Připojení místní sítě k Azure pomocí ExpressRouteConnect an on-premises network to Azure using ExpressRoute

Tato referenční architektura ukazuje, jak připojit místní síť k virtuálním sítím v Azure pomocí Azure ExpressRoute.This reference architecture shows how to connect an on-premises network to virtual networks on Azure, using Azure ExpressRoute. Připojení ExpressRoute používají privátní vyhrazené připojení prostřednictvím poskytovatele připojení třetí strany.ExpressRoute connections use a private, dedicated connection through a third-party connectivity provider. Privátní připojení rozšiřuje místní síť do služby Azure.The private connection extends your on-premises network into Azure. Nasaďte toto řešení.Deploy this solution.

00

Stáhněte si soubor aplikace Visio s touto architekturou.Download a Visio file of this architecture.

ArchitekturaArchitecture

Tato architektura se skládá z následujících součástí.The architecture consists of the following components.

  • Místní podniková síť.On-premises corporate network. Privátní místní síť fungující v organizaciA private local-area network running within an organization.

  • Okruh ExpressRoute.ExpressRoute circuit. Okruh vrstvy 2 nebo vrstvy 3 dodaný poskytovatelem připojení, který se připojí k místní síti s Azure přes hraniční směrovače.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Okruh používá hardwarovou infrastrukturu spravovanou poskytovatelem připojení.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Místní hraniční směrovače.Local edge routers. Směrovače, které připojují místní síť k okruhu spravovanému poskytovatelem připojení.Routers that connect the on-premises network to the circuit managed by the provider. V závislosti na tom, jak máte připojení zřízené, možná budete muset poskytnout veřejné IP adresy používané směrovači.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Hraniční směrovače Microsoftu.Microsoft edge routers. Dva směrovače v konfiguraci aktivní-aktivní s vysokou dostupností.Two routers in an active-active highly available configuration. Tyto směrovače poskytovateli připojení umožňují, aby své okruhy připojil přímo ke svému datacentru.These routers enable a connectivity provider to connect their circuits directly to their datacenter. V závislosti na tom, jak máte připojení zřízené, možná budete muset poskytnout veřejné IP adresy používané směrovači.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Virtuální sítě (VNet) Azure.Azure virtual networks (VNets). Každá virtuální síť se nachází v jedné oblasti Azure a může být hostitelem více aplikačních vrstev.Each VNet resides in a single Azure region, and can host multiple application tiers. Aplikační vrstvy můžou být segmentované pomocí podsítí v každé virtuální síti.Application tiers can be segmented using subnets in each VNet.

  • Veřejné služby Azure.Azure public services. Služby Azure, které je možné používat v rámci hybridní aplikace.Azure services that can be used within a hybrid application. Tyto služby jsou k dispozici i přes internet, ale přístup k nim prostřednictvím okruhu ExpressRoute znamená nízkou latenci a více předvídatelný výkon, protože přenosy neprocházejí přes internet.These services are also available over the Internet, but accessing them using an ExpressRoute circuit provides low latency and more predictable performance, because traffic does not go through the Internet.

  • Služby Office 365.Office 365 services. Veřejně dostupné aplikace a služby Office 365 poskytované Microsoftem.The publicly available Office 365 applications and services provided by Microsoft. Připojení se provádí pomocí partnerského vztahu Microsoftus adresami, které vlastní vaše organizace nebo kterou poskytuje poskytovatel připojení.Connections are performed using Microsoft peering, with addresses that are either owned by your organization or supplied by your connectivity provider. Prostřednictvím partnerského vztahu Microsoftu se můžete také připojit přímo k Microsoft CRM Online.You can also connect directly to Microsoft CRM Online through Microsoft peering.

  • Poskytovatelé připojení (nezobrazení).Connectivity providers (not shown). Společnosti, které poskytují připojení pomocí vrstvy 2 nebo vrstvy 3 mezi vaším datacentrem a datacentrem Azure.Companies that provide a connection either using layer 2 or layer 3 connectivity between your datacenter and an Azure datacenter.

DoporučeníRecommendations

Následující doporučení platí pro většinu scénářů.The following recommendations apply for most scenarios. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.Follow these recommendations unless you have a specific requirement that overrides them.

