實作 Azure ExpressRoute
Contoso IT 安全性小組想知道如何實作從其資料中心到 Microsoft Cloud 的 VPN 連線。 您在調查 VPN 閘道選項時,發現 ExpressRoute 是一個可能的解決方案。 使用 ExpressRoute,連線不會通過網際網路,因此對於在 Contoso 的公司基礎結構與 Microsoft 資料中心內的 Azure 資源之間傳輸的資料,有助於降低其可能會有的安全性威脅。
什麼是 ExpressRoute?
ExpressRoute 可讓您將組織連線到 Azure 資源。 實作 ExpressRoute 時,您可以實作下列連線選項:
- 任意 VPN 連線。 可讓您將 WAN 與 Azure 整合。 Azure 會與您的 WAN 連線整合,以提供順暢的連線。 透過任意對任意連線,所有 WAN 提供者都會提供第 3 層連線能力。
- P2P 乙太網路連線。 在您的內部部署網站與 Azure 之間提供第 2 層與第 3 層連線。 您可以使用 P2P 連結,將您的資料中心或辦公室與 Azure 連線。
- CloudExchange 共置。 通常會在您組織的基礎結構 (位於網際網路服務提供者 (ISP) 等共置設施) 與 Microsoft Cloud 之間,提供第 2 層與第 3 層連線。
注意
ExpressRoute 連線不會透過網際網路,這表示連線的延遲較低、速度很高,而且更安全。
下圖顯示雙重 ExpressRoute 連線的一般案例。
ExpressRoute 是您可以用來將內部部署網路連線到 Azure 的三種解決方案其中之一。 下表說明其他兩個解決方案:S2S 和 P2S。
| 替代解決方案 | 描述 |
|---|---|
| S2S VPN | 可讓您透過 IPsec/IKE 通道,將內部部署網路連線到 Azure,以建立混合式網路。 若要啟用 S2S 連線,請設定具有公用 IP 位址的內部部署 VPN 裝置。 然後您可以透過 Azure VNet 閘道,將該裝置連線到 Azure VNet。 |
| P2S VPN | 可讓您建立從個別電腦到內部部署網路中資源的安全連線。 此解決方案適用於想要從遠端位置 (例如使用者的家中) 啟用 Azure 連線的組織。 如果只有少數用戶端必須連線到 VNet,P2S 連線會很有用。 |
在下列案例中,Azure ExpressRoute 較有可能是適當的服務:
- 適用於想要將企業內部部署系統移轉到 Azure 的組織
- 適用於需要避免使用網際網路的安全網路
- 適用於有許多使用者和系統存取軟體即服務 (SaaS) 系統和產品的大型資料中心
在下列情況下,請考慮使用 ExpressRoute:
- 為了實作雲端式服務的低延遲連線
- 為了存取處理大量資料的高容量雲端式系統
- 為了連線到 Microsoft 雲端服務,例如 Office 365 和 Microsoft Dynamics 365
ExpressRoute 的優點
ExpressRoute 提供一些勝過其他連線選項的優點,如下表所述。
| 功能 | 優點 |
|---|---|
| 第 3 層連線 | 這些連線可以是 P2P、任意網路,也可以是透過交換的虛擬交叉連線。 |
| 內建的備援性 | 每個連線提供者都會使用備援裝置,以協助提供高可用性。 |
| 連線到 Microsoft 雲端服務 | 支援連線到 Office 365、Dynamics 365,以及 Azure VM、Azure Cosmos DB 和 Azure 儲存體等 Azure 服務。 |
| 使用 ExpressRoute Global Reach 的跨內部部署連線 | 可讓您透過多個 ExpressRoute 線路連線私人資料中心,並讓您的跨資料中心流量通過 Microsoft 網路。 |
| 動態路由 | 可讓您在內部部署基礎結構與 Microsoft Cloud 中執行的服務之間進行動態路由。 使用邊界閘道協定 (BGP),以在內部部署網路與 Azure 中執行的資源之間交換路由。 |
運作方式
若要實作 ExpressRoute,您必須與 ExpressRoute 合作夥伴共同作業。 合作夥伴提供一個經過授權和驗證的連線,稱為「邊緣服務」。 您可以透過這項邊緣服務,將您的組織連線到 Microsoft Cloud。 您選取的合作夥伴會連線到 Microsoft Cloud 邊緣路由器,稱為「ExpressRoute 端點」。 透過邊緣服務到 ExpressRoute 端點的連線稱為「線路」。 線路是透過私人連結建立,而不是透過網際網路。
必要條件
您的組織必須符合一些必要條件,您才能實作 ExpressRoute 線路,包括:
- 與 ExpressRoute 連線合作夥伴或雲端交換服務提供者共同作業。
注意
這些組織會協助佈建線路。
- 向 ExpressRoute 連線合作夥伴註冊您的 Azure 訂閱。
- 透過使用中的 Azure 帳戶要求 ExpressRoute 線路。
- (選擇性) 透過啟用中的 Office 365 訂閱帳戶連線到 Office 365 服務。
由於 ExpressRoute 的運作方式是將您的內部部署基礎結構與 Microsoft 雲端網路進行對等互連,因此您網路上的資源可以直接與 Microsoft 所裝載的資源通訊。 不過,若要支援這些對等互連,您必須:
- 確定已為路由網域設定任何必要的 BGP 工作階段。
- 實作網路位址轉譯 (NAT) 服務,以將內部部署所使用的私人 IP 位址轉譯為公用 IP 位址。
- 在您的網路中保留數個 IP 位址區塊,以將流量路由傳送至 Microsoft Cloud。
提示
您可以將這些保留區塊設定為 IP 位址空間中的一個 /29 子網路或兩個 /30 子網路。
設定 ExpressRoute
若要使用 ExpressRoute 加速連線到 Azure 中的 Microsoft 資源,您必須執行幾個高階步驟,才能完成建立 ExpressRoute 連線的程序。 您必須:
- 建立線路。
- 建立對等互連設定。
- 將 VNet 連線到 ExpressRoute 線路。
建立線路
若要建立線路,請登入 Azure 入口網站,然後使用下列程序:
在 Azure 入口網站中,選取 [建立資源]。
選取 [網路],然後選取 [ExpressRoute]。
在 [建立 ExpressRoute] 刀鋒視窗上,選取 [訂閱]、[資源群組] 和 [區域],然後輸入線路的名稱。
選取 [下一步:設定]>。
在 [設定] 索引標籤上,設定下列資訊:
- 連接埠類型。 選取 [提供者]。
- 選取 [提供者]。
- 選取 [對等互連位置]。
- 選擇 [頻寬]。
- 選取 [SKU]。
![[建立 ExpressRoute] 分頁的螢幕擷取畫面,[設定] 索引標籤。連接埠類型設為 [提供者]。[提供者] 為 British Telecom。[對等互連位置] 為倫敦。[頻寬] 為 1 Gbps。已選取標準 SKU。](../../wwl-azure/implement-hybrid-network-infrastructure/media/m13-expressroute-setup-1.png)
選取 [檢閱 + 建立],然後選取 [建立]。
完成線路佈建需要幾分鐘的時間。 完成之後,請開啟新建立的資源。 在您線路的 [概觀] 頁面上,您應該會注意到 [線路狀態] 為 [已啟用],但 [提供者狀態] 為 [未佈建]。 這些值表示 Microsoft 端的線路已準備好接受連線,但提供者尚未設定他們那一端的線路。
![此螢幕擷取畫面顯示 Azure 入口網站中 [ContosoExpressRoute] 頁面。線路狀態為 [已啟用],但未佈建 [提供者狀態]。](../../wwl-azure/implement-hybrid-network-infrastructure/media/m13-expressroute-setup-2.png)
建立對等互連設定
下一步是設定對等互連。 您可以在 [概觀] 索引標籤上,檢閱線路的對等互連。您可以建立 Azure 私人對等互連、Azure 公用對等互連和 Microsoft 對等互連。 在此案例中,您必須建立 Azure 私人對等互連和 Microsoft 對等互連。
設定私人對等互連
您可以使用私人對等互連,將網路連線到在 Azure 中執行的 VNet。 若要設定私人對等互連,您必須提供下列資訊:
- 對等 ASN。 您這端對等互連的自發系統編號 (ASN)。
- 主要子網路。 這是您在網路中建立的主要 /30 子網路位址範圍。
- 次要子網路。 這是次要 /30 子網路的位址範圍。
- VLAN 識別碼。 這是您想要啟用對等互連的虛擬區域網路 (VLAN)。
- 共用金鑰。 這是選擇性金鑰,用來將透過線路所傳遞的訊息進行編碼。
若要修改 Azure 私人對等互連,請在 [ExpressRoute 線路] 刀鋒視窗的 [對等互連] 頁面上,選取 [Azure 私人],然後設定必要的值。
設定 Microsoft 對等互連
您可以使用 Microsoft 對等互連,連線到 Office 365 及其相關服務。 若要設定 Microsoft 對等互連,您可以提供與私人對等互連相同的詳細資料,但您也必須提供下列資訊:
- 已公告公用首碼。 您將在 BGP 工作階段上使用的位址首碼清單。
- 客戶 ASN。 選用值。
- 路由登錄名稱。 識別您註冊客戶 ASN 和公用首碼的登錄。
注意
您只能在 [提供者狀態] 設定為 [已佈建] 時設定對等互連。
若要修改 Microsoft 對等互連,請在 [ExpressRoute 線路] 刀鋒視窗的 [對等互連] 頁面上,選取 [Microsoft],然後設定必要的值。
![此螢幕擷取畫面顯示 [Microsoft 對等互連] 刀鋒視窗。因為未佈建線路,所以不能設定任何值。不過,可設定的值如先前所述。](../../wwl-azure/implement-hybrid-network-infrastructure/media/m13-expressroute-setup-3.png)
將 VNet 連線到線路
在 [提供者狀態] 為 [已佈建] 且您已設定對等互連之後,您可以將 VNet 連線到線路。 若要這樣做,請使用下列程序:
在 Azure 入口網站中,選取 [建立資源]。
搜尋並選取 [虛擬網路閘道]。
在 [虛擬網路閘道] 刀鋒視窗上,選取 [建立]。
在 [建立虛擬網路閘道] 刀鋒視窗上,指定下列適當的屬性以建立閘道:[訂閱]、[名稱] 和 [區域]。
針對 [閘道類型],選取 [ExpressRoute]。
![此螢幕擷取畫面顯示 [建立虛擬網路閘道] 刀鋒視窗。系統管理員已設定上文中所述的值。](../../wwl-azure/implement-hybrid-network-infrastructure/media/m13-add-gateway-3.png)
選取 [SKU],然後選取您要連線的 [虛擬網路]。
進行 [閘道子網路位址範圍] 和 [公用 IP 位址] 設定。
選取 [檢閱 + 建立],然後選取 [建立]。
最後,您可以將對等互連連線到 VNet 閘道,如下所示:
- 在線路的 [ExpressRoute 線路] 頁面上,選取 [連線]。
- 在 [連線] 頁面上,選取 [新增]。
- 在 [新增連線] 頁面上,為連線提供名稱,然後選取您的 VNet 閘道。
作業完成之後,您的內部部署網路會透過 VNet 閘道連線到 Azure 中的 VNet。 連線會透過 ExpressRoute 連線進行。
注意
您只能在 [提供者狀態] 已設定為 [已佈建] 時執行此最後一個步驟。
延伸閱讀
您可參閱下列文件來深入了解:
- 適用於 Office 365 的 Azure ExpressRoute \(部分機器翻譯\)
- ExpressRoute 路由需求 \(部分機器翻譯\)