將 ExpressRoute 線路連線到虛擬網路
ExpressRoute 線路代表內部部署基礎結構與 Microsoft 雲端服務之間,透過連線提供者的邏輯連線。 您可以定購多個 ExpressRoute 線路。 每個線路可以位於相同或不同的地區,而且可以透過不同的連線提供者連線至您的內部部署。 ExpressRoute 線路不會對應至任何實體裝置。 循環使用名為服務金鑰 (s-key) 的標準 GUID。
將虛擬網路連線到 ExpressRoute 線路
- 您必須具有作用中的 ExpressRoute 線路。
- 請確定您已為線路設定 Azure 私人對等互連。
- 請確定您已設定 Azure 私人對等互連,並在您的網路與 Microsoft 之間建立 BGP 對等互連,以進行端對端連線。
- 請確定您已建立並完全佈建虛擬網路和虛擬網路閘道。 ExpressRoute 的虛擬網路閘道是使用 GatewayType 'ExpressRoute',而不是 VPN。
- 您可將最多 10 個虛擬網路連結至標準 ExpressRoute 線路。 使用標準 ExpressRoute 線路時,所有虛擬網路都必須位於相同的地緣政治區域中。
- 單一虛擬網路最多可連結至 16 個 ExpressRoute 線路。 ExpressRoute 線路可位於相同的訂用帳戶和/或不同的訂用帳戶中。
- 如果您啟用 ExpressRoute 進階附加元件,則可以在 ExpressRoute 線路的地緣政治區域外部連結虛擬網路。 進階附加元件可讓您將 10 個以上的虛擬網路連線到 ExpressRoute 線路,取決於選擇的頻寬。
- 若要建立 ExpressRoute 線路到目標 ExpressRoute 虛擬網路閘道的連線,從本機或對等互連虛擬網路公告的位址空間數目必須等於或小於 200。 成功建立連線後,您就可以將其他位址空間 (上限 1,000) 新增至本機或對等互連虛擬網路。
將 VPN 新增至 ExpressRoute 部署
本節可協助您透過 ExpressRoute 私人連線,在內部部署網路與 Azure 虛擬網路 (VNet) 之間設定安全加密的連線。 您可以使用 Microsoft 對等互連來建立所選內部部署網路與 Azure VNet 之間的站對站 IPsec/IKE VPN 通道。 透過 ExpressRoute 設定安全通道可以在資料交換時,實現機密性、禁止重新播放、真實性和完整性。
注意
當您透過 Microsoft 對等互連設定站對站 VPN 時,您需支付 VPN 閘道和 VPN 輸出的費用。
為獲得高可用性和備援功能,您可以透過 ExpressRoute 線路的兩個 MSEE-PE 組設定多個通道,並在通道之間啟用負載平衡。
您可以使用 VPN 閘道,或使用透過 Azure Marketplace 取得的適當網路虛擬設備 (NVA),終止透過 Microsoft 對等互連的 VPN 通道。 您可以透過加密通道以靜態或動態方式交換路由,而不需向基礎 Microsoft 對等互連公開路由交換。 在本節中,您使用 BGP (不同於建立 Microsoft 對等互連所使用的 BGP 工作階段),透過加密通道動態交換前置詞。
重要
針對內部部署端,Microsoft 對等互連通常是在 DMZ 上終止的,而私人對等互連則是在核心網路區域上終止的。 這兩個區域將會使用防火牆加以隔離。 如果您要專門設定 Microsoft 對等互連來啟用透過 ExpressRoute 的安全通道,請記得只篩選想要透過 Microsoft 對等互連公告的公用 IP。
步驟
- 設定 ExpressRoute 線路的 Microsoft 對等互連。
- 透過 Microsoft 對等互連,向內部部署網路通告選取的 Azure 區域公用前置詞。
- 設定 VPN 閘道並建立 IPsec 通道
- 設定內部部署 VPN 裝置。
- 建立站對站 IPsec/IKE 連線。
- (選擇性) 在內部部署 VPN 裝置上設定防火牆/篩選。
- 測試並驗證透過 ExpressRoute 線路的 IPsec 通訊。