Verbinden eines lokalen Netzwerks mit Azure über ExpressRouteConnect an on-premises network to Azure using ExpressRoute

Diese Referenzarchitektur zeigt, wie man mithilfe von Azure ExpressRoute ein lokales Netzwerk mit virtuellen Azure-Netzwerken verbindet.This reference architecture shows how to connect an on-premises network to virtual networks on Azure, using Azure ExpressRoute. ExpressRoute-Verbindungen nutzen eine dedizierte private Verbindung über einen Drittanbieter für die Konnektivität.ExpressRoute connections use a private, dedicated connection through a third-party connectivity provider. Die private Verbindung erweitert Ihr lokales Netzwerk auf Azure.The private connection extends your on-premises network into Azure. Stellen Sie diese Lösung bereit.Deploy this solution.

00

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture.

ArchitectureArchitecture

Die Architektur umfasst die folgenden Komponenten.The architecture consists of the following components.

  • Lokales Unternehmensnetzwerk.On-premises corporate network. Ein privates lokales Netzwerk innerhalb einer Organisation.A private local-area network running within an organization.

  • ExpressRoute-Verbindung.ExpressRoute circuit. Eine vom Konnektivitätsanbieter bereitgestellte Layer 2- oder Layer 3-Verbindung, die das lokale Netzwerk über die Edgerouter mit Azure verbindet.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Für die Verbindung wird die vom Konnektivitätsanbieter verwaltete Hardwareinfrastruktur verwendet.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Lokale Edgerouter.Local edge routers. Route, die das lokale Netzwerk mit der über den Anbieter verwalteten Verbindung verbinden.Routers that connect the on-premises network to the circuit managed by the provider. Je nachdem, wie Ihre Verbindung bereitgestellt wird, müssen Sie möglicherweise die öffentlichen IP-Adressen angeben, die von den Routern verwendet werden.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Microsoft Edge-Router.Microsoft edge routers. Zwei Router in einer Aktiv/Aktiv-Konfiguration mit Hochverfügbarkeit.Two routers in an active-active highly available configuration. Diese Router ermöglichen es einem Konnektivitätsanbieter, eine direkte Verbindung zwischen ihren Leitungen und dem Rechenzentrum herzustellen.These routers enable a connectivity provider to connect their circuits directly to their datacenter. Je nachdem, wie Ihre Verbindung bereitgestellt wird, müssen Sie möglicherweise die öffentlichen IP-Adressen angeben, die von den Routern verwendet werden.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Virtuelle Azure-Netzwerke (VNETs) .Azure virtual networks (VNets). Jedes VNET befindet sich in einer einzelnen Azure-Region und kann mehrere Anwendungsebenen hosten.Each VNet resides in a single Azure region, and can host multiple application tiers. Anwendungsebenen können mithilfe von Subnetzen in jedem VNET segmentiert werden.Application tiers can be segmented using subnets in each VNet.

  • Öffentliche Azure-Dienste.Azure public services. Azure-Dienste, die innerhalb einer Hybridanwendung genutzt werden können.Azure services that can be used within a hybrid application. Diese Dienste stehen auch über das Internet zur Verfügung, aber der Zugriff über eine ExpressRoute-Leitung bietet niedrige Latenz und eine besser vorhersagbare Leistung, da der Datenverkehr nicht über das Internet geleitet wird.These services are also available over the Internet, but accessing them using an ExpressRoute circuit provides low latency and more predictable performance, because traffic does not go through the Internet.

  • Office 365-Dienste.Office 365 services. Die öffentlich verfügbaren Office 365-Anwendungen und -Dienste, die von Microsoft bereitgestellt werden.The publicly available Office 365 applications and services provided by Microsoft. Verbindungen werden über das Microsoft-Peering hergestellt. Die hierbei verwendeten Adressen gehören entweder der Organisation oder werden vom Konnektivitätsanbieter bereitgestellt.Connections are performed using Microsoft peering, with addresses that are either owned by your organization or supplied by your connectivity provider. Es ist auch möglich, per Microsoft-Peering eine direkte Verbindung mit Microsoft CRM Online herzustellen.You can also connect directly to Microsoft CRM Online through Microsoft peering.

