Utöka ett lokal nätverk med ExpressRoute

Den här referensarkitekturen visar hur du ansluter ett lokalt nätverk till virtuella nätverk i Azure med hjälp av Azure ExpressRoute. Med ExpressRoute-anslutningar används en privat, dedikerad anslutning via en utomstående anslutningsleverantör. Den privata anslutningen utökar ditt lokala nätverk till Azure.

Arkitektur

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Arkitekturen består av följande komponenter.

• Lokalt företagsnätverk. Ett privat lokalt nätverk som körs inom en organisation.

• ExpressRoute-krets. Nivå 2- eller nivå 3-kretsen tillhandahålls av anslutningsprovidern som ansluter till det lokala nätverket med Azure via Edge-routrar. Kretsen använder maskinvaruinfrastruktur som hanteras av anslutningsprovidern.

• Lokala Edge-routrar. Routrar som ansluter det lokala nätverket till den krets som hanteras av providern. Du kan behöva ange de offentliga IP-adresser som routrarna använder, beroende på hur anslutningen har etablerats.

• Microsoft Edge-routrar. Två routrar i en aktiv-aktiv konfiguration med hög tillgänglighet. Dessa routrar gör det möjligt för en anslutningsprovider att ansluta sina kretsar direkt till sina datacenter. Du kan behöva ange de offentliga IP-adresser som routrarna använder, beroende på hur anslutningen har etablerats.

• Virtuella Azure-nätverk (VNet). Varje virtuellt nätverk finns i en enda Azure-region och kan vara värd för flera nivåer av programmet. Programnivåerna kan segmenteras med undernät i varje virtuellt nätverk.

• Offentliga Azure-tjänster. Azure-tjänster som kan användas i ett hybridprogram. De här tjänsterna är även tillgängliga över Internet, men genom att komma åt dem med hjälp av en ExpressRoute-krets går det att få kort svarstid och mer förutsägbar prestanda, eftersom trafiken inte går via Internet.

• Microsoft 365-tjänster. De offentligt tillgängliga Microsoft 365-program och -tjänster som tillhandahålls av Microsoft. Anslutningar utförs med Microsoft-peering, med adresser som antingen ägs av organisationen eller tillhandahålls av anslutningsleverantören. Du kan även ansluta direkt till Microsoft CRM Online via Microsoft-peering.

• Anslutningsleverantörer (visas inte). Företag som tillhandahåller en anslutning antingen med hjälp av Layer 2- eller Layer 3-anslutning mellan datacentret och ett Azure-datacenter.

Komponenter

• Azure ExpressRoute. Med ExpressRoute kan du utöka dina lokala nätverk till Microsoft-molnet via en privat anslutning med hjälp av en anslutningsleverantör. Med ExpressRoute kan du upprätta anslutningar till Microsofts molntjänster, t.ex. Microsoft Azure och Microsoft 365.

• Azure Virtual Network. Azure Virtual Network (virtuellt nätverk) utgör grunden för ditt privata nätverk i Azure. Med VNet kan många typer av Azure-resurser, till exempel virtuella Azure-datorer, kommunicera på ett säkert sätt med varandra, internet och lokala nätverk.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Anslutningsleverantörer

Välj en lämplig ExpressRoute-anslutningsleverantör för platsen. Om du vill hämta en lista över anslutningsleverantörer som är tillgängliga på din plats använder du följande Azure PowerShell-kommando:

Get-AzExpressRouteServiceProvider

Leverantörer för ExpressRoute-anslutning ansluter ditt datacenter till Microsoft på följande sätt:

• Samordnad i ett molnutbyte. Om du är samlokalisering i en anläggning med ett molnutbyte kan du beställa virtuella korsanslutningar till Azure via samplatsleverantörens Ethernet-utbyte. Samordningsleverantörer kan erbjuda Layer-2-anslutningar eller hanterade Layer 3-korsanslutningar mellan infrastrukturen i samordningsanläggningen och Azure.
• Anslutningar mellan punkter med Ethernet. Du kan ansluta dina lokala datacenter/kontor till Azure via ”point-to-point”-länkar med Ethernet. Ethernet-leverantörer med point-to-point kan erbjuda Layer 2-anslutningar eller hanterade Layer 3-anslutningar mellan webbplatsen och Azure.
• ”Any-to-any”-nätverk (IPVPN). Du kan integrera ett Wide Area Network (WAN) med Azure. IPVPN-leverantörer (Internet Protocol Virtual Private Network) (normalt ett etikettväxlande flerprotokolls-VPN) erbjuder ”any-to-any”-anslutning mellan avdelningskontor och datacenter. Azure kan kopplas samman med ditt WAN-nätverk så att det ser ut precis som andra avdelningskontor. WAN-leverantörer erbjuder vanligtvis hanterad Layer 3-anslutning.

Mer information om anslutningsleverantörer finns i Introduktion till ExpressRoute.

ExpressRoute-krets

Se till att organisationen uppfyller de nödvändiga kraven för ExpressRoute för att ansluta till Azure.

Om du inte redan gjort det lägger du till ett undernät med namnet GatewaySubnet till ditt Azure VNet och skapar en virtuell ExpressRoute-nätverksgateway med hjälp av Azure VPN-gatewaytjänsten. Mer information om den här processen finns i ExpressRoute-arbetsflöden för kretsetablering och kretstillstånd.

Skapa en ExpressRoute-krets så här:

1. Kör följande PowerShell-kommando:

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. Skicka ServiceKey för den nya kretsen till tjänstleverantören.

3. Vänta tills leverantören etablerar kretsen. Kör följande PowerShell-kommando för att kontrollera tillståndet för etablering av en krets:

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   Fältet Provisioning state i avsnittet Service Provider i utdata ändras från NotProvisioned till Provisioned när kretsen är redo.

   Kommentar

   Om du använder en Layer 3-anslutning bör leverantören konfigurera och hantera routning åt dig. Du tillhandahåller den information som krävs för att göra det möjligt för leverantören att implementera lämpliga vägar.

4. Om du använder en Layer 2-anslutning:

   1. Reservera två /30-undernät som består av giltiga offentliga IP-adresser för varje typ av peering som du vill implementera. Dessa /30-undernät används för att ange IP-adresser för de routrar som används för kretsen. Om du implementerar privat peering och Microsoft-peering behöver du 4 /30 undernät med giltiga offentliga IP-adresser.

   2. Konfigurera routning för ExpressRoute-kretsen. Kör följande PowerShell-kommandon för varje typ av peering som du vill konfigurera (privat och Microsoft). Mer information finns i Skapa och ändra routning för en ExpressRoute-krets.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. Reservera en annan pool med giltiga offentliga IP-adresser som ska användas för NAT (network address translation) för Microsoft-peering. Vi rekommenderar att du har olika pooler för varje peering. Ange poolen till anslutningsleverantören, så att denne kan konfigurera BGP-annonser (Border Gateway Protocol) för dessa intervall.

5. Kör följande PowerShell-kommandon för att länka ett eller flera privata VNet till ExpressRoute-kretsen. Mer information finns i Länka ett virtuellt nätverk till en ExpressRoute-krets.

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

Du kan ansluta flera virtuella nätverk som finns i olika regioner till samma ExpressRoute-krets så länge som alla virtuella nätverk och ExpressRoute-kretsen finns inom samma geopolitiska region.

Felsökning

Om en ExpressRoute-krets som fungerade tidigare nu inte kan ansluta kan du behöva kontakta anslutningsleverantören så att ni tillsammans kan åtgärda problemet, om det inte finns några konfigurationsändringar lokalt eller i det privata virtuella nätverket. Använd följande PowerShell-kommandon för att kontrollera att ExpressRoute-kretsen har etablerats:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Kommandots utdata visar flera egenskaper för kretsen, inklusive ProvisioningState, CircuitProvisioningState och ServiceProviderProvisioningState, enligt nedan.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Om ProvisioningState inte är inställt på Succeeded efter att du har försökt skapa en ny krets tar du bort kretsen med hjälp av kommandot nedan och försöker skapa den igen.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Om leverantören redan har etablerat kretsen och ProvisioningState är inställt på Failed, eller om CircuitProvisioningState inte är Enabled, kontaktar du leverantören för att få mer hjälp.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Skalbarhet

ExpressRoute-kretsar anger en väg med hög bandbredd mellan nätverk. Normalt gäller att en högre bandbredd ger högre kostnader.

ExpressRoute har två prisplaner som kunderna kan välja mellan, en plan med rörlig kostnad och en obegränsad dataplan. Avgifterna varierar beroende på kretsbandbredden. Den tillgängliga bandbredden varierar troligtvis mellan olika leverantörer. Använd cmdlet:en Get-AzExpressRouteServiceProvider för att se vilka leverantörer som är tillgängliga i din region och vilka bandbredder de erbjuder.

En enda ExpressRoute-krets kan ge stöd för ett visst antal peerkopplingar och VNet-länkar. Mer information finns i ExpressRoute limits (Begränsningar för ExpressRoute).

ExpressRoute Premium-tillägget ger en del ytterligare funktioner, mot en extra kostnad:

• Ökade routningsgränser för privat peering.
• Fler VNet-länkar per ExpressRoute-krets.
• Global anslutning för tjänster.

Mer information finns i Prisinformation för ExpressRoute.

ExpressRoute-kretsar har utformats för att utan extra kostnad tillåta tillfälliga toppar i nätverksbelastning som är upp till två gånger den bandbreddsgräns som du har köpt. Detta uppnås med hjälp av redundanta länkar. Alla anslutningsleverantörer har dock inte stöd för den här funktionen. Kontrollera att anslutningsleverantören aktiverar den här funktionen innan du förlitar dig på den.

Även om vissa leverantörer tillåter att du ändrar bandbredden bör du se till att du väljer en inledande bandbredd som överskrider dina behov och ger utrymme för tillväxt. Om du behöver öka bandbredden i framtiden har du två alternativ:

• Öka bandbredden. Du bör undvika att det här alternativet så mycket som möjligt och det är inte alla leverantörer som tillåter att du ökar bandbredden dynamiskt. Men om det behövs en bandbreddsökning kontrollerar du med leverantören att de har stöd för att ändra egenskaperna för ExpressRoute-bandbredd via PowerShell-kommandon. Kör i så fall kommandona nedan.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Du kan öka bandbredden utan att förlora anslutning. Om bandbredden nedgraderas leder det till avbrott i anslutningen, eftersom du måste ta bort kretsen och skapa den igen med den nya konfigurationen.

• Ändra prisplanen och/eller uppgradera till Premium. Det gör du genom att köra följande kommandon: Egenskapen Sku.Tier kan vara Standard eller Premium, och egenskapen Sku.Name kan vara MeteredData eller UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Viktigt!

  Kontrollera att egenskapen Sku.Name matchar Sku.Tier och Sku.Family. Om du ändrar familj och nivå, men inte namnet, inaktiveras anslutningen.

  Du kan uppgradera SKU:n utan avbrott, men du kan inte växla från den obegränsade prisplanen till en plan med rörlig kostnad. När du nedgraderar SKU måste bandbreddsförbrukningen ligga kvar inom standardgränsen för standard-SKU.

Tillgänglighet

ExpressRoute stöder inte redundansprotokoll för routrar, till exempel Hot Standby Routing Protocol (HSRP) och Virtual Router Redundancy Protocol (VRRP) för implementering av hög tillgänglighet. I stället används ett redundant par med BGP-sessioner per peering. I syfte att underlätta anslutningar med hög tillgänglighet till nätverket tillhandahåller Azure två redundanta portar på två routrar (del av Microsoft Edge) i en aktiv-aktiv konfiguration.

Som standard använder BGP-sessioner ett timeoutvärde för inaktivitet på 60 sekunder. Om en session uppnår tidsgränsen tre gånger (180 sekunder totalt) markeras routern som otillgänglig och all trafik dirigeras till den återstående routern. Den här tidsgränsen på 180 sekunder kan vara för lång för kritiska program. I så fall kan du ändra inställningarna för BGP-tidsgräns på den lokala routern till ett mindre värde. ExpressRoute stöder också dubbelriktad vidarebefordransidentifiering (BFD) över privat peering. Genom att aktivera BFD via ExpressRoute kan du påskynda identifieringen av länkfel mellan Microsoft Enterprise Edge-enheter (MSEE) och routrarna där du avslutar ExpressRoute-kretsen (PE). Du kan avsluta ExpressRoute via Customer Edge-routningsenheter eller Partner Edge-routningsenheter (om du gick med hanterad Layer 3-anslutningstjänst).

Du kan konfigurera hög tillgänglighet för Azure-anslutningen på olika sätt, beroende på vilken typ av provider som du använder och antalet ExpressRoute-kretsar och gatewayanslutningar för virtuella nätverk som du vill konfigurera. Följande sammanfattar tillgänglighetsalternativen:

• Om du använder en Layer 2-anslutning distribuerar du redundanta routrar i det lokala nätverket i en aktiv-aktiv konfiguration. Anslut den primära kretsen till en router och den sekundära kretsen till den andra. Detta ger en anslutning med hög tillgänglighet i båda ändar av anslutningen. Det är nödvändigt om du behöver serviceavtalet (SLA) för ExpressRoute. Mer information finns i SLA för Azure ExpressRoute.

  Följande diagram visar en konfiguration med redundanta lokala routrar som är anslutna till de primära och sekundära kretsarna. Varje krets hanterar trafiken för privat peering (varje peering är ett par /30-adressutrymmen enligt beskrivningen i föregående avsnitt).

  

• Om du använder en Layer 3-anslutning kontrollerar du att den tillhandahåller redundanta BGP-sessioner som hanterar tillgänglighet åt dig.

• Anslut det virtuella nätverket till flera ExpressRoute-kretsar från olika tjänsteleverantörer. Den här strategin ger ytterligare funktioner för hög tillgänglighet och katastrofåterställning.

• Konfigurera en VPN för plats till plats som en redundanssökväg för ExpressRoute. Mer information om det här alternativet finns i Ansluta ett lokalt nätverk till Azure med hjälp av ExpressRoute med VPN-redundans. Det här alternativet gäller endast privat peering. För Azure- och Microsoft 365-tjänster är Internet den enda redundansvägen.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

Du kan konfigurera säkerhetsalternativ för Azure-anslutningen på olika sätt, beroende på dina säkerhetsfrågor och efterlevnadskrav.

ExpressRoute fungerar i Layer 3. Hot på programlagret kan förhindras med hjälp av en säkerhetsfunktion som begränsar trafik till giltiga resurser.

Du kan maximera säkerheten genom att lägga till funktioner för nätverkssäkerhet mellan det lokala nätverket och leverantörens Edge-routrar. Det hjälper till att begränsa inflödet av obehörig trafik från det virtuella nätverket:

I gransknings- eller efterlevnadssyfte kan det vara nödvändigt att förhindra direkt åtkomst från komponenter som körs i det virtuella nätverket till Internet och implementera tvingad händelsedirigering. I det här fallet ska internettrafiken omdirigeras tillbaka via en proxyserver som körs lokalt där den kan granskas. Proxyn kan konfigureras så att den blockerar otillåten trafik som flödar ut och filtrerar potentiellt skadlig inkommande trafik.

Maximera säkerheten genom att inte aktivera en offentlig IP-adress för de virtuella datorerna, och använd NSG för att se till att dessa virtuella datorer inte är offentligt tillgängliga. Virtuella datorer ska bara vara tillgängliga med den interna IP-adressen. Dessa adresser kan göras tillgängliga via ExpressRoute-nätverket, vilket gör det möjligt för lokal DevOps-personal att utföra konfiguration eller underhåll.

Om du måste exponera hanteringsslutpunkter för virtuella datorer för ett externt nätverk använder du NSG:er eller åtkomstkontrollistor för att begränsa synligheten för dessa portar till en lista över IP-adresser eller nätverk.

Nätverksövervakning

Använd Network Watcher för att övervaka och felsöka nätverkskomponenterna, verktyg som Traffic Analytics visar systemen i dina virtuella nätverk som genererar mest trafik, så att du visuellt kan identifiera flaskhalsar innan de degenereras till problem. Network Performance Manager har möjlighet att övervaka information om Microsoft ExpressRoute-kretsar.

Du kan också använda Azure Anslut ivity Toolkit (AzureCT) för att övervaka anslutningen mellan ditt lokala datacenter och Azure.

Mer information finns i avsnittet DevOps i Microsoft Azure Well-Architected Framework. Information som är specifik för övervakning finns i Övervakning för DevOps.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure.

I nästa avsnitt förklaras de tjänstavgifter som används i den här arkitekturen.

Azure ExpressRoute

I den här arkitekturen används en ExpressRoute-krets för att ansluta det lokala nätverket till Azure via gränsroutrarna.

Det finns två huvudsakliga planer. I planen för datamätare är all inkommande dataöverföring kostnadsfri. All utgående dataöverföring debiteras baserat på en fördefinierad hastighet.

Du kan också välja den obegränsade dataplanen där all inkommande och utgående dataöverföring är kostnadsfri. Användare debiteras en fast månatlig portavgift baserat på dubbla portar med hög tillgänglighet.

Beräkna din användning och välj en faktureringsplan i enlighet med detta. Obegränsad dataplan rekommenderas om du överskrider cirka 68 % av användningen.

Mer information finns i Prissättning för Azure ExpressRoute.

Azure Virtual Network

Alla programnivåer finns i ett enda virtuellt nätverk och segmenteras med hjälp av undernät.

Azure Virtual Network är kostnadsfri. Varje prenumeration kan skapa upp till 50 virtuella nätverk i alla regioner. All trafik som sker inom gränserna för ett virtuellt nätverk är kostnadsfri. Det innebär att kommunikationen mellan två virtuella datorer i ett virtuellt nätverk är kostnadsfri.

Nästa steg

Produktdokumentation:

• Microsoft 365-tjänster
• Vad är Azure ExpressRoute?
• Vad är Azure Virtual Network?

Microsoft Learn-moduler:

• Konfigurera ExpressRoute och Virtual WAN
• Konfigurera peering för virtuella nätverk
• Utforma och implementera Azure ExpressRoute
• Utforska Microsoft 365-plattformstjänster

Relaterade resurser

• Hybrid arkitekturdesign
• Anslut ett lokalt nätverk till Azure med Hjälp av ExpressRoute
• Utöka ett lokalt nätverk med VPN