Revisión de Azure Well-Architected Framework: Azure ExpressRoute
En este artículo se proporciona un procedimiento recomendado de arquitectura para Azure ExpressRoute. La guía se basa en los cinco pilares de la excelencia de la arquitectura:
Se supone que tiene conocimientos prácticos de Azure ExpressRoute y que están bien familiarizados con todas sus características. Para más información, consulte Azure ExpressRoute.
Requisitos previos
Para el contexto, considere la posibilidad de revisar una arquitectura de referencia que refleje estas consideraciones en su diseño. Se recomienda empezar con la guía de la metodología Ready de Cloud Adoption Framework Conexión a Azure y Arquitecto para la conectividad híbrida con Azure ExpressRoute. Para arquitecturas de aplicaciones con poco código, se recomienda revisar La habilitación de ExpressRoute para Power Platform al planear y configurar ExpressRoute para su uso con Microsoft Power Platform.
Confiabilidad
En la nube, reconocemos que se producen errores. En lugar de intentar evitar todos los errores, el objetivo es minimizar los efectos que pueden provocar los errores de un único componente. Use la siguiente información para minimizar el tiempo de indeterminación de Azure al establecer la conectividad mediante Azure ExpressRoute.
Al analizar la confiabilidad con Azure ExpressRoute, es importante tener en cuenta el uso del ancho de banda, el diseño físico de la red y la recuperación ante desastres si hay errores. Azure ExpressRoute es capaz de lograr estas consideraciones de diseño y tiene recomendaciones para cada elemento de la lista de comprobación.
En la lista de comprobación de diseño y la lista de recomendaciones siguientes, se presenta información para diseñar una red de alta disponibilidad entre el entorno de Azure y la red local.
Diseño de una lista de comprobación
A medida que toma decisiones de diseño para Azure ExpressRoute, revise los principios de diseño para agregar confiabilidad a la arquitectura.
- Seleccione entre el circuito ExpressRoute o ExpressRoute Direct para los requisitos empresariales.
- Configure una red de capa física diversa para el proveedor de servicios.
- Configure circuitos ExpressRoute con diferentes proveedores de servicios para tener diversas rutas de enrutamiento.
- Configure Active-Active conexiones de ExpressRoute entre el entorno local y Azure.
- Configure las puertas de enlace de ExpressRoute compatibles con la zona de disponibilidad Virtual Network.
- Configure circuitos ExpressRoute en una ubicación diferente a la red local.
- Configure las puertas de enlace de ExpressRoute Virtual Network en diferentes regiones.
- Configure vpn de sitio a sitio como copia de seguridad en el emparejamiento privado de ExpressRoute.
- Configure la supervisión para el circuito ExpressRoute y el estado de la puerta de enlace de ExpressRoute Virtual Network.
- Configure el estado del servicio para recibir una notificación de mantenimiento del circuito ExpressRoute.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de ExpressRoute para confiabilidad.
| Recomendación | Prestación |
|---|---|
| Planear el circuito ExpressRoute o ExpressRoute Direct | Durante la fase de planeamiento inicial, quiere decidir si desea configurar un circuito ExpressRoute o una conexión directa de ExpressRoute. Un circuito ExpressRoute permite una conexión privada dedicada a Azure con la ayuda de un proveedor de conectividad. ExpressRoute Direct permite extender la red local directamente a la red de Microsoft en una ubicación de emparejamiento. También debe identificar el requisito de ancho de banda y el requisito de tipo de SKU para sus necesidades empresariales. |
| Diversidad de capas físicas | Para mejorar la resistencia, planee tener varias rutas de acceso entre el perímetro local y las ubicaciones de emparejamiento (ubicaciones del proveedor o microsoft edge). Esta configuración se puede lograr pasando por un proveedor de servicios diferente o a través de una ubicación diferente de la red local. |
| Planear circuitos con redundancia geográfica | Para planear la recuperación ante desastres, configure circuitos ExpressRoute en más de una ubicación de emparejamiento. Puede crear circuitos en ubicaciones de emparejamiento en el mismo metro o metro diferente y elegir trabajar con diferentes proveedores de servicios para diversas rutas de acceso a través de cada circuito. Para obtener más información, consulte Diseño para la recuperación ante desastres y Diseño de alta disponibilidad. |
| Planear la conectividad de Active-Active | Los circuitos dedicados de ExpressRoute garantizan 99.95% la disponibilidad cuando se configura una conectividad activa-activa entre el entorno local y Azure. Este modo proporciona una mayor disponibilidad de la conexión de Expressroute. También se recomienda configurar BFD para una conmutación por error más rápida si se produce un error de vínculo en una conexión. |
| Planeación de puertas de enlace de Virtual Network | Cree una puerta de enlace compatible con la zona de disponibilidad Virtual Network para lograr una mayor resistencia y planee Virtual Network Puertas de enlace en diferentes regiones para la recuperación ante desastres y la alta disponibilidad. |
| Supervisión del estado de los circuitos y de la puerta de enlace | Configure la supervisión y las alertas de los circuitos ExpressRoute y Virtual Network estado de la puerta de enlace en función de varias métricas disponibles. |
| Habilitación del estado del servicio | ExpressRoute usa el estado del servicio para notificar sobre el mantenimiento planeado y no planeado. La configuración del estado del servicio le notificará los cambios realizados en los circuitos ExpressRoute. |
Para obtener más sugerencias, consulte Principios del pilar de confiabilidad.
Azure Advisor proporciona muchas recomendaciones para los circuitos ExpressRoute en relación con la confiabilidad. Por ejemplo, Azure Advisor puede detectar:
- Puertas de enlace de ExpressRoute en las que solo se implementa un único circuito ExpressRoute, en lugar de varios. Se recomiendan varios circuitos ExpressRoute para agregar resistencia para la ubicación de emparejamiento.
- Los circuitos ExpressRoute que no observan Connection Monitor, ya que la supervisión de un extremo a otro del circuito ExpressRoute es fundamental para obtener información sobre confiabilidad.
- Topologías de red que implican varias ubicaciones de emparejamiento que se beneficiarían de Global Reach de ExpressRoute para mejorar los diseños de recuperación ante desastres para la conectividad local para tener en cuenta la pérdida de conectividad no planeada.
Seguridad
La seguridad constituye uno de los aspectos más importantes de cualquier arquitectura. ExpressRoute proporciona características para emplear el principio de privilegios mínimos y defensa en defensa. Se recomienda revisar los principios de diseño de seguridad.
Diseño de una lista de comprobación
- Configure el registro de actividad para enviar registros al archivo.
- Mantenga un inventario de cuentas administrativas con acceso a recursos de ExpressRoute.
- Configure el hash MD5 en el circuito ExpressRoute.
- Configure MACSec para recursos de ExpressRoute Direct.
- Cifre el tráfico a través del emparejamiento privado y el emparejamiento de Microsoft para el tráfico de red virtual.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de ExpressRoute para la seguridad.
| Recomendación | Prestación |
|---|---|
| Configuración del registro de actividad para enviar registros al archivo | Los registros de actividad proporcionan información sobre las operaciones que se realizaron en el nivel de suscripción para los recursos de ExpressRoute. Con los registros de actividad, puede determinar quién y cuándo se realizó una operación en el plano de control. La retención de datos solo es de 90 días y es necesario almacenarla en Log Analytics, Event Hubs o una cuenta de almacenamiento para el archivo. |
| Mantenimiento del inventario de cuentas administrativas | Use Azure RBAC para configurar roles para limitar las cuentas de usuario que pueden agregar, actualizar o eliminar la configuración de emparejamiento en un circuito ExpressRoute. |
| Configuración del hash MD5 en el circuito ExpressRoute | Durante la configuración del emparejamiento privado o el emparejamiento de Microsoft, aplique un hash MD5 para proteger los mensajes entre la ruta local y los enrutadores MSEE. |
| Configuración de MACSec para recursos de ExpressRoute Direct | La seguridad de los Access Control multimedia es una seguridad de punto a punto en la capa de vínculo de datos. ExpressRoute Direct admite la configuración de MACSec para evitar amenazas de seguridad en protocolos como ARP, DHCP, LACP no protegido normalmente en el vínculo Ethernet. Para obtener más información sobre cómo configurar MACSec, consulte MACSec para puertos de ExpressRoute Direct. |
| Cifrado del tráfico mediante IPsec | Configure un túnel VPN de sitio a sitio a través del circuito ExpressRoute para cifrar la transferencia de datos entre la red local y la red virtual de Azure. Puede configurar un túnel mediante el emparejamiento privado o el emparejamiento de Microsoft. |
Para obtener más sugerencias, consulte Principios de diseño de seguridad.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Se recomienda revisar el principio de diseño de optimización de costos y Planear y administrar los costos de Azure ExpressRoute.
Diseño de una lista de comprobación
- Familiarícese con los precios de ExpressRoute.
- Determine la SKU del circuito ExpressRoute y el ancho de banda necesarios.
- Determine el tamaño de puerta de enlace de red virtual de ExpressRoute necesario.
- Supervise los costos y cree alertas de presupuesto.
- Desaprovisionar circuitos ExpressRoute ya no están en uso.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de ExpressRoute para la optimización de costos.
| Recomendación | Prestación |
|---|---|
| Familiarícese con los precios de ExpressRoute | Para más información sobre los precios de ExpressRoute, consulte Descripción de los precios de Azure ExpressRoute. También puede usar la calculadora de precios. Asegúrese de que las opciones tienen el tamaño adecuado para satisfacer la demanda de capacidad y ofrecer el rendimiento esperado sin desperdiciar recursos. |
| Determinación de la SKU y el ancho de banda necesarios | La forma en que se le cobra por el uso de ExpressRoute varía entre los tres tipos de SKU diferentes. Con la SKU local, se le cobra automáticamente un plan de datos ilimitado. Con la SKU Estándar y Premium, puede seleccionar entre un plan de datos de uso medido o ilimitado. Todos los datos de entrada son gratuitos, excepto cuando se usa el complemento Global Reach. Para optimizar mejor el costo y el presupuesto, es importante comprender qué tipos de SKU y plan de datos funcionan mejor con su carga de trabajo. Para más información sobre cómo cambiar el tamaño del circuito ExpressRoute, consulte actualización del ancho de banda del circuito ExpressRoute. |
| Determinación del tamaño de la puerta de enlace de red virtual de ExpressRoute | Las puertas de enlace de red virtual de ExpressRoute se usan para pasar tráfico a una red virtual a través del emparejamiento privado. Revise las necesidades de rendimiento y escalado de la SKU de puerta de enlace de Virtual Network que prefiera. Seleccione la SKU de puerta de enlace adecuada en la carga de trabajo local a Azure. |
| Supervisión del costo y creación de alertas presupuestarias | Supervise el costo del circuito ExpressRoute y cree alertas para detectar anomalías de gasto y riesgos excesivos. Para más información, consulte Supervisión de los costos de ExpressRoute. |
| Desaprovisionar y eliminar circuitos ExpressRoute ya no están en uso. | Los circuitos ExpressRoute se cobran desde el momento en que se crean. Para reducir el costo innecesario, desaprovisione el circuito con el proveedor de servicios y elimine el circuito ExpressRoute de la suscripción. Para conocer los pasos sobre cómo quitar un circuito ExpressRoute, consulte Desaprovisionamiento de un circuito ExpressRoute. |
Para obtener más sugerencias, consulte Lista de comprobación de revisión de diseño para la optimización de costos.
Azure Advisor puede detectar circuitos ExpressRoute que se han implementado durante un tiempo significativo, pero que tienen un estado de proveedor de No aprovisionado. Los circuitos en este estado no están operativos; y la eliminación del recurso sin usar reducirá los costos innecesarios.
Excelencia operativa
La supervisión y el diagnóstico son fundamentales. No solo puede medir las estadísticas de rendimiento, sino también usar la solución de problemas de métricas para resolver problemas rápidamente. Se recomienda revisar los principios de diseño de excelencia operativa.
Diseño de una lista de comprobación
- Configure la supervisión de conexiones entre el entorno local y la red de Azure.
- Configure Service Health para recibir notificaciones.
- Revise las métricas y los paneles disponibles a través de ExpressRoute Insights mediante Network Insights.
- Revise las métricas de recursos de ExpressRoute.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de ExpressRoute para la excelencia operativa.
| Recomendación | Prestación |
|---|---|
| Configuración de la supervisión de conexiones | La supervisión de conexiones permite supervisar la conectividad entre los recursos locales y Azure a través del emparejamiento privado de ExpressRoute y la conexión de emparejamiento de Microsoft. El monitor de conexión puede detectar problemas de red mediante la identificación de dónde se encuentra la ruta de acceso de red y le ayuda a resolver rápidamente los errores de configuración o hardware. |
| Configuración de Service Health | Configure las notificaciones de Service Health para alertar cuando se realice el mantenimiento planeado y próximo a todos los circuitos ExpressRoute de la suscripción. Service Health también muestra el mantenimiento pasado junto con RCA si se ha producido un mantenimiento no planeado. |
| Revisión de métricas con Network Insights | ExpressRoute Insights con Network Insights le permite revisar y analizar circuitos, puertas de enlace, métricas de conexiones y paneles de estado de ExpressRoute. ExpressRoute Insights también proporciona una vista de topología de las conexiones de ExpressRoute, donde puede ver los detalles de los componentes de emparejamiento en un solo lugar. Métricas disponibles: -Disponibilidad -Rendimiento - Métricas de puerta de enlace |
| Revisión de las métricas de recursos de ExpressRoute | ExpressRoute usa Azure Monitor para recopilar métricas y crear alertas basadas en la configuración. Las métricas se recopilan para circuitos ExpressRoute, puertas de enlace de ExpressRoute, conexiones de puerta de enlace de ExpressRoute y ExpressRoute Direct. Estas métricas son útiles para diagnosticar problemas de conectividad y comprender el rendimiento de la conexión de ExpressRoute. |
Para obtener más sugerencias, consulte Principios del pilar de excelencia operativa.
Eficiencia del rendimiento
La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan ejercido sobre ella. Se recomienda revisar los principios de eficiencia del rendimiento.
Diseño de una lista de comprobación
- Pruebe el rendimiento de la puerta de enlace de ExpressRoute para cumplir los requisitos de carga de trabajo.
- Aumente el tamaño de la puerta de enlace de ExpressRoute.
- Actualice el ancho de banda del circuito ExpressRoute.
- Habilite FastPath de ExpressRoute para un mayor rendimiento.
- Supervise las métricas de puerta de enlace y circuito ExpressRoute.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de ExpressRoute para mejorar la eficiencia del rendimiento.
| Recomendación | Prestación |
|---|---|
| Pruebe el rendimiento de la puerta de enlace de ExpressRoute para cumplir los requisitos de carga de trabajo. | Use Azure Connectivity Toolkit para probar el rendimiento en el circuito ExpressRoute para comprender la capacidad de ancho de banda y la latencia de la conexión de red. |
| Aumente el tamaño de la puerta de enlace de ExpressRoute. | Actualice a una SKU de puerta de enlace superior para mejorar el rendimiento entre el entorno local y azure. |
| Actualización del ancho de banda del circuito ExpressRoute | Actualice el ancho de banda del circuito para satisfacer los requisitos de carga de trabajo. El ancho de banda del circuito se comparte entre todas las redes virtuales conectadas al circuito ExpressRoute. En función de la carga de trabajo, una o varias redes virtuales pueden usar todo el ancho de banda en el circuito. |
| Habilitación de FastPath de ExpressRoute para un mayor rendimiento | Si usa un rendimiento Ultra o una puerta de enlace de red virtual ErGW3AZ, puede habilitar FastPath para mejorar el rendimiento de la ruta de acceso de datos entre la red local y la red virtual de Azure. |
| Supervisión de métricas de puerta de enlace y circuito ExpressRoute | Configure alertas basadas en métricas de ExpressRoute para notificarle de forma proactiva cuándo se cumple un umbral determinado. Estas métricas son útiles para comprender las anomalías que pueden producirse con la conexión de ExpressRoute, como interrupciones y mantenimiento que se producen en los circuitos ExpressRoute. |
Para obtener más sugerencias, consulte Principios del pilar de eficiencia del rendimiento.
Azure Advisor ofrecerá una recomendación para actualizar el ancho de banda del circuito ExpressRoute para dar cabida al uso cuando el circuito haya consumido recientemente más del 90 % del ancho de banda adquirido. Si el tráfico supera el ancho de banda asignado, experimentará paquetes eliminados, lo que puede provocar un impacto significativo en el rendimiento o la confiabilidad.
Azure Policy
Azure Policy no proporciona ninguna directiva integrada para ExpressRoute, pero se pueden crear directivas personalizadas para ayudar a controlar cómo los circuitos ExpressRoute deben coincidir con el estado final deseado, como la opción de SKU, el tipo de emparejamiento, las configuraciones de emparejamiento, etc.
Recursos adicionales
Guía de Cloud Adoption Framework
Pasos siguientes
Configure un circuito ExpressRoute o un puerto directo de ExpressRoute para establecer la comunicación entre la red local y Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de