Azure Well-Architected Framework–Überprüfung – Azure ExpressRoute
Dieser Artikel enthält bewährte Architekturpraktiken für Azure ExpressRoute. Die Anleitung basiert auf den fünf Säulen der Architekturexzellenz:
Wir gehen davon aus, dass Sie über Kenntnisse in Azure ExpressRoute verfügen und mit allen Features vertraut sind. Weitere Informationen finden Sie unter Azure ExpressRoute.
Voraussetzungen
Für den Kontext sollten Sie eine Referenzarchitektur überprüfen, die diese Überlegungen in ihrem Entwurf widerspiegelt. Es wird empfohlen, mit Cloud Adoption Framework Ready-Methodik zu beginnen: Herstellen einer Verbindung mit Azure und Architect für die Hybridkonnektivität mit Azure ExpressRoute. Für Low-Code-Anwendungsarchitekturen empfehlen wir, die Option Aktivieren von ExpressRoute für Power Platform beim Planen und Konfigurieren von ExpressRoute für die Verwendung mit Microsoft Power Platform zu lesen.
Zuverlässigkeit
In der Cloud muss leider mit Fehlern gerechnet werden. Es geht nicht darum, Fehler vollständig zu verhindern, sondern darum, die Auswirkungen einer einzelnen fehlerhaften Komponente zu minimieren. Verwenden Sie die folgenden Informationen, um Ausfallzeiten von und zu Azure zu minimieren, wenn Sie die Konnektivität mithilfe von Azure ExpressRoute herstellen.
Bei der Erörterung der Zuverlässigkeit mit Azure ExpressRoute ist es wichtig, die Bandbreitennutzung, das physische Layout des Netzwerks und die Notfallwiederherstellung bei Fehlern zu berücksichtigen. Azure ExpressRoute ist in der Lage, diese Entwurfsüberlegungen zu erfüllen, und enthält Empfehlungen für jedes Element in der Checkliste.
In der Entwurfscheckliste und der Folgenden Liste der Empfehlungen werden Informationen angezeigt, damit Sie ein hochverfügbares Netzwerk zwischen Ihrer Azure-Umgebung und dem lokalen Netzwerk entwerfen können.
Prüfliste für den Entwurf
Wenn Sie Entwurfsentscheidungen für Azure ExpressRoute treffen, überprüfen Sie die Entwurfsprinzipien , um die Zuverlässigkeit der Architektur zu erhöhen.
- Wählen Sie für Geschäftsanforderungen zwischen ExpressRoute-Leitung oder ExpressRoute Direct aus.
- Konfigurieren Sie ein Netzwerk mit verschiedenen physischen Ebenen für den Dienstanbieter.
- Konfigurieren Sie ExpressRoute-Leitungen mit verschiedenen Dienstanbietern, um verschiedene Routingpfade zu haben.
- Konfigurieren Sie Active-Active ExpressRoute-Verbindungen zwischen dem lokalen Standort und Azure.
- Richten Sie Verfügbarkeitszonen-fähiger ExpressRoute-Virtual Network Gateways ein.
- Konfigurieren Sie ExpressRoute-Leitungen an einem anderen Speicherort als im lokalen Netzwerk.
- Konfigurieren Sie ExpressRoute Virtual Network Gateways in verschiedenen Regionen.
- Konfigurieren Sie Site-to-Site-VPN als Sicherung für privates ExpressRoute-Peering.
- Richten Sie die Überwachung für die ExpressRoute-Verbindung und die ExpressRoute-Virtual Network Gatewayintegrität ein.
