Каналы и пиринг ExpressRouteExpressRoute circuits and peering

Каналы ExpressRoute подключают локальную инфраструктуру к сети Майкрософт через поставщика услуг подключения.ExpressRoute circuits connect your on-premises infrastructure to Microsoft through a connectivity provider. В статье представлены общие сведения о каналах ExpressRoute и доменах маршрутизации (пиринге).This article helps you understand ExpressRoute circuits and routing domains/peering. На следующем рисунке показана логическая схема подключения между вашей глобальной сетью и Майкрософт:The following figure shows a logical representation of connectivity between your WAN and Microsoft.

Важно!

Общедоступный пиринг Azure является устаревшим и недоступно для новых каналов ExpressRoute.Azure public peering has been deprecated and is not available for new ExpressRoute circuits. Новые каналы поддержки Microsoft и частного пиринга.New circuits support Microsoft peering and private peering.

Каналы ExpressRouteExpressRoute circuits

Канал ExpressRoute представляет собой логическое подключение вашей локальной сети к облачным службам Майкрософт через поставщика услуг подключения.An ExpressRoute circuit represents a logical connection between your on-premises infrastructure and Microsoft cloud services through a connectivity provider. Таких каналов ExpressRoute может быть несколько.You can order multiple ExpressRoute circuits. Каждый канал может находиться в том же или в других регионах и подключаться к среде через различных поставщиков услуг связи.Each circuit can be in the same or different regions, and can be connected to your premises through different connectivity providers.

Каналы ExpressRoute не сопоставляются с физическими сущностями.ExpressRoute circuits do not map to any physical entities. Канал, который однозначно идентифицируется стандартным GUID, называется ключом службы (s-key).A circuit is uniquely identified by a standard GUID called as a service key (s-key). Ключ службы — это единственный фрагмент информации, который передается между Майкрософт, поставщиком услуг подключения и вами.The service key is the only piece of information exchanged between Microsoft, the connectivity provider, and you. В контексте безопасности s-key не является секретным.The s-key is not a secret for security purposes. Между каналом ExpressRoute и s-key существует сопоставление 1:1.There is a 1:1 mapping between an ExpressRoute circuit and the s-key.

Каналы ExpressRoute могут поддерживать два независимых пиринга: частный пиринг и пиринг Майкрософт.New ExpressRoute circuits can include two independent peerings: Private peering and Microsoft peering. Существующие каналы ExpressRoute могут иметь до трех независимых пирингов: общедоступный пиринг Azure, частный пиринг Azure и пиринг Майкрософт.Whereas existing ExpressRoute circuits may contain three peerings: Azure Public, Azure Private and Microsoft. Каждый пиринг представляет собой пару независимых сеансов BGP, каждый из которых настроен с запасом для обеспечения высокой доступности.Each peering is a pair of independent BGP sessions, each of them configured redundantly for high availability. Между каналом ExpressRoute и доменами маршрутизации существует сопоставление 1:N (1 <= N <= 3).There is a 1:N (1 <= N <= 3) mapping between an ExpressRoute circuit and routing domains. Для канала ExpressRoute может быть включен один, два или все три пиринга.An ExpressRoute circuit can have any one, two, or all three peerings enabled per ExpressRoute circuit.

Каждый канал имеет фиксированную пропускную способность (50 Мбит/с, 100 Мбит/с, 200 Мбит/с, 500 Мбит/с, 1 Гбит/с, 10 Гбит/с) и сопоставляется с поставщиком услуг подключения и расположением пиринга.Each circuit has a fixed bandwidth (50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 10 Gbps) and is mapped to a connectivity provider and a peering location. Выбранная пропускная способность распространяется на все пиринги канала.The bandwidth you select is shared across all circuit peerings

Квоты и ограниченияQuotas, limits, and limitations

По умолчанию квоты и ограничения применяются к каждому каналу ExpressRoute.Default quotas and limits apply for every ExpressRoute circuit. Актуальные сведения о квотах см. на странице Подписка Azure, границы, квоты и ограничения службы.Refer to the Azure Subscription and Service Limits, Quotas, and Constraints page for up-to-date information on quotas.

Пиринг ExpressRouteExpressRoute peering

С каналом ExpressRoute связано несколько доменов маршрутизации (пирингов): общедоступный пиринг Azure, частный пиринг Azure и пиринг Майкрософт.An ExpressRoute circuit has multiple routing domains/peerings associated with it: Azure public, Azure private, and Microsoft. Каждый пиринг настраивается одинаково в паре маршрутизаторов (в конфигурации "активный — активный" или с разделением нагрузки) для обеспечения высокой доступности.Each peering is configured identically on a pair of routers (in active-active or load sharing configuration) for high availability. Службы Azure классифицируются как общедоступные и частные, отражая схемы IP-адресации.Azure services are categorized as Azure public and Azure private to represent the IP addressing schemes.

Частный пиринг AzureAzure private peering

Службы вычислений Azure, а именно виртуальные машины (IaaS) и облачные службы (PaaS), развернутые в виртуальной сети, могут подключаться через домен частного пиринга.Azure compute services, namely virtual machines (IaaS) and cloud services (PaaS), that are deployed within a virtual network can be connected through the private peering domain. Домен частного пиринга считается доверенным расширением вашей основной сети в Microsoft Azure.The private peering domain is considered to be a trusted extension of your core network into Microsoft Azure. Можно настроить двунаправленное подключение между вашей основной сетью и виртуальными сетями Azure.You can set up bi-directional connectivity between your core network and Azure virtual networks (VNets). Этот пиринг позволяет подключаться к виртуальным машинам и облачным службам непосредственно по их частным IP-адресам.This peering lets you connect to virtual machines and cloud services directly on their private IP addresses.

Вы можете подключать к домену частного пиринга несколько виртуальных сетей.You can connect more than one virtual network to the private peering domain. Сведения о пределах и ограничениях см. на странице вопросов и ответов.Review the FAQ page for information on limits and limitations. Актуальные сведения об ограничениях см. на странице Подписка Azure, границы, квоты и ограничения службы.You can visit the Azure Subscription and Service Limits, Quotas, and Constraints page for up-to-date information on limits. Подробные сведения о настройке маршрутизации см. на странице Маршрутизация.Refer to the Routing page for detailed information on routing configuration.

Пиринг МайкрософтMicrosoft peering

Office 365 обеспечивает безопасный и надежный доступ через Интернет.Office 365 was created to be accessed securely and reliably via the Internet. Поэтому мы рекомендуем использовать ExpressRoute только в определенных сценариях.Because of this, we recommend ExpressRoute for specific scenarios. См. дополнительные сведения об использовании ExpressRoute для доступа к Office 365.For information about using ExpressRoute to access Office 365, visit Azure ExpressRoute for Office 365.

Подключение к веб-службам Майкрософт (например, к службам Office 365, Dynamics 365 и Azure PaaS) осуществляется через пиринг Майкрософт.Connectivity to Microsoft online services (Office 365, Dynamics 365, and Azure PaaS services) occurs through Microsoft peering. Мы разрешаем двунаправленное подключение между вашей глобальной сетью и облачными службами Майкрософт через домен маршрутизации пиринга Майкрософт.We enable bi-directional connectivity between your WAN and Microsoft cloud services through the Microsoft peering routing domain. Вы должны подключаться к облачным службам Майкрософт только через общедоступные IP-адреса, принадлежащие вам или вашему поставщику услуг подключения, и должны соблюдать все установленные правила.You must connect to Microsoft cloud services only over public IP addresses that are owned by you or your connectivity provider and you must adhere to all the defined rules. Дополнительные сведения см. в статье Предварительные требования и контрольный список для ExpressRoute.For more information, see the ExpressRoute prerequisites page.

Дополнительные сведения о поддерживаемых службах, ценах и конфигурации см. на странице вопросов и ответов.See the FAQ page for more information on services supported, costs, and configuration details. Сведения о списке поставщиков услуг размещения, предлагающих поддержку пиринга Майкрософт, см. на странице расположений ExpressRoute.See the ExpressRoute Locations page for information on the list of connectivity providers offering Microsoft peering support.

Общедоступный пиринг Azure (не рекомендуется для новых каналов)Azure public peering (deprecated for new circuits)

Примечание

Общедоступный пиринг Azure имеет 1 NAT IP-адрес для каждого сеанса BGP.Azure public peering has 1 NAT IP address associated to each BGP session. Более чем на 2 IP-адреса NAT переместите пиринг Майкрософт.For greater than 2 NAT IP addresses, move to Microsoft peering. Пиринг Майкрософт позволяет настроить собственные выделения NAT, а также использовать фильтры маршрутов для объявления префиксов Выборочный.Microsoft peering allows you to configure your own NAT allocations, as well as use route filters for selective prefix advertisements. Дополнительные сведения см. в разделе переместить пиринг Майкрософт.For more information, see Move to Microsoft peering.

Такие службы, как служба хранилища Azure, базы данных SQL и Веб-сайты, предлагаются по общедоступным IP-адресам.Services such as Azure Storage, SQL databases, and Websites are offered on public IP addresses. Вы можете частным образом подключаться к службам, размещенным в общедоступных IP-адресах (включая виртуальные IP-адреса ваших облачных служб) через домен маршрутизации общедоступного пиринга.You can privately connect to services hosted on public IP addresses, including VIPs of your cloud services, through the public peering routing domain. Вы можете подключить домен общедоступного пиринга к своей сети периметра и подключаться ко всем службам Azure по их общедоступным IP-адресам из своей глобальной сети без необходимости подключения через Интернет.You can connect the public peering domain to your DMZ and connect to all Azure services on their public IP addresses from your WAN without having to connect through the internet.

Подключение всегда инициируется из глобальной сети к службам Microsoft Azure.Connectivity is always initiated from your WAN to Microsoft Azure services. Службы Microsoft Azure не будут иметь возможность инициировать подключения к вашей сети через этот домен маршрутизации.Microsoft Azure services will not be able to initiate connections into your network through this routing domain. После включения общедоступного пиринга можно будет подключаться ко всем службам Azure.Once public peering is enabled, you can connect to all Azure services. Мы не позволяем выбирать службы, для которых объявляются маршруты.We do not allow you to selectively pick services for which we advertise routes to.

Вы можете задавать в своей сети настраиваемые фильтры маршрутов, чтобы использовать только нужные маршруты.You can define custom route filters within your network to consume only the routes you need. Подробные сведения о настройке маршрутизации см. на странице Маршрутизация.Refer to the Routing page for detailed information on routing configuration.

Дополнительные сведения о службах, поддерживаемых через домен маршрутизации общедоступного пиринга, см. на странице вопросов и ответов.For more information about services supported through the public peering routing domain, see the FAQ.

Сравнение пиринговPeering comparison

В следующей таблице приводится сравнительная характеристика трех пирингов:The following table compares the three peerings:

Частный пирингPrivate Peering Пиринг МайкрософтMicrosoft Peering Общедоступный пиринг (не рекомендуется для новых каналов)Public Peering (deprecated for new circuits)
Макс. число префиксов, поддерживаемое на пирингMax. # prefixes supported per peering 4000 по умолчанию, 10 000 с ExpressRoute Premium4000 by default, 10,000 with ExpressRoute Premium 200200 200200
Поддерживаемые диапазоны IP-адресовIP address ranges supported Любой допустимый IP-адрес в глобальной сети.Any valid IP address within your WAN. Общедоступные IP-адреса, принадлежащие вам или вашему поставщику услуг подключения.Public IP addresses owned by you or your connectivity provider. Общедоступные IP-адреса, принадлежащие вам или вашему поставщику услуг подключения.Public IP addresses owned by you or your connectivity provider.
Требования к номерам ASAS Number requirements Общедоступные и частные номера AS.Private and public AS numbers. Для использования общедоступного номера AS вы должны быть его владельцем.You must own the public AS number if you choose to use one. Общедоступные и частные номера AS.Private and public AS numbers. Тем не менее необходимо подтвердить права владельца общедоступных IP-адресов.However, you must prove ownership of public IP addresses. Общедоступные и частные номера AS.Private and public AS numbers. Тем не менее необходимо подтвердить права владельца общедоступных IP-адресов.However, you must prove ownership of public IP addresses.
Поддерживаемые протоколы IPIP protocols supported IPv4IPv4 IPv4, IPv6IPv4, IPv6 IPv4IPv4
IP-адреса интерфейса маршрутизацииRouting Interface IP addresses RFC1918 и общедоступные IP-адресаRFC1918 and public IP addresses Общедоступные IP-адреса, зарегистрированные на вас в реестрах маршрутизации.Public IP addresses registered to you in routing registries. Общедоступные IP-адреса, зарегистрированные на вас в реестрах маршрутизации.Public IP addresses registered to you in routing registries.
Поддержка MD5-хэшаMD5 Hash support ДаYes ДаYes ДаYes

Можно включить один или несколько доменов маршрутизации в рамках вашего канала ExpressRoute.You may enable one or more of the routing domains as part of your ExpressRoute circuit. Если вы хотите объединить все домены маршрутизации в один, поместите их в один и тот же VPN.You can choose to have all the routing domains put on the same VPN if you want to combine them into a single routing domain. Кроме того, их можно поместить в разные домены маршрутизации, как на приведенной выше схеме.You can also put them on different routing domains, similar to the diagram. Рекомендуется конфигурация, когда частный пиринг подключен напрямую к основной сети, а ссылки общедоступного пиринга и пиринга Майкрософт подключены к вашей сети DMZ.The recommended configuration is that private peering is connected directly to the core network, and the public and Microsoft peering links are connected to your DMZ.

Каждый пиринг требует отдельных сеансов BGP (по одной паре для каждого типа пиринга).Each peering requires separate BGP sessions (one pair for each peering type). Пары сеансов BGP обеспечивают высокодоступную связь.The BGP session pairs provide a highly available link. Если подключение осуществляется через поставщиков услуг подключения второго уровня, то ответственность за настройку маршрутизации и управление ею вы берете на себя.If you are connecting through layer 2 connectivity providers, you are responsible for configuring and managing routing. Дополнительные знания вы можете получить, изучив рабочие процессы для настройки ExpressRoute.You can learn more by reviewing the workflows for setting up ExpressRoute.

Работоспособность ExpressRouteExpressRoute health

С помощью Монитора производительности сети (NPM) можно отслеживать доступность каналов ExpressRoute, их подключение к виртуальным сетям и загрузку полосы пропускания.ExpressRoute circuits may be monitored for availability, connectivity to VNets and bandwidth utilization using Network Performance Monitor (NPM).

NPM отслеживает работоспособность частного пиринга Azure и пиринга Майкрософт.NPM monitors the health of Azure private peering and Microsoft peering. Дополнительные сведения см. здесь.Check out our post for more information.

Дальнейшие действияNext steps