Rozšíření místní sítě s využitím ExpressRoute

Tato referenční architektura ukazuje, jak připojit místní síť k virtuálním sítím v Azure pomocí Azure ExpressRoute. Připojení ExpressRoute používají privátní vyhrazené připojení prostřednictvím poskytovatele připojení třetí strany. Privátní připojení rozšiřuje místní síť do služby Azure.

Architektura

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Tato architektura se skládá z následujících součástí.

• Místní podniková síť. Privátní místní síť fungující v organizaci

• Okruh ExpressRoute. Okruh vrstvy 2 nebo vrstvy 3 dodaný poskytovatelem připojení, který se připojí k místní síti s Azure přes hraniční směrovače. Okruh používá hardwarovou infrastrukturu spravovanou poskytovatelem připojení.

• Místní hraniční směrovače. Směrovače, které připojují místní síť k okruhu spravovanému poskytovatelem připojení. V závislosti na tom, jak máte připojení zřízené, možná budete muset poskytnout veřejné IP adresy používané směrovači.

• Hraniční směrovače Microsoftu. Dva směrovače v konfiguraci aktivní-aktivní s vysokou dostupností. Tyto směrovače poskytovateli připojení umožňují, aby své okruhy připojil přímo ke svému datacentru. V závislosti na tom, jak máte připojení zřízené, možná budete muset poskytnout veřejné IP adresy používané směrovači.

• Virtuální sítě (VNet) Azure. Každá virtuální síť se nachází v jedné oblasti Azure a může být hostitelem více aplikačních vrstev. Aplikační vrstvy můžou být segmentované pomocí podsítí v každé virtuální síti.

• Veřejné služby Azure. Služby Azure, které je možné používat v rámci hybridní aplikace. Tyto služby jsou k dispozici i přes internet, ale přístup k nim prostřednictvím okruhu ExpressRoute znamená nízkou latenci a více předvídatelný výkon, protože přenosy neprocházejí přes internet.

• Služby Microsoftu 365. Veřejně dostupné aplikace a služby Microsoftu 365 poskytované Microsoftem. Připojení se provádí pomocí partnerského vztahu Microsoftu s adresami, které vlastní vaše organizace nebo vám dodal poskytovatel připojení. Prostřednictvím partnerského vztahu Microsoftu se můžete také připojit přímo k Microsoft CRM Online.

• Poskytovatelé připojení (nezobrazení). Společnosti, které poskytují připojení pomocí vrstvy 2 nebo vrstvy 3 mezi vaším datacentrem a datacentrem Azure.

Komponenty

• Azure ExpressRoute. ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes privátní připojení s využitím poskytovatele připojení. Pomocí ExpressRoute můžete vytvořit připojení ke cloudovým službám Microsoftu, například Microsoft Azure a Microsoft 365.

• Azure Virtual Network. Azure Virtual Network (VNet) je základní stavební blok pro privátní síť v Azure. Virtuální síť umožňuje mnoho typů prostředků Azure, jako jsou virtuální počítače Azure, bezpečně komunikovat mezi sebou, internetem a místními sítěmi.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Poskytovatelé připojení

Vyberte vhodného poskytovatele připojení ExpressRoute pro vaši lokalitu. Seznam poskytovatelů připojení, kteří jsou ve vaší lokalitě k dispozici, zobrazíte tímto příkazem Azure PowerShellu:

Get-AzExpressRouteServiceProvider

Poskytovatelé připojení ExpressRoute připojují vaše datacentrum k Microsoftu těmito způsoby:

