Azure Well-Architected Framework-beoordeling - Azure ExpressRoute
Dit artikel bevat best practices voor de architectuur voor Azure ExpressRoute. De richtlijnen zijn gebaseerd op de vijf pijlers van de uitstekende architectuur:
We gaan ervan uit dat u praktische kennis van Azure ExpressRoute hebt en dat u goed bekend bent met alle functies ervan. Zie Azure ExpressRoute voor meer informatie.
Vereisten
Voor context kunt u overwegen om een referentiearchitectuur te bekijken die deze overwegingen weerspiegelt in het ontwerp. We raden u aan te beginnen met de richtlijnen van Cloud Adoption Framework Ready-methodologie Verbinding maken met Azure en ontwerpen voor hybride connectiviteit met Azure ExpressRoute. Voor toepassingsarchitecturen met weinig code raden we u aan ExpressRoute inschakelen voor Power Platform te bekijken bij het plannen en configureren van ExpressRoute voor gebruik met Microsoft Power Platform.
Betrouwbaarheid
In de cloud erkennen we dat er fouten optreden. In plaats van fouten helemaal te proberen te voorkomen, is het doel de effecten van een onderdeel met een storing te beperken. Gebruik de volgende informatie om de uitvalttijd van en naar Azure te minimaliseren bij het tot stand brengen van connectiviteit met behulp van Azure ExpressRoute.
Bij het bespreken van betrouwbaarheid met Azure ExpressRoute is het belangrijk om rekening te houden met bandbreedtegebruik, fysieke indeling van het netwerk en herstel na noodgevallen als er fouten optreden. Azure ExpressRoute kan deze ontwerpoverwegingen bereiken en aanbevelingen hebben voor elk item in de controlelijst.
In de ontwerpcontrolelijst en de lijst met aanbevelingen hieronder wordt informatie weergegeven zodat u een maximaal beschikbaar netwerk kunt ontwerpen tussen uw Azure-omgeving en het on-premises netwerk.
Controlelijst voor ontwerp
Wanneer u ontwerpkeuzes maakt voor Azure ExpressRoute, bekijkt u de ontwerpprincipes voor het toevoegen van betrouwbaarheid aan de architectuur.
- Kies tussen ExpressRoute-circuit of ExpressRoute Direct voor zakelijke vereisten.
- Configureer een netwerk met diverse fysieke lagen voor de serviceprovider.
- Configureer ExpressRoute-circuits met verschillende serviceproviders om verschillende routeringspaden te hebben.
- Configureer Active-Active ExpressRoute-verbindingen tussen on-premises en Azure.
- Stel de beschikbaarheidszonebewuste ExpressRoute in Virtual Network-gateways.
- Configureer ExpressRoute-circuits op een andere locatie dan het on-premises netwerk.
- Configureer ExpressRoute Virtual Network-gateways in verschillende regio's.
- Configureer site-naar-site-VPN als back-up naar persoonlijke ExpressRoute-peering.
- Bewaking instellen voor ExpressRoute-circuit en ExpressRoute Virtual Network Gateway-status.
- Configureer de servicestatus om een melding over expressroute-circuitonderhoud te ontvangen.
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw ExpressRoute-configuratie te optimaliseren voor betrouwbaarheid.
| Aanbeveling | Voordeel |
|---|---|
| Een ExpressRoute-circuit of ExpressRoute Direct plannen | Tijdens de eerste planningsfase wilt u beslissen of u een ExpressRoute-circuit of een ExpressRoute Direct-verbinding wilt configureren. Een ExpressRoute-circuit maakt een toegewezen privéverbinding met Azure mogelijk met behulp van een connectiviteitsprovider. Met ExpressRoute Direct kunt u het on-premises netwerk rechtstreeks uitbreiden naar het Microsoft-netwerk op een peeringlocatie. U moet ook de bandbreedtevereiste en het SKU-typevereiste voor uw bedrijfsbehoeften identificeren. |
| Diversiteit van fysieke lagen | Voor een betere tolerantie kunt u meerdere paden tussen de on-premises edge en de peeringlocaties (provider-/Microsoft Edge-locaties) gebruiken. Deze configuratie kan worden bereikt door via een andere serviceprovider of via een andere locatie van het on-premises netwerk te gaan. |
| Geografisch redundante circuits plannen | Als u herstel na noodgevallen wilt plannen, stelt u ExpressRoute-circuits in op meer dan één peeringlocatie. U kunt circuits maken in peeringlocaties in dezelfde metro of verschillende metro en ervoor kiezen om met verschillende serviceproviders te werken voor verschillende paden door elk circuit. Zie Ontwerpen voor herstel na noodgevallen en Ontwerpen voor hoge beschikbaarheid voor meer informatie. |
| Active-Active-connectiviteit plannen | Toegewezen ExpressRoute-circuits garanderen 99.95% beschikbaarheid wanneer een actief-actief-verbinding is geconfigureerd tussen on-premises en Azure. Deze modus biedt een hogere beschikbaarheid van uw Expressroute-verbinding. Het is ook raadzaam om BFD te configureren voor een snellere failover als er een koppelingsfout is opgetreden in een verbinding. |
| Planning voor Virtual Network-gateways | Maak een beschikbaarheidszone Virtual Network Gateway voor een hogere tolerantie en plan Virtual Network-gateways in verschillende regio's voor herstel na noodgevallen en hoge beschikbaarheid. |
| Circuits en gatewaystatus bewaken | Bewaking en waarschuwingen instellen voor ExpressRoute-circuits en Virtual Network gatewaystatus op basis van verschillende beschikbare metrische gegevens. |
| Servicestatus inschakelen | ExpressRoute maakt gebruik van servicestatus om te informeren over gepland en ongepland onderhoud. Als u de servicestatus configureert, wordt u op de hoogte gesteld van wijzigingen die zijn aangebracht in uw ExpressRoute-circuits. |
Zie Principes van de betrouwbaarheidspijler voor meer suggesties.
Azure Advisor biedt veel aanbevelingen voor ExpressRoute-circuits met betrekking tot betrouwbaarheid. Azure Advisor kan bijvoorbeeld het volgende detecteren:
- ExpressRoute-gateways waarin slechts één ExpressRoute-circuit wordt geïmplementeerd, in plaats van meerdere. Meerdere ExpressRoute-circuits worden aanbevolen voor het toevoegen van tolerantie voor de peeringlocatie.
- ExpressRoute-circuits die niet worden waargenomen door Verbindingsmonitor, omdat end-to-end-bewaking van uw ExpressRoute-circuit essentieel is voor betrouwbaarheids insights.
- Netwerktopologieën met meerdere peeringlocaties die baat zouden hebben bij ExpressRoute Global Reach om ontwerpen voor herstel na noodgevallen voor on-premises connectiviteit te verbeteren om rekening te houden met ongepland connectiviteitsverlies.
Beveiliging
Beveiliging is een van de belangrijkste aspecten van een architectuur. ExpressRoute biedt functies voor het gebruik van zowel het principe van minimale bevoegdheden als defense-in-defense. We raden u aan de principes van het beveiligingsontwerp door te nemen.
Controlelijst voor ontwerp
- Activiteitenlogboek configureren om logboeken naar het archief te verzenden.
- Een inventaris bijhouden van beheerdersaccounts met toegang tot ExpressRoute-resources.
- MD5-hash configureren in het ExpressRoute-circuit.
- MACSec configureren voor ExpressRoute Direct-resources.
- Verkeer versleutelen via privépeering en Microsoft-peering voor verkeer van virtuele netwerken.
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen voor het optimaliseren van uw ExpressRoute-configuratie voor beveiliging.
| Aanbeveling | Voordeel |
|---|---|
| Activiteitenlogboek configureren om logboeken naar archief te verzenden | Activiteitenlogboeken bieden inzicht in bewerkingen die zijn uitgevoerd op abonnementsniveau voor ExpressRoute-resources. Met activiteitenlogboeken kunt u bepalen wie en wanneer een bewerking is uitgevoerd op het besturingsvlak. Gegevensretentie is slechts 90 dagen en moet worden opgeslagen in Log Analytics, Event Hubs of een opslagaccount voor archief. |
| Inventaris van beheerdersaccounts bijhouden | Gebruik Azure RBAC om rollen te configureren om gebruikersaccounts te beperken die peeringconfiguratie in een ExpressRoute-circuit kunnen toevoegen, bijwerken of verwijderen. |
| MD5-hash configureren op ExpressRoute-circuit | Pas tijdens de configuratie van persoonlijke peering of Microsoft-peering een MD5-hash toe om berichten tussen de on-premises route en de MSEE-routers te beveiligen. |
| MACSec configureren voor ExpressRoute Direct-resources | Media Access Control-beveiliging is een punt-naar-punt-beveiliging op de gegevenskoppelingslaag. ExpressRoute Direct ondersteunt het configureren van MACSec om beveiligingsrisico's te voorkomen voor protocollen zoals ARP, DHCP en LACP die normaal niet worden beveiligd op de Ethernet-koppeling. Zie MACSec voor ExpressRoute Direct-poorten voor meer informatie over het configureren van MACSec. |
| Verkeer versleutelen met IPsec | Configureer een site-naar-site-VPN-tunnel via uw ExpressRoute-circuit om gegevensoverdracht tussen uw on-premises netwerk en het virtuele Azure-netwerk te versleutelen. U kunt een tunnel configureren met behulp van persoonlijke peering of microsoft-peering. |
Zie Principes van de beveiligingspijler voor meer suggesties.
Kostenoptimalisatie
Kostenoptimalisatie gaat over het zoeken naar manieren om onnodige kosten te verminderen en operationele efficiëntie te verbeteren. We raden u aan het ontwerpprincipe voor kostenoptimalisatie en Kosten plannen en beheren voor Azure ExpressRoute te bekijken.
Controlelijst voor ontwerp
- Maak uzelf vertrouwd met de prijzen van ExpressRoute.
- Bepaal de SKU van het ExpressRoute-circuit en de vereiste bandbreedte.
- Bepaal de vereiste grootte van de virtuele ExpressRoute-netwerkgateway.
- Kosten bewaken en budgetwaarschuwingen maken.
- Maak de inrichting van ExpressRoute-circuits ongedaan die niet meer in gebruik zijn.
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen voor het optimaliseren van uw ExpressRoute-configuratie voor Kostenoptimalisatie.
| Aanbeveling | Voordeel |
|---|---|
| Uzelf vertrouwd maken met De prijzen van ExpressRoute | Zie Prijzen voor Azure ExpressRoute begrijpen voor informatie over prijzen voor ExpressRoute. U kunt ook de prijscalculator gebruiken. Zorg ervoor dat de opties voldoende zijn aangepast om aan de capaciteitsvraag te voldoen en de verwachte prestaties te leveren zonder resources te verspillen. |
| Vereiste SKU en bandbreedte bepalen | De manier waarop kosten in rekening worden gebracht voor uw ExpressRoute-gebruik varieert tussen de drie verschillende SKU-typen. Met lokale SKU worden automatisch kosten in rekening gebracht voor een onbeperkt data-abonnement. Met Standard en Premium SKU kunt u kiezen tussen een data-abonnement met een datalimiet of een onbeperkt data-abonnement. Alle inkomende gegevens zijn gratis, behalve wanneer u de Global Reach-invoegtoepassing gebruikt. Het is belangrijk om te weten welke SKU-typen en welk data-abonnement het beste werken voor uw workload om kosten en budget het beste te optimaliseren. Zie De bandbreedte van het ExpressRoute-circuit upgraden voor meer informatie over het wijzigen van het formaat van het ExpressRoute-circuit. |
| De grootte van de virtuele ExpressRoute-netwerkgateway bepalen | Virtuele ExpressRoute-netwerkgateways worden gebruikt om verkeer door te geven aan een virtueel netwerk via persoonlijke peering. Bekijk de prestatie- en schaalbehoeften van de Virtual Network Gateway-SKU van uw voorkeur. Selecteer de juiste gateway-SKU op uw on-premises naar Azure-workload. |
| Kosten bewaken en budgetwaarschuwingen maken | Bewaak de kosten van uw ExpressRoute-circuit en maak waarschuwingen voor uitgavenafwijkingen en risico's met te veel uitgaven. Zie ExpressRoute-kosten bewaken voor meer informatie. |
| De inrichting van ExpressRoute-circuits ongedaan maken en verwijderen die niet meer in gebruik zijn. | ExpressRoute-circuits worden in rekening gebracht vanaf het moment dat ze worden gemaakt. Om onnodige kosten te verminderen, maakt u de inrichting van het circuit ongedaan bij de serviceprovider en verwijdert u het ExpressRoute-circuit uit uw abonnement. Zie Inrichting van een ExpressRoute-circuit ongedaan maken voor stappen voor het verwijderen van een ExpressRoute-circuit. |
Zie Controlelijst voor ontwerpbeoordeling voor Kostenoptimalisatie voor meer suggesties.
Azure Advisor kan ExpressRoute-circuits detecteren die gedurende een aanzienlijke tijd zijn geïmplementeerd, maar de providerstatus Niet ingericht hebben. Circuits met deze status zijn niet operationeel; en het verwijderen van de ongebruikte resource vermindert onnodige kosten.
Operationele uitmuntendheid
Controle en diagnose zijn essentieel. U kunt niet alleen prestatiestatistieken meten, maar ook metrische gegevens gebruiken om problemen snel op te lossen. We raden u aan de ontwerpprincipes voor operationele uitmuntendheid te bekijken.
Controlelijst voor ontwerp
- Configureer de bewaking van verbindingen tussen uw on-premises en Azure-netwerk.
- Service Health configureren voor het ontvangen van meldingen.
- Bekijk metrische gegevens en dashboards die beschikbaar zijn via ExpressRoute Insights met behulp van Network Insights.
- Bekijk de metrische gegevens van ExpressRoute-resources.
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw ExpressRoute-configuratie te optimaliseren voor Operationele uitmuntendheid.
| Aanbeveling | Voordeel |
|---|---|
| Verbindingsbewaking configureren | Met verbindingsbewaking kunt u de connectiviteit tussen uw on-premises resources en Azure bewaken via de ExpressRoute-privépeering en Microsoft-peeringverbinding. Verbindingsmonitor kan netwerkproblemen detecteren door te identificeren waar het netwerkpad zich bevindt en u helpen bij het snel oplossen van configuratie- of hardwarefouten. |
| Service Health configureren | Stel Service Health-meldingen in om te waarschuwen wanneer gepland en gepland onderhoud plaatsvindt voor alle ExpressRoute-circuits in uw abonnement. Service Health geeft ook onderhoud uit het verleden weer, samen met RCA als er een ongepland onderhoud zou plaatsvinden. |
| Metrische gegevens controleren met Network Insights | Met ExpressRoute Insights met Netwerk insights kunt u ExpressRoute-circuits, gateways, metrische gegevens over verbindingen en statusdashboards controleren en analyseren. ExpressRoute Insights biedt ook een topologieweergave van uw ExpressRoute-verbindingen, waar u details van uw peeringonderdelen op één plek kunt bekijken. Beschikbare metrische gegevens: -Beschikbaarheid -Doorvoer - Metrische gegevens van gateway |
| Metrische gegevens van ExpressRoute-resources bekijken | ExpressRoute maakt gebruik van Azure Monitor om metrische gegevens te verzamelen en waarschuwingen te maken op basis van uw configuratie. Metrische gegevens worden verzameld voor ExpressRoute-circuits, ExpressRoute-gateways, ExpressRoute-gatewayverbindingen en ExpressRoute Direct. Deze metrische gegevens zijn handig voor het diagnosticeren van verbindingsproblemen en het begrijpen van de prestaties van uw ExpressRoute-verbinding. |
Zie Principes van de operationele toppijler voor meer suggesties.
Prestatie-efficiëntie
Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. We raden u aan de principes voor efficiëntie van prestaties te bekijken.
Controlelijst voor ontwerp
- Test de prestaties van de ExpressRoute-gateway om te voldoen aan de werkbelastingsvereisten.
- Vergroot de ExpressRoute-gateway.
- Upgrade de bandbreedte van het ExpressRoute-circuit.
- Schakel ExpressRoute FastPath in voor een hogere doorvoer.
- Bewaak de metrische gegevens van het ExpressRoute-circuit en de gateway.
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw ExpressRoute-configuratie te optimaliseren voor prestatie-efficiëntie.
| Aanbeveling | Voordeel |
|---|---|
| Test de prestaties van de ExpressRoute-gateway om te voldoen aan de werkbelastingsvereisten. | Gebruik Azure Connectivity Toolkit om de prestaties van uw ExpressRoute-circuit te testen om inzicht te krijgen in de bandbreedtecapaciteit en latentie van uw netwerkverbinding. |
| Vergroot de ExpressRoute-gateway. | Upgrade naar een hogere gateway-SKU voor verbeterde doorvoerprestaties tussen on-premises en Azure-omgeving. |
| Bandbreedte van ExpressRoute-circuit upgraden | Upgrade de bandbreedte van uw circuit om te voldoen aan uw werkbelastingsvereisten. Circuitbandbreedte wordt gedeeld tussen alle virtuele netwerken die zijn verbonden met het ExpressRoute-circuit. Afhankelijk van uw werkbelasting kunnen een of meer virtuele netwerken alle bandbreedte in het circuit gebruiken. |
| ExpressRoute FastPath inschakelen voor hogere doorvoer | Als u een virtuele Netwerkgateway ultraprestaties of een Virtuele ErGW3AZ-netwerkgateway gebruikt, kunt u FastPath inschakelen om de prestaties van het gegevenspad tussen uw on-premises netwerk en het virtuele Azure-netwerk te verbeteren. |
| Metrische gegevens van ExpressRoute-circuit en gateway bewaken | Stel waarschuwingen in op basis van metrische expressRoute-gegevens om u proactief op de hoogte te stellen wanneer een bepaalde drempelwaarde wordt bereikt. Deze metrische gegevens zijn nuttig om inzicht te krijgen in afwijkingen die kunnen optreden met uw ExpressRoute-verbinding, zoals storingen en onderhoud aan uw ExpressRoute-circuits. |
Zie Principes van de prestatie-efficiëntiepijler voor meer suggesties.
Azure Advisor biedt een aanbeveling om de bandbreedte van uw ExpressRoute-circuit te upgraden om gebruik mogelijk te maken wanneer uw circuit onlangs meer dan 90% van uw aangeschafte bandbreedte verbruikt. Als uw verkeer de toegewezen bandbreedte overschrijdt, krijgt u te maken met verwijderde pakketten, wat kan leiden tot aanzienlijke gevolgen voor de prestaties of betrouwbaarheid.
Azure Policy
Azure Policy biedt geen ingebouwd beleid voor ExpressRoute, maar aangepaste beleidsregels kunnen worden gemaakt om te bepalen hoe ExpressRoute-circuits moeten overeenkomen met de gewenste eindstatus, zoals SKU-keuze, peeringtype, peeringconfiguraties, enzovoort.
Aanvullende resources
Richtlijn voor Cloud Adoption Framework
Volgende stappen
Configureer een ExpressRoute-circuit of ExpressRoute Direct-poort om communicatie tot stand te brengen tussen uw on-premises netwerk en Azure.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor