Verbinden eines lokalen Netzwerks mit Azure über ExpressRoute

ExpressRoute
Virtual Network
VPN Gateway

Diese Referenzarchitektur zeigt, wie ein lokales Netzwerk unter Verwendung von ExpressRoute mit einem virtuellen Azure-Netzwerk (VNet) verbunden wird, wobei ein Site-to-Site-VPN (Virtual Private Network) als Failoververbindung dient. Der Datenverkehr zwischen dem lokalen Netzwerk und dem Azure-VNet wird über eine ExpressRoute-Verbindung übertragen. Wenn die ExpressRoute-Verbindung ausfällt, wird der Datenverkehr über einen IPSec-VPN-Tunnel weitergeleitet. Stellen Sie diese Lösung bereit.

Beachten Sie, dass die VPN-Route nur Private Peering-Verbindungen behandelt, wenn die ExpressRoute-Verbindung nicht verfügbar ist. Public Peering- und Microsoft-Peering-Verbindungen werden über das Internet geleitet.

Referenzarchitektur für eine hochverfügbare Hybrid-Netzwerkarchitektur mit ExpressRoute- und VPN-Gateway

Laden Sie eine Visio-Datei dieser Architektur herunter.

Aufbau

Die Architektur umfasst die folgenden Komponenten.

  • Lokales Netzwerk. Ein in einer Organisation betriebenes privates lokales Netzwerk.

  • VPN-Gerät. Ein Gerät oder ein Dienst, das bzw. der externe Konnektivität mit dem lokalen Netzwerk bereitstellt. Bei dem VPN-Gerät kann es sich um ein Hardwaregerät oder eine Softwarelösung, z.B. den Routing- und RAS-Dienst unter Windows Server 2012, handeln. Eine Liste der unterstützten VPN-Geräte und Informationen zur Konfiguration ausgewählter VPN-Geräte für die Verbindung mit Azure finden Sie unter Informationen zu VPN-Geräten für VPN Gateway-Verbindungen zwischen Standorten.

  • ExpressRoute-Verbindung. Eine vom Konnektivitätsanbieter bereitgestellte Layer 2- oder Layer 3-Verbindung, die das lokale Netzwerk über die Edgerouter mit Azure verbindet. Für die Verbindung wird die vom Konnektivitätsanbieter verwaltete Hardwareinfrastruktur verwendet.

  • ExpressRoute-Gateway für virtuelle Netzwerke. Das ExpressRoute-Gateway für virtuelle Netzwerke ermöglicht es dem VNet, mit der ExpressRoute-Leitung eine Verbindung herzustellen, die für die Konnektivität mit Ihrem lokalen Netzwerk verwendet wird.

  • VPN-Gateway für virtuelle Netzwerke. Die VPN-Gateway für virtuelle Netzwerke ermöglicht es dem VNet, eine Verbindung mit dem VPN-Gerät im lokalen Netzwerk herzustellen. Die VPN-Gateway für virtuelle Netzwerke ist so konfiguriert, dass es Anforderungen aus dem lokalen Netzwerk nur über das VPN-Gerät akzeptiert. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit einem Microsoft Azure Virtual Network.

  • VPN-Verbindung. Die Verbindung verfügt über Eigenschaften, die den Verbindungstyp (IPSec) und den Schlüssel angeben, der für das lokale VPN-Gerät freigegeben wird, um Datenverkehr zu verschlüsseln.

  • Azure Virtual Network (VNet) . Jedes VNET befindet sich in einer einzelnen Azure-Region und kann mehrere Anwendungsebenen hosten. Anwendungsebenen können mithilfe von Subnetzen in jedem VNET segmentiert werden.

  • Gatewaysubnetz. Die Gateways für virtuelle Netzwerke befinden sich in demselben Subnetz.

  • Cloudanwendung. Die in Azure gehostete Anwendung. Sie kann mehrere Schichten umfassen, wobei mehrere Subnetze über Azure Load Balancer verbunden sind. Weitere Informationen zur Anwendungsinfrastruktur finden Sie unter Ausführen von Windows-VM-Workloads und Ausführen von Linux-VM-Workloads.

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

VNet und GatewaySubnet

Erstellen Sie eine Verbindung mit dem ExpressRoute-Gateway und dem VPN-Gateway für virtuelle Netzwerke im selben VNet wie ein bereits vorhandenes Gatewayobjekt. Diese teilen sich ein Subnetz mit dem Namen GatewaySubnet.

Wenn das VNet bereits ein Subnetz mit dem Namen GatewaySubnet enthält, stellen Sie sicher, dass es einen /27-Adressraum oder einen größeren Adressraum aufweist. Wenn das vorhandene Subnetz zu klein ist, entfernen Sie es mit dem folgenden PowerShell-Befehl:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Wenn das VNET kein Subnetz mit dem Namen GatewaySubnet enthält, erstellen Sie mit dem folgenden PowerShell-Befehl ein neues Subnetz:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN- und ExpressRoute-Gateways

Stellen Sie sicher, dass Ihre Organisation die ExpressRoute-Voraussetzungen zum Herstellen der Verbindung mit Azure erfüllt.

Falls Sie im Azure-VNET bereits über ein VPN-Gateway für virtuelle Netzwerke verfügen, entfernen Sie es mithilfe des folgenden PowerShell-Befehls:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Befolgen Sie die Anweisungen in Implementieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure ExpressRoute, um eine sichere ExpressRoute-Verbindung herzustellen.

Befolgen Sie die Anweisungen in Implementieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure und lokalem VPN, um eine Verbindung mit dem VPN-Gateway für virtuelle Netzwerke herzustellen.

Nachdem Sie die Verbindung mit dem Gateway für virtuelle Netzwerke hergestellt haben, testen Sie die Umgebung wie folgt:

  1. Stellen Sie sicher, dass Sie vom lokalen Netzwerk eine Verbindung mit dem Azure-VNet herstellen können.
  2. Wenden Sie sich an Ihren Anbieter, um die ExpressRoute-Konnektivität zu Testzwecken zu beenden.
  3. Stellen Sie sicher, dass Sie weiterhin über das VPN-Gateway für virtuelle Verbindungen eine Verbindung vom lokalen Netzwerk mit dem Azure-VNet herstellen können.
  4. Wenden Sie sich an Ihren Anbieter, um die ExpressRoute-Konnektivität wiederherzustellen.

Überlegungen zu DevOps

Informationen zu DevOps-Aspekten im Zusammenhang mit ExpressRoute finden Sie im Leitfaden Implementieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure ExpressRoute.

Informationen zu DevOps-Aspekten im Zusammenhang mit Site-to-Site-VPNs finden Sie im Leitfaden Implementieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure und lokalem VPN.

Sicherheitshinweise

Informationen zu allgemeinen Sicherheitsaspekten für Azure finden Sie unter Microsoft-Clouddienste und Netzwerksicherheit.

Kostenbetrachtung

Informationen zu den ExpressRoute-Kostenaspekten finden Sie in diesen Artikeln:

Bereitstellen der Lösung

Voraussetzungen Sie müssen über eine lokale Infrastruktur verfügen, die bereits mit einer geeigneten Netzwerkappliance konfiguriert ist.

Führen Sie die folgenden Schritte aus, um die Lösung bereitzustellen.

  1. Klicken Sie auf den folgenden Link.

    In Azure bereitstellen

  2. Warten Sie, bis der Link im Azure-Portal geöffnet wird, und gehen Sie dann folgendermaßen vor:

    • Der Name der Ressourcengruppe ist bereits in der Parameterdatei definiert. Wählen Sie also Neu erstellen, und geben Sie im Textfeld ra-hybrid-vpn-er-rg ein.
    • Wählen Sie im Dropdownfeld Standort die Region aus.
    • Lassen Sie die Textfelder für den Vorlagenstamm-URI bzw. Parameterstamm-URI unverändert.
    • Überprüfen Sie die allgemeinen Geschäftsbedingungen, und aktivieren Sie dann das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
    • Klicken Sie auf die Schaltfläche Kaufen.
  3. Warten Sie, bis die Bereitstellung abgeschlossen ist.

  4. Klicken Sie auf den folgenden Link.

    In Azure bereitstellen

  5. Warten Sie, bis der Link im Azure-Portal geöffnet wird, und gehen Sie dann folgendermaßen vor:

    • Wählen Sie im Abschnitt Ressourcengruppe die Option Vorhandene verwenden aus, und geben Sie im Textfeld ra-hybrid-vpn-er-rg ein.
    • Wählen Sie im Dropdownfeld Standort die Region aus.
    • Lassen Sie die Textfelder für den Vorlagenstamm-URI bzw. Parameterstamm-URI unverändert.
    • Überprüfen Sie die allgemeinen Geschäftsbedingungen, und aktivieren Sie dann das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
    • Klicken Sie auf die Schaltfläche Kaufen.

Nächste Schritte