Připojení místní sítě k Azure pomocí ExpressRoute s VPN pro převzetí služeb při selháníConnect an on-premises network to Azure using ExpressRoute with VPN failover

Tato referenční architektura ukazuje, jak připojit místní síť k virtuální síti (VNet) Azure pomocí ExpressRoute s virtuální privátní sítí (VPN) site-to-site jako připojením pro převzetí služeb při selhání.This reference architecture shows how to connect an on-premises network to an Azure virtual network (VNet) using ExpressRoute, with a site-to-site virtual private network (VPN) as a failover connection. Přenosy mezi místní sítí a virtuální sítí Azure proudí prostřednictvím připojení ExpressRoute.Traffic flows between the on-premises network and the Azure VNet through an ExpressRoute connection. Pokud dojde ke ztrátě připojení v okruhu ExpressRoute, přenosy se směrují prostřednictvím tunelu VPN s protokolem IPSec.If there is a loss of connectivity in the ExpressRoute circuit, traffic is routed through an IPSec VPN tunnel. Nasaďte toto řešení.Deploy this solution.

Pokud je okruh ExpressRoute nedostupný, směrování VPN bude zpracovávat jenom soukromá připojení s partnerským vztahem.Note that if the ExpressRoute circuit is unavailable, the VPN route will only handle private peering connections. Veřejné partnerské vztahy a partnerské vztahy Microsoftu se budou připojovat přes internet.Public peering and Microsoft peering connections will pass over the Internet.

Referenční architektura pro vysoce dostupná hybridní Síťová architektura s využitím ExpressRoute a VPN gateway

Stáhněte si soubor aplikace Visio s touto architekturou.Download a Visio file of this architecture.

ArchitekturaArchitecture

Tato architektura se skládá z následujících součástí.The architecture consists of the following components.

  • Místní síť:On-premises network. Privátní místní síť fungující v organizaciA private local-area network running within an organization.

  • Zařízení VPN.VPN appliance. Zařízení nebo služba poskytující externí připojení k místní síti.A device or service that provides external connectivity to the on-premises network. Zařízení VPN může být hardwarové zařízení nebo softwarové řešení, třeba služba Směrování a vzdálený přístup (RRAS) ve Windows Serveru 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Seznam podporovaných zařízení VPN a informace o konfiguraci vybraných zařízení VPN pro připojení k Azure najdete v tématu informace o zařízeních VPN pro připojení typu Site-to-site VPN Gateway.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • Okruh ExpressRoute.ExpressRoute circuit. Okruh vrstvy 2 nebo vrstvy 3 dodaný poskytovatelem připojení, který se připojí k místní síti s Azure přes hraniční směrovače.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Okruh používá hardwarovou infrastrukturu spravovanou poskytovatelem připojení.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Brána virtuální sítě ExpressRoute.ExpressRoute virtual network gateway. Brána virtuální sítě ExpressRoute umožňuje, aby se virtuální síť připojila k okruhu ExpressRoute používanému pro připojení k místní síti.The ExpressRoute virtual network gateway enables the VNet to connect to the ExpressRoute circuit used for connectivity with your on-premises network.

  • Brána virtuální sítě VPN.VPN virtual network gateway. Brána virtuální sítě VPN umožňuje, aby se virtuální síť připojila k zařízení VPN v místní síti.The VPN virtual network gateway enables the VNet to connect to the VPN appliance in the on-premises network. Brána virtuální sítě VPN je nakonfigurovaná tak, aby přijímala požadavky z místní sítě jenom prostřednictvím zařízení VPN.The VPN virtual network gateway is configured to accept requests from the on-premises network only through the VPN appliance. Další informace najdete v tématu připojení místní sítě k virtuální síti Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

  • Připojení VPN.VPN connection. Připojení má vlastnosti, které určují typ připojení (IPSec) a klíč sdílený s místním zařízením VPN k šifrování přenosů.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.

  • Virtuální síť Azure.Azure Virtual Network (VNet). Každá virtuální síť se nachází v jedné oblasti Azure a může být hostitelem více aplikačních vrstev.Each VNet resides in a single Azure region, and can host multiple application tiers. Aplikační vrstvy můžou být segmentované pomocí podsítí v každé virtuální síti.Application tiers can be segmented using subnets in each VNet.

  • Podsíť brány.Gateway subnet. Brány virtuální sítě se nacházejí ve stejné podsíti.The virtual network gateways are held in the same subnet.

  • Cloudová aplikace.Cloud application. Aplikace hostovaná v Azure.The application hosted in Azure. Může obsahovat několik vrstev s několika podsítěmi připojenými prostřednictvím nástrojů pro vyrovnávání zatížení Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Další informace o infrastruktuře aplikace najdete v tématu spouštění úloh virtuálních počítačů s Windows a spouštění úloh virtuálních počítačůse systémem Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

DoporučeníRecommendations

Následující doporučení platí pro většinu scénářů.The following recommendations apply for most scenarios. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.Follow these recommendations unless you have a specific requirement that overrides them.

Virtuální síť a GatewaySubnetVNet and GatewaySubnet

Vytvořte připojení brány virtuální sítě ExpressRoute a připojení brány virtuální sítě VPN ve stejné virtuální síti s objektem brány, který je už na místě.Create the ExpressRoute virtual network gateway connection and the VPN virtual network gateway connection in the same VNet with a Gateway object already in place. Budou sdílet stejnou podsíť s názvem GatewaySubnet.They will both share the same subnet named GatewaySubnet.