Poskytovatelé připojeníConnectivity providers

Vyberte vhodného poskytovatele připojení ExpressRoute pro vaši lokalitu.Select a suitable ExpressRoute connectivity provider for your location. Seznam poskytovatelů připojení, kteří jsou ve vaší lokalitě k dispozici, zobrazíte tímto příkazem Azure PowerShellu:To get a list of connectivity providers available at your location, use the following Azure PowerShell command:

Get-AzureRmExpressRouteServiceProvider

Poskytovatelé připojení ExpressRoute připojují vaše datacentrum k Microsoftu těmito způsoby:ExpressRoute connectivity providers connect your datacenter to Microsoft in the following ways:

  • Společné umístění v cloudové výměně.Co-located at a cloud exchange. Pokud jste ve společném umístění s cloudovou výměnou, můžete si objednat virtuální vzájemné propojení s Azure prostřednictvím ethernetové výměny poskytovatele ve společném umístění.If you're co-located in a facility with a cloud exchange, you can order virtual cross-connections to Azure through the co-location provider’s Ethernet exchange. Poskytovatelé ve společném umístění můžou nabízet vzájemné propojení vrstvy 2 nebo spravované vzájemné propojení vrstvy 3 mezi vaší infrastrukturou ve společném umístění a Azure.Co-location providers can offer either layer 2 cross-connections, or managed layer 3 cross-connections between your infrastructure in the co-location facility and Azure.
  • Ethernetová připojení typu point-to-point.Point-to-point Ethernet connections. Místní datacentra nebo pobočky můžete připojit k Azure prostřednictvím ethernetových propojení typu point-to-point.You can connect your on-premises datacenters/offices to Azure through point-to-point Ethernet links. Poskytovatelé ethernetových připojení typu point-to-point můžou nabízet připojení vrstvy 2 nebo spravovaná připojení vrstvy 3 mezi vaší lokalitou a Azure.Point-to-point Ethernet providers can offer layer 2 connections, or managed layer 3 connections between your site and Azure.
  • Sítě typu any-to-any (IPVPN) .Any-to-any (IPVPN) networks. Svou síť WAN můžete integrovat s Azure.You can integrate your wide area network (WAN) with Azure. Poskytovatelé virtuální privátní sítě s protokolem IP (IPVPN) (obvykle VPN s multiprotokolovým přepojováním podle návěští) nabízejí připojení typu any-to-any mezi vašimi pobočkami a datacentry.Internet protocol virtual private network (IPVPN) providers (typically a multiprotocol label switching VPN) offer any-to-any connectivity between your branch offices and datacenters. Azure může být s vaší sítí WAN propojený tak, aby vypadal stejně jako jiné pobočky.Azure can be interconnected to your WAN to make it look just like any other branch office. Poskytovatelé sítě WAN obvykle nabízejí spravované připojení vrstvy 3.WAN providers typically offer managed layer 3 connectivity.

Další informace o poskytovatelích připojení najdete v tématu Úvod do ExpressRoute.For more information about connectivity providers, see the ExpressRoute introduction.

Okruh ExpressRouteExpressRoute circuit

Ujistěte se, že vaše organizace splnila požadavky ExpressRoute požadavků pro připojení k Azure.Ensure that your organization has met the ExpressRoute prerequisite requirements for connecting to Azure.

Pokud jste to ještě neudělali, přidejte podsíť s názvem GatewaySubnet k virtuální síti Azure a vytvořte bránu virtuální sítě ExpressRoute pomocí služby brány VPN Azure.If you haven't already done so, add a subnet named GatewaySubnet to your Azure VNet and create an ExpressRoute virtual network gateway using the Azure VPN gateway service. Další informace o tomto procesu najdete v tématu pracovní postupy ExpressRoute pro zřizování okruhů a stavy okruhů.For more information about this process, see ExpressRoute workflows for circuit provisioning and circuit states.

Vytvořte okruh ExpressRoute tímto způsobem:Create an ExpressRoute circuit as follows:

  1. Spusťte následující příkaz PowerShellu:Run the following PowerShell command:

    New-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
    
  2. Zašlete ServiceKey pro nový okruh poskytovateli služeb.Send the ServiceKey for the new circuit to the service provider.

  3. Počkejte, až poskytovatel okruh zřídí.Wait for the provider to provision the circuit. Pokud chcete ověřit stav zřizování okruhu, spusťte tento příkaz PowerShellu:To verify the provisioning state of a circuit, run the following PowerShell command:

    Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    

    Když je okruh připravený, pole Provisioning state v části Service Provider výstupu se změní z NotProvisioned na Provisioned.The Provisioning state field in the Service Provider section of the output will change from NotProvisioned to Provisioned when the circuit is ready.

    Poznámka

    Pokud používáte připojení vrstvy 3, měl by za vás poskytovatel konfigurovat a spravovat směrování.If you're using a layer 3 connection, the provider should configure and manage routing for you. Poskytovateli dodáte informace potřebné k tomu, aby mohl implementovat odpovídající trasy.You provide the information necessary to enable the provider to implement the appropriate routes.

  4. Pokud používáte připojení vrstvy 2:If you're using a layer 2 connection:

    1. Rezervujte dvě podsítě /30 složené z platných veřejných IP adres pro každý typ partnerského vztahu, který chcete implementovat.Reserve two /30 subnets composed of valid public IP addresses for each type of peering you want to implement. Tyto podsítě /30 budou sloužit k poskytování IP adres pro směrovače používané pro okruh.These /30 subnets will be used to provide IP addresses for the routers used for the circuit. Pokud implementujete privátního partnerského vztahu a partnerský vztah Microsoftu, budete potřebovat 4/30 podsítí s platnými veřejnými IP adresami.If you are implementing private and Microsoft peering, you'll need 4 /30 subnets with valid public IP addresses.

    2. Konfigurujte směrování pro okruh ExpressRoute.Configure routing for the ExpressRoute circuit. Spusťte následující příkazy PowerShellu pro každý typ partnerského vztahu, který chcete nakonfigurovat (Private a Microsoft).Run the following PowerShell commands for each type of peering you want to configure (private and Microsoft). Další informace najdete v tématu Vytvoření a úprava směrování pro okruh ExpressRoute.For more information, see Create and modify routing for an ExpressRoute circuit.

      Set-AzureRmExpressRouteCircuitPeeringConfig -Name <<peering-name>> -Circuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      
    3. Rezervujte jiný fond platných veřejných IP adres, který se použije pro překlad síťových adres (NAT) pro partnerský vztah Microsoftu.Reserve another pool of valid public IP addresses to use for network address translation (NAT) for Microsoft peering. Doporučuje se mít pro každý partnerský vztah jiný fond.It is recommended to have a different pool for each peering. Fond sdělte poskytovateli připojení, aby pro tyto rozsahy mohl nakonfigurovat inzerování v protokolu BGP (Border Gateway Protocol).Specify the pool to your connectivity provider, so they can configure border gateway protocol (BGP) advertisements for those ranges.

  5. Spuštěním následujícího příkazu PowerShellu propojte svou privátní virtuální síť nebo sítě k okruhu ExpressRoute.Run the following PowerShell commands to link your private VNet(s) to the ExpressRoute circuit. Další informace najdete v tématu propojení virtuální sítě k okruhu ExpressRoute.For more information,see Link a virtual network to an ExpressRoute circuit.

    $circuit = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $gw = Get-AzureRmVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
    New-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
    

Ke stejnému okruhu ExpressRoute můžete připojit více virtuálních sítí, které jsou umístěné v různých oblastech, pokud se všechny virtuální sítě i okruh ExpressRoute nacházejí ve stejné geopolitické oblasti.You can connect multiple VNets located in different regions to the same ExpressRoute circuit, as long as all VNets and the ExpressRoute circuit are located within the same geopolitical region.

Řešení potížíTroubleshooting

Pokud se dříve funkční okruh ExpressRoute nedaří připojit a nedošlo k žádným změnám konfigurace v místním prostředí ani v rámci vaší privátní virtuální sítě, možná se budete muset obrátit na poskytovatele připojení, abyste problém společně vyřešili.If a previously functioning ExpressRoute circuit now fails to connect, in the absence of any configuration changes on-premises or within your private VNet, you may need to contact the connectivity provider and work with them to correct the issue. K ověření, zda byl okruh ExpressRoute zřízen, použijte následující příkazy prostředí PowerShell:Use the following PowerShell commands to verify that the ExpressRoute circuit has been provisioned:

Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Výstup tohoto příkazu zobrazí několik vlastností pro váš okruh, včetně ProvisioningState, CircuitProvisioningState a ServiceProviderProvisioningState, jak je vidět dole.The output of this command shows several properties for your circuit, including ProvisioningState, CircuitProvisioningState, and ServiceProviderProvisioningState as shown below.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Pokud ProvisioningState po pokusu o vytvoření nového okruhu neukazuje Succeeded, odeberte okruh pomocí níže uvedeného příkazu a zkuste ho vytvořit znovu.If the ProvisioningState is not set to Succeeded after you tried to create a new circuit, remove the circuit by using the command below and try to create it again.

Remove-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Pokud už váš poskytovatel měl okruh zřízený a ProvisioningState ukazuje Failed nebo CircuitProvisioningState není Enabled, požádejte poskytovatele o pomoc.If your provider had already provisioned the circuit, and the ProvisioningState is set to Failed, or the CircuitProvisioningState is not Enabled, contact your provider for further assistance.

Aspekty zabezpečeníScalability considerations

Okruhy ExpressRoute poskytují mezi sítěmi cestu s velkou šířku pásma.ExpressRoute circuits provide a high bandwidth path between networks. Obecně platí, že čím větší šířka pásma, tím větší náklady.Generally, the higher the bandwidth the greater the cost.

ExpressRoute nabízí zákazníkům dva cenové tarify , měřený plán a neomezený datový tarif.ExpressRoute offers two pricing plans to customers, a metered plan and an unlimited data plan. Poplatky se liší podle šířky pásma okruhu.Charges vary according to circuit bandwidth. Dostupná šířka pásma se bude pravděpodobně lišit podle poskytovatele.Available bandwidth will likely vary from provider to provider. Pomocí rutiny Get-AzureRmExpressRouteServiceProvider zobrazíte poskytovatele dostupné ve vaší oblasti a šířky pásma, které nabízejí.Use the Get-AzureRmExpressRouteServiceProvider cmdlet to see the providers available in your region and the bandwidths that they offer.

Jeden okruh ExpressRoute může podporovat určitý počet partnerských vztahů a propojení virtuálních sítí.A single ExpressRoute circuit can support a certain number of peerings and VNet links. Další informace najdete v článku s limity pro ExpressRoute.See ExpressRoute limits for more information.

Doplněk ExpressRoute Premium za příplatek poskytuje některé další možnosti:For an extra charge, the ExpressRoute Premium add-on provides some additional capability:

  • Zvýšené limity trasy pro privátní partnerské vztahy.Increased route limits for private peering.
  • Vyšší počet propojení virtuálních sítí na jeden okruh ExpressRouteIncreased number of VNet links per ExpressRoute circuit.
  • Globální konektivita služeb.Global connectivity for services.

Podrobnosti najdete v tématu ExpressRoute Price .See ExpressRoute pricing for details.

Okruhy ExpressRoute jsou navržené tak, aby umožňovaly dočasné shlukové přenosy v síti až do dvojnásobku limitu zakoupené šířky pásma bez dalších nákladů.ExpressRoute circuits are designed to allow temporary network bursts up to two times the bandwidth limit that you procured for no additional cost. Dosahuje se toho pomocí redundantních propojení.This is achieved by using redundant links. Tuto možnost ale nepodporují všichni poskytovatelé připojení.However, not all connectivity providers support this feature. Než se pro tuto možnost rozhodnete, ověřte, jestli ji váš poskytovatel připojení umožňuje.Verify that your connectivity provider enables this feature before depending on it.

I když někteří poskytovatelé umožňují šířku pásma měnit, vyberte si takovou počáteční šířku pásma, která převyšuje vaše potřeby a poskytuje prostor pro růst.Although some providers allow you to change your bandwidth, make sure you pick an initial bandwidth that surpasses your needs and provides room for growth. Pokud v budoucnu potřebujete šířku pásma zvýšit, máte dvě možnosti:If you need to increase bandwidth in the future, you are left with two options:

  • Zvětšete šířku pásma.Increase the bandwidth. Této možnosti byste se měli co nejvíce vyhýbat a ne všichni poskytovatelé umožňují zvětšovat šířku pásma dynamicky.You should avoid this option as much as possible, and not all providers allow you to increase bandwidth dynamically. Pokud ale potřebujete zvětšit šířku pásma, obraťte se na svého poskytovatele a ověřte, jestli podporuje změnu vlastností ExpressRoute šířky pásma prostřednictvím příkazů PowerShellu.But if a bandwidth increase is needed, check with your provider to verify they support changing ExpressRoute bandwidth properties via PowerShell commands. Pokud ano, spusťte následující příkazy.If they do, run the commands below.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Šířku pásma můžete zvětšit bez ztráty připojení.You can increase the bandwidth without loss of connectivity. Přechod na nižší šířku pásma povede k přerušení připojení, protože musíte odstranit okruh a znovu ho vytvořit s novou konfigurací.Downgrading the bandwidth will result in disruption in connectivity, because you must delete the circuit and recreate it with the new configuration.

  • Změňte cenový tarif nebo upgradujte na Premium.Change your pricing plan and/or upgrade to Premium. Provedete to pomocí následujících příkazů.To do so, run the following commands. Vlastnost Sku.Tier může být Standard nebo Premium. Vlastnost Sku.Name může být MeteredData nebo UnlimitedData.The Sku.Tier property can be Standard or Premium; the Sku.Name property can be MeteredData or UnlimitedData.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Důležité

    Ujistěte se, že vlastnost Sku.Name odpovídá vlastnostem Sku.Tier a Sku.Family.Make sure the Sku.Name property matches the Sku.Tier and Sku.Family. Pokud změníte rodinu a vrstvu, ale nezměníte název, připojení se vypne.If you change the family and tier, but not the name, your connection will be disabled.

    SKU můžete upgradovat bez přerušení, ale není možné přejít z neomezeného cenového tarifu na měřený.You can upgrade the SKU without disruption, but you cannot switch from the unlimited pricing plan to metered. Když přejdete na nižší verzi SKU, musí vaše využití šířky pásma zůstat v rámci výchozího limitu standardního SKU.When downgrading the SKU, your bandwidth consumption must remain within the default limit of the standard SKU.

Aspekty dostupnostiAvailability considerations

ExpressRoute nepodporuje protokoly nadbytečnosti směrovačů jako HSRP (hot standby routing protocol) a VRRP (virtual router redundancy protocol) pro implementaci vysoké dostupnosti.ExpressRoute does not support router redundancy protocols such as hot standby routing protocol (HSRP) and virtual router redundancy protocol (VRRP) to implement high availability. Místo toho používá redundantní dvojici relací protokolu BGP pro každý partnerský vztah.Instead, it uses a redundant pair of BGP sessions per peering. Kvůli usnadnění připojení k vaší síti s vysokou dostupností vám Azure zřídí dva redundantní porty na dvou směrovačích (součást hraniční sítě Microsoftu) v konfiguraci aktivní-aktivní.To facilitate highly-available connections to your network, Azure provisions you with two redundant ports on two routers (part of the Microsoft edge) in an active-active configuration.

Ve výchozím nastavení relace protokolu BGP používají hodnotu časového limitu nečinnosti 60 sekund.By default, BGP sessions use an idle timeout value of 60 seconds. Pokud časový limit relace třikrát vyprší (celkem 180 sekund), směrovač se označí jako nedostupný a veškerý provoz se přesměruje na zbývající směrovač.If a session times out three times (180 seconds total), the router is marked as unavailable, and all traffic is redirected to the remaining router. Tento časový limit 180 sekund může být pro kritické aplikace příliš dlouhý.This 180-second timeout might be too long for critical applications. V takovém případě můžete nastavení časového limitu protokolu BGP na místním směrovači změnit na menší hodnotu.If so, you can change your BGP time-out settings on the on-premises router to a smaller value. ExpressRoute také podporuje zjišťování obousměrného předávání (BFD) prostřednictvím privátního partnerského vztahu.ExpressRoute also supports Bidirectional Forwarding Detection (BFD) over private peering. Povolením BFD over ExpressRoute můžete urychlit propojení mezi zařízeními Microsoft Enterprise Edge (MSEE) a směrovači, na kterých jste ukončili okruh ExpressRoute (PE).By enabling BFD over ExpressRoute, you can expedite link failure detection between Microsoft Enterprise edge (MSEE) devices and the routers on which you terminate the ExpressRoute circuit (PE). Můžete ukončit ExpressRoute zařízení pro směrování hraničních zařízení nebo zařízení pro směrování hraničního partnera (Pokud jste přešli se službou připojení ke spravované vrstvě 3).You can terminate ExpressRoute over Customer Edge routing devices or Partner Edge routing devices (if you went with managed Layer 3 connection service).

Vysokou dostupnost pro připojení k Azure můžete nakonfigurovat různými způsoby v závislosti na typu poskytovatele, kterého používáte, počtu okruhů ExpressRoute a připojení brány virtuální sítě, která jste ochotní konfigurovat.You can configure high availability for your Azure connection in different ways, depending on the type of provider you use, and the number of ExpressRoute circuits and virtual network gateway connections you're willing to configure. Tady je souhrn možností dostupnosti:The following summarizes your availability options:

  • Pokud používáte připojení vrstvy 2, nasaďte redundantní směrovače v místní síti v konfiguraci aktivní-aktivní.If you're using a layer 2 connection, deploy redundant routers in your on-premises network in an active-active configuration. Připojte primární okruh k jednomu směrovači a sekundární okruh ke druhému.Connect the primary circuit to one router, and the secondary circuit to the other. Tím získáte připojení s vysokou dostupností na obou koncích připojení.This will give you a highly available connection at both ends of the connection. To je nezbytné, pokud požadujete smlouvu o úrovni služeb (SLA) ExpressRoute.This is necessary if you require the ExpressRoute service level agreement (SLA). Podrobnosti najdete v tématu SLA pro Azure ExpressRoute .See SLA for Azure ExpressRoute for details.

    Následující diagram znázorňuje konfiguraci s redundantními místními směrovači připojenými k primárnímu a sekundárnímu okruhu.The following diagram shows a configuration with redundant on-premises routers connected to the primary and secondary circuits. Každý okruh zpracovává provoz privátního partnerského vztahu (každý partnerský vztah je určený pár/30 adresních prostorů, jak je popsáno v předchozí části).Each circuit handles the traffic for private peering (each peering is designated a pair of /30 address spaces, as described in the previous section).

    11

  • Pokud používáte připojení vrstvy 3, ověřte, jestli poskytuje redundantní relace protokolu BGP, které se vám starají o dostupnost.If you're using a layer 3 connection, verify that it provides redundant BGP sessions that handle availability for you.

  • Připojte virtuální síť k více okruhům ExpressRoute od různých poskytovatelů služeb.Connect the VNet to multiple ExpressRoute circuits, supplied by different service providers. Tato strategie zajišťuje další vysokou dostupnost a možnosti zotavení po havárii.This strategy provides additional high-availability and disaster recovery capabilities.

  • Konfigurujte VPN typu site-to-site jako cestu převzetí služeb při selhání pro ExpressRoute.Configure a site-to-site VPN as a failover path for ExpressRoute. Další informace o této možnosti najdete v tématu připojení místní sítě k Azure pomocí ExpressRoute s převzetím služeb při selhání VPN.For more about this option, see Connect an on-premises network to Azure using ExpressRoute with VPN failover. Tato možnost se týká jenom privátního partnerského vztahu.This option only applies to private peering. Pro služby Azure a Office 365 je jedinou cestou převzetí služeb při selhání internet.For Azure and Office 365 services, the Internet is the only failover path.

Aspekty správyManageability considerations

Pomocí sady nástrojů pro připojení k Azure (AzureCT) můžete monitorovat připojení mezi místním datacentrem a Azure.You can use the Azure Connectivity Toolkit (AzureCT) to monitor connectivity between your on-premises datacenter and Azure.

Informace o zabezpečeníSecurity considerations

Možnosti zabezpečení pro připojení k Azure můžete nakonfigurovat různými způsoby v závislosti na vašich požadavcích na zabezpečení a potřebách dodržování předpisů.You can configure security options for your Azure connection in different ways, depending on your security concerns and compliance needs.

ExpressRoute funguje ve vrstvě 3.ExpressRoute operates in layer 3. Hrozbám v aplikační vrstvě je možné zabránit pomocí síťového zabezpečovacího zařízení, které provoz omezuje na oprávněné prostředky.Threats in the application layer can be prevented by using a network security appliance that restricts traffic to legitimate resources.

Pokud chcete dosáhnout maximálního zabezpečení, přidejte mezi místní síť a hraniční směrovače poskytovatele síťová zabezpečovací zařízení.To maximize security, add network security appliances between the on-premises network and the provider edge routers. To pomůže omezit neoprávněný příchozí provoz z virtuální sítě:This will help to restrict the inflow of unauthorized traffic from the VNet:

22

Pro účely auditování nebo dodržování předpisů může být nutné zakázat přímý přístup z komponent spuštěných ve virtuální síti na Internet a implementovat vynucené tunelování.For auditing or compliance purposes, it may be necessary to prohibit direct access from components running in the VNet to the Internet and implement forced tunneling. V takovém případě by se měl provoz z Internetu přesměrovat zpátky prostřednictvím proxy serveru, který je spuštěný místně, kde se dá auditovat.In this situation, Internet traffic should be redirected back through a proxy running on-premises where it can be audited. Proxy server se může nakonfigurovat, aby blokoval neoprávněný odchozí provoz a filtroval potenciálně škodlivý příchozí provoz.The proxy can be configured to block unauthorized traffic flowing out, and filter potentially malicious inbound traffic.

33

Pokud chcete dosáhnout maximálního zabezpečení, nepovolujte veřejnou IP adresu pro virtuální počítače a pomocí skupin zabezpečení sítě zajistěte, aby tyto virtuální počítače nebyly veřejně přístupné.To maximize security, do not enable a public IP address for your VMs, and use NSGs to ensure that these VMs aren't publicly accessible. Virtuální počítače by měly být k dispozici jenom pomocí interní IP adresy.VMs should only be available using the internal IP address. Tyto adresy můžou být přístupné přes síť ExpressRoute, aby místnímu týmu DevOps umožňovaly provádění konfigurace nebo údržby.These addresses can be made accessible through the ExpressRoute network, enabling on-premises DevOps staff to perform configuration or maintenance.

Pokud je nutné vystavit koncové body správy pro virtuální počítače do externí sítě, pomocí skupin zabezpečení sítě nebo seznamů řízení přístupu omezte viditelnost těchto portů na seznam povolených IP adres nebo sítí.If you must expose management endpoints for VMs to an external network, use NSGs or access control lists to restrict the visibility of these ports to an allowed list of IP addresses or networks.

Poznámka

Virtuální počítače Azure nasazené prostřednictvím Azure Portal můžou zahrnovat veřejnou IP adresu, která poskytuje přístup pro přihlášení.Azure VMs deployed through the Azure portal can include a public IP address that provides login access. Osvědčeným postupem je ale Nepovolit.However, it is a best practice not to permit this.

Nasazení řešeníDeploy the solution

Požadavky:Prerequisites. Musíte už mít nakonfigurovanou existující místní infrastrukturu s vhodným síťovým zařízením.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

K nasazení řešení proveďte následující kroky.To deploy the solution, perform the following steps.

  1. Klikněte na odkaz níže.Click the link below.

    Nasazení do AzureDeploy to Azure

  2. Počkejte, až se odkaz otevře na portálu Azure Portal, a pak postupujte podle těchto kroků:Wait for the link to open in the Azure portal, then follow these steps:

    • Název skupiny prostředků už je v souboru parametrů definovaný. Proto vyberte Vytvořit nový a do textového pole zadejte ra-hybrid-er-rg.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-er-rg in the text box.
    • V rozevíracím seznamu Umístění vyberte příslušnou oblast.Select the region from the Location drop down box.
    • Obsah textových polí s kořenovým URI pro šablony a kořenovým URI pro parametry neupravujte.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Přečtěte si podmínky a ujednání a potom klikněte na zaškrtávací políčko Souhlasím s podmínkami a ujednáními uvedenými nahoře.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Klikněte na tlačítko Koupit.Click the Purchase button.
  3. Počkejte, než se nasazení dokončí.Wait for the deployment to complete.

  4. Klikněte na odkaz níže.Click the link below.

    Nasazení do AzureDeploy to Azure

  5. Počkejte, až se odkaz otevře na portálu Azure Portal, a pak postupujte podle těchto kroků:Wait for the link to open in the Azure portal, then follow these steps:

    • Vyberte Použít existující v sekci Skupina prostředků a do textového pole zadejte ra-hybrid-er-rg.Select Use existing in the Resource group section and enter ra-hybrid-er-rg in the text box.
    • V rozevíracím seznamu Umístění vyberte příslušnou oblast.Select the region from the Location drop down box.
    • Obsah textových polí s kořenovým URI pro šablony a kořenovým URI pro parametry neupravujte.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Přečtěte si podmínky a ujednání a potom klikněte na zaškrtávací políčko Souhlasím s podmínkami a ujednáními uvedenými nahoře.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Klikněte na tlačítko Koupit.Click the Purchase button.
  6. Počkejte, než se nasazení dokončí.Wait for the deployment to complete.