51CTO 博客地址:https://blog.51cto.com/14669127
博客园博客地址:https://www.cnblogs.com/Nancy1983
需求:假如你是某企业的解决方案架构师,目前已经将本地资源迁移到Azure,但组织中的系统需要在内部网络和Azure之间进行通信,因为这些应用程序系统对带宽有极高的要求,所以不希望采用Internet通信,同时组织内也使用Office 365作为企业数据管理平台,希望能减少互联网上的流量,通过专用链接将这些流量发送到Azure,该如何配置来实现基础设施建设呢?
解决方案: 可以配置Azure Express Route作为企业基础设施建设的解决方案,它将无缝地将本地网络扩展到Microsoft Cloud,并且组织和Azure之间的这种连接是专用的和私有的,通过Azure Express Route连接,你还可以连接到Azure、Office 365等Microsoft云服务,安全性得到增强,连接更加可靠,延迟最小,吞吐量也大大提高。
使用Expre***oute作为Azure和本地网络之间的连接服务,具有以下几点优势:
- Layer 3 Connectivity:通过Connectivity Partners可以将本地网络和Microsoft Cloud之间提供Layer 3 Connectivity,这些连接可以是点对点、任意对任意,也可以是通过交换机的虚拟交叉连接。
- Build in Redundancy:每个Connectivity Provider都使用冗余设备来确保与Microsoft建立的连接是高度可用的,你可以配置多个circuits来补充这一特性,所有的redundant connection都配置了Layer 3 Connectivity来满足SLAs.
- Connectivity to Microsoft Cloud Service: Expre***oute可以直接访问所有区域的以下服务:Office 365、Dynamics 365、Azure Compute Services,Cloud Services等等
- Security Consideration:使用Expre***oute,数据不会通过互联网传输,因此不会暴露在与互联网通信相关的潜在风险中,Expre***oute是一个本地基础架构到Azure基础架构的私有连接,即使你有一个Expre***oute连接,DNS查询,证书撤销列表查询,Azure内容交付网络请求仍旧通过互联网发送。
Azure Expre***oute的工作原理:Expre***oute支持所有地区和位置,为了实现Expre***oute,需要与Expre***oute Partner一起工作,Partner提供了edge service,通过partner控制的路由器运行的经过授权和身份验证的连接,edge服务负责将网络扩展到Microsoft Cloud,Partner在Expre***oute中建立到endpoint的连接,这些连接能够将本地网络与通过endpoint可用的虚拟网络进行对等互联(peer),这种连接称作circuits,它是通过私有线路建立的,而不是通过互联网,你本地网络连接到Expre***oute Provider的edge routers,微软edge router提供了进入Microsoft Cloud的入口点。
通过Expre***oute建立到Azure的连接涉及到如下步骤:
- 新建Circuit
- 新建Peering Configuration
- 配置Private Peering
- 配置Microsoft Peering
- 连接一个虚拟网络到Expre***oute Circuit
操作过程如下:
1.新建Circuits,登录Azure Portal,新建一个resource->Network->Expre***oute,新建Expre***oute Circuits,如下所示:
2.Circuits配置完成后,使用Azure Portal来查看其属性,确保Circuits的状态是启用的,这说明Circuits与Microsoft端已经准备好连接。最初不会提供Provider 的状态,因为Provider没有为连接到你的网络配置路由,将Service Key字段中的值发送给Provider,以使它们能够配置连接,可能需要几天的时间。
3.当Provider 状态为Provisioned后,你可以为peer配置rout,创建一个Peering Configuration
4.使用Private peering将你的网络连接到Azure运行的虚拟网络中,注意在配置Private peering网络前,需要提供:Peer ASN、Primary Subnet、Secondary Subnet、VLAN ID、Shared Key
5.使用Microsoft Peering连接到Office 365以及相关服务,配置Microsoft Peering时,需要提供一个ASN、一个primary subnet address range
、一个secondary subnet address range、一个VLAN和一个Shared Key、Advertised Public Prefixes、Customer ASN和Routing Registry Name
6.在Expre***oute Circuits建立完成之后,为你的circuits配置Azure Private peering,并且你的网络和Microsoft之间的BGP会话激活后,你可以启用从你的本地网络到Azure的连接。
希望给大家起到抛砖引玉的作用,谢谢阅读~~