探索 Azure ExpressRoute

  • 5 分鐘

由於您的公司會處理高度敏感的資料,並將大量資訊儲存在 Azure 中,因此,透過公用網際網路連線時,會在安全性與可靠性方面有所顧慮。 除非 Azure 可以展現更高層級的連線能力、安全性和可靠性,否則公司不會願意將全部業務遷移至 Azure。

在這裡,我們將超越透過網際網路執行的連線,改為使用專用線路直接進入 Azure 資料中心。

Azure ExpressRoute

Microsoft Azure ExpressRoute 可讓組織透過連線提供者實作的私人連線,將他們的內部部署網路延伸至 Microsoft Cloud。 此配置表示 Azure 資料中心的連線不會透過網際網路,而是透過專用的連結。 ExpressRoute 也能促成與其他 Microsoft 雲端式服務 (例如 Microsoft 365 和 Dynamics 365) 的有效連線。

ExpressRoute 提供的優點包括:

  • 透過動態頻寬調整來加快速度 (從 50 Mbps 到 10 Gbps)

  • 延遲較低

  • 透過內建的對等互連提升可靠性

  • 安全性高

ExpressRoute 帶來更多優點,例如:

  • 可連線到所有支援的 Azure 服務

  • 對所有區域進行全域連線 (需要進階附加元件)

  • 透過邊界閘道協定執行的動態路由

  • 使用服務等級協定 (SLA) 管理連線執行時間

  • 適用於商務用 Skype 的服務品質 (QoS)

此外,還有 ExpressRoute 進階附加元件,其提供如下的優點:提高路由限制、全域服務連線,以及增加每個線路的虛擬網路連結數。

ExpressRoute 連線模型

用來連線至 ExpressRoute 的機制如下:

  • IP VPN 網路 (任意點對任意點)

  • 透過乙太網路交換的虛擬交叉連線

  • 點對點乙太網路連線

在上述所有連線模型中,ExpressRoute 功能與特性完全相同。

什麼是第 3 層連線能力?

Microsoft 採用業界標準動態路由通訊協定 (BGP),在您的內部部署網路、Azure 中的執行個體和 Microsoft 公用位址之間交換路由。 我們會針對不同的流量設定檔,與您的網路建立多個 BGP 工作階段。

任意 (IPVPN) 網路

IPVPN 提供者通常會透過受控的第 3 層連線,提供分公司與您公司資料中心之間的連線。 透過 ExpressRoute,Azure 資料中心會顯示為另一個分公司。

透過乙太網路交換的虛擬交叉連線

如果您的組織與雲端交換設備共享位置,您可以透過提供者的乙太網路交換要求對 Microsoft 雲端進行交叉連線。 對 Microsoft 雲端進行的這些交叉連線可以在第 2 層或第 3 層受控連線上執行,如同在網路的 OSI 模型中。

點對點乙太網路連線

點對點乙太網路連結可在內部部署資料中心或分公司到 Microsoft 雲端之間提供第 2 層或受控的第 3 層連線。

ExpressRoute 如何運作

Azure ExpressRoute 會使用 ExpressRoute 線路和路由網域的組合,對 Microsoft 雲端提供高頻寬連線。

什麼是 ExpressRoute 線路

ExpressRoute 線路是您內部部署基礎結構與 Microsoft 雲端之間的邏輯連線。 連線提供者會實作該連線,然而某些組織會基於備援而使用多個連線提供者。 每個線路都有固定的頻寬,該頻寬可能是 50、100、200 Mbps 或 500 Mbps,或是 1 Gbps 或 10 Gbps,而那其中的每個線路都會對應到連線提供者和對等互連位置。 此外,每個 ExpressRoute 線路都有預設的配額和限制。

ExpressRoute 線路不等於網路連線或網路裝置。 每個線路都會由 GUID 定義,稱為服務s-key。 這個 s-key 會在 Microsoft、您的連線提供者和組織之間提供連線連結,這不是密碼編譯的祕密。 每個 s-key 都會與 Azure ExpressRoute 線路有一對一的對應。

每個循環最多可有兩個對等互連,這是為備援設定的一組 BGP 工作階段。 畫面如下:

  • Azure 私人
  • Microsoft

路由網域

ExpressRoute 線路接著會對應到路由網域,而每個 ExpressRoute 線路有多個路由網域。 這些網域會與前述的兩個對等互連一樣。 在主動-主動設定中,每一組路由器都會對每個路由網域使用相同設定,藉以提供高可用性。 Azure 私人對等互連名稱代表 IP 位址配置。

Azure 私用對等互連

Azure 私人對等互連會連線到 Azure 計算服務,例如使用虛擬網路部署的虛擬機器和雲端服務。 就安全性來說,私人對等互連網域只是延伸到 Azure 的內部部署網路。 您接著可啟用該網路與任何 Azure 虛擬網路之間的雙向連線,讓 Azure VM IP 位址顯示在您的內部網路中。

您可以只將一個虛擬網路連線到私人對等互連網域。

Microsoft 對等互連

Microsoft 對等互連支援連線到雲端 SaaS 供應項目 (例如 Microsoft 365 與 Dynamics 365)。 此對等互連選項提供您公司 WAN 與 Microsoft 雲端服務之間的雙向連線。

ExpressRoute 健康情況

與 Microsoft Azure 中的大部分功能相同,您可以監視 ExpressRoute 連線,以確保連線順利運作。 監視範圍包含下列領域:

  • 可用性
  • 對虛擬網路的連線能力
  • 頻寬使用率

此監視活動的主要工具是網路效能監控,特別是適用於 ExpressRoute。

Azure ExpressRoute 用來在 Azure 資料中心和內部部署或共置環境中的基礎結構之間建立私人連線。 ExpressRoute 連線不經過公用網際網路,相較於一般網際網路連線更為可靠、速度更快且延遲更低。