  • Konnektivitätsanbieter (nicht gezeigt).Connectivity providers (not shown). Unternehmen, die Layer 2- oder Layer 3-Konnektivität zwischen Ihrem Rechenzentrum und einem Azure-Rechenzentrum bereitstellen.Companies that provide a connection either using layer 2 or layer 3 connectivity between your datacenter and an Azure datacenter.

EmpfehlungenRecommendations

Die folgenden Empfehlungen gelten für die meisten Szenarios.The following recommendations apply for most scenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.Follow these recommendations unless you have a specific requirement that overrides them.

KonnektivitätsanbieterConnectivity providers

Wählen Sie einen geeigneten ExpressRoute-Konnektivitätsanbieter für Ihren Standort aus.Select a suitable ExpressRoute connectivity provider for your location. Verwenden Sie den folgenden Azure PowerShell-Befehl, um eine Liste der Konnektivitätsanbieter abzurufen, die an Ihrem Standort verfügbar sind:To get a list of connectivity providers available at your location, use the following Azure PowerShell command:

Get-AzureRmExpressRouteServiceProvider

ExpressRoute-Konnektivitätsanbieter verbinden Ihr Rechenzentrum über die folgenden Methoden mit Microsoft:ExpressRoute connectivity providers connect your datacenter to Microsoft in the following ways:

  • Per Co-Location und Cloud Exchange.Co-located at a cloud exchange. Wenn Sie sich in einer Einrichtung mit Cloud Exchange befinden, können Sie virtuelle Querverbindungen mit Azure über den Ethernet Exchange des Co-Location-Anbieters anfordern.If you're co-located in a facility with a cloud exchange, you can order virtual cross-connections to Azure through the co-location provider’s Ethernet exchange. Co-Location-Anbieter stellen entweder Layer 2-Querverbindungen oder verwaltete Layer 3-Querverbindungen zwischen Ihrer Infrastruktur in der Co-Location-Einrichtung und Azure bereit.Co-location providers can offer either layer 2 cross-connections, or managed layer 3 cross-connections between your infrastructure in the co-location facility and Azure.
  • Point-to-Point-Ethernet-Verbindungen.Point-to-point Ethernet connections. Sie können Ihre lokalen Rechenzentren/Büros über Point-to-Point-Ethernet-Leitungen mit Azure verbinden.You can connect your on-premises datacenters/offices to Azure through point-to-point Ethernet links. Point-to-Point-Ethernet-Anbieter können Layer 2-Verbindungen oder verwaltete Layer 3-Verbindungen zwischen Ihrem Standort und Azure bereitstellen.Point-to-point Ethernet providers can offer layer 2 connections, or managed layer 3 connections between your site and Azure.
  • Any-to-Any-Netzwerke (IPVPN) .Any-to-any (IPVPN) networks. Sie können Ihr Fernnetz (WAN) in Azure integrieren.You can integrate your wide area network (WAN) with Azure. IPVPN-Anbieter (normalerweise MPLS VPN) stellen Any-to-Any-Konnektivität zwischen Ihren Niederlassungen und den Rechenzentren bereit.Internet protocol virtual private network (IPVPN) providers (typically a multiprotocol label switching VPN) offer any-to-any connectivity between your branch offices and datacenters. Azure kann mit Ihrem WAN verbunden werden, sodass es wie eine normale Niederlassung erscheint.Azure can be interconnected to your WAN to make it look just like any other branch office. WAN-Anbieter stellen in der Regel verwaltete Layer 3-Konnektivität bereit.WAN providers typically offer managed layer 3 connectivity.

Weitere Informationen zu Konnektivitätsanbietern finden Sie der ExpressRoute-Übersicht.For more information about connectivity providers, see the ExpressRoute introduction.

ExpressRoute-VerbindungExpressRoute circuit

Stellen Sie sicher, dass Ihre Organisation die ExpressRoute-Voraussetzungen zum Herstellen der Verbindung mit Azure erfüllt.Ensure that your organization has met the ExpressRoute prerequisite requirements for connecting to Azure.