Pokud už virtuální síť podsíť s názvem GatewaySubnet obsahuje, zkontrolujte, jestli má adresní prostor /27 nebo větší.If the VNet already includes a subnet named GatewaySubnet, ensure that it has a /27 or larger address space. Pokud je stávající podsíť příliš malá, pomocí následujícího příkazu PowerShellu podsíť odeberte:If the existing subnet is too small, use the following PowerShell command to remove the subnet:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Remove-AzureRmVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Pokud virtuální síť neobsahuje podsíť s názvem GatewaySubnet, vytvořte novou pomocí následujícího příkazu PowerShellu:If the VNet does not contain a subnet named GatewaySubnet, create a new one using the following PowerShell command:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Add-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzureRmVirtualNetwork -VirtualNetwork $vnet

VPN a brány ExpressRouteVPN and ExpressRoute gateways

Ověřte, že vaše organizace splňuje požadavky ExpressRoute pro připojení k Azure.Verify that your organization meets the ExpressRoute prerequisite requirements for connecting to Azure.

Pokud už ve virtuální síti Azure máte bránu virtuální sítě VPN, odeberte ji pomocí následujícího příkazu PowerShellu:If you already have a VPN virtual network gateway in your Azure VNet, use the following PowerShell command to remove it:

Remove-AzureRmVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>

Podle pokynů v tématu implementace hybridní síťové architektury s Azure ExpressRoute vytvořte připojení ExpressRoute.Follow the instructions in Implementing a hybrid network architecture with Azure ExpressRoute to establish your ExpressRoute connection.

Podle pokynů v tématu implementace hybridní síťové architektury s využitím Azure a místní sítě VPN vytvořte připojení brány virtuální sítě VPN.Follow the instructions in Implementing a hybrid network architecture with Azure and On-premises VPN to establish your VPN virtual network gateway connection.

Po vytvoření připojení brány virtuální sítě otestujte prostředí:After you have established the virtual network gateway connections, test the environment as follows:

  1. Zkontrolujte, jestli se můžete připojit z místní sítě k virtuální síti Azure.Make sure you can connect from your on-premises network to your Azure VNet.
  2. Obraťte se na svého poskytovatele připojení, aby pro testování zastavil ExpressRoute.Contact your provider to stop ExpressRoute connectivity for testing.
  3. Ověřte, že se stále můžete z místní sítě připojit k virtuální síti Azure pomocí připojení brány virtuální sítě VPN.Verify that you can still connect from your on-premises network to your Azure VNet using the VPN virtual network gateway connection.
  4. Obraťte se na svého poskytovatele připojení, aby připojení ExpressRoute znovu aktivoval.Contact your provider to reestablish ExpressRoute connectivity.

PožadavkyConsiderations

Pokyny pro ExpressRoute najdete v tématu implementace hybridní síťové architektury s pokyny pro Azure ExpressRoute .For ExpressRoute considerations, see the Implementing a Hybrid Network Architecture with Azure ExpressRoute guidance.

Informace k síti VPN typu Site-to-site najdete v tématu implementace hybridní síťové architektury s využitím Azure a místních pokynů k síti VPN .For site-to-site VPN considerations, see the Implementing a Hybrid Network Architecture with Azure and On-premises VPN guidance.

Obecné informace o zabezpečení Azure najdete v článku zabezpečení cloudových služeb a sítě Microsoftu.For general Azure security considerations, see Microsoft cloud services and network security.

Nasazení řešeníDeploy the solution

Požadavky.Prerequisites. Musíte už mít nakonfigurovanou existující místní infrastrukturu s vhodným síťovým zařízením.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

K nasazení řešení proveďte následující kroky.To deploy the solution, perform the following steps.

  1. Klikněte na odkaz níže.Click the link below.

    Nasazení do AzureDeploy to Azure

  2. Počkejte, až se odkaz otevře na portálu Azure Portal, a pak postupujte podle těchto kroků:Wait for the link to open in the Azure portal, then follow these steps:

    • Název skupiny prostředků už je v souboru parametrů definovaný. Proto vyberte Vytvořit nový a do textového pole zadejte ra-hybrid-vpn-er-rg.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-er-rg in the text box.
    • V rozevíracím seznamu Umístění vyberte příslušnou oblast.Select the region from the Location drop down box.
    • Obsah textových polí s kořenovým URI pro šablony a kořenovým URI pro parametry neupravujte.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Přečtěte si podmínky a ujednání a potom klikněte na zaškrtávací políčko Souhlasím s podmínkami a ujednáními uvedenými nahoře.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Klikněte na tlačítko Koupit.Click the Purchase button.
  3. Počkejte, než se nasazení dokončí.Wait for the deployment to complete.

  4. Klikněte na odkaz níže.Click the link below.

    Nasazení do AzureDeploy to Azure

  5. Počkejte, až se odkaz otevře na portálu Azure Portal, a pak postupujte podle těchto kroků:Wait for the link to open in the Azure portal, then enter then follow these steps:

    • Vyberte Použít existující v sekci Skupina prostředků a do textového pole zadejte ra-hybrid-vpn-er-rg.Select Use existing in the Resource group section and enter ra-hybrid-vpn-er-rg in the text box.
    • V rozevíracím seznamu Umístění vyberte příslušnou oblast.Select the region from the Location drop down box.
    • Obsah textových polí s kořenovým URI pro šablony a kořenovým URI pro parametry neupravujte.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Přečtěte si podmínky a ujednání a potom klikněte na zaškrtávací políčko Souhlasím s podmínkami a ujednáními uvedenými nahoře.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Klikněte na tlačítko Koupit.Click the Purchase button.