Migrieren zu einer neuen ExpressRoute-Verbindung

  • Artikel

Wenn Sie von einer ExpressRoute-Verbindung zu einer anderen wechseln möchten, sollte dies reibungslos mit minimalen Dienstunterbrechungen geschehen. Dieses Dokument hilft Ihnen, die Schritte zur Migration des Produktionsdatenverkehrs ohne erhebliche Unterbrechungen oder Risiken auszuführen. Sie können diese Methode verwenden, unabhängig davon, ob Sie zu einem neuen Peeringort wechseln oder denselben Peeringort beibehalten.

Wenn Sie Ihre ExpressRoute-Verbindung über einen Layer-3-Dienstanbieter erhalten haben, erstellen Sie die neue Verbindung unter Ihrem Abonnement im Azure-Portal. Arbeiten Sie mit Ihrem Dienstanbieter zusammen, um den Datenverkehr nahtlos auf die neue Verbindung umzustellen. Nachdem der Dienstanbieter die Bereitstellung Ihrer alten Verbindung aufgehoben hat, löschen Sie sie aus dem Azure-Portal.

Der restliche Artikel gilt für Sie, wenn Sie Ihre ExpressRoute-Verbindung über einen Layer-2-Dienstanbieter oder ExpressRoute-Direktanschlüsse erhalten haben.

Schritte für die nahtlose ExpressRoute-Verbindungsmigration

Diagram showing an ExpressRoute circuit migration from Circuit A to Circuit B.

Das obige Diagramm veranschaulicht den Migrationsprozess von einer vorhandenen ExpressRoute-Verbindung, die als „Circuit A“ bzw. „Verbindung A“ bezeichnet wird, zu einer neuen ExpressRoute-Verbindung, die als „Circuit B“ bzw. „Verbindung B“ bezeichnet wird. „Verbindung B“ kann sich an demselben oder einem anderen Peeringort wie „Verbindung A“ befinden. Der Migrationsprozess besteht aus den folgenden Schritten:

  1. Isolierte Bereitstellen von Verbindung B: Während der Datenverkehr weiterhin über Verbindung A fließt, stellen Sie eine neue Verbindung B bereit, ohne dass sich dies auf die Produktionsumgebung auswirkt.

  2. Den Produktionsdatenverkehr über Verbindung B blockieren: Verhindern Sie, dass Datenverkehr die Verbindung B verwendet, bevor diese vollständig getestet und überprüft worden ist.

  3. Vervollständigen und Überprüfen der End-to-End-Konnektivität von Verbindung B: Stellen Sie sicher, dass Verbindung B eine stabile und sichere Verbindung mit allen erforderlichen Endpunkten herstellen und verwalten kann.

  4. Umleiten des Datenverkehrs: Leiten Sie den Datenverkehr von Verbindung A nach Verbindung B um, und blockieren Sie den Datenverkehrsfluss über Verbindung A.

  5. Außerbetriebnahme von Verbindung A: Entfernen Sie Verbindung A aus dem Netzwerk, und geben Sie ihre Ressourcen frei.

Isoliertes Bereitstellen einer neuen Verbindung

Führen Sie die Schritte in Erstellen einer Verbindung mit ExpressRoute aus, um die neue ExpressRoute-Verbindung (Verbindung B) am gewünschten Peeringort zu erstellen. Führen Sie dann die Schritte in Tutorial: Konfigurieren von Peering für ExpressRoute-Verbindungen aus, um die erforderlichen Peeringtypen zu konfigurieren: privat und Microsoft.

Um zu verhindern, dass der Produktionsdatenverkehr bei privatem Peering Verbindung B verwendet, bevor diese getestet und überprüft wurde, verknüpfen Sie kein Gateway für virtuelle Netzwerke, das in der Produktionsbereitstellung eingesetzt wird, mit Verbindung B. Um zu verhindern, dass Microsoft-Peering-Produktionsdatenverkehr Verbindung B verwendet, ordnen Sie Verbindung B keinen Routenfilter zu.

Blockieren des Produktionsverkehrsflusses über die neu erstellte Verbindung

Verhindern Sie auf den CE-Geräten die Routenankündigung über die neuen Peerings.