• Společné umístění v cloudové výměně. Pokud jste společně umístěni v zařízení s cloudovou výměnou, můžete objednat virtuální křížová připojení k Azure prostřednictvím ethernetové výměny poskytovatele spolulokace. Poskytovatelé ve společném umístění můžou nabízet vzájemné propojení vrstvy 2 nebo spravované vzájemné propojení vrstvy 3 mezi vaší infrastrukturou ve společném umístění a Azure.
• Ethernetová připojení typu point-to-point. Místní datacentra nebo pobočky můžete připojit k Azure prostřednictvím ethernetových propojení typu point-to-point. Poskytovatelé ethernetových připojení typu point-to-point můžou nabízet připojení vrstvy 2 nebo spravovaná připojení vrstvy 3 mezi vaší lokalitou a Azure.
• Sítě typu any-to-any (IPVPN). Svou síť WAN můžete integrovat s Azure. Poskytovatelé virtuální privátní sítě s protokolem IP (IPVPN) (obvykle VPN s multiprotokolovým přepojováním podle návěští) nabízejí připojení typu any-to-any mezi vašimi pobočkami a datacentry. Azure může být s vaší sítí WAN propojený tak, aby vypadal stejně jako jiné pobočky. Poskytovatelé sítě WAN obvykle nabízejí spravované připojení vrstvy 3.

Další informace o poskytovatelích připojení najdete v Přehledu ExpressRoute.

Okruh ExpressRoute

Ujistěte se, že vaše organizace splňuje požadavky ExpressRoute pro připojení k Azure.

Pokud jste to ještě neudělali, přidejte podsíť s názvem GatewaySubnet k virtuální síti Azure a vytvořte bránu virtuální sítě ExpressRoute pomocí služby brány VPN Azure. Další informace o tomto procesu najdete v článku Pracovní postupy ExpressRoute pro zřizování a stavy okruhů.

Vytvořte okruh ExpressRoute tímto způsobem:

1. Spusťte následující příkaz PowerShellu:

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. Zašlete ServiceKey pro nový okruh poskytovateli služeb.

3. Počkejte, až poskytovatel okruh zřídí. Pokud chcete ověřit stav zřizování okruhu, spusťte tento příkaz PowerShellu:

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   Když je okruh připravený, pole Provisioning state v části Service Provider výstupu se změní z NotProvisioned na Provisioned.

   Poznámka:

   Pokud používáte připojení vrstvy 3, měl by za vás poskytovatel konfigurovat a spravovat směrování. Poskytovateli dodáte informace potřebné k tomu, aby mohl implementovat odpovídající trasy.

4. Pokud používáte připojení vrstvy 2:

   1. Rezervujte dvě podsítě /30 složené z platných veřejných IP adres pro každý typ partnerského vztahu, který chcete implementovat. Tyto podsítě /30 budou sloužit k poskytování IP adres pro směrovače používané pro okruh. Pokud implementujete privátní partnerský vztah a partnerský vztah Microsoftu, budete potřebovat 4 podsítě /30 s platnými veřejnými IP adresami.

   2. Konfigurujte směrování pro okruh ExpressRoute. Pro každý typ partnerského vztahu, který chcete nakonfigurovat (privátní a Microsoft), spusťte následující příkazy PowerShellu. Další informace najdete v článku Vytvoření a úprava směrování pro okruh ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. Vyhraďte si jiný fond platných veřejných IP adres pro překlad síťových adres (NAT) pro partnerský vztah Microsoftu. Doporučuje se mít pro každý partnerský vztah jiný fond. Fond sdělte poskytovateli připojení, aby pro tyto rozsahy mohl nakonfigurovat inzerování v protokolu BGP (Border Gateway Protocol).

5. Spuštěním následujícího příkazu PowerShellu propojte svou privátní virtuální síť nebo sítě k okruhu ExpressRoute. Další informace najdete v tématu Propojení virtuální sítě s okruhem ExpressRoute.

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

Ke stejnému okruhu ExpressRoute můžete připojit více virtuálních sítí, které jsou umístěné v různých oblastech, pokud se všechny virtuální sítě i okruh ExpressRoute nacházejí ve stejné geopolitické oblasti.

Řešení problému

Pokud se dříve funkční okruh ExpressRoute nedaří připojit a nedošlo k žádným změnám konfigurace v místním prostředí ani v rámci vaší privátní virtuální sítě, možná se budete muset obrátit na poskytovatele připojení, abyste problém společně vyřešili. Pomocí následujících příkazů PowerShellu ověřte, že je okruh ExpressRoute zřízený:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Výstup tohoto příkazu zobrazí několik vlastností pro váš okruh, včetně ProvisioningState, CircuitProvisioningState a ServiceProviderProvisioningState, jak je vidět dole.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Pokud ProvisioningState po pokusu o vytvoření nového okruhu neukazuje Succeeded, odeberte okruh pomocí níže uvedeného příkazu a zkuste ho vytvořit znovu.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Pokud už váš poskytovatel měl okruh zřízený a ProvisioningState ukazuje Failed nebo CircuitProvisioningState není Enabled, požádejte poskytovatele o pomoc.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Škálovatelnost

Okruhy ExpressRoute poskytují mezi sítěmi cestu s velkou šířku pásma. Obecně platí, že čím větší šířka pásma, tím větší náklady.

ExpressRoute nabízí zákazníkům dva cenové tarify, měřený tarif a tarif s neomezenými daty. Poplatky se liší podle šířky pásma okruhu. Dostupná šířka pásma se bude pravděpodobně lišit podle poskytovatele. Pomocí rutiny Get-AzExpressRouteServiceProvider zobrazíte poskytovatele dostupné ve vaší oblasti a šířky pásma, které nabízejí.

Jeden okruh ExpressRoute může podporovat určitý počet partnerských vztahů a propojení virtuálních sítí. Další informace najdete v článku s limity pro ExpressRoute.

Doplněk ExpressRoute Premium za příplatek poskytuje některé další možnosti:

• Zvýšení limitů tras pro privátní partnerský vztah
• Vyšší počet propojení virtuálních sítí na jeden okruh ExpressRoute
• Globální připojení pro služby.

Podrobnosti najdete na stránce Ceny za ExpressRoute.

Okruhy ExpressRoute jsou navržené tak, aby umožňovaly dočasné shlukové přenosy v síti až do dvojnásobku limitu zakoupené šířky pásma bez dalších nákladů. Dosahuje se toho pomocí redundantních propojení. Tuto možnost ale nepodporují všichni poskytovatelé připojení. Než se pro tuto možnost rozhodnete, ověřte, jestli ji váš poskytovatel připojení umožňuje.

I když někteří poskytovatelé umožňují šířku pásma měnit, vyberte si takovou počáteční šířku pásma, která převyšuje vaše potřeby a poskytuje prostor pro růst. Pokud v budoucnu potřebujete šířku pásma zvýšit, máte dvě možnosti:

• Zvětšete šířku pásma. Této možnosti byste se měli co nejvíce vyhýbat a ne všichni poskytovatelé umožňují zvětšovat šířku pásma dynamicky. Pokud je ale potřeba zvýšit šířku pásma, ověřte u svého poskytovatele, jestli podporuje změnu vlastností šířky pásma ExpressRoute prostřednictvím příkazů PowerShellu. Pokud ano, spusťte následující příkazy.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Šířku pásma můžete zvětšit bez ztráty připojení. Přechod na nižší šířku pásma povede k přerušení připojení, protože musíte odstranit okruh a znovu ho vytvořit s novou konfigurací.

• Změňte cenový tarif nebo upgradujte na Premium. Provedete to pomocí následujících příkazů. Vlastnost Sku.Tier může být Standard nebo Premium. Vlastnost Sku.Name může být MeteredData nebo UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Důležité

  Ujistěte se, že vlastnost Sku.Name odpovídá vlastnostem Sku.Tier a Sku.Family. Pokud změníte rodinu a vrstvu, ale nezměníte název, připojení se vypne.

  SKU můžete upgradovat bez přerušení, ale není možné přejít z neomezeného cenového tarifu na měřený. Když přejdete na nižší verzi SKU, musí vaše využití šířky pásma zůstat v rámci výchozího limitu standardního SKU.

Dostupnost

ExpressRoute nepodporuje protokoly nadbytečnosti směrovačů jako HSRP (hot standby routing protocol) a VRRP (virtual router redundancy protocol) pro implementaci vysoké dostupnosti. Místo toho používá redundantní dvojici relací protokolu BGP pro každý partnerský vztah. Kvůli usnadnění připojení k vaší síti s vysokou dostupností vám Azure zřídí dva redundantní porty na dvou směrovačích (součást hraniční sítě Microsoftu) v konfiguraci aktivní-aktivní.

Ve výchozím nastavení relace protokolu BGP používají hodnotu časového limitu nečinnosti 60 sekund. Pokud časový limit relace třikrát vyprší (celkem 180 sekund), směrovač se označí jako nedostupný a veškerý provoz se přesměruje na zbývající směrovač. Tento časový limit 180 sekund může být pro kritické aplikace příliš dlouhý. V takovém případě můžete nastavení časového limitu protokolu BGP na místním směrovači změnit na menší hodnotu. ExpressRoute také podporuje obousměrnou detekci předávání (BFD) přes privátní partnerský vztah. Povolením BFD přes ExpressRoute můžete urychlit detekci selhání propojení mezi zařízeními Microsoft Enterprise Edge (MSEE) a směrovači, na kterých ukončíte okruh ExpressRoute (PE). ExpressRoute můžete ukončit přes směrovací zařízení Edge zákazníka nebo směrovací zařízení Partner Edge (pokud jste přešli se spravovanou službou připojení vrstvy 3).

Vysokou dostupnost pro připojení k Azure můžete nakonfigurovat různými způsoby v závislosti na typu poskytovatele, kterého používáte, počtu okruhů ExpressRoute a připojení brány virtuální sítě, která jste ochotní konfigurovat. Tady je souhrn možností dostupnosti:

• Pokud používáte připojení vrstvy 2, nasaďte redundantní směrovače v místní síti v konfiguraci aktivní-aktivní. Připojte primární okruh k jednomu směrovači a sekundární okruh ke druhému. Tím získáte připojení s vysokou dostupností na obou koncích připojení. To je nezbytné, pokud požadujete smlouvu o úrovni služeb (SLA) ExpressRoute. Podrobnosti najdete ve Smlouvě SLA pro Azure ExpressRoute.

  Následující diagram znázorňuje konfiguraci s redundantními místními směrovači připojenými k primárnímu a sekundárnímu okruhu. Každý okruh zpracovává provoz privátního partnerského vztahu (každý partnerský vztah je určen dvojicí adresních prostorů /30, jak je popsáno v předchozí části).

  

• Pokud používáte připojení vrstvy 3, ověřte, jestli poskytuje redundantní relace protokolu BGP, které se vám starají o dostupnost.

• Připojte virtuální síť k více okruhům ExpressRoute od různých poskytovatelů služeb. Tato strategie zajišťuje další vysokou dostupnost a možnosti zotavení po havárii.

• Konfigurujte VPN typu site-to-site jako cestu převzetí služeb při selhání pro ExpressRoute. Další informace o této možnosti najdete v článku Připojení místní sítě k Azure pomocí ExpressRoute s VPN pro převzetí služeb při selhání. Tato možnost se týká jenom privátního partnerského vztahu. Pro služby Azure a Microsoft 365 je internet jedinou cestou převzetí služeb při selhání.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Možnosti zabezpečení pro připojení k Azure můžete nakonfigurovat různými způsoby v závislosti na vašich požadavcích na zabezpečení a potřebách dodržování předpisů.

ExpressRoute funguje ve vrstvě 3. Hrozbám v aplikační vrstvě je možné zabránit pomocí síťového zabezpečovacího zařízení, které provoz omezuje na oprávněné prostředky.

Pokud chcete dosáhnout maximálního zabezpečení, přidejte mezi místní síť a hraniční směrovače poskytovatele síťová zabezpečovací zařízení. To pomůže omezit neoprávněný příchozí provoz z virtuální sítě:

Pro účely auditování a dodržování předpisů může být nutné zakázat přímý přístup z komponent spuštěných ve virtuální síti k internetu a implementovat vynucené tunelování. V takovém případě by se měl provoz z internetu přesměrovat zpět prostřednictvím proxy serveru spuštěného v místním prostředí, kde se může auditovat. Proxy server se může nakonfigurovat, aby blokoval neoprávněný odchozí provoz a filtroval potenciálně škodlivý příchozí provoz.

Pokud chcete dosáhnout maximálního zabezpečení, nepovolujte veřejnou IP adresu pro virtuální počítače a pomocí skupin zabezpečení sítě zajistěte, aby tyto virtuální počítače nebyly veřejně přístupné. Virtuální počítače by měly být k dispozici jenom pomocí interní IP adresy. Tyto adresy můžou být přístupné přes síť ExpressRoute, aby místnímu týmu DevOps umožňovaly provádění konfigurace nebo údržby.

Pokud musíte vystavit koncové body správy pro virtuální počítače externí síti, použijte skupiny zabezpečení sítě nebo seznamy řízení přístupu k omezení viditelnosti těchto portů na seznam povolených IP adres nebo sítí.

Monitorování sítě

Pomocí služby Network Watcher můžete monitorovat a řešit potíže se síťovými komponentami, nástroje, jako je Analýza provozu, vám ukážou systémy ve virtuálních sítích, které generují většinu provozu, abyste mohli vizuálně identifikovat kritické body předtím, než se degenerují do problémů. Správce výkonu sítě má možnost monitorovat informace o okruhech Microsoft ExpressRoute.

Pomocí sady Azure Připojení ivity Toolkit (AzureCT) můžete také monitorovat připojení mezi místním datacentrem a Azure.

Další informace najdete v části DevOps v architektuře Microsoft Azure Well-Architected Framework. Informace specifické pro monitorování najdete v tématu Monitorování pro DevOps.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

K odhadu nákladů použijte cenovou kalkulačku Azure.

Další části popisují poplatky za služby používané v této architektuře.

Azure ExpressRoute

V této architektuře se okruh ExpressRoute používá k připojení místní sítě k Azure prostřednictvím hraničních směrovačů.

Existují dva hlavní plány. V plánu měřených dat je veškerý příchozí přenos dat zdarma. Veškerý odchozí přenos dat se účtuje na základě předem stanovené sazby.

Můžete také zvolit neomezený datový tarif, ve kterém je veškerý příchozí a odchozí přenos dat zdarma. Uživatelům se účtuje pevný měsíční poplatek za port na základě duálních portů s vysokou dostupností.

Spočítejte své využití a odpovídajícím způsobem zvolte fakturační plán. Neomezený datový tarif se doporučuje, pokud překročíte přibližně 68 % využití.

Další informace najdete v tématu o cenách Azure ExpressRoute.

Azure Virtual Network

Všechny aplikační vrstvy jsou hostované v jedné virtuální síti a segmentují se pomocí podsítí.

Azure Virtual Network je zdarma. Každé předplatné může vytvořit až 50 virtuálních sítí napříč všemi oblastmi. Veškerý provoz, ke kterému dochází v rámci hranic virtuální sítě, je zdarma. To znamená, že komunikace mezi dvěma virtuálními počítači v rámci stejné virtuální sítě je bezplatná.

Další kroky

Dokumentace k produktu:

• Služby Microsoftu 365
• Co je Azure ExpressRoute?
• Co je Azure Virtual Network?

Moduly Microsoft Learn:

• Konfigurace ExpressRoute a Virtual WAN
• Konfigurace partnerského vztahu virtuálních sítí
• Návrh a implementace Azure ExpressRoute
• Prozkoumání služeb platformy Microsoft 365

Související prostředky

• Návrh hybridní architektury
• Připojení místní síť do Azure pomocí ExpressRoute
• Rozšíření místní sítě pomocí sítě VPN