Konnektivität mit Azure
In diesem Abschnitt wird die Netzwerktopologie erweitert, um empfohlene Modelle für die Verbindung von lokalen Standorten mit Azure zu betrachten.
Überlegungen zum Entwurf:
Azure ExpressRoute bietet von lokalen Standorten aus dedizierte private Konnektivität für Azure-IaaS- und -PaaS-Funktionen (Infrastructure-as-a-Service und Platform-as-a-Service).
Azure VPN Gateway (S2S) bietet von lokalen Standorten aus geteilte Site-to-Site-Konnektivität über das öffentliche Internet zu virtuellen IaaS-Netzwerken (Infrastructure-as-a-Service) von Azure.
Azure ExpressRoute und Azure VPN (S2S) unterscheiden sich hinsichtlich der Funktionen, Kosten und der Leistung. Hier steht eine Vergleichstabelle zur Verfügung.
Sie können private Links verwenden, um über ExpressRoute mit privatem Peering oder S2S-VPN eine Verbindung von lokalen verbundenen Standorten mit PaaS-Diensten herzustellen.
Wenn mehrere virtuelle Netzwerke mit derselben ExpressRoute-Verbindung verbunden sind, werden sie Teil derselben Routingdomäne, und die Bandbreite wird von allen virtuellen Netzwerken gemeinsam genutzt.
Sie können ExpressRoute Global Reach verwenden (falls verfügbar), um lokale Standorte über ExpressRoute-Verbindungen miteinander zu verbinden und den Datenverkehr über das Microsoft-Backbone-Netzwerk zu leiten.
Expressroute Global Reach ist an vielen ExpressRoute-Peeringstandorten verfügbar.
ExpressRoute Direct ermöglicht das Erstellen von mehreren ExpressRoute-Verbindungen ohne anfallende Zusatzkosten, bis zur Kapazität des ExpressRoute-Direktanschlusses (10 GBit/s oder 100 GBit/s). Zudem lassen sich direkte Verbindungen mit den ExpressRoute-Routern von Microsoft herstellen. Bei der 100-GBit/s-SKU beträgt die Mindestbandbreite der Leitung 5 GBit/s. Bei der 10-GBit/s-SKU beträgt die Mindestbandbreite der Leitung 1 GBit/s.
Wenn diese Option in einer ExpressRoute-Verbindung aktiviert ist, sendet FastPath den Datenverkehr direkt an virtuelle Computer im virtuellen Netzwerk und umgeht das ExpressRoute-Gateway. FastPath wurde entwickelt, um die Datenpfadleistung zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Netzwerk zu verbessern, ohne dass es zu einem Engpass im Gateway kommt.
Entwurfsempfehlungen:
Verwenden Sie ExpressRoute als primären Konnektivitätskanal für Verbindungen zwischen einem lokalen Netzwerk und Azure. Sie können VPNs als Quelle für die Sicherungskonnektivität verwenden, um die Resilienz der Konnektivität zu verbessern.
Verwenden Sie duale ExpressRoute-Leitungen von verschiedenen Peeringstandorten, wenn Sie eine Verbindung eines lokalen Standorts mit virtuellen Netzwerken in Azure herstellen. Durch dieses Setup werden redundante Pfade zu Azure sichergestellt, da Single Points of Failure zwischen dem lokalen Standort und Azure beseitigt werden.
Wenn Sie mehrere ExpressRoute-Leitungen verwenden, optimieren Sie das ExpressRoute-Routing über die lokale BGP-Einstellung und Voranstellen von AS PATH.
Stellen Sie sicher, dass Sie je nach Bandbreiten- und Leistungsanforderungen die richtige SKU für ExpressRoute- bzw. VPN-Gateways nutzen.
Stellen Sie ein zonenredundantes ExpressRoute-Gateway in den unterstützten Azure-Regionen bereit.
Verwenden Sie ExpressRoute Direct für Szenarios, in denen eine Bandbreite von mehr als 10 GBit/s oder dedizierte 10/100 GBit/s-Ports benötigt werden.
Wenn eine niedrige Latenz erforderlich ist oder der Durchsatz zwischen einem lokalen Standort und Azure mehr als 10 GBit/s betragen muss, aktivieren Sie FastPath, um das ExpressRoute-Gateway vom Datenpfad zu umgehen.
Verwenden Sie VPN-Gateways, um Zweigstellen oder Remotestandorte mit Azure zu verbinden. Stellen Sie zur Steigerung der Resilienz zonenredundante Gateways (soweit verfügbar) bereit.
Verwenden Sie ExpressRoute Global Reach, um große Niederlassungen, regionale Zentralen oder Rechenzentren zu verbinden, die über ExpressRoute mit Azure verbunden sind.
Wenn die Isolation von Datenverkehr oder dedizierte Bandbreite benötigt wird, z. B. zum Trennen von Produktions- und Nicht-Produktionsumgebungen, sollten verschiedene ExpressRoute-Leitungen verwendet werden. So können Sie isolierte Routingdomänen sicherstellen und das Risiko der Beeinträchtigung durch andere Dienste („Noisy Neighbors“) mindern.
Verwenden Sie ExpressRoute-Netzwerkerkentnisse, um Ihre ExpressRoute-Komponenten (Peerings, Verbindungen, Gateways) zu überwachen. ExpressRoute verwendet Netzwerkerkentnisse, um eine detaillierte Topologiezuordnung aller ExpressRoute-Komponenten (Peerings, Verbindungen, Gateways) zu bieten, und verfügt über ein vorinstalliertes Metrikdashboard für Verfügbarkeit, Durchsatz, Paketfehler und Gatewaymetriken.
- Verwenden Sie den Verbindungsmonitor für ExpressRoute, um die Konnektivität zwischen Azure-Cloudbereitstellungen und lokalen Standorten (Filialen usw.) zu überwachen, Netzwerkprobleme zu ermitteln sowie Konnektivitätsprobleme zu identifizieren und zu beseitigen.
Verwenden Sie ExpressRoute-Leitungen nicht explizit von einem einzelnen Peeringstandort aus. Dadurch wird ein Single Point of Failure erstellt und Ihre Organisation anfällig für Peeringstandortausfälle.