- Konfigurieren Sie die Dienstintegrität, um Benachrichtigungen zur ExpressRoute-Leitungswartung zu erhalten.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration auf Zuverlässigkeit zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Planen der ExpressRoute-Verbindung oder ExpressRoute Direct | In der ersten Planungsphase möchten Sie entscheiden, ob Sie eine ExpressRoute-Verbindung oder eine ExpressRoute Direct-Verbindung konfigurieren möchten. Eine ExpressRoute-Verbindung ermöglicht eine private dedizierte Verbindung mit Azure mithilfe eines Konnektivitätsanbieters. Mit ExpressRoute Direct können Sie das lokale Netzwerk direkt in das Microsoft-Netzwerk an einem Peeringstandort erweitern. Außerdem müssen Sie die Bandbreitenanforderung und die SKU-Typanforderung für Ihre Geschäftsanforderungen identifizieren. |
| Physische Schichtvielfalt | Planen Sie zur Verbesserung der Resilienz mehrere Pfade zwischen dem lokalen Edge und den Peeringstandorten (Anbieter-/Microsoft-Edgestandorte). Diese Konfiguration kann durch einen anderen Dienstanbieter oder über einen anderen Standort als das lokale Netzwerk erreicht werden. |
| Planen von georedundanten Leitungen | Um die Notfallwiederherstellung zu planen, richten Sie ExpressRoute-Leitungen an mehreren Peeringstandorten ein. Sie können Leitungen an Peeringstandorten in derselben Metro oder einer anderen Metro erstellen und mit verschiedenen Dienstanbietern für verschiedene Pfade durch jede Verbindung arbeiten. Weitere Informationen finden Sie unter Entwerfen für die Notfallwiederherstellung und Entwerfen für Hochverfügbarkeit. |
| Planen der Active-Active Konnektivität | Dedizierte ExpressRoute-Leitungen garantieren die 99.95% Verfügbarkeit, wenn eine Aktiv-Aktiv-Konnektivität zwischen lokal und Azure konfiguriert wird. Dieser Modus bietet eine höhere Verfügbarkeit Ihrer Expressroute-Verbindung. Es wird auch empfohlen, BFD für ein schnelleres Failover zu konfigurieren, wenn bei einer Verbindung ein Linkfehler auftritt. |
| Planen von Virtual Network Gateways | Erstellen Sie verfügbarkeitszonenbasierte Virtual Network Gateway für höhere Resilienz und planen Sie Virtual Network Gateways in verschiedenen Regionen für Notfallwiederherstellung und Hochverfügbarkeit. |
| Überwachen von Leitungen und Gatewayintegrität | Richten Sie Überwachung und Warnungen für ExpressRoute-Leitungen und Virtual Network Gatewayintegrität basierend auf verschiedenen verfügbaren Metriken ein. |
| Aktivieren der Dienstintegrität | ExpressRoute verwendet die Dienstintegrität, um über geplante und ungeplante Wartungen zu informieren. Wenn Sie die Dienstintegrität konfigurieren, werden Sie über Änderungen an Ihren ExpressRoute-Leitungen benachrichtigt. |
Weitere Vorschläge finden Sie unter Prinzipien der Säule "Zuverlässigkeit".
Azure Advisor bietet viele Empfehlungen für ExpressRoute-Leitungen, da sie sich auf die Zuverlässigkeit beziehen. Azure Advisor kann beispielsweise Folgendes erkennen:
- ExpressRoute-Gateways, in denen statt mehrerer nur eine einzelne ExpressRoute-Verbindung bereitgestellt wird. Mehrere ExpressRoute-Leitungen werden empfohlen, um die Resilienz für den Peeringstandort zu erhöhen.
- ExpressRoute-Leitungen, die von Verbindungsmonitor nicht beobachtet werden, da die End-to-End-Überwachung Ihrer ExpressRoute-Verbindung für Zuverlässigkeitserkenntnisse von entscheidender Bedeutung ist.
- Netzwerktopologien mit mehreren Peeringstandorten, die von ExpressRoute Global Reach profitieren würden, um Notfallwiederherstellungsentwürfe für lokale Konnektivität zu verbessern, um ungeplante Verbindungsverluste zu berücksichtigen.
Sicherheit
Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. ExpressRoute bietet Features, die sowohl das Prinzip der geringsten Rechte als auch die Verteidigung in der Verteidigung anwenden. Es wird empfohlen, die Grundsätze des Sicherheitsentwurfs zu überprüfen.
Prüfliste für den Entwurf
- Konfigurieren Sie das Aktivitätsprotokoll, um Protokolle an das Archiv zu senden.
- Verwalten Sie einen Bestand an Administratorkonten mit Zugriff auf ExpressRoute-Ressourcen.
- Konfigurieren Des MD5-Hashs auf ExpressRoute-Leitung
- Konfigurieren sie MACSec für ExpressRoute Direct-Ressourcen.
- Verschlüsseln sie Datenverkehr über privates Peering und Microsoft-Peering für virtuellen Netzwerkdatenverkehr.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration für die Sicherheit zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren des Aktivitätsprotokolls zum Senden von Protokollen an das Archiv | Aktivitätsprotokolle bieten Einblicke in Vorgänge, die auf Abonnementebene für ExpressRoute-Ressourcen ausgeführt wurden. Mit Aktivitätsprotokollen können Sie bestimmen, wer und wann ein Vorgang auf der Steuerungsebene ausgeführt wurde. Die Datenaufbewahrung beträgt nur 90 Tage und muss in Log Analytics, Event Hubs oder einem Speicherkonto für das Archiv gespeichert werden. |
| Verwalten des Inventars der Verwaltungskonten | Verwenden Sie Azure RBAC, um Rollen zu konfigurieren, um Benutzerkonten einzuschränken, die Peeringkonfigurationen auf einer ExpressRoute-Verbindung hinzufügen, aktualisieren oder löschen können. |
| Konfigurieren des MD5-Hashs auf ExpressRoute-Leitung | Wenden Sie während der Konfiguration von privatem Peering oder Microsoft-Peering einen MD5-Hash auf sichere Nachrichten zwischen der lokalen Route und den MSEE-Routern an. |
| Konfigurieren von MACSec für ExpressRoute Direct-Ressourcen | Medien Access Control Sicherheit ist eine Punkt-zu-Punkt-Sicherheit auf der Datenverknüpfungsebene. ExpressRoute Direct unterstützt die Konfiguration von MACSec, um Sicherheitsbedrohungen für Protokolle wie ARP, DHCP und LACP zu verhindern, die normalerweise nicht über die Ethernet-Verbindung geschützt sind. Weitere Informationen zum Konfigurieren von MACSec finden Sie unter MACSec für Direkte ExpressRoute-Ports. |
| Verschlüsseln von Datenverkehr mithilfe von IPsec | Konfigurieren Sie einen Site-to-Site-VPN-Tunnel über Ihre ExpressRoute-Verbindung, um die Datenübertragung zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk zu verschlüsseln. Sie können einen Tunnel mit privatem Peering oder Microsoft-Peering konfigurieren. |
Weitere Vorschläge finden Sie unter Prinzipien der Säule „Sicherheit“.
Kostenoptimierung
Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Es wird empfohlen, das Entwurfsprinzip der Kostenoptimierung zu überprüfen und Kosten für Azure ExpressRoute zu planen und zu verwalten.
Prüfliste für den Entwurf
- Machen Sie sich mit den ExpressRoute-Preisen vertraut.
- Bestimmen Sie die ExpressRoute-Leitungs-SKU und die erforderliche Bandbreite.
- Bestimmen Sie die erforderliche Größe des Gateways für das virtuelle ExpressRoute-Netzwerk.
- Überwachen von Kosten und Erstellen von Budgetwarnungen
- Aufheben der Bereitstellung von ExpressRoute-Leitungen, die nicht mehr verwendet werden.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration für die Kostenoptimierung zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Machen Sie sich mit den ExpressRoute-Preisen vertraut | Informationen zu ExpressRoute-Preisen finden Sie unter Grundlegendes zu Den Preisen für Azure ExpressRoute. Sie können auch den Preisrechner verwenden. Achten Sie darauf, dass die Optionen die richtige Größe haben, um dem Kapazitätsbedarf gerecht zu werden und die erwartete Leistung zu liefern, ohne Ressourcen zu vergeuden. |
| Ermitteln der SKU und der erforderlichen Bandbreite | Die Art und Weise, wie Ihnen ihre ExpressRoute-Nutzung in Rechnung gestellt wird, variiert zwischen den drei verschiedenen SKU-Typen. Bei der Local-SKU wird Ihnen automatisch eine Datenflatrate in Rechnung gestellt. Bei der Standard- und Premium-SKU können Sie zwischen einem Volumentarif und einer Datenflatrate wählen. Alle eingehenden Daten sind kostenlos, außer bei Verwendung des Global Reach-Add-Ons. Es ist wichtig zu wissen, welche SKU-Typen und Datentarife am besten für Ihre Workload geeignet sind, um Kosten und Budget zu optimieren. Weitere Informationen zum Ändern der Größe der ExpressRoute-Leitung finden Sie unter Upgrade der ExpressRoute-Leitungsbandbreite. |
