使用 ExpressRoute 擴充內部部署網路

Azure ExpressRoute
Azure 虛擬網路
Azure 虛擬機器

此參考架構示範如何使用 Azure ExpressRoute 將內部部署網路連線到 Azure 上的虛擬網路。 ExpressRoute 連線會透過協力廠商連線提供者,使用私人的專用連線。 私人連線會將您的內部部署網路延伸到 Azure。

架構

0

下載此架構的 Visio 檔案

工作流程

此結構由下列元件組成。

  • 內部部署公司網路 。 在組織內執行的私人區域網路。

  • ExpressRoute 線路 。 連線提供者提供的第 2 層或第 3 層線路,可透過邊緣路由器將內部部署網路與 Azure 聯結在一起。 線路會使用由連線提供者管理的硬體基礎結構。

  • 本機邊緣路由器 。 將內部部署網路連線到提供者所管理的線路的路由器。 視您的連線布建方式而定,您可能需要提供路由器所使用的公用 IP 位址。

  • Microsoft 邊緣路由器 。 主動-主動高可用性組態中的兩個路由器。 這些路由器可讓連線提供者將其線路直接連線到其資料中心。 視您的連線布建方式而定,您可能需要提供路由器所使用的公用 IP 位址。

  • Azure 虛擬網路 (VNets) 。 每個 VNet 都位於單一 Azure 區域中,而且可以裝載多個應用層。 應用層可以使用每個 VNet 中的子網進行分割。

  • Azure 公用服務 。 可在混合式應用程式中使用的 Azure 服務。 這些服務也可透過網際網路使用,但使用 ExpressRoute 線路存取這些服務可提供低延遲和更可預測的效能,因為流量不會通過網際網路。

  • Microsoft 365 服務 。 Microsoft 所提供的公開 Microsoft 365 應用程式和服務。 使用 執行連線 Microsoft 對等互連 ,其位址由您的組織擁有,或由您的連線提供者提供。 您也可以透過 Microsoft 對等互連直接連線到 Microsoft CRM Online。

  • 連線ivity 提供者 (未顯示)。 使用資料中心與 Azure 資料中心之間的第 2 層或第 3 層連線來提供連線的公司。

元件

  • Azure ExpressRoute 。 ExpressRoute 可讓您透過私人連線將內部部署網路延伸至 Microsoft 雲端,並透過連線提供者的協助。 透過 ExpressRoute,您可以建立 Microsoft 雲端服務的連線,例如 Microsoft Azure 和 Microsoft 365。

  • Azure 虛擬網絡 。 Azure 虛擬網路 (VNet) 是私人網路在 Azure 中的基本建置組塊。 VNet 可讓許多類型的 Azure 資源,例如 Azure 虛擬機器 (VM),安全地彼此通訊、網際網路和內部部署網路。

建議

下列建議適用于大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。

連線提供者

為您的位置選取適當的 ExpressRoute 連線提供者。 若要取得您位置可用的連線提供者清單,請使用下列 Azure PowerShell 命令:

Get-AzExpressRouteServiceProvider

ExpressRoute 連線提供者會以下列方式將您的資料中心連線到 Microsoft:

  • 共置於雲端交換 。 如果您與雲端交換共置在一個設施中,您可以透過共同位置提供者的乙太網路交換來訂購與 Azure 的虛擬交叉連線。 共置提供者可以提供第 2 層交叉連線,或位於共置設施和 Azure 中基礎結構之間的受控第 3 層交叉連線。
  • 點對點乙太網路連線 。 您可以透過點對點乙太網路連結,將內部部署資料中心/辦公室連線到 Azure。 點對點乙太網路提供者可以提供第 2 層連線,或月臺與 Azure 之間的受控第 3 層連線。
  • 任意對任意 (IPVPN) 網路 。 您可以將廣域網路 (WAN) 與 Azure 整合。 網際網路通訊協定虛擬私人網路 (IPVPN) 提供者 (通常是多通訊協定標籤切換 VPN) 提供分公司與資料中心之間的任意對任意連線。 Azure 可以與您的 WAN 互連,使其看起來就像任何其他分公司一樣。 WAN 提供者通常會提供受控第 3 層連線。

如需連線提供者的詳細資訊,請參閱 ExpressRoute 簡介

ExpressRoute 線路

請確定貴組織已符合連線至 Azure 的 ExpressRoute 必要條件需求

如果您尚未這麼做,請將名為 GatewaySubnet 的子網新增至 Azure VNet,並使用 Azure VPN 閘道服務建立 ExpressRoute 虛擬網路閘道。 如需此程式的詳細資訊,請參閱 線路布建和線路狀態 的 ExpressRoute 工作流程。

建立 ExpressRoute 線路,如下所示:

  1. 執行下列 PowerShell 命令:

    New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
    
  2. ServiceKey將新線路的 傳送給服務提供者。

  3. 等候提供者布建線路。 若要確認線路的布建狀態,請執行下列 PowerShell 命令:

    Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    

    Provisioning state輸出區段中的 欄位 Service Provider 會線上路就緒時從 NotProvisionedProvisioned 變更為 。

    注意

    如果您使用第 3 層連線,提供者應該為您設定和管理路由。 您提供讓提供者實作適當路由所需的資訊。

  4. 如果您使用第 2 層連線:

    1. 針對您想要實作的每個對等互連類型,保留由有效公用 IP 位址組成的兩個 /30 子網。 這些 /30 子網將用來為線路所使用的路由器提供 IP 位址。 如果您要實作私人和 Microsoft 對等互連,則需要具有有效公用 IP 位址的 4 /30 子網。

    2. 設定 ExpressRoute 線路的路由。 針對您想要設定的每個對等互連類型執行下列 PowerShell 命令(私人和 Microsoft)。 如需詳細資訊,請參閱 建立和修改 ExpressRoute 線路 的路由。

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      
    3. 保留另一個有效的公用 IP 位址集區,以用於 Microsoft 對等互連的網路位址轉譯(NAT)。 建議針對每個對等互連使用不同的集區。 指定連線提供者的集區,以便設定這些範圍的邊界閘道通訊協定 (BGP) 公告。

  5. 執行下列 PowerShell 命令,將私人 VNet 連結至 ExpressRoute 線路。 如需詳細資訊,請參閱 將虛擬網路連結至 ExpressRoute 線路

    $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
    New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
    

您可以將位於不同區域的多個 VNet 連線到相同的 ExpressRoute 線路,只要所有 VNet 和 ExpressRoute 線路都位於相同的地緣政治區域內。

疑難排解

如果先前運作的 ExpressRoute 線路現在無法連線,在內部部署或私人 VNet 內沒有任何組態變更時,您可能需要連絡連線提供者,並與其合作以修正問題。 使用下列 PowerShell 命令來確認 ExpressRoute 線路已布建:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

此命令的輸出會顯示線路的數個屬性,包括 ProvisioningStateCircuitProvisioningStateServiceProviderProvisioningState ,如下所示。

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

ProvisioningState如果您嘗試建立新的線路之後未將 設定為 Succeeded ,請使用下列命令移除線路,然後再嘗試建立一次。

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

如果您的提供者已經布建線路,且 ProvisioningState 設定為 Failed ,或 CircuitProvisioningState 不是 Enabled ,請連絡您的提供者以取得進一步的協助。

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

延展性

ExpressRoute 線路提供網路之間的高頻寬路徑。 一般而言,頻寬越高,成本就越高。

ExpressRoute 為客戶提供兩 個定價方案 、計量付費方案和無限制的資料方案。 費用會根據線路頻寬而有所不同。 可用的頻寬可能會因提供者而異。 Get-AzExpressRouteServiceProvider使用 Cmdlet 來查看您區域中可用的提供者及其提供的頻寬。

單一 ExpressRoute 線路可以支援特定數目的對等互連和 VNet 連結。 如需詳細資訊,請參閱 ExpressRoute 限制

如需額外費用,ExpressRoute 進階版附加元件提供一些額外的功能:

  • 提高私人對等互連的路由限制。
  • 每個 ExpressRoute 線路的 VNet 連結數目增加。
  • 從全球連線到服務。

如需詳細資訊,請參閱 ExpressRoute 定價

ExpressRoute 線路的設計目的是允許暫存網路高載高達您購買的頻寬限制兩倍,而不需要額外費用。 使用備援連結可達成此目的。 不過,並非所有連線提供者都支援這項功能。 請先確認您的連線提供者會先啟用這項功能,再視此功能而定。

雖然某些提供者可讓您變更頻寬,但請確定您挑選的初始頻寬超過您的需求,並提供成長空間。 如果您需要在未來增加頻寬,則會保留兩個選項:

  • 增加頻寬。 您應該盡可能避免此選項,而且並非所有提供者都可讓您動態增加頻寬。 但如果需要增加頻寬,請洽詢您的提供者,以確認它們支援透過 PowerShell 命令變更 ExpressRoute 頻寬屬性。 如果這樣做,請執行下列命令。

    $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
    Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    您可以增加頻寬,而不會失去連線能力。 降級頻寬會導致連線中斷,因為您必須刪除線路,並使用新的組態重新建立。

  • 將您的定價方案和/或升級變更為進階版。 若要這樣做,請執行下列命令。 屬性 Sku.Tier 可以是 或 ; Sku.Name 屬性可以是 MeteredDataPremiumUnlimitedDataStandard

    $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    重要

    請確定 Sku.Name 屬性符合 Sku.TierSku.Family 。 如果您變更系列和階層,但不是名稱,將會停用您的連線。

    您可以在不中斷的情況下升級 SKU,但無法從無限制的定價方案切換到計量。 降級 SKU 時,您的頻寬耗用量必須維持在標準 SKU 的預設限制內。

可用性

ExpressRoute 不支援路由器備援通訊協定,例如熱待命路由式通訊協定 (HSRP) 和虛擬路由器備援通訊協定 (VRRP) 來實作高可用性。 相反地,它會為每個對等互連使用一對備援的 BGP 會話。 為了加速與網路的高可用性連線,Azure 會在主動-主動組態中,在兩個路由器上布建兩個備援埠(屬於 Microsoft Edge 的一部分)。

根據預設,BGP 會話會使用 60 秒的閒置逾時值。 如果會話逾時三次(總計 180 秒),路由器會標示為無法使用,且所有流量都會重新導向至其餘路由器。 對於關鍵應用程式而言,這個 180 秒的逾時時間可能太長。 如果是,您可以將內部部署路由器上的 BGP 逾時設定變更為較小的值。 ExpressRoute 也透過私人對等互連支援 雙向轉送偵測 (BFD)。 透過 ExpressRoute 啟用 BFD,您可以加速 Microsoft Enterprise Edge (MSEE) 裝置與終止 ExpressRoute 線路 (PE) 的路由器之間的連結失敗偵測。 您可以透過 Customer Edge 路由裝置或合作夥伴 Edge 路由裝置終止 ExpressRoute(如果您已使用受控第 3 層聯機服務)。

您可以根據您使用的提供者類型,以及您願意設定的 ExpressRoute 線路和虛擬網路閘道連線數目,以不同的方式設定 Azure 連線的高可用性。 下列摘要說明您的可用性選項:

  • 如果您使用第 2 層連線,請在主動-主動組態的內部部署網路中部署備援路由器。 連線主要線路至一個路由器,而次要線路則為另一個路由器。 這可讓您在連線的兩端提供高可用性連線。 如果您需要 ExpressRoute 服務等級協定 (SLA), 這是必要的。 如需詳細資訊,請參閱 Azure ExpressRoute 的 SLA。

    下圖顯示已連線到主要和次要線路的備援內部部署路由器組態。 每個線路都會處理私人對等互連的流量(每個對等互連都會指定一對 /30 位址空間,如上一節所述)。

    1

  • 如果您使用第 3 層連線,請確認它提供可為您處理可用性的備援 BGP 會話。

  • 連線 VNet 至多個 ExpressRoute 線路,由不同的服務提供者提供。 此策略提供額外的高可用性和災害復原功能。

  • 將站對站 VPN 設定為 ExpressRoute 的容錯移轉路徑。 如需此選項的詳細資訊,請參閱 使用 ExpressRoute 搭配 VPN 容錯移轉 將內部部署網路連線至 Azure。 此選項僅適用于私人對等互連。 針對 Azure 和 Microsoft 365 服務,網際網路是唯一的容錯移轉路徑。

安全性

安全性可提供針對蓄意攻擊和濫用寶貴資料和系統的保證。 如需詳細資訊,請參閱 安全性要素 概觀。

您可以根據安全性考慮和合規性需求,以不同方式設定 Azure 連線的安全性選項。

ExpressRoute 會在第 3 層中運作。 應用層的威脅可以使用網路安全性設備來防止將流量限制為合法資源。

若要將安全性最大化,請在內部部署網路與提供者邊緣路由器之間新增網路安全性設備。 這有助於限制來自 VNet 的未經授權流量流入:

2

若要進行稽核或合規性,您可能需要禁止從 VNet 中執行的元件直接存取網際網路,並實作強制通道。 在此情況下,應該透過執行內部部署的 Proxy 將網際網路流量重新導向回,以便稽核該流量。 Proxy 可以設定為封鎖未經授權的流量流出,並篩選潛在的惡意輸入流量。

3

若要最大化安全性,請勿為您的 VM 啟用公用 IP 位址,並使用 NSG 來確保無法公開存取這些 VM。 VM 只能使用內部 IP 位址來使用。 您可以透過 ExpressRoute 網路存取這些位址,讓內部部署 DevOps 人員能夠執行設定或維護。

如果您必須將 VM 的管理端點公開至外部網路,請使用 NSG 或存取控制清單來限制這些埠的可見度,以允許 IP 位址或網路清單。

注意

透過Azure 入口網站部署的 Azure VM 可以包含提供登入存取權的公用 IP 位址。 不過,最佳做法是不允許此做法。

網路監視

使用網路監看員來監視和疑難排解網路元件,例如流量分析之類的工具會在虛擬網路中顯示產生大部分流量的系統,讓您能夠在產生問題之前以視覺化方式識別瓶頸。 網路效能管理員能夠監視 Microsoft ExpressRoute 線路的相關資訊。

您也可以使用 Azure 連線ivity Toolkit (AzureCT) 來監視內部部署資料中心與 Azure 之間的連線。

如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework 中的 DevOps 一節。 如需監視的特定資訊,請參閱 監視 DevOps

成本最佳化

成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素 概觀。

使用 Azure 定價計算機 來預估成本。

下一節說明此架構中使用的服務費用。

Azure ExpressRoute

在此架構中,ExpressRoute 線路可用來透過邊緣路由器將內部部署網路與 Azure 聯結。

有兩個主要計畫。 在計量 資料 方案中,所有輸入資料傳輸都是免費的。 所有輸出資料傳輸都會根據預先決定的費率收費。

您也可以選擇無限制 的資料 方案,其中所有輸入和輸出資料傳輸都是免費的。 根據高可用性雙重埠,使用者每月會收取固定的埠費用。

計算您的使用率,並據以選擇計費方案。 如果您超過 68% 的使用率,建議您使用無限制的資料 方案。

如需詳細資訊,請參閱 Azure ExpressRoute 定價

Azure 虛擬網路

所有應用層都裝載在單一虛擬網路中,並使用子網進行區隔。

Azure 虛擬網絡是免費的。 每個訂用帳戶可跨所有區域建立最多 50 個虛擬網路。 虛擬網路界限內發生的所有流量都是免費的。 因此,相同虛擬網路中的兩部 VM 之間的通訊是免費的。

下一步

產品檔:

Microsoft Learn 課程模組: