Conception pour une reprise d’activité avec le peering privé ExpressRouteDesigning for disaster recovery with ExpressRoute private peering

ExpressRoute est conçu pour la haute disponibilité afin de fournir à l’opérateur une connectivité de réseau privé de qualité aux ressources Microsoft.ExpressRoute is designed for high availability to provide carrier grade private network connectivity to Microsoft resources. En d’autres termes, il n’existe aucun point de défaillance unique dans le chemin d’accès ExpressRoute au sein du réseau de Microsoft.In other words, there is no single point of failure in the ExpressRoute path within Microsoft network. Pour des considérations de conception visant à optimiser la disponibilité d’un circuit ExpressRoute, consultez Conception pour une haute disponibilité avec ExpressRoute.For design considerations to maximize the availability of an ExpressRoute circuit, see Designing for high availability with ExpressRoute.

Toutefois, prenant en considération l’adage populaire de Murphy, selon lequel si quelque chose peut mal tourner, c’est ce qui va arriver, nous nous concentrons dans cet article sur des solutions qui vont au-delà des défaillances qui peuvent être traitées à l’aide d’un simple circuit ExpressRoute.However, taking Murphy's popular adage--if anything can go wrong, it will--into consideration, in this article let us focus on solutions that go beyond failures that can be addressed using a single ExpressRoute circuit. En d’autres termes, dans cet article, nous allons nous intéresser à l’architecture des réseaux du point de vue de la création d’une connectivité réseau back-end robuste favorisant la reprise d’activité à l’aide de circuits ExpressRoute géoredondants.In other words, in this article let us look into network architecture considerations for building robust backend network connectivity for disaster recovery using geo-redundant ExpressRoute circuits.

Nécessité d’une solution de connectivité redondanteNeed for redundant connectivity solution

Certaines situations peuvent favoriser la dégradation d’un service régional entier (que ce soit au niveau de Microsoft, des fournisseurs de services réseau, des clients ou d’autres fournisseurs de services cloud).There are possibilities and instances where an entire regional service (be it that of Microsoft, network service providers, customer, or other cloud service providers) gets degraded. Une catastrophe naturelle peut-être la cause première de ce type d’impact sur un service à l’échelle régionale.The root cause for such regional wide service impact include natural calamity. Pour la continuité des activités et les applications stratégiques, il est donc important de planifier la reprise d’activité.Therefore, for business continuity and mission critical applications it is important to plan for disaster recovery.

Que vous exécutiez vos applications stratégiques dans une région Azure, localement ou n’importe où ailleurs, vous pouvez utiliser une autre région Azure comme site de basculement.Irrespective of whether you run your mission critical applications in an Azure region or on-premises or anywhere else, you can use another Azure region as your failover site. Les articles suivants abordent la reprise d’activité du point de vue des applications et de l’accès front-end :The following articles addresses disaster recovery from applications and frontend access perspectives:

Si vous vous appuyez sur la connectivité ExpressRoute entre votre réseau local et Microsoft pour vos opérations stratégiques, votre plan de reprise d’activité doit également inclure une connectivité réseau géoredondante.If you rely on ExpressRoute connectivity between your on-premises network and Microsoft for mission critical operations, your disaster recovery plan should also include geo-redundant network connectivity.

Défis liés à l’utilisation de plusieurs circuits ExpressRouteChallenges of using multiple ExpressRoute circuits

Quand vous interconnectez le même ensemble de réseaux à l’aide de plusieurs connexions, vous introduisez des chemins parallèles entre les réseaux.When you interconnect the same set of networks using more than one connection, you introduce parallel paths between the networks. Quand ils ne sont pas correctement conçus, les chemins parallèles peuvent engendrer un routage asymétrique.Parallel paths, when not properly architected, could lead to asymmetrical routing. Si le chemin comporte des entités avec état (par exemple, NAT, pare-feu), le routage asymétrique risque de bloquer le flux de trafic.If you have stateful entities (for example, NAT, firewall) in the path, asymmetrical routing could block traffic flow. En règle générale, sur le chemin de peering privé ExpressRoute, vous ne rencontrez pas d’entités avec état, telles que NAT ou un pare-feu.Typically, over the ExpressRoute private peering path you won't come across stateful entities such as NAT or Firewalls. Ainsi, le routage asymétrique sur le peering privé ExpressRoute ne bloque pas nécessairement le flux de trafic.Therefore, asymmetrical routing over ExpressRoute private peering does not necessarily block traffic flow.

Toutefois, si vous équilibrez la charge du trafic entre des chemin parallèles géoredondants, qu’il existe ou non des entités avec état, vous pouvez observer des performances réseau incohérentes.However, if you load balance traffic across geo-redundant parallel paths, irrespective of whether you have stateful entities or not, you would experience inconsistent network performance. Dans cet article, nous allons aborder la façon de relever ces défis.In this article, let's discuss how to address these challenges.

Considérations relatives aux réseaux locaux petits ou moyensSmall to medium on-premises network considerations

Penchons-nous sur l’exemple de réseau illustré dans le diagramme suivant.Let's consider the example network illustrated in the following diagram. Dans l’exemple, une connectivité ExpressRoute géoredondante est établie entre un emplacement local de Contoso et un réseau virtuel de Contoso dans une région Azure.In the example, geo-redundant ExpressRoute connectivity is established between a Contoso's on-premises location and Contoso's VNet in an Azure region. Dans le diagramme, la ligne verte pleine indique le chemin préféré (via ExpressRoute 1), tandis que la ligne verte en pointillé représente le chemin de secours (via ExpressRoute 2).In the diagram, solid green line indicates preferred path (via ExpressRoute 1) and the dotted one represents stand-by path (via ExpressRoute 2).

11

Quand vous concevez une connectivité ExpressRoute pour la reprise d’activité, vous devez envisager ce qui suit :When you are designing ExpressRoute connectivity for disaster recovery, you need to consider:

  • Utiliser des circuits ExpressRoute géoredondantsusing geo-redundant ExpressRoute circuits
  • Utiliser divers réseaux de fournisseur de service pour le circuit ExpressRoute différentusing diverse service provider network(s) for different ExpressRoute circuit
  • Concevoir chaque circuit ExpressRoute pour la haute disponibilitédesigning each of the ExpressRoute circuit for high availability
  • Terminer le circuit ExpressRoute différent à un emplacement différent sur le réseau du clientterminating the different ExpressRoute circuit in different location on the customer network

Par défaut, si vous publiez des routes identiques sur tous les chemins ExpressRoute, Azure équilibre la charge liée au trafic local entre tous les chemins ExpressRoute à l’aide du routage multichemin à coût égal (ECMP).By default, if you advertise routes identically over all the ExpressRoute paths, Azure will load-balance on-premises bound traffic across all the ExpressRoute paths using Equal-cost multi-path (ECMP) routing.

Toutefois, avec les circuits ExpressRoute géoredondants, nous devons tenir compte de la différence des performances réseau d’un chemin réseau à l’autre (en particulier du point de vue de la latence du réseau).However, with the geo-redundant ExpressRoute circuits we need to take into consideration different network performances with different network paths (particularly for network latency). Pour obtenir des performances réseau plus cohérentes pendant un fonctionnement normal, vous pouvez préférer le circuit ExpressRoute qui offre la latence minimale.To get more consistent network performance during normal operation, you may want to prefer the ExpressRoute circuit that offers the minimal latency.

Vous pouvez influer sur Azure afin qu’il préfère un circuit ExpressRoute à un autre en utilisant l’une des techniques suivantes (listées par ordre d’efficacité) :You can influence Azure to prefer one ExpressRoute circuit over another one using one of the following techniques (listed in the order of effectiveness):

  • Publier une route plus spécifique via le circuit ExpressRoute préféré par rapport aux autres circuits ExpressRouteadvertising more specific route over the preferred ExpressRoute circuit compared to other ExpressRoute circuit(s)
  • Configurer une pondération de connexion supérieure sur la connexion qui relie le réseau virtuel au circuit ExpressRoute préféréconfiguring higher Connection Weight on the connection that links the virtual network to the preferred ExpressRoute circuit
  • Publier les routes via un circuit ExpressRoute moins préféré avec un chemin AS plus long (ajout au chemin AS)advertising the routes over less preferred ExpressRoute circuit with longer AS Path (AS Path prepend)

