Přehled architektury Azure Well-Architected – Azure ExpressRoute

  • Článek

Tento článek obsahuje osvědčené postupy architektury pro Azure ExpressRoute. Pokyny vycházejí z pěti pilířů špičkové architektury:

Předpokládáme, že máte pracovní znalosti Azure ExpressRoute a dobře znáte všechny její funkce. Další informace najdete v tématu Azure ExpressRoute.

Požadavky

Pro kontext zvažte kontrolu referenční architektury, která tyto aspekty odráží ve svém návrhu. Doporučujeme začít s pokyny metodologie Cloud Adoption Framework Ready v tématu Připojení k Azure a návrh architektury hybridního připojení s využitím Azure ExpressRoute. V případě aplikačních architektur s minimem kódu doporučujeme projít si téma Povolení ExpressRoute pro Power Platform při plánování a konfiguraci ExpressRoute pro použití s Microsoft Power Platform.

Spolehlivost

V cloudu bereme na vědomí, že k selháním dochází. Místo snahy kompletně zabránit selháním je cílem minimalizace dopadu selhání jedné komponenty. Následující informace vám po navazování připojení pomocí Azure ExpressRoute použijí k minimalizaci výpadků do a z Azure.

Při diskuzi o spolehlivosti služby Azure ExpressRoute je důležité vzít v úvahu využití šířky pásma, fyzické rozložení sítě a zotavení po havárii v případě selhání. Azure ExpressRoute dokáže tyto aspekty návrhu splnit a má doporučení pro každou položku v kontrolním seznamu.

V kontrolním seznamu návrhu a v seznamu doporučení níže najdete informace, které vám umožní navrhnout vysoce dostupnou síť mezi prostředím Azure a místní sítí.

Kontrolní seznam návrhu

Při rozhodování o návrhu Azure ExpressRoute si projděte principy návrhu pro přidání spolehlivosti do architektury.

  • Pro obchodní požadavky vyberte okruh ExpressRoute nebo ExpressRoute Direct.
  • Nakonfigurujte pro poskytovatele služeb síť různých fyzických vrstev.
  • Nakonfigurujte okruhy ExpressRoute s různými poskytovateli služeb tak, aby měly různé cesty směrování.
  • Nakonfigurujte Active-Active připojení ExpressRoute mezi místním prostředím a Azure.
  • Nastavte brány ExpressRoute Virtual Network s podporou zón dostupnosti.
  • Nakonfigurujte okruhy ExpressRoute v jiném umístění než v místní síti.
  • Nakonfigurujte brány ExpressRoute Virtual Network v různých oblastech.
  • Nakonfigurujte vpn typu site-to-site jako zálohu privátního partnerského vztahu ExpressRoute.
  • Nastavte monitorování pro okruh ExpressRoute a stav služby ExpressRoute Virtual Network Gateway.
  • Nakonfigurujte stav služby tak, aby dostával oznámení o údržbě okruhu ExpressRoute.

Doporučení

Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute z hlediska spolehlivosti.

Doporučení Výhoda
Plánování okruhu ExpressRoute nebo ExpressRoute Direct Během počáteční fáze plánování se chcete rozhodnout, jestli chcete nakonfigurovat okruh ExpressRoute nebo připojení ExpressRoute Direct. Okruh ExpressRoute umožňuje privátní vyhrazené připojení k Azure pomocí poskytovatele připojení. ExpressRoute Direct umožňuje rozšířit místní síť přímo do sítě Microsoftu v umístění partnerského vztahu. Musíte také identifikovat požadavek na šířku pásma a typ skladové položky pro vaše obchodní potřeby.
Fyzická rozmanitost vrstev Pro lepší odolnost naplánujte několik cest mezi místním hraničním zařízením a umístěními partnerského vztahu (poskytovatel nebo hraniční umístění Microsoftu). Této konfigurace je možné dosáhnout prostřednictvím jiného poskytovatele služeb nebo prostřednictvím jiného umístění z místní sítě.
Plánování geograficky redundantních okruhů Pokud chcete naplánovat zotavení po havárii, nastavte okruhy ExpressRoute ve více než jednom umístění partnerského vztahu. Můžete vytvořit okruhy v umístěních peeringu ve stejném nebo jiném metra a zvolit spolupráci s různými poskytovateli služeb na různých trasách přes každý okruh. Další informace najdete v tématech Návrh pro zotavení po havárii a Návrh pro zajištění vysoké dostupnosti.
Plánování Active-Active připojení Vyhrazené okruhy ExpressRoute zaručují 99.95% dostupnost při konfiguraci připojení aktivní-aktivní mezi místním prostředím a Azure. Tento režim zajišťuje vyšší dostupnost připojení ExpressRoute. Doporučuje se také nakonfigurovat BFD pro rychlejší převzetí služeb při selhání v případě, že připojení selhalo.
Plánování bran Virtual Network Vytvořte Virtual Network gateway s podporou zón dostupnosti pro zajištění vyšší odolnosti a naplánujte brány Virtual Network v různých oblastech pro zotavení po havárii a vysokou dostupnost.
Monitorování okruhů a stavu brány Nastavte monitorování a upozornění pro okruhy ExpressRoute a stav služby Virtual Network Gateway na základě různých dostupných metrik.
Povolení stavu služby ExpressRoute používá service Health k oznámení o plánované a neplánované údržbě. Konfigurace stavu služby vás upozorní na změny provedené v okruhech ExpressRoute.

Další návrhy najdete v tématu Principy pilíře spolehlivosti.

Azure Advisor poskytuje řadu doporučení pro okruhy ExpressRoute, protože se týkají spolehlivosti. Azure Advisor může například zjistit:

  • Brány ExpressRoute, ve kterých je nasazený pouze jeden okruh ExpressRoute místo několika. Pro zvýšení odolnosti umístění partnerského vztahu se doporučuje více okruhů ExpressRoute.
  • Okruhy ExpressRoute, které Monitorování připojení nepozorují, protože pro přehledy o spolehlivosti je důležité kompletní monitorování okruhu ExpressRoute.
  • Síťové topologie zahrnující více umístění peeringu, kterým by služba ExpressRoute Global Reach pomohla vylepšit návrhy zotavení po havárii pro místní připojení, aby se zohlednila neplánovaná ztráta připojení.

Zabezpečení

Zabezpečení je nejdůležitějším aspektem jakékoli architektury. ExpressRoute poskytuje funkce, které využívají jak princip nejnižších oprávnění, tak ochranu v rámci ochrany. Doporučujeme, abyste si prostudovali principy návrhu zabezpečení.

Kontrolní seznam návrhu

  • Nakonfigurujte protokol aktivit tak, aby odesílal protokoly do archivu.
  • Udržujte inventář účtů pro správu s přístupem k prostředkům ExpressRoute.
  • Nakonfigurujte hodnotu hash MD5 pro okruh ExpressRoute.
  • Konfigurace MACSec pro prostředky ExpressRoute Direct
  • Zašifrujte provoz virtuální sítě přes privátní partnerský vztah a partnerský vztah Microsoftu.

Doporučení

Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute z hlediska zabezpečení.

Doporučení Výhoda
Konfigurace protokolu aktivit pro odesílání protokolů do archivu Protokoly aktivit poskytují přehledy o operacích prováděných pro prostředky ExpressRoute na úrovni předplatného. Pomocí protokolů aktivit můžete určit, kdo a kdy byla operace provedena v řídicí rovině. Uchovávání dat je pouze 90 dnů a pro archivaci se vyžaduje uložení ve službě Log Analytics, službě Event Hubs nebo v účtu úložiště.
Udržování inventáře účtů pro správu Pomocí Azure RBAC můžete nakonfigurovat role pro omezení uživatelských účtů, které můžou přidávat, aktualizovat nebo odstraňovat konfiguraci partnerského vztahu v okruhu ExpressRoute.
Konfigurace hodnoty hash MD5 v okruhu ExpressRoute Během konfigurace privátního partnerského vztahu nebo partnerského vztahu Microsoftu použijte k zabezpečení zpráv mezi místní trasou a směrovači MSEE hodnotu hash MD5.
Konfigurace MACSec pro prostředky ExpressRoute Direct Zabezpečení Access Control médií je zabezpečení typu point-to-point ve vrstvě datového propojení. ExpressRoute Direct podporuje konfiguraci macSec, aby se zabránilo bezpečnostním hrozbám pro protokoly, jako jsou ARP, DHCP nebo LACP, které nejsou normálně zabezpečené na ethernetovém propojení. Další informace o konfiguraci MACSec najdete v tématu MACSec pro porty ExpressRoute Direct.
Šifrování provozu pomocí protokolu IPsec Nakonfigurujte tunel VPN typu Site-to-Site přes okruh ExpressRoute pro šifrování dat přenášených mezi místní sítí a virtuální sítí Azure. Tunel můžete nakonfigurovat pomocí privátního partnerského vztahu nebo partnerského vztahu Microsoftu.

Další návrhy najdete v tématu Principy pilíře zabezpečení.

Optimalizace nákladů

Optimalizace nákladů spočívá v hledání způsobů, jak snížit zbytečné výdaje a zlepšit provozní efektivitu. Doporučujeme, abyste si prostudovali princip návrhu optimalizace nákladů a Plánování a správu nákladů pro Azure ExpressRoute.

Kontrolní seznam návrhu

  • Seznamte se s cenami ExpressRoute.
  • Určete požadovanou skladovou položku okruhu ExpressRoute a požadovanou šířku pásma.
  • Určete požadovanou velikost brány virtuální sítě ExpressRoute.
  • Monitorování nákladů a vytváření upozornění na rozpočet
  • Zrušte zřízení okruhů ExpressRoute, které se už nepoužívají.

Doporučení

Projděte si následující tabulku doporučení k optimalizaci konfigurace ExpressRoute pro optimalizaci nákladů.

Doporučení Výhoda
Seznamte se s cenami ExpressRoute Informace o cenách ExpressRoute najdete v tématu Vysvětlení cen za Azure ExpressRoute. Můžete také použít cenovou kalkulačku.

Ujistěte se, že jsou možnosti dostatečně dimenzované tak, aby uspokojily poptávku po kapacitě a poskytovaly očekávaný výkon bez plýtvání prostředky.
Určení požadované skladové položky a šířky pásma Způsob, jakým se vám účtují poplatky za využití ExpressRoute, se liší mezi třemi různými typy skladových položek. S místní skladovou položkou se vám automaticky naúčtuje datový tarif Unlimited. Se skladovou položkou Standard a Premium si můžete vybrat mezi datovým tarifem s měřením nebo neomezeným datovým tarifem. Všechna data příchozího přenosu dat jsou bezplatná s výjimkou použití doplňku Global Reach. Je důležité pochopit, které typy skladových položek a datový tarif jsou pro vaši úlohu nejvhodnější, abyste co nejlépe optimalizovali náklady a rozpočet. Další informace o změně velikosti okruhu ExpressRoute najdete v tématu Upgrade šířky pásma okruhu ExpressRoute.
Určení velikosti brány virtuální sítě ExpressRoute Brány virtuální sítě ExpressRoute se používají k předávání provozu do virtuální sítě přes privátní partnerský vztah. Zkontrolujte požadavky na výkon a škálování upřednostňované skladové položky Virtual Network Gateway. Vyberte příslušnou skladovou položku brány ve vaší místní úloze do Azure.
Monitorování nákladů a vytváření upozornění na rozpočet Monitorujte náklady na okruh ExpressRoute a vytvářejte upozornění na anomálie ve výdajích a rizika nadměrného utrácení. Další informace najdete v tématu Monitorování nákladů na ExpressRoute.
Zrušte zřízení a odstranění okruhů ExpressRoute, které se už nepoužívají. Okruhy ExpressRoute se účtují od okamžiku jejich vytvoření. Pokud chcete snížit zbytečné náklady, zrušte zřízení okruhu u poskytovatele služeb a odstraňte okruh ExpressRoute z vašeho předplatného. Postup odebrání okruhu ExpressRoute najdete v tématu Zrušení zřízení okruhu ExpressRoute.

Další návrhy najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

Azure Advisor dokáže rozpoznat okruhy ExpressRoute, které jsou nasazené delší dobu, ale stav poskytovatele je Nezřizované. Okruhy v tomto stavu nejsou funkční. a odebráním nepoužívaného prostředku snížíte zbytečné náklady.

Efektivita provozu

Monitorování a diagnostika jsou zásadní. Můžete nejen měřit statistiky výkonu, ale také používat metriky k řešení potíží a rychle je opravovat. Doporučujeme, abyste si prostudovali principy efektivity provozního návrhu.

Kontrolní seznam návrhu

  • Nakonfigurujte monitorování připojení mezi vaší místní sítí a sítí Azure.
  • Nakonfigurujte službu Service Health pro příjem oznámení.
  • Zkontrolujte metriky a řídicí panely dostupné prostřednictvím přehledů ExpressRoute s využitím přehledů sítě.
  • Projděte si metriky prostředků ExpressRoute.

Doporučení

Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro dosažení efektivity provozu.