Sofern nicht bereits geschehen, fügen Sie ein Subnetz namens GatewaySubnet zu Ihrem Azure-VNET hinzu, und erstellen Sie mit dem Azure-VPN-Gatewaydienst ein virtuelles ExpressRoute-Gateway.If you haven't already done so, add a subnet named GatewaySubnet to your Azure VNet and create an ExpressRoute virtual network gateway using the Azure VPN gateway service. Weitere Informationen zur Vorgehensweise finden Sie unter ExpressRoute-Workflows für die Verbindungsbereitstellung und Verbindungszustände.For more information about this process, see ExpressRoute workflows for circuit provisioning and circuit states.

Gehen Sie folgendermaßen vor, um eine ExpressRoute-Verbindung zu erstellen:Create an ExpressRoute circuit as follows:

  1. Führen Sie den folgenden PowerShell-Befehl aus:Run the following PowerShell command:

    New-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
    
  2. Senden Sie den ServiceKey für die neue Verbindung an den Dienstanbieter.Send the ServiceKey for the new circuit to the service provider.

  3. Warten Sie die Bereitstellung der Verbindung durch den Anbieter ab.Wait for the provider to provision the circuit. Überprüfen Sie mit dem folgenden PowerShell-Befehl den Bereitstellungszustand einer Verbindung:To verify the provisioning state of a circuit, run the following PowerShell command:

    Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    

    Das Feld Provisioning state im Abschnitt Service Provider der Ausgabe ändert sich von NotProvisioned in Provisioned, wenn die Verbindung bereit ist.The Provisioning state field in the Service Provider section of the output will change from NotProvisioned to Provisioned when the circuit is ready.

    Hinweis

    Wenn Sie eine Layer 3-Verbindung verwenden, sollte die Konfiguration und Verwaltung für das Routing über den Anbieter erfolgen.If you're using a layer 3 connection, the provider should configure and manage routing for you. Sie teilen dem Anbieter die erforderlichen Informationen zum Implementieren der geeigneten Routen mit.You provide the information necessary to enable the provider to implement the appropriate routes.

  4. Bei Verwendung einer Layer 2-Verbindung:If you're using a layer 2 connection:

    1. Reservieren Sie zwei /30-Subnetze mit gültigen öffentlichen IP-Adressen für jeden Peeringtyp, den Sie implementieren möchten.Reserve two /30 subnets composed of valid public IP addresses for each type of peering you want to implement. Über diese /30-Subnetze werden IP-Adressen für die Router bereitgestellt, die für die Verbindung verwendet werden.These /30 subnets will be used to provide IP addresses for the routers used for the circuit. Wenn Sie privates und Microsoft-Peering implementieren, benötigen Sie 4 /30-Subnetze mit gültigen öffentlichen IP-Adressen.If you are implementing private and Microsoft peering, you'll need 4 /30 subnets with valid public IP addresses.

    2. Konfigurieren Sie das Routing für die ExpressRoute-Verbindung.Configure routing for the ExpressRoute circuit. Führen Sie die folgenden PowerShell-Befehle für jeden Peeringtyp aus, den Sie konfigurieren möchten (privat und Microsoft).Run the following PowerShell commands for each type of peering you want to configure (private and Microsoft). Weitere Informationen finden Sie unter Erstellen und Ändern des Peerings für eine ExpressRoute-Verbindung mithilfe von PowerShell.For more information, see Create and modify routing for an ExpressRoute circuit.

      Set-AzureRmExpressRouteCircuitPeeringConfig -Name <<peering-name>> -Circuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      
    3. Reservieren Sie einen weiteren Pool mit gültigen öffentlichen IP-Adressen für die Netzwerkadressübersetzung (NAT) für Microsoft-Peering.Reserve another pool of valid public IP addresses to use for network address translation (NAT) for Microsoft peering. Es wird empfohlen, für jeden Peeringtyp einen eigenen Pool zu verwenden.It is recommended to have a different pool for each peering. Teilen Sie den Pool Ihrem Konnektivitätsanbieter mit, damit dieser BGP-Ankündigungen (Border Gateway Protocol) für diese Bereiche konfigurieren kann.Specify the pool to your connectivity provider, so they can configure border gateway protocol (BGP) advertisements for those ranges.

  5. Führen Sie die folgenden PowerShell-Befehle aus, um Ihre privaten VNETs mit der ExpressRoute-Verbindung zu verknüpfen.Run the following PowerShell commands to link your private VNet(s) to the ExpressRoute circuit. Weitere Informationen finden Sie unter Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung.For more information,see Link a virtual network to an ExpressRoute circuit.

    $circuit = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $gw = Get-AzureRmVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
    New-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
    

Sie können mehrere VNETs in unterschiedlichen Regionen mit derselben ExpressRoute-Leitung verbinden, solange VNETs und ExpressRoute-Leitung sich innerhalb derselben geopolitischen Region befinden.You can connect multiple VNets located in different regions to the same ExpressRoute circuit, as long as all VNets and the ExpressRoute circuit are located within the same geopolitical region.

ProblembehandlungTroubleshooting

Wenn über eine zuvor funktionsfähige ExpressRoute-Leitung jetzt keine Verbindung mehr hergestellt werden kann, obwohl weder lokal noch in Ihrem privaten VNET Konfigurationsänderungen durchgeführt wurden, müssen Sie sich möglicherweise mit dem Konnektivitätsanbieter in Verbindung setzen und gemeinsam an der Problemlösung arbeiten.If a previously functioning ExpressRoute circuit now fails to connect, in the absence of any configuration changes on-premises or within your private VNet, you may need to contact the connectivity provider and work with them to correct the issue. Überprüfen Sie mithilfe der folgenden PowerShell-Befehle, ob die ExpressRoute-Verbindung bereitgestellt wurde:Use the following PowerShell commands to verify that the ExpressRoute circuit has been provisioned:

Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Die Ausgabe dieses Befehls zeigt verschiedene Verbindungseigenschaften, darunter ProvisioningState, CircuitProvisioningState und ServiceProviderProvisioningState, wie unten gezeigt.The output of this command shows several properties for your circuit, including ProvisioningState, CircuitProvisioningState, and ServiceProviderProvisioningState as shown below.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Wenn ProvisioningState nicht auf Succeeded festgelegt ist, nachdem Sie versucht haben, eine neue Verbindung zu erstellen, entfernen Sie die Verbindung über den folgenden Befehl. Versuchen Sie anschließend erneut, die Verbindung zu erstellen.If the ProvisioningState is not set to Succeeded after you tried to create a new circuit, remove the circuit by using the command below and try to create it again.

Remove-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Wenn Ihr Anbieter die Verbindung bereits bereitgestellt hat und ProvisioningState auf Failed festgelegt ist oder CircuitProvisioningState nicht Enabled lautet, wenden Sie sich an Ihren Anbieter, um weitere Unterstützung zu erhalten.If your provider had already provisioned the circuit, and the ProvisioningState is set to Failed, or the CircuitProvisioningState is not Enabled, contact your provider for further assistance.

Überlegungen zur SkalierbarkeitScalability considerations

ExpressRoute-Verbindungen bieten einen Pfad mit hoher Bandbreite zwischen Netzwerken.ExpressRoute circuits provide a high bandwidth path between networks. Allgemein gilt: Je größer die Bandbreite, desto höher die Kosten.Generally, the higher the bandwidth the greater the cost.

ExpressRoute bietet zwei Tarife für Kunden: einen Volumentarif und eine Datenflatrate.ExpressRoute offers two pricing plans to customers, a metered plan and an unlimited data plan. Die Gebühren richten sich nach der Verbindungsbandbreite.Charges vary according to circuit bandwidth. Die verfügbare Bandbreite variiert je nach Anbieter.Available bandwidth will likely vary from provider to provider. Verwenden Sie das Cmdlet Get-AzureRmExpressRouteServiceProvider, um die verfügbaren Anbieter in Ihrer Region sowie die angebotenen Bandbreiten anzuzeigen.Use the Get-AzureRmExpressRouteServiceProvider cmdlet to see the providers available in your region and the bandwidths that they offer.

Eine einzelne ExpressRoute-Verbindung kann eine bestimmte Anzahl von Peerings und VNET-Verbindungen unterstützen.A single ExpressRoute circuit can support a certain number of peerings and VNet links. Weitere Informationen finden Sie unter ExpressRoute-Limits.See ExpressRoute limits for more information.

Das ExpressRoute Premium-Add-On bietet gegen eine zusätzliche Gebühr einige zusätzliche Funktionen:For an extra charge, the ExpressRoute Premium add-on provides some additional capability:

  • Erhöhung der Routengrenzwerte für privates Peering.Increased route limits for private peering.
  • Eine höhere Anzahl von VNET-Verbindungen pro ExpressRoute-Leitung.Increased number of VNet links per ExpressRoute circuit.
  • Globale Konnektivität für Dienste.Global connectivity for services.

Ausführliche Informationen finden Sie unter ExpressRoute – Preise.See ExpressRoute pricing for details.

ExpressRoute-Verbindungen sind so konzipiert, dass Sie das erworbene Bandbreitenlimit für kurzfristige Spitzen im Netzwerkdatenverkehr um das Doppelte überschreiten können, ohne dass zusätzliche Kosten anfallen.ExpressRoute circuits are designed to allow temporary network bursts up to two times the bandwidth limit that you procured for no additional cost. Dies wird durch den Einsatz redundanter Verbindungen erreicht.This is achieved by using redundant links. Allerdings wird dieses Feature nicht von allen Konnektivitätsanbietern unterstützt.However, not all connectivity providers support this feature. Stellen Sie sicher, dass Ihr Konnektivitätsanbieter dieses Feature unterstützt, bevor Sie sich darauf verlassen.Verify that your connectivity provider enables this feature before depending on it.

Wenngleich einige Anbieter eine Änderung der Bandbreite zulassen, sollten Sie eine anfängliche Bandbreite auswählen, die Ihre Anforderungen übersteigt und einen Puffer für künftiges Wachstum bietet.Although some providers allow you to change your bandwidth, make sure you pick an initial bandwidth that surpasses your needs and provides room for growth. Wenn Sie zu einem späteren Zeitpunkt mehr Bandbreite benötigen, haben Sie zwei Optionen:If you need to increase bandwidth in the future, you are left with two options:

  • Erhöhen Sie die Bandbreite.Increase the bandwidth. Diese Option sollte nach Möglichkeit vermieden werden, weil nicht alle Anbieter eine dynamische Erhöhung der Bandbreite unterstützen.You should avoid this option as much as possible, and not all providers allow you to increase bandwidth dynamically. Falls jedoch eine Bandbreitenerhöhung benötigt wird, erkundigen Sie sich bei Ihrem Anbieter, ob das Ändern der ExpressRoute-Bandbreiteneigenschaften über PowerShell-Befehle unterstützt wird.But if a bandwidth increase is needed, check with your provider to verify they support changing ExpressRoute bandwidth properties via PowerShell commands. Falls dem so ist, führen Sie die nachstehenden Befehle aus.If they do, run the commands below.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Sie können die Bandbreite ohne Konnektivitätsverlust erhöhen.You can increase the bandwidth without loss of connectivity. Ein Downgrade der Bandbreite führt zu einer Konnektivitätsunterbrechung, weil Sie die Verbindung löschen und mit der neuen Konfiguration neu erstellen müssen.Downgrading the bandwidth will result in disruption in connectivity, because you must delete the circuit and recreate it with the new configuration.

  • Stellen Sie Ihren Tarif um, und/oder führen Sie ein Upgrade auf Premium durch.Change your pricing plan and/or upgrade to Premium. Führen Sie zu diesem Zweck die folgenden Befehle aus.To do so, run the following commands. Die Eigenschaft Sku.Tier kann Standard oder Premium lauten, die Eigenschaft Sku.Name kann auf MeteredData oder UnlimitedData festgelegt werden.The Sku.Tier property can be Standard or Premium; the Sku.Name property can be MeteredData or UnlimitedData.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Wichtig

    Stellen Sie sicher, dass die Eigenschaft Sku.Name dem Sku.Tier und der Sku.Family entspricht.Make sure the Sku.Name property matches the Sku.Tier and Sku.Family. Wenn Sie Familie und Tarif ändern, aber nicht den Namen, wird Ihre Verbindung deaktiviert.If you change the family and tier, but not the name, your connection will be disabled.

    Ein SKU-Upgrade kann ohne Unterbrechung durchgeführt werden, aber Sie können nicht von der Datenflatrate auf den Volumentarif umstellen.You can upgrade the SKU without disruption, but you cannot switch from the unlimited pricing plan to metered. Bei einem Downgrade der SKU muss Ihr Bandbreitenverbrauch innerhalb des Standardlimits für die Standard-SKU liegen.When downgrading the SKU, your bandwidth consumption must remain within the default limit of the standard SKU.

Überlegungen zur VerfügbarkeitAvailability considerations

ExpressRoute unterstützt keine Protokolle für die Routerredundanz – wie z.B. HSRP (Hot Standby Routing Protocol) und VRRP (Virtual Router Redundancy Protocol) – für die Implementierung von Hochverfügbarkeit.ExpressRoute does not support router redundancy protocols such as hot standby routing protocol (HSRP) and virtual router redundancy protocol (VRRP) to implement high availability. Stattdessen wird ein redundantes BGP-Sitzungspaar pro Peering verwendet.Instead, it uses a redundant pair of BGP sessions per peering. Um hochverfügbare Verbindungen mit Ihrem Netzwerk zu ermöglichen, stellt Azure zwei redundante Ports auf zwei Routern (Microsoft Edge) in einer Aktiv/Aktiv-Konfiguration bereit.To facilitate highly-available connections to your network, Azure provisions you with two redundant ports on two routers (part of the Microsoft edge) in an active-active configuration.

BGP-Sitzungen verwendet standardmäßig einen Leerlauftimeoutwert von 60 Sekunden.By default, BGP sessions use an idle timeout value of 60 seconds. Wenn für eine Sitzung drei Mal ein Timeout auftritt (180 Sekunden gesamt), wird der Router als nicht verfügbar markiert, und der gesamte Datenverkehr wird auf den verbleibenden Router umgeleitet.If a session times out three times (180 seconds total), the router is marked as unavailable, and all traffic is redirected to the remaining router. Dieses 180-Sekunden-Timeout kann für kritische Anwendungen zu lang sein.This 180-second timeout might be too long for critical applications. Wenn dies der Fall ist, können Sie die BGP-Timeouteinstellungen auf dem lokalen Router auf einen kürzeren Zeitraum festlegen.If so, you can change your BGP time-out settings on the on-premises router to a smaller value. ExpressRoute unterstützt außerdem Bidirectional Forwarding Detection (BFD) über privates Peering.ExpressRoute also supports Bidirectional Forwarding Detection (BFD) over private peering. Durch die Aktivierung von BFD über ExpressRoute können Sie die Erkennung von Verbindungsfehlern zwischen MSEE-Geräten (MSEE = Microsoft Enterprise-Edge) und den Routern beschleunigen, auf denen Sie die ExpressRoute-Leitung (PE) beenden.By enabling BFD over ExpressRoute, you can expedite link failure detection between Microsoft Enterprise edge (MSEE) devices and the routers on which you terminate the ExpressRoute circuit (PE). Sie können ExpressRoute Customer-Edge-Routinggeräte oder Partner Edge-Routinggeräte beenden (wenn Sie den verwalteten Layer 3-Verbindungsdienst verwendet haben).You can terminate ExpressRoute over Customer Edge routing devices or Partner Edge routing devices (if you went with managed Layer 3 connection service).

Sie können für Ihre Azure-Verbindung auf unterschiedliche Weise Hochverfügbarkeit konfigurieren – je nachdem, welchen Anbieter Sie verwenden und wie viele ExpressRoute-Verbindungen und VNET-Gatewayverbindungen Sie konfigurieren möchten.You can configure high availability for your Azure connection in different ways, depending on the type of provider you use, and the number of ExpressRoute circuits and virtual network gateway connections you're willing to configure. Nachfolgend werden die verfügbaren Optionen zusammengefasst:The following summarizes your availability options:

  • Wenn Sie eine Layer 2-Verbindung verwenden, stellen Sie redundante Router in Ihrem lokalen Netzwerk in einer Aktiv/Aktiv-Konfiguration bereit.If you're using a layer 2 connection, deploy redundant routers in your on-premises network in an active-active configuration. Verbinden Sie die primäre Verbindung mit dem ersten und die zweite Verbindung mit dem zweiten Router.Connect the primary circuit to one router, and the secondary circuit to the other. Auf diese Weise erhalten Sie eine hochverfügbare Verbindung auf beiden Seiten der Leitung.This will give you a highly available connection at both ends of the connection. Dies ist erforderlich, wenn Sie die Vereinbarung zum Servicelevel für ExpressRoute (SLA) benötigen.This is necessary if you require the ExpressRoute service level agreement (SLA). Ausführliche Informationen finden Sie unter SLA für Azure ExpressRoute.See SLA for Azure ExpressRoute for details.

    Das folgende Diagramm zeigt eine Konfiguration mit redundanten lokalen Routern, die mit der primären und sekundären Leitung verbunden sind.The following diagram shows a configuration with redundant on-premises routers connected to the primary and secondary circuits. Jede Leitung verarbeitet den Datenverkehr für privates Peering (jedes Peering umfasst ein dediziertes Paar aus /30-Adressräumen, wie im vorherigen Abschnitt beschrieben).Each circuit handles the traffic for private peering (each peering is designated a pair of /30 address spaces, as described in the previous section).

    11

  • Überprüfen Sie bei Verwendung einer Layer 3-Verbindung, ob redundante BGP-Sitzungen zur Sicherstellung der Verfügbarkeit bereitgestellt werden.If you're using a layer 3 connection, verify that it provides redundant BGP sessions that handle availability for you.

  • Verbinden Sie das VNET mit mehreren ExpressRoute-Leitungen, die von unterschiedlichen Dienstanbietern bereitgestellt werden.Connect the VNet to multiple ExpressRoute circuits, supplied by different service providers. Diese Strategie bietet zusätzliche Hochverfügbarkeit und Notfallwiederherstellungsfunktionen.This strategy provides additional high-availability and disaster recovery capabilities.

  • Konfigurieren Sie ein Site-to-Site-VPN als Failoverpfad für ExpressRoute.Configure a site-to-site VPN as a failover path for ExpressRoute. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit Azure unter Verwendung von ExpressRoute mit VPN-Failover.For more about this option, see Connect an on-premises network to Azure using ExpressRoute with VPN failover. Diese Option gilt nur für das private Peering.This option only applies to private peering. Für Azure- und Office 365-Dienste ist das Internet der einzige Failoverpfad.For Azure and Office 365 services, the Internet is the only failover path.

Überlegungen zur VerwaltbarkeitManageability considerations

Sie können mit dem Azure Connectivity Toolkit (AzureCT) die Konnektivität zwischen Ihrem lokalen Rechenzentrum und Azure überwachen.You can use the Azure Connectivity Toolkit (AzureCT) to monitor connectivity between your on-premises datacenter and Azure.

SicherheitshinweiseSecurity considerations

Sie können die Sicherheitsoptionen für Ihre Azure-Verbindung abhängig von Ihren Anforderungen im Hinblick auf Sicherheit und Compliance auf unterschiedliche Weise konfigurieren.You can configure security options for your Azure connection in different ways, depending on your security concerns and compliance needs.

ExpressRoute arbeitet auf Layer 3.ExpressRoute operates in layer 3. Bedrohungen in der Anwendungsebene können durch den Einsatz einer Netzwerksicherheitsappliance verhindert werden, die den Datenverkehr auf autorisierte Ressourcen beschränkt.Threats in the application layer can be prevented by using a network security appliance that restricts traffic to legitimate resources.

Um die Sicherheit zu maximieren, platzieren Sie Netzwerksicherheitsappliances zwischen dem lokalen Netzwerk und den Edgeroutern des Anbieters.To maximize security, add network security appliances between the on-premises network and the provider edge routers. Dies trägt dazu bei, nicht autorisierten Datenverkehr aus dem VNET zu unterbinden:This will help to restrict the inflow of unauthorized traffic from the VNet:

22

Zu Überwachungs- oder Compliancezwecken ist es möglicherweise erforderlich, den direkten Zugriff von VNET-Komponenten auf das Internet zu unterbinden und eine Tunnelerzwingung zu implementieren.For auditing or compliance purposes, it may be necessary to prohibit direct access from components running in the VNet to the Internet and implement forced tunneling. In diesem Fall sollte der Internetdatenverkehr an einen lokal ausgeführten Proxy umgeleitet werden, wo er überwacht werden kann.In this situation, Internet traffic should be redirected back through a proxy running on-premises where it can be audited. Der Proxy kann so konfiguriert werden, dass er nicht autorisierten ausgehenden Datenverkehr blockiert und potenziell schädlichen eingehenden Datenverkehr filtert.The proxy can be configured to block unauthorized traffic flowing out, and filter potentially malicious inbound traffic.

33

Um die Sicherheit zu maximieren, aktivieren Sie keine öffentliche IP-Adresse für Ihre VMs, und stellen Sie mithilfe von Netzwerksicherheitsgruppen (NSGs) sicher, dass diese VMs nicht öffentlich zugänglich sind.To maximize security, do not enable a public IP address for your VMs, and use NSGs to ensure that these VMs aren't publicly accessible. VMs sollten nur über die interne IP-Adresse erreichbar sein.VMs should only be available using the internal IP address. Diese Adressen können über das ExpressRoute-Netzwerk verfügbar gemacht werden, sodass DevOps-Mitarbeiter vor Ort eine Konfiguration oder Wartung durchführen können.These addresses can be made accessible through the ExpressRoute network, enabling on-premises DevOps staff to perform configuration or maintenance.

Wenn Sie Verwaltungsendpunkte für VMs gegenüber einem externen Netzwerk offenlegen müssen, verwenden Sie NSGs oder Zugriffssteuerunglisten (ACLs), um die Sichtbarkeit dieser Ports auf eine Liste mit zulässigen IP-Adressen oder Netzwerken zu beschränken.If you must expose management endpoints for VMs to an external network, use NSGs or access control lists to restrict the visibility of these ports to an allowed list of IP addresses or networks.

Hinweis

Azure-VMs, die über das Azure-Portal bereitgestellt wurden, können eine öffentliche IP-Adresse mit Anmeldezugriff aufweisen.Azure VMs deployed through the Azure portal can include a public IP address that provides login access. Es ist jedoch bewährte Methode, dies nicht zuzulassen.However, it is a best practice not to permit this.

Bereitstellen der LösungDeploy the solution

VoraussetzungenPrerequisites. Sie müssen über eine lokale Infrastruktur verfügen, die bereits mit einer geeigneten Netzwerkappliance konfiguriert ist.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Führen Sie die folgenden Schritte aus, um die Lösung bereitzustellen.To deploy the solution, perform the following steps.

  1. Klicken Sie auf den folgenden Link.Click the link below.

    In Azure bereitstellenDeploy to Azure

  2. Warten Sie, bis der Link im Azure-Portal geöffnet wird, und gehen Sie dann folgendermaßen vor:Wait for the link to open in the Azure portal, then follow these steps:

    • Der Name der Ressourcengruppe ist bereits in der Parameterdatei definiert. Wählen Sie also Neu erstellen, und geben Sie im Textfeld ra-hybrid-er-rg ein.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-er-rg in the text box.
    • Wählen Sie im Dropdownfeld Standort die Region aus.Select the region from the Location drop down box.
    • Lassen Sie die Textfelder für den Vorlagenstamm-URI bzw. Parameterstamm-URI unverändert.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Überprüfen Sie die allgemeinen Geschäftsbedingungen, und aktivieren Sie dann das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Klicken Sie auf die Schaltfläche Kaufen.Click the Purchase button.
  3. Warten Sie, bis die Bereitstellung abgeschlossen ist.Wait for the deployment to complete.

  4. Klicken Sie auf den folgenden Link.Click the link below.

    In Azure bereitstellenDeploy to Azure

  5. Warten Sie, bis der Link im Azure-Portal geöffnet wird, und gehen Sie dann folgendermaßen vor:Wait for the link to open in the Azure portal, then follow these steps:

    • Wählen Sie im Abschnitt Ressourcengruppe die Option Vorhandene verwenden aus, und geben Sie im Textfeld ra-hybrid-er-rg ein.Select Use existing in the Resource group section and enter ra-hybrid-er-rg in the text box.
    • Wählen Sie im Dropdownfeld Standort die Region aus.Select the region from the Location drop down box.
    • Lassen Sie die Textfelder für den Vorlagenstamm-URI bzw. Parameterstamm-URI unverändert.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Überprüfen Sie die allgemeinen Geschäftsbedingungen, und aktivieren Sie dann das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Klicken Sie auf die Schaltfläche Kaufen.Click the Purchase button.
  6. Warten Sie, bis die Bereitstellung abgeschlossen ist.Wait for the deployment to complete.