| Bestimmen der Gatewaygröße des virtuellen ExpressRoute-Netzwerks | ExpressRoute-Gateways für virtuelle Netzwerke werden verwendet, um Datenverkehr über privates Peering an ein virtuelles Netzwerk zu übergeben. Überprüfen Sie die Leistungs- und Skalierungsanforderungen Ihrer bevorzugten Virtual Network Gateway-SKU. Wählen Sie die entsprechende Gateway-SKU für Ihre lokale zu Azure-Workload aus. |
| Überwachen von Kosten und Erstellen von Budgetwarnungen | Überwachen Sie die Kosten Ihrer ExpressRoute-Verbindung, und erstellen Sie Warnungen für Ausgabenanomalien und überstehende Risiken. Weitere Informationen finden Sie unter Überwachen von ExpressRoute-Kosten. |
| Aufheben der Bereitstellung und Löschen von ExpressRoute-Leitungen, die nicht mehr verwendet werden. | ExpressRoute-Verbindungen werden ab dem Zeitpunkt ihrer Erstellung in Rechnung gestellt. Um unnötige Kosten zu reduzieren, heben Sie die Bereitstellung der Verbindung beim Dienstanbieter auf, und löschen Sie die ExpressRoute-Verbindung aus Ihrem Abonnement. Schritte zum Entfernen einer ExpressRoute-Verbindung finden Sie unter Aufheben der Bereitstellung einer ExpressRoute-Verbindung. |
Weitere Vorschläge finden Sie unter Prüfliste für die Entwurfsüberprüfung für die Kostenoptimierung.
Azure Advisor kann ExpressRoute-Leitungen erkennen, die über einen längeren Zeitraum bereitgestellt wurden, aber einen Anbieter status nicht bereitgestellt haben. Leitungen in diesem Zustand sind nicht betriebsbereit. und das Entfernen der nicht verwendeten Ressource reduziert unnötige Kosten.
Optimaler Betrieb
Die Überwachung und die Diagnose sind von entscheidender Bedeutung. Sie können nicht nur Leistungsstatistiken messen, sondern auch Metriken zur schnellen Problemsuche und -behandlung nutzen. Es wird empfohlen, die Entwurfsprinzipien für hervorragende Betriebsabläufe zu überprüfen.
Prüfliste für den Entwurf
- Konfigurieren Sie die Verbindungsüberwachung zwischen Ihrem lokalen und Azure-Netzwerk.
- Konfigurieren Sie Service Health für den Empfang von Benachrichtigungen.
- Überprüfen Von Metriken und Dashboards, die über ExpressRoute Insights verfügbar sind, verwenden Sie Network Insights.
- Überprüfen Sie ExpressRoute-Ressourcenmetriken.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration für optimale Betriebsabläufe zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren der Verbindungsüberwachung | Mit der Verbindungsüberwachung können Sie die Konnektivität zwischen Ihren lokalen Ressourcen und Azure über das private ExpressRoute-Peering und die Microsoft-Peeringverbindung überwachen. Der Verbindungsmonitor kann Netzwerkprobleme erkennen, indem er erkennt, wo sich das Problem entlang des Netzwerkpfads befindet, und Ihnen hilft, Konfigurations- oder Hardwarefehler schnell zu beheben. |
| Konfigurieren der Dienstintegrität | Richten Sie Service Health-Benachrichtigungen ein, um warnungen zu können, wenn geplante und bevorstehende Wartungen für alle ExpressRoute-Leitungen in Ihrem Abonnement durchgeführt werden. Service Health zeigt auch vergangene Wartung zusammen mit RCA an, wenn eine ungeplante Wartung erfolgen sollte. |
| Überprüfen von Metriken mit Network Insights | Mit ExpressRoute Insights mit Network Insights können Sie ExpressRoute-Verbindungen, Gateways, Verbindungsmetriken und Integritätsdashboards überprüfen und analysieren. ExpressRoute Insights bietet auch eine Topologieansicht Ihrer ExpressRoute-Verbindungen, in der Sie Details ihrer Peeringkomponenten an einem zentralen Ort anzeigen können. Verfügbare Metriken: -Verfügbarkeit -Durchsatz – Gatewaymetriken |
| Überprüfen der ExpressRoute-Ressourcenmetriken | ExpressRoute verwendet Azure Monitor, um Metriken zu sammeln und Warnungen basierend auf Ihrer Konfiguration zu erstellen. Metriken werden für ExpressRoute-Verbindungen, ExpressRoute-Gateways, ExpressRoute-Gatewayverbindungen und ExpressRoute Direct gesammelt. Diese Metriken sind nützlich, um Konnektivitätsprobleme zu diagnostizieren und die Leistung Ihrer ExpressRoute-Verbindung zu verstehen. |
Weitere Vorschläge finden Sie unter Prinzipien der Säule "Operational Excellence".
Effiziente Leistung
Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Es wird empfohlen, die Prinzipien der Leistungseffizienz zu überprüfen.
Prüfliste für den Entwurf
- Testen Sie die Leistung des ExpressRoute-Gateways, um die Anforderungen an die Arbeitsauslastung zu erfüllen.
- Erhöhen Sie die Größe des ExpressRoute-Gateways.
- Aktualisieren Sie die Bandbreite der ExpressRoute-Leitung.
- Aktivieren Sie ExpressRoute FastPath für einen höheren Durchsatz.
- Überwachen Sie die ExpressRoute-Leitungs- und Gatewaymetriken.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration auf Leistungseffizienz zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Testen Sie die Leistung des ExpressRoute-Gateways, um die Anforderungen an die Arbeitsauslastung zu erfüllen. | Verwenden Sie das Azure Connectivity Toolkit , um die Leistung Ihrer ExpressRoute-Leitung zu testen, um die Bandbreitenkapazität und Latenz ihrer Netzwerkverbindung zu verstehen. |
| Erhöhen Sie die Größe des ExpressRoute-Gateways. | Führen Sie ein Upgrade auf eine höhere Gateway-SKU durch, um die Durchsatzleistung zwischen der lokalen Umgebung und der Azure-Umgebung zu verbessern. |
| Upgrade der ExpressRoute-Leitungsbandbreite | Aktualisieren Sie ihre Leitungsbandbreite , um Ihre Arbeitslastanforderungen zu erfüllen. Die Leitungsbandbreite wird von allen virtuellen Netzwerken gemeinsam genutzt, die mit der ExpressRoute-Verbindung verbunden sind. Abhängig von Ihrer Arbeitsauslastung kann ein oder mehrere virtuelle Netzwerke die gesamte Bandbreite der Leitung aufgebraucht haben. |
| Aktivieren von ExpressRoute FastPath für einen höheren Durchsatz | Wenn Sie eine Ultra-Leistung oder ein Virtuelles ErGW3AZ-Netzwerkgateway verwenden, können Sie FastPath aktivieren, um die Leistung des Datenpfads zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk zu verbessern. |
| Überwachen von ExpressRoute-Leitungs- und Gatewaymetriken | Richten Sie Warnungen basierend auf ExpressRoute-Metriken ein, um Sie proaktiv zu benachrichtigen, wenn ein bestimmter Schwellenwert erreicht wird. Diese Metriken sind nützlich, um Anomalien zu verstehen, die bei Ihrer ExpressRoute-Verbindung auftreten können, z. B. Ausfälle und Wartungen für Ihre ExpressRoute-Leitungen. |
Weitere Vorschläge finden Sie unter Prinzipien der Säule "Leistungseffizienz".
Azure Advisor empfiehlt, die Bandbreite Ihrer ExpressRoute-Leitung zu aktualisieren, um die Nutzung zu berücksichtigen, wenn Ihre Leitung vor kurzem mehr als 90 % Ihrer erworbenen Bandbreite verbraucht hat. Wenn Ihr Datenverkehr die zugewiesene Bandbreite überschreitet, treten verworfene Pakete auf, was zu erheblichen Auswirkungen auf Leistung oder Zuverlässigkeit führen kann.
Azure Policy
Azure Policy bietet keine integrierten Richtlinien für ExpressRoute, aber es können benutzerdefinierte Richtlinien erstellt werden, um zu steuern, wie ExpressRoute-Leitungen ihrem gewünschten Endzustand entsprechen sollen, z. B. SKU-Auswahl, Peeringtyp, Peeringkonfigurationen usw.
Zusätzliche Ressourcen
Leitfaden zum Cloud Adoption Framework
Nächste Schritte
Konfigurieren Sie eine ExpressRoute-Verbindung oder einen ExpressRoute Direct-Port , um die Kommunikation zwischen Ihrem lokalen Netzwerk und Azure herzustellen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für