Azure Well-Architected Framework-Überprüfung – Azure ExpressRoute
Dieser Artikel enthält bewährte Methoden für Architektur für Azure ExpressRoute. Der Leitfaden basiert auf den fünf Säulen der Architektur-Exzellenz:
Wir gehen davon aus, dass Sie über Kenntnisse in Azure ExpressRoute verfügen und sich mit allen Features vertraut sind. Weitere Informationen finden Sie unter Azure ExpressRoute.
Voraussetzungen
Im Kontext sollten Sie eine Referenzarchitektur überprüfen, die diese Überlegungen in ihrem Entwurf widerspiegelt. Es wird empfohlen, mit dem Leitfaden von Cloud Adoption Framework Ready zu beginnen, um eine Verbindung mit Azure und Architect für hybride Konnektivität mit Azure ExpressRoute herzustellen. Für Anwendungsarchitekturen mit geringem Code empfehlen wir, die Aktivierung von ExpressRoute für Power Platform bei der Planung und Konfiguration von ExpressRoute für die Verwendung mit Microsoft Power Platform zu überprüfen.
Zuverlässigkeit
In der Cloud muss leider mit Fehlern gerechnet werden. Es geht nicht darum, Fehler vollständig zu verhindern, sondern darum, die Auswirkungen einer einzelnen fehlerhaften Komponente zu minimieren. Verwenden Sie die folgenden Informationen, um die Ausfallzeit zu und von Azure beim Herstellen der Verbindung mit Azure ExpressRoute zu minimieren.
Bei der Diskussion über Zuverlässigkeit mit Azure ExpressRoute ist es wichtig, die Bandbreitennutzung, das physische Layout des Netzwerks und die Notfallwiederherstellung zu berücksichtigen, wenn Fehler auftreten. Azure ExpressRoute ist in der Lage, diese Designüberlegungen zu erreichen und Empfehlungen für jedes Element in der Checkliste zu erhalten.
In der Nachstehenden Entwurfsprüfliste und Liste der Empfehlungen werden Informationen angezeigt, damit Sie ein hochverwendendes Netzwerk zwischen Ihrer Azure-Umgebung und dem lokalen Netzwerk entwerfen können.
Prüfliste für den Entwurf
Wenn Sie Designentscheidungen für Azure ExpressRoute treffen, überprüfen Sie die Designprinzipien zum Hinzufügen von Zuverlässigkeit zur Architektur.
- Wählen Sie zwischen ExpressRoute-Schaltkreis oder ExpressRoute Direct for Business-Anforderungen aus.
- Konfigurieren Sie ein vielfältiges physisches Layernetzwerk für den Dienstanbieter.
- Konfigurieren Sie ExpressRoute-Schaltkreise mit verschiedenen Dienstanbietern, um unterschiedliche Routingpfade zu haben.
- Konfigurieren Von Active ExpressRoute-Verbindungen zwischen lokal und Azure.
- Richten Sie die Verfügbarkeitszone mit ExpressRoute Virtual Network Gateways ein.
- Konfigurieren Sie ExpressRoute-Schaltkreise an einem anderen Ort als das lokale Netzwerk.
- Konfigurieren Sie ExpressRoute Virtual Network Gateways in verschiedenen Regionen.
- Konfigurieren Sie Standort-zu-Standort-VPN als Sicherung für private ExpressRoute-Peering.
- Richten Sie die Überwachung für expressRoute-Schaltkreise und expressRoute Virtual Network Gateway-Integrität ein.
- Konfigurieren Des Dienststatus für den Empfang von ExpressRoute-Schaltkreiswartungsbenachrichtigungen.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration für Zuverlässigkeit zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Planen für ExpressRoute-Verbindungen oder ExpressRoute Direct | Während der ersten Planungsphase möchten Sie entscheiden, ob Sie einen ExpressRoute-Schaltkreis oder eine ExpressRoute Direct-Verbