Planejamento de rede com o ExpressRoute para Office 365

Esse artigo se aplica ao Microsoft 365 Enterprise e ao Office 365 Enterprise.

O ExpressRoute para Office 365 fornece conectividade de camada 3 entre sua rede e os datacenters da Microsoft. Os circuitos usam anúncios de rota do BGP (Border Gateway Protocol) Office 365 servidores front-end da empresa. Da perspectiva de seus dispositivos locais, quando eles precisam selecionar o caminho TCP/IP correto para Office 365, o Azure ExpressRoute é visto como uma alternativa à Internet.

O Azure ExpressRoute adiciona um caminho direto a um conjunto específico de recursos e serviços com suporte oferecidos por Office 365 servidores nos datacenters da Microsoft. O Azure ExpressRoute não substitui a conectividade com a Internet para datacenters da Microsoft ou serviços básicos da Internet, como resolução de nomes de domínio. O Azure ExpressRoute e seus circuitos de Internet devem ser protegidos e redundantes.

A tabela a seguir destaca algumas diferenças entre a Internet e as conexões do Azure ExpressRoute no contexto de Office 365.

Diferenças no planejamento de rede Conexão de rede da Internet Conexão de rede do ExpressRoute
Acesso aos serviços de Internet necessários, incluindo;
Resolução de nomes DNS
Verificação de revogação de certificado
Redes de distribuição de conteúdo
Sim
As solicitações para o DNS de propriedade da Microsoft e/ou CDN infraestrutura podem usar a rede do ExpressRoute.
Acesso a Office 365 serviços, incluindo;
Exchange Online
SharePoint Online
Skype for Business Online
Office em um navegador
portal Office 365 e autenticação
Sim, todos os aplicativos e recursos
Sim, aplicativos e recursos específicos
Segurança local no perímetro.
Sim
Sim
Planejamento de alta disponibilidade.
Fazer failover para uma conexão de rede de Internet alternativa
Fazer failover para uma conexão alternativa do ExpressRoute
Conexão direta com um perfil de rede previsível.
Não
Sim
Conectividade IPv6.
Sim
Sim

Expanda os títulos abaixo para obter mais diretrizes de planejamento de rede.

Clientes existentes do Azure ExpressRoute

Se você estiver usando um circuito existente do Azure ExpressRoute e quiser adicionar conectividade ao Office 365 por esse circuito, examine o número de circuitos, os locais de saída e o tamanho dos circuitos para garantir que eles atendam às necessidades de seu uso do Office 365. A maioria dos clientes exige largura de banda extra e muitos exigem mais circuitos.

Para habilitar o acesso Office 365 em seus circuitos existentes do Azure ExpressRoute, configure os filtros de rota para garantir que os serviços Office 365 estejam acessíveis.

A assinatura do Azure ExpressRoute é centrada no cliente, o que significa que as assinaturas estão vinculadas aos clientes. Como cliente, você pode ter vários circuitos do Azure ExpressRoute e pode acessar muitos recursos de nuvem da Microsoft nesses circuitos. Por exemplo, você pode optar por acessar uma máquina virtual hospedada no Azure, um locatário de teste do Office 365 e um locatário de produção do Office 365 em um par de circuitos redundantes do Azure ExpressRoute.

Esta tabela descreve os dois tipos de relações de emparelhamento que você pode optar por implementar em seus circuitos.

Relação de emparelhamento Privado do Azure Microsoft
Serviços
IaaS: Azure Máquinas Virtuais
PaaS: Serviços públicos do Azure
SaaS: Office 365
SaaS: Dynamics 365
Iniciação de conexão****
Cliente para Microsoft
Microsoft para Cliente
Cliente para Microsoft
Microsoft para Cliente
Suporte a QoS
Sem QoS
QoS1

1 O QoS Skype for Business suporte apenas no momento.

Planejamento de largura de banda para o Azure ExpressRoute

Cada Office 365 cliente tem necessidades de largura de banda exclusivas, dependendo do número de pessoas em cada local, de quão ativos eles estão com cada aplicativo do Office 365 e outros fatores, como o uso de equipamentos locais ou híbridos e configurações de segurança de rede.

Ter pouca largura de banda resultará em congestionamento, retransmissões de dados e atrasos imprevisíveis. Ter muita largura de banda resultará em custos desnecessários. Em uma rede existente, a largura de banda geralmente é referida em termos da quantidade de espaço de cabeçalho disponível no circuito como uma porcentagem. Ter 10% de espaço reservado provavelmente resultará em congestionamento e ter 80% de espaço na cabeça geralmente significa custo desnecessário. As alocações de destino de cabeçalho típicas são de 20% a 50%.

Para encontrar o nível certo de largura de banda, o melhor mecanismo é testar o consumo de rede existente. Essa é a única maneira de obter uma verdadeira medida de uso e necessidade, pois cada configuração de rede e aplicativos são de algumas maneiras exclusivas. Ao medir, convém prestar muita atenção ao consumo total de largura de banda, latência e congestionamento TCP para entender suas necessidades de rede.

Depois de ter uma linha de base estimada que inclui todos os aplicativos de rede, o piloto Office 365 com um pequeno grupo que compreende os diferentes perfis de pessoas em sua organização para determinar o uso real e usar as duas medidas para estimar a quantidade de largura de banda que você precisará para cada local do escritório. Se houver problemas de latência ou congestionamento TCP encontrados em seu teste, talvez seja necessário mover a saída para mais perto das pessoas que usam o Office 365 ou remover a verificação intensiva de rede, como descriptografia/inspeção de SSL.

Todas as nossas recomendações sobre qual tipo de processamento de rede é recomendado se aplicam aos circuitos do ExpressRoute e da Internet. O mesmo vale para o restante das diretrizes em nosso site de ajuste de desempenho.

Aplicar controles de segurança ao Azure ExpressRoute para Office 365 cenários

Proteger a conectividade do Azure ExpressRoute começa com os mesmos princípios que proteger a conectividade com a Internet. Muitos clientes optam por implantar controles de rede e perímetro ao longo do caminho do ExpressRoute conectando sua rede local a Office 365 e outras nuvens da Microsoft. Esses controles podem incluir firewalls, proxies de aplicativos, prevenção contra vazamento de dados, detecção de intrusões, sistemas de prevenção de intrusões e assim por diante. Em muitos casos, os clientes aplicam diferentes níveis de controles ao tráfego iniciado no local indo para a Microsoft, versus o tráfego iniciado pela Microsoft indo para a rede local do cliente, versus o tráfego iniciado do local indo para um destino geral da Internet.

Aqui estão alguns exemplos de integração de segurança com o modelo de conectividade do ExpressRoute que você opta por implantar.

Opção de integração do ExpressRoute Modelo de perímetro de segurança de rede
Colocado em uma troca de nuvem
Instale a infraestrutura de segurança/perímetro nova ou use existente na instalação de colocação em que a conexão do ExpressRoute está estabelecida.
Use a instalação de colocação exclusivamente para fins de roteamento/interconexão e conexões de back-haul do recurso de colocação para a infraestrutura de segurança/perímetro local.
Ethernet ponto a ponto
Encelite a conexão do ExpressRoute ponto a ponto no local de infraestrutura de segurança/perímetro local existente.
Instale a nova infraestrutura de segurança/perímetro específica para o caminho do ExpressRoute e encete a conexão ponto a ponto lá.
IPVPN qualquer para qualquer
Use uma infraestrutura de segurança/perímetro local existente em todos os locais que egressam no IPVPN usado para ExpressRoute para Office 365 conectividade.
Hairpin o IPVPN usado para ExpressRoute para Office 365 locais específicos designados para servir como segurança/perímetro.

Alguns provedores de serviços também oferecem a funcionalidade de segurança/perímetro gerenciada como parte de suas soluções de integração com o Azure ExpressRoute.

Ao considerar o posicionamento da topologia das opções de perímetro de rede/segurança usadas para ExpressRoute para Office 365 conexões, a seguir estão considerações adicionais

  • A profundidade e o tipo de controles de rede/segurança podem ter impacto sobre o desempenho e a escalabilidade da experiência do Office 365 usuário.

  • Os fluxos de saída (local-> Microsoft) e de entrada (Microsoft local>) [se habilitado] podem ter requisitos diferentes. Eles provavelmente são diferentes de Saída para destinos gerais da Internet.

  • Office 365 requisitos para portas/protocolos e sub-redes IP necessárias são os mesmos, independentemente de o tráfego ser roteado por meio do ExpressRoute para Office 365 ou pela Internet.

  • O posicionamento topológico dos controles de rede/segurança do cliente determina a rede de ponta a ponta entre o usuário e o serviço Office 365 e pode ter um impacto substancial na latência e no congestionamento da rede.

  • Os clientes são incentivados a criar sua topologia de segurança/perímetro para uso com o ExpressRoute para Office 365 de acordo com as práticas recomendadas para redundância, alta disponibilidade e recuperação de desastre.

Aqui está um exemplo da Contoso que compara as diferentes opções de conectividade do Azure ExpressRoute com os modelos de segurança de perímetro discutidos acima.

Exemplo 1: Protegendo o Azure ExpressRoute

A Contoso está considerando implementar o Azure ExpressRoute e, depois de planejar a arquitetura ideal para roteamento com o ExpressRoute para Office 365 e depois de usar as diretrizes acima para entender os requisitos de largura de banda, eles estão determinando o melhor método para proteger seu perímetro.

Para a Contoso, uma organização multi-nacional com locais em vários continentes, a segurança deve abranger todos os perímetros. A opção de conectividade ideal para a Contoso é uma conexão de vários pontos com vários locais de emparelhamento em todo o mundo para dar suporte às necessidades de seus funcionários em cada continente. Cada continente inclui circuitos redundantes do Azure ExpressRoute dentro do continente e a segurança deve abranger todos eles.

A infraestrutura existente da Contoso é confiável e pode lidar com o trabalho extra, como resultado, a Contoso é capaz de usar a infraestrutura para o Azure ExpressRoute e a segurança de perímetro da Internet. Se esse não fosse o caso, a Contoso poderia optar por comprar mais equipamentos para complementar seus equipamentos existentes ou lidar com um tipo diferente de conexão.

Alta disponibilidade e failover com o Azure ExpressRoute

É recomendável provisionar pelo menos dois circuitos ativos de cada saída com o ExpressRoute para seu provedor do ExpressRoute. Esse é o lugar mais comum em que vemos falhas para os clientes e você pode evitá-lo facilmente provisionando um par de circuitos ativos/ativos do ExpressRoute. Também recomendamos pelo menos dois circuitos de Internet ativos/ativos porque muitos serviços Office 365 estão disponíveis apenas pela Internet.

Dentro do ponto de saída da rede, há muitos outros dispositivos e circuitos que desempenham um papel fundamental na forma como as pessoas percebem a disponibilidade. Essas partes de seus cenários de conectividade não são cobertas pelo ExpressRoute ou SLAs do Office 365, mas desempenham um papel fundamental na disponibilidade do serviço de ponta a ponta, conforme percebido pelas pessoas em sua organização.

Concentre-se nas pessoas que usam e operam Office 365, se uma falha de um componente afetar a experiência das pessoas usando o serviço, procure maneiras de limitar o percentual total de pessoas afetadas. Se um modo de failover for operacionalmente complexo, considere a experiência das pessoas de um longo tempo para recuperação e procure modos de failover operacionalmente simples e automatizados.

Fora de sua rede, Office 365, ExpressRoute e seu provedor do ExpressRoute têm diferentes níveis de disponibilidade.

Disponibilidade do serviço

  • Office 365 serviços são cobertos por contratos de nível de serviço bem definidos, que incluem métricas de tempo de atividade e disponibilidade para serviços individuais. Um motivo Office 365 pode manter esses altos níveis de disponibilidade de serviço é a capacidade de componentes individuais de fazer failover contínuo entre os muitos datacenters da Microsoft, usando a rede global da Microsoft. Esse failover se estende do datacenter e da rede até os vários pontos de saída da Internet e permite o failover diretamente da perspectiva das pessoas que usam o serviço.

  • O ExpressRoute fornece um SLA de disponibilidade de 99,9% em circuitos dedicados individuais entre o Microsoft Network Edge e o provedor do ExpressRoute ou a infraestrutura de parceiros. Esses níveis de serviço são aplicados no nível do circuito do ExpressRoute, que consiste em duas interconexões independentes entre o equipamento redundante da Microsoft e o equipamento do provedor de rede em cada local de emparelhamento.

Disponibilidade do provedor

  • As disposições de nível de serviço da Microsoft param em seu provedor ou parceiro do ExpressRoute. Esse também é o primeiro lugar em que você pode fazer escolhas que influenciarão seu nível de disponibilidade. Você deve avaliar de perto as características de arquitetura, disponibilidade e resiliência que seu provedor do ExpressRoute oferece entre o perímetro de rede e a conexão de provedores em cada local de emparelhamento da Microsoft. Preste muita atenção aos aspectos lógicos e físicos de redundância, equipamento de emparelhamento, circuitos WAN fornecidos pela operadora e qualquer valor extra adiciona serviços como serviços NAT ou firewalls gerenciados.

Projetando seu plano de disponibilidade

É altamente recomendável que você planeje e projete alta disponibilidade e resiliência em seus cenários de conectividade de ponta a ponta para Office 365. Um design deve incluir;

  • Nenhum ponto único de falha, incluindo os circuitos da Internet e do ExpressRoute.

  • Minimizar o número de pessoas afetadas e a duração desse impacto para a maioria dos modos de falha previstos.

  • Otimização para o processo de recuperação simples, repetível e automático dos modos de falha mais esperados.

  • Dar suporte às demandas completas do tráfego de rede e da funcionalidade por meio de caminhos redundantes, sem degradação significativa.

Seus cenários de conectividade devem incluir uma topologia de rede otimizada para vários caminhos de rede independentes e ativos para Office 365. Isso produzirá uma melhor disponibilidade de ponta a ponta do que uma topologia otimizada apenas para redundância no nível de dispositivo ou equipamento individual.

Dica

Se os usuários estiverem distribuídos em vários continentes ou regiões geográficas e cada um desses locais se conectarem por circuitos WAN redundantes a um único local em que um único circuito do ExpressRoute está localizado, os usuários terão menos disponibilidade de serviço de ponta a ponta do que um design de topologia de rede que inclui circuitos independentes do ExpressRoute que conectam as diferentes regiões ao local de emparelhamento mais próximo.

É recomendável provisionar pelo menos dois circuitos do ExpressRoute com cada circuito que se conecta a um local de emparelhamento geográfico diferente. Você deve provisionar esse par ativo-ativo de circuitos para cada região em que as pessoas usarão a conectividade do ExpressRoute para Office 365 serviços. Isso permite que cada região permaneça conectada durante um desastre que afeta um local principal, como um datacenter ou local de emparelhamento. Configurá-los como ativos/ativos permite que o tráfego do usuário final seja distribuído entre vários caminhos de rede. Isso reduz o escopo das pessoas afetadas durante interrupções de equipamentos de rede ou dispositivo.

Não recomendamos usar um único circuito do ExpressRoute com a Internet como backup.

Exemplo 2: Failover e alta disponibilidade

O design multi-geográfico da Contoso passou por uma revisão de roteamento, largura de banda, segurança e agora deve passar por uma revisão de alta disponibilidade. A Contoso considera a alta disponibilidade como abrangendo três categorias; resiliência, confiabilidade e redundância.

A resiliência permite que a Contoso se recupere de falhas rapidamente. A confiabilidade permite que a Contoso ofereça um resultado consistente dentro do sistema. A redundância permite que a Contoso se mova entre uma ou mais instâncias espelhadas da infraestrutura.

Em cada configuração de borda, a Contoso tem firewalls, proxies e IDS redundantes. Por América do Norte, a Contoso tem uma configuração de borda em seu datacenter de Dallas e outra configuração de borda em seu datacenter da Virgínia. O equipamento redundante em cada local oferece resiliência para esse local.

A configuração de rede na Contoso é criada com base em alguns princípios principais:

  • Em cada região geográfica, há vários circuitos do Azure ExpressRoute.

  • Cada circuito dentro de uma região pode dar suporte a todo o tráfego de rede dentro dessa região.

  • O roteamento claramente preferirá um ou outro caminho, dependendo da disponibilidade, da localização e assim por diante.

  • O failover entre circuitos do Azure ExpressRoute ocorre automaticamente sem configuração adicional ou ação exigida pela Contoso.

  • O failover entre circuitos da Internet ocorre automaticamente sem configuração adicional ou ação exigida pela Contoso.

Nessa configuração, com redundância no nível físico e virtual, a Contoso é capaz de oferecer resiliência local, resiliência regional e resiliência global de maneira confiável. A Contoso elegeu essa configuração depois de avaliar um único circuito do Azure ExpressRoute por região, bem como a possibilidade de fazer failover para a Internet.

Se a Contoso não puder ter vários circuitos do Azure ExpressRoute por região, o tráfego de roteamento originado no América do Norte para o circuito do Azure ExpressRoute no Pacífico Asiático adicionaria um nível inaceitável de latência e a configuração necessária do encaminhador DNS adicionaria complexidade.

Não é recomendável usar a Internet como uma configuração de backup. Isso interrompe o princípio de confiabilidade da Contoso, resultando em uma experiência inconsistente usando a conexão. Além disso, a configuração manual seria necessária para fazer failover considerando os anúncios BGP que foram configurados, a configuração nat, a configuração de DNS e a configuração de proxy. Essa complexidade de failover adicional aumenta o tempo de recuperação e diminui a capacidade de diagnosticar e solucionar problemas das etapas envolvidas.

Ainda tem dúvidas sobre como planejar e implementar o gerenciamento de tráfego ou o Azure ExpressRoute? Leia o restante de nossas diretrizes de desempenho e rede ou as perguntas frequentes sobre o Azure ExpressRoute.

Trabalhando com provedores do Azure ExpressRoute

Escolha os locais dos circuitos com base em sua largura de banda, latência, segurança e planejamento de alta disponibilidade. Depois de conhecer os locais ideais, você gostaria de colocar circuitos para examinar a lista atual de provedores por região.

Trabalhe com seu provedor ou provedor para selecionar as melhores opções de conectividade, ponto a ponto, vários pontos ou hospedados. Lembre-se de que você pode combinar e corresponder às opções de conectividade, desde que a largura de banda e outros componentes redundantes deem suporte ao seu design de roteamento e alta disponibilidade.

Aqui está um link curto que você pode usar para voltar: https://aka.ms/planningexpressroute365

Avaliando a conectividade de rede do Office 365

Microsoft Azure ExpressRoute para Office 365

Como gerenciar o ExpressRoute para a conectividade do Office 365

Como rotear com o ExpressRoute para Office 365

Como implementar o ExpressRoute para Office 365

Usando comunidades BGP no ExpressRoute para Office 365 cenários

Qualidade da mídia e desempenho de conectividade de rede no Skype for Business Online

Como otimizar a sua rede para o Skype for Business Online

ExpressRoute e QoS no Skype for Business Online

Fluxo de chamadas usando o ExpressRoute

Ajuste de desempenho do Office 365 usando linhas de base e histórico de desempenho

Plano de solução de problemas de desempenho do Office 365

URLs e intervalos de endereços IP do Office 365

Rede do Office 365 e ajuste de desempenho

Perguntas frequentes sobre pontos de extremidade do Office 365