Doporučení Výhoda
Konfigurace monitorování připojení Monitorování připojení umožňuje monitorovat připojení mezi místními prostředky a Azure prostřednictvím privátního partnerského vztahu ExpressRoute a připojení partnerského vztahu Microsoftu. Monitorování připojení dokáže detekovat problémy se sítěmi tak, že zjistí, kde se na síťové cestě problém nachází, a pomůže vám rychle vyřešit selhání konfigurace nebo hardwaru.
Konfigurace služby Service Health Nastavte oznámení služby Service Health , která budou upozorňovat na plánovanou a nadcházející údržbu všech okruhů ExpressRoute ve vašem předplatném. Service Health také zobrazuje minulou údržbu společně s RCA, pokud by došlo k neplánované údržbě.
Kontrola metrik pomocí služby Network Insights Přehledy ExpressRoute s přehledy sítě umožňují kontrolovat a analyzovat okruhy ExpressRoute, brány, metriky připojení a řídicí panely stavu. Přehledy ExpressRoute také poskytují zobrazení topologie připojení ExpressRoute, kde můžete na jednom místě zobrazit podrobnosti o komponentách partnerského vztahu.

Dostupné metriky:
-Dostupnost
-Propustnost
– Metriky brány
Kontrola metrik prostředků ExpressRoute ExpressRoute používá Azure Monitor ke shromažďování metrik a vytváření upozornění na základě vaší konfigurace. Shromažďují se metriky pro okruhy ExpressRoute, brány ExpressRoute, připojení brány ExpressRoute a ExpressRoute Direct. Tyto metriky jsou užitečné pro diagnostiku problémů s připojením a pochopení výkonu připojení ExpressRoute.

Další návrhy najdete v tématu Principy pilíře efektivity provozu.

Efektivita výkonu

Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Doporučujeme projít si principy efektivity výkonu.

Kontrolní seznam návrhu

  • Otestujte výkon brány ExpressRoute, abyste splnili požadavky pracovního zatížení.
  • Zvětšete velikost brány ExpressRoute.
  • Upgradujte šířku pásma okruhu ExpressRoute.
  • Povolte ExpressRoute FastPath pro vyšší propustnost.
  • Monitorujte metriky okruhu ExpressRoute a brány.

Doporučení

Projděte si následující tabulku doporučení pro optimalizaci konfigurace ExpressRoute pro zajištění efektivity výkonu.

Doporučení Výhoda
Otestujte výkon brány ExpressRoute, abyste splnili požadavky pracovního zatížení. Pomocí sady Azure Connectivity Toolkit otestujte výkon v rámci okruhu ExpressRoute, abyste porozuměli kapacitě šířky pásma a latenci síťového připojení.
Zvětšete velikost brány ExpressRoute. Pokud chcete zvýšit výkon propustnosti mezi místním prostředím a prostředím Azure, upgradujte na vyšší skladovou položku brány .
Upgrade šířky pásma okruhu ExpressRoute Upgradujte šířku pásma okruhu tak, aby splňovala vaše požadavky na pracovní zatížení. Šířka pásma okruhu se sdílí mezi všemi virtuálními sítěmi připojenými k okruhu ExpressRoute. V závislosti na pracovním zatížení může jedna nebo více virtuálních sítí využívat celou šířku pásma okruhu.
Povolení ExpressRoute FastPath pro vyšší propustnost Pokud používáte výkon úrovně Ultra nebo bránu virtuální sítě ErGW3AZ, můžete povolit FastPath , abyste zlepšili výkon cesty k datům mezi místní sítí a virtuální sítí Azure.
Monitorování metrik okruhu ExpressRoute a brány Nastavte upozornění na základě metrik ExpressRoute , která vás budou proaktivně upozorňovat na splnění určité prahové hodnoty. Tyto metriky jsou užitečné k pochopení anomálií, ke kterým může dojít u vašeho připojení ExpressRoute, jako jsou výpadky a údržba okruhů ExpressRoute.

Další návrhy najdete v tématu Principy pilíře efektivity výkonu.

Azure Advisor nabídne doporučení k upgradu šířky pásma okruhu ExpressRoute tak, aby vyhovovala využití, pokud váš okruh v poslední době spotřebovávají více než 90 % šířky pásma, které jste získali. Pokud provoz překročí přidělenou šířku pásma, dojde k zahozeným paketům, což může mít významný dopad na výkon nebo spolehlivost.

Azure Policy

Azure Policy neposkytuje žádné předdefinované zásady pro ExpressRoute, ale je možné vytvořit vlastní zásady, které vám pomůžou řídit, jak by měly okruhy ExpressRoute odpovídat požadovanému koncovému stavu, jako je volba skladové položky, typ partnerského vztahu, konfigurace partnerského vztahu atd.

Další materiály

Pokyny k architektuře Cloud Adoption Framework

Další kroky

Nakonfigurujte okruh ExpressRoute nebo port ExpressRoute Direct pro navázání komunikace mezi vaší místní sítí a Azure.