位置。移轉流程包括以下步驟:

  1. 隔離部署線路 B: 當流量持續流經線路 A 時,部署新的線路 B,不會影響生產環境。

  2. 封鎖生產流量流經線路 B: 在經過充分測試和驗證之前,防止任何流量使用線路 B。

  3. 完成並驗證線路 B 的端對端連線: 確定線路 B 可以建立及維護一條與所有必要端點連接的穩定且安全的連線。

  4. 切換流量: 將流量從線路 A 重新導向至線路 B,並封鎖流經線路 A 的流量。

  5. 解除使用線路 A: 從網路中移除線路 A 並釋放其資源。

隔離部署新的線路

如需現有線路的一對一取代,請選取 [標準恢復功能] 選項,然後遵循使用 ExpressRoute 建立線路指南中所述的步驟,在所需的對等互連位置中建立新的 ExpressRoute 線路(線路 B)。 然後,請遵循設定 ExpressRoute 線路的對等互連中的步驟來設定必要的對等互連類型:私用和Microsoft。

為了防止私人對等互連生產流量在測試和驗證之前使用線路 B,請勿將具有生產部署的虛擬網路閘道連結到線路 B。同樣地,為了避免 Microsoft 對等互連生產流量使用線路 B,請勿將路由篩選與線路 B 產生關聯。

封鎖流經新建立線路的生產流量

防止透過 CE 裝置上的新對等互連進行路由通告。

對於 Cisco IOS,您可以使用 route-mapprefix-list 來篩選透過 BGP 對等互連通告的路由。 下列範例示範如何為此目的建立和套用 route-mapprefix-list

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

使用匯出/匯入原則來篩選 Junos 裝置上的新對等互連上通告和接收的路由。 下列範例示範如何為此目的設定匯出/匯入原則:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

驗證新建立線路的端對端連線能力

私人對等互連

請遵循將虛擬網路連線至 ExpressRoute 線路中的步驟,將新的線路連結到測試虛擬網路的閘道,並確認您的私人對等互連的連線能力。 將虛擬網路連結至該線路之後,請檢查該線路的私人對等互連的路由表,並確認虛擬網路的位址空間已包含在資料表中。 下列範例顯示 Azure 管理入口網站中 ExpressRoute 線路的私人對等互連的路由表:

ExpressRoute 線路主要連結之路由表的螢幕快照。

下圖顯示一台在測試虛擬網路中設定的測試 VM,以及一台位於內部部署的測試裝置,用於驗證 ExpressRoute 私人對等互連上的連線能力。

此圖顯示 Azure 中透過 ExpressRoute 連線與內部部署測試裝置通訊的 VM。

修改您已套用的路由對應或原則設定,以篩選通告的路由,並允許來自內部部署的測試裝置的特定 IP 位址。 同樣地,允許來自 Azure 的測試虛擬網路的位址空間。

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

若要允許 Junos 上的測試裝置使用特定的 IP 前置詞,請設定前置詞清單。 然後,設定 BGP 匯入/匯出原則以允許這些前置詞,並拒絕其他所有前置詞。

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

確認透過私人對等互連的端對端連線能力。 例如,您可以從內部部署的測試裝置 Ping Azure 中的測試 VM,並檢查結果。 如需逐步的詳細驗證,請參閱驗證 ExpressRoute 連線能力 (英文)。

Microsoft 對等互連

Microsoft 對等互連的驗證需要仔細規劃,以避免對生產流量產生任何影響。 您需要針對線路 B 的 Microsoft 對等互連使用與線路 A 所使用的不同前置詞,以防止兩條線路之間出現任何路由衝突。 您還需要按照為 Microsoft 對等互連設定路由篩選中的步驟,將線路 B 的 Microsoft 對等互連連結到一個與線路 A 連結的路由篩選不同的路由篩選上。 此外,您也需要確保兩條線路的路由篩選沒有任何通告到內部部署網路的常見路由,以避免線路 A 和線路 B 之間的路由不對稱。若要達成此目的,您可以:

  • 選取服務或 Azure 區域,以測試線路 A 上生產流量未使用的線路 B,或
  • 將兩個路由篩選之間的重疊降至最低,並只允許透過線路 B 接收的具體的測試公用端點

連結路由篩選之後,您必須檢查透過 CE 裝置上的 BGP 對等互連通告和接收的路由。 若要篩選所通告的路由,並只允許使用 Microsoft 對等互連的內部部署前置詞和所選 Microsoft 公用端點的特定 IP 位址來進行測試,您必須修改路由對應或您已套用的 Junos 原則設定。

若要測試 Microsoft 365 端點的連線能力,請遵循實作適用於 Microsoft 365 的 ExpressRoute – 建置您的測試程序中的步驟。 對於 Azure 公用端點,您可以從基本連線測試 (例如來自內部部署的追蹤路由) 開始,並驗證要求是否已通過 ExpressRoute 端點。 除了 ExpressRoute 端點之外,ICMP 訊息也會在 Microsoft 網路上被隱藏。 除了基本的 Ping 測試之外,您也可以在應用層測試連線能力。 例如,如果您有一台具有執行 Web 伺服器的 Azure 公用 IP 的 Azure VM,則可以嘗試透過 ExpressRoute 連線從內部部署網路存取 Web 伺服器公用 IP。 這可協助您確認更複雜的流量 (例如 HTTP 要求) 可以連線到 Azure 服務。

切換生產流量

私人對等互連

  1. 中斷線路 B 與您已連線的任何測試虛擬網路閘道的連線。
  2. 移除您對 Cisco 路由對應或 Junos 原則所做的任何例外狀況。
  3. 請遵循將虛擬網路連線至 ExpressRoute 線路中的步驟,並將線路 B 連線到生產虛擬網路閘道。
  4. 在 CE 上,當您移除套用到 CE 上的線路 B 介面的路由對應或原則時,請確保您已準備好透過線路 B 來通告您目前正在透過線路 A 通告的所有路由。 這也包括確保線路 B 的介面與適當的 VRF 或路由執行個體 (如果有的話) 相關聯。
  5. 移除線路 B 介面上的路由對應或原則。 在線路 A 介面上套用路由對應或原則,以封鎖透過線路 A 的路由通告。這會透過線路 B 切換流量。
  6. 確認流量流經線路 B。如果驗證失敗,請復原您在上一個步驟中所執行的路由對應或防火牆關聯,並將流量切回線路 A。
  7. 如果流經線路 B 的流量的驗證成功,請刪除線路 A。

Microsoft 對等互連

  1. 從您已連結的任何測試 Azure 路由篩選中移除線路 B。
  2. 移除您對路由對應或原則所做的任何例外狀況。
  3. 在 CE 上,請確定線路 B 的介面與適當的 VRF 或路由執行個體相關聯。
  4. 驗證並確認透過 Microsoft 對等互連通告的前置詞。
  5. 將線路 B Microsoft 對等互連關聯到目前與線路 A 相關聯的 Azure 路由篩選。
  6. 移除線路 B 介面上的路由對應或匯出/匯入原則。 在線路 A 介面上套用路由對應或匯出/匯入原則,以封鎖透過線路 A 的路由通告。這會透過線路 B 切換流量。
  7. 確認流量流經線路 B。如果驗證失敗,請復原您在上一個步驟中所執行的路由對應或原則關聯,並將流量切回線路 A。
  8. 如果流經線路 B 的流量的驗證成功,請刪除線路 A。

後續步驟

如需路由器設定的詳細資訊,請參閱用於設定和管理路由規劃的路由器設定範例 (英文)。