Für Cisco IOS können Sie route-map und prefix-list verwenden, um die über BGP-Peering angekündigten Routen zu filtern. Das folgende Beispiel zeigt, wie Sie die Routenzuordnung (route-map) und Präfixliste (prefix-list) zu diesem Zweck erstellen und anwenden:

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Verwenden Sie die Export-/Importrichtlinie, um die auf den neuen Peerings angekündigten und empfangenen Routen auf den Junos-Geräten zu filtern. Das folgende Beispiel zeigt, wie eine Export-/Importrichtlinie für diesen Zweck konfiguriert wird:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

Überprüfen der End-to-End-Konnektivität der neu erstellten Verbindung

Privates Peering

Führen Sie die Schritte in Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung aus, um die neue Verbindung mit dem Gateway eines virtuellen Testnetzwerks zu verknüpfen und die private Peeringverbindung zu überprüfen. Nachdem Sie virtuelle Netzwerke mit der Verbindung verknüpft haben, überprüfen Sie die Routingtabelle des privaten Peerings der Verbindung. Stellen Sie sicher, dass der Adressraum des virtuellen Netzwerks in der Tabelle enthalten ist. Das folgende Beispiel zeigt eine Routingtabelle des privaten Peerings einer ExpressRoute-Verbindung im Azure-Verwaltungsportal:

Screenshot of the route table for the primary link of the ExpressRoute circuit.

Das folgende Diagramm zeigt einen virtuellen Testcomputer, der in einem virtuellen Testnetzwerk konfiguriert ist, und ein lokales Testgerät zum Überprüfen der Konnektivität über das private ExpressRoute-Peering.

Diagram showing a VM in Azure communicating with a test device on-premises through the ExpressRoute connection.

Ändern Sie die Routenzuordnung (route-map) oder die Richtlinienkonfiguration, die Sie angewendet haben, um die angekündigten Routen zu filtern und die spezifische IP-Adresse des Testgeräts lokal zuzulassen. Lassen Sie auch den Adressraum des virtuellen Testnetzwerks aus Azure zu.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Um bestimmte IP-Präfixe für Testgeräte auf Junos zuzulassen, konfigurieren Sie eine Präfixliste. Konfigurieren Sie dann die BGP-Import-/Exportrichtlinie so, dass diese Präfixe zugelassen und alle anderen abgelehnt werden.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Überprüfen Sie die End-to-End-Konnektivität über das private Peering. Sie können z. B. die Test-VM in Azure von Ihrem lokalen Testgerät aus pingen und die Ergebnisse überprüfen. Eine detaillierte schrittweise Überprüfung finden Sie unter Überprüfen der ExpressRoute-Konnektivität.

Microsoft-Peering

Die Überprüfung Ihres Microsoft-Peerings erfordert eine sorgfältige Planung, um Beeinträchtigungen des Produktionsdatenverkehr zu vermeiden. Sie müssen eindeutigen Präfixe für das Microsoft-Peering von Verbindung B verwenden. Die Präfixe müssen sich von denen unterscheiden, die für Verbindung A verwendet werden, um Routingkonflikte zwischen den beiden Verbindungen zu verhindern. Außerdem müssen Sie das Microsoft-Peering von Verbindung B mit einem anderen als dem mit Verbindung A verknüpften Routenfilter verknüpfen, indem Sie die in Konfigurieren von Routenfiltern für Microsoft-Peering beschriebenen Schritte ausführen. Überdies müssen Sie sicherstellen, dass die Routenfilter für beide Verbindungen keine gemeinsamen Routen aufweisen, die für das lokale Netzwerk angekündigt werden, um asymmetrisches Routing zwischen Verbindung A und Verbindung B zu vermeiden. Um dies zu erreichen, können Sie eine der folgenden Aktionen ausführen:

  • Wählen Sie einen Dienst oder eine Azure-Region zum Testen von Verbindung B aus, der nicht vom Produktionsdatenverkehr auf Verbindung A verwendet wird, oder
  • minimieren Überschneidungen zwischen den beiden Routenfiltern, und lassen Sie nur spezifischere öffentliche Testendpunkte zu, die über Verbindung B empfangen werden.

Nachdem Sie einen Routenfilter verknüpft haben, müssen Sie die Routen überprüfen, die über das BGP-Peering auf dem CE-Gerät angekündigt und empfangen werden. Um die Routen zu filtern, die angekündigt werden und nur die lokalen Präfixe des Microsoft-Peerings und die spezifische IP-Adresse der ausgewählten öffentlichen Microsoft-Endpunkte zu Testzwecken zulassen, müssen Sie die von Ihnen angewendete Routenzuordnung (route-map) oder Junos-Richtlinienkonfiguration ändern.

Um die Konnektivität mit Microsoft 365-Endpunkten zu testen, führen Sie die in Implementieren von ExpressRoute für Microsoft 365 – Erstellen eigener Testprozeduren beschriebenen Schritte aus. Für öffentliche Azure-Endpunkte können Sie mit grundlegenden Konnektivitätstests wie der Ablaufverfolgung von der lokalen Bereitstellung beginnen und überprüfen, ob die Anforderung ExpressRoute-Endpunkte durchläuft. Jenseits der ExpressRoute-Endpunkte werden ICMP-Nachrichten über das Microsoft-Netzwerk unterdrückt. Zusätzlich zu grundlegenden Pingtests könnten Sie die Konnektivität auch auf Anwendungsebene testen. Wenn Sie beispielsweise über eine Azure-VM mit einer öffentlichen Azure-IP-Adresse verfügen, auf der ein Webserver ausgeführt wird, können Sie versuchen, von Ihrem lokalen Netzwerk aus über die ExpressRoute-Verbindung auf die öffentliche IP-Adresse des Webservers zuzugreifen. Dadurch können Sie sicherstellen, dass komplexerer Datenverkehr, z. B. HTTP-Anforderungen, Azure-Dienste erreichen kann.

Übergabe des Produktionsdatenverkehrs

Privates Peering

  1. Trennen Sie Verbindung B von allen Testgateways für virtuelle Netzwerke, mit denen Sie sie verbunden haben.
  2. Entfernen Sie alle Ausnahmen, die Sie für Cisco-Routenzuordnungen (route-map) oder die Junos-Richtlinie definiert haben.
  3. Führen Sie die Schritte in Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung aus, und verbinden Sie Verbindung B mit Produktionsgateways für virtuellen Netzwerke.
  4. Stellen Sie auf dem CE sicher, dass Sie alle Routen, die Sie derzeit über Verbindung A ankündigen, über Verbindung B ankündigen können, wenn Sie die Routenzuordnung (route-map) oder Richtlinie entfernen, die auf Schnittstellen von Verbindung B auf dem CE angewendet wird. Dazu gehört auch, sich zu vergewissern, dass die Schnittstellen von Verbindung B der entsprechenden VRF oder Routinginstanz zugeordnet sind, sofern vorhanden.
  5. Entfernen Sie die Routenzuordnungen (route-map) oder Richtlinien für Schnittstellen von Verbindung B. Wenden Sie Routenzuordnungen (route-map) oder Richtlinien auf Schnittstellen von Verbindung A an, um die Routenankündigung über Verbindung A zu blockieren. Dadurch wird der Datenverkehrsfluss über Verbindung B geleitet.
  6. Überprüfen Sie den Datenverkehrsfluss über Verbindung B. Wenn die Überprüfung fehlschlägt, können Sie die Routenzuordnung (route-map) oder Firewallzuordnung rückgängig machen, die Sie im vorherigen Schritt definiert haben, und den Datenverkehrsfluss wieder über Verbindung A leiten.
  7. Wenn die Überprüfung des Datenverkehrsflusses über Verbindung B erfolgreich ist, löschen Sie Verbindung A.

Microsoft-Peering

  1. Entfernen Sie Verbindung B aus einem beliebigen Azure-Testroutenfilter, mit dem Sie sie verknüpft haben.
  2. Entfernen Sie alle Ausnahmen, die Sie für Cisco-Routenzuordnungen (route-map) oder die Richtlinie definiert haben.
  3. Stellen Sie auf CE sicher, dass die Schnittstelle von Verbindung B der entsprechenden VRF- oder Routinginstanz zugeordnet ist.
  4. Überprüfen und bestätigen Sie das angekündigte Präfix über das Microsoft-Peering.
  5. Ordnen Sie das Microsoft-Peering über Verbindung B dem Azure-Routenfilter zu, der derzeit Verbindung A zugeordnet ist.
  6. Entfernen Sie die Routenzuordnungen (route-map) oder Export-/Importrichtlinie für Schnittstellen von Verbindung B. Wenden Sie Routenzuordnungen (route-map) oder Export-/Importrichtlinie auf Schnittstellen von Verbindung A an, um die Routenankündigung über Verbindung A zu blockieren. Dadurch wird der Datenverkehrsfluss über Verbindung B geleitet.
  7. Überprüfen Sie den Datenverkehrsfluss über Verbindung B. Wenn die Überprüfung fehlschlägt, können Sie die Routenzuordnung (route-map) oder Richtlinienzuordnung rückgängig machen, die Sie im vorherigen Schritt definiert haben, und den Datenverkehrsfluss wieder über Verbindung A leiten.
  8. Wenn die Überprüfung des Datenverkehrsflusses über Verbindung B erfolgreich ist, löschen Sie Verbindung A.

Nächster Schritt

Weitere Informationen zur Routerkonfiguration finden Sie unter Beispiele für die Routerkonfiguration zum Einrichten und Verwalten des Routings.