Route plus spécifiqueMore specific route

Le diagramme suivant montre comment influer sur la sélection d’un chemin ExpressRoute à l’aide d’une publication de route plus spécifique.The following diagram illustrates influencing ExpressRoute path selection using more specific route advertisement. Dans l’exemple illustré, la plage d’adresses IP /24 du réseau local Contoso est publiée sous la forme de deux plages d’adresses /25 via le chemin d’accès préféré (ExpressRoute 1) et d’une plage /24 via le chemin de secours (ExpressRoute 2).In the illustrated example, Contoso on-premises /24 IP range is advertised as two /25 address ranges via the preferred path (ExpressRoute 1) and as /24 via the stand-by path (ExpressRoute 2).

22

/25 étant plus spécifique, par rapport à /24, Azure envoie le trafic destiné à 10.1.11.0/24 via ExpressRoute 1 dans un état normal.Because /25 is more specific, compared to /24, Azure would send the traffic destined to 10.1.11.0/24 via ExpressRoute 1 in the normal state. Si les deux connexions d’ExpressRoute 1 tombent en panne, le réseau virtuel voit la publication de la route 10.1.11.0/24 uniquement par le biais d’ExpressRoute 2 ; ainsi, le circuit de secours est utilisé dans cet état d’échec.If both the connections of ExpressRoute 1 go down, then the VNet would see the 10.1.11.0/24 route advertisement only via ExpressRoute 2; and therefore the standby circuit is used in this failure state.

Pondération de connexionConnection weight

La capture d’écran suivante illustre la configuration de la pondération d’une connexion ExpressRoute via le portail Azure.The following screenshot illustrates configuring the weight of an ExpressRoute connection via Azure portal.

33

Le diagramme suivant montre comment influer sur la sélection d’un chemin ExpressRoute à l’aide de la pondération de connexion.The following diagram illustrates influencing ExpressRoute path selection using connection weight. La pondération de connexion par défaut est 0.The default connection weight is 0. Dans l’exemple ci-dessous, la pondération de connexion pour ExpressRoute 1 est configurée sur la valeur 100.In the example below, the weight of the connection for ExpressRoute 1 is configured as 100. Quand un réseau virtuel reçoit un préfixe de route publié par le biais de plusieurs circuits ExpressRoute, il préfère la connexion ayant la pondération la plus élevée.When a VNet receives a route prefix advertised via more than one ExpressRoute circuit, the VNet will prefer the connection with the highest weight.

44

Si les deux connexions d’ExpressRoute 1 tombent en panne, le réseau virtuel voit la publication de la route 10.1.11.0/24 uniquement par le biais d’ExpressRoute 2 ; ainsi, le circuit de secours est utilisé dans cet état d’échec.If both the connections of ExpressRoute 1 go down, then the VNet would see the 10.1.11.0/24 route advertisement only via ExpressRoute 2; and therefore the standby circuit is used in this failure state.

Ajout au chemin ASAS path prepend

Le diagramme suivant montre comment influer sur la sélection d’un chemin ExpressRoute à l’aide d’un ajout au chemin AS.The following diagram illustrates influencing ExpressRoute path selection using AS path prepend. Dans le diagramme, la publication des routes via ExpressRoute 1 indique le comportement par défaut du mode eBGP.In the diagram, the route advertisement over ExpressRoute 1 indicates the default behavior of eBGP. Sur la publication des routes via ExpressRoute 2, le numéro ASN du réseau local est ajouté au chemin AS de la route.On the route advertisement over ExpressRoute 2, the on-premises network's ASN is prepended additionally on the route's AS path. Quand la même route est reçue via plusieurs circuits ExpressRoute, selon le processus de sélection de route eBGP, le réseau virtuel préfère la route ayant le chemin AS le plus court.When the same route is received through multiple ExpressRoute circuits, per the eBGP route selection process, VNet would prefer the route with the shortest AS path.

55

Si les deux connexions d’ExpressRoute 1 tombent en panne, le réseau virtuel voit la publication de la route 10.1.11.0/24 uniquement par le biais d’ExpressRoute 2.If both the connections of ExpressRoute 1 go down, then the VNet would see the 10.1.11.0/24 route advertisement only via ExpressRoute 2. Ainsi, le chemin AS plus long devient superflu.Consequentially, the longer AS path would become irrelevant. Le circuit de secours est donc utilisé dans cet état d’échec.Therefore, the standby circuit would be used in this failure state.

En utilisant l’une ou l’autre des techniques, si vous amenez Azure à préférer un de vos chemins ExpressRoute, vous devez vous assurer que le réseau local préfère également le même chemin ExpressRoute pour le trafic lié à Azure afin d’éviter les flux asymétriques.Using any of the techniques, if you influence Azure to prefer one of your ExpressRoute over others, you also need to ensure the on-premises network also prefer the same ExpressRoute path for Azure bound traffic to avoid asymmetric flows. En règle générale, la valeur de préférence locale est utilisée pour amener le réseau local à préférer un circuit ExpressRoute.Typically, local preference value is used to influence on-premises network to prefer one ExpressRoute circuit over others. La préférence locale est une métrique iBGP (BGP interne).Local preference is an internal BGP (iBGP) metric. La route BGP ayant la valeur de préférence locale la plus élevée est préférée.The BGP route with the highest local preference value is preferred.

Important

Quand vous utilisez certains circuits ExpressRoute en guise de circuits de secours, vous devez les gérer activement et tester régulièrement l’opération de basculement.When you use certain ExpressRoute circuits as stand-by, you need to actively manage them and periodically test failover operation.

Grand réseau d’entreprise distribuéLarge distributed enterprise network

Quand vous avez un grand réseau d’entreprise distribué, vous êtes susceptible d’avoir plusieurs circuits ExpressRoute.When you have a large distributed enterprise network, you're likely to have multiple ExpressRoute circuits. Dans cette section, nous allons voir comment concevoir la reprise d’activité à l’aide de circuits ExpressRoute en mode actif-actif, sans avoir besoin de circuits de secours supplémentaires.In this section, let's see how to design disaster recovery using the active-active ExpressRoute circuits, without needing additional stand-by circuits.

Penchons-nous sur l’exemple illustré dans le diagramme suivant.Let's consider the example illustrated in the following diagram. Dans l’exemple, Contoso dispose de deux emplacements locaux connectés à deux déploiements IaaS Contoso dans deux régions Azure différentes via des circuits ExpressRoute dans deux emplacements de peering différents.In the example, Contoso has two on-premises locations connected to two Contoso IaaS deployment in two different Azure regions via ExpressRoute circuits in two different peering locations.

66

La façon dont nous architecturons la reprise d’activité a un impact sur la façon dont est routé le trafic depuis les régions vers les emplacements (région 1/région 2 vers emplacement 2/emplacement1).How we architect the disaster recovery has an impact on how cross regional to cross location (region1/region2 to location2/location1) traffic is routed. Prenons l’exemple de deux architectures de reprise qui routent différemment le trafic depuis les régions vers les emplacements.Let's consider two different disaster architectures that routes cross region-location traffic differently.

Scénario 1Scenario 1

Dans le premier scénario, nous concevons la reprise d’activité afin que tout le trafic entre une région Azure et un réseau local emprunte le circuit ExpressRoute local dans l’état stable.In the first scenario, let's design disaster recovery such that all the traffic between an Azure region and on-premises network flow through the local ExpressRoute circuit in the steady state. Si le circuit ExpressRoute local échoue, le circuit ExpressRoute distant est utilisé pour tous les flux de trafic entre Azure et le réseau local.If the local ExpressRoute circuit fails, then the remote ExpressRoute circuit is used for all the traffic flows between Azure and on-premises network.

Le scénario 1 est illustré dans le diagramme suivant.Scenario 1 is illustrated in the following diagram. Dans le diagramme, les lignes vertes indiquent les chemins pour le flux de trafic entre les réseaux VNet1 et locaux.In the diagram, green lines indicate paths for traffic flow between VNet1 and on-premises networks. Les lignes bleues indiquent les chemins pour le flux de trafic entre les réseaux VNet2 et locaux.The blue lines indicate paths for traffic flow between VNet2 and on-premises networks. Les lignes pleines indiquent le chemin souhaité dans l’état stable, tandis que les lignes en pointillés indiquent le chemin du trafic en cas de défaillance du circuit ExpressRoute correspondant par lequel transite le flux de trafic dans l’état stable.Solid lines indicate desired path in the steady-state and the dashed lines indicate traffic path in the failure of the corresponding ExpressRoute circuit that carries steady-state traffic flow.

77

Vous pouvez concevoir le scénario au moyen de la pondération de connexion afin que les réseaux virtuels préfèrent la connexion au circuit ExpressRoute de l’emplacement de peering local pour le trafic lié au réseau local.You can architect the scenario using connection weight to influence VNets to prefer connection to local peering location ExpressRoute for on-premises network bound traffic. Pour compléter la solution, vous devez garantir un flux de trafic inverse symétrique.To complete the solution, you need to ensure symmetrical reverse traffic flow. Vous pouvez utiliser la préférence locale sur la session iBGP entre vos routeurs BGP (sur lesquels les circuits ExpressRoute sont terminés du côté local) pour préférer un circuit ExpressRoute.You can use local preference on the iBGP session between your BGP routers (on which ExpressRoute circuits are terminated on on-premises side) to prefer a ExpressRoute circuit. La solution est illustrée dans le diagramme suivant.The solution is illustrated in the following diagram.

88

Scénario 2Scenario 2

Le scénario 2 est illustré dans le diagramme suivant.The Scenario 2 is illustrated in the following diagram. Dans le diagramme, les lignes vertes indiquent les chemins pour le flux de trafic entre les réseaux VNet1 et locaux.In the diagram, green lines indicate paths for traffic flow between VNet1 and on-premises networks. Les lignes bleues indiquent les chemins pour le flux de trafic entre les réseaux VNet2 et locaux.The blue lines indicate paths for traffic flow between VNet2 and on-premises networks. Dans l’état stable (lignes pleines dans le diagramme), tout le trafic entre les réseaux virtuels et les emplacements emprunte essentiellement l’infrastructure Microsoft dorsale, et ne transite par l’interconnexion entre les emplacements locaux que si un circuit ExpressRoute se trouve en état d’échec (lignes en pointillés dans le diagramme).In the steady-state (solid lines in the diagram), all the traffic between VNets and on-premises locations flow via Microsoft backbone for the most part, and flows through the interconnection between on-premises locations only in the failure state (dotted lines in the diagram) of an ExpressRoute.

99

La solution est illustrée dans le diagramme suivant.The solution is illustrated in the following diagram. Comme illustré, vous pouvez concevoir le scénario en utilisant une route plus spécifique (option 1) ou l’ajout au chemin AS (option 2) pour influer sur la sélection du chemin pour les réseaux virtuels.As illustrated, you can architect the scenario either using more specific route (Option 1) or AS-path prepend (Option 2) to influence VNet path selection. Pour influer sur la sélection des routes des réseaux locaux pour le trafic lié à Azure, vous devez configurer l’interconnexion entre l’emplacement local comme étant moins préférable.To influence on-premises network route selection for Azure bound traffic, you need configure the interconnection between the on-premises location as less preferable. La façon dont vous configurez le lien d’interconnexion comme étant préférable varie selon le protocole de routage utilisé au sein du réseau local.Howe you configure the interconnection link as preferable depends on the routing protocol used within the on-premises network. Vous pouvez utiliser la préférence locale avec iBGP ou une métrique avec IGP (OSPF ou IS-IS).You can use local preference with iBGP or metric with IGP (OSPF or IS-IS).

1010

Étapes suivantesNext steps

Dans cet article, nous avons abordé la conception de la reprise d’activité d’une connectivité de peering privé dans les circuits ExpressRoute.In this article, we discussed how to design for disaster recovery of an ExpressRoute circuit private peering connectivity. Les articles suivants abordent la reprise d’activité du point de vue des applications et de l’accès front-end :The following articles addresses disaster recovery from applications and frontend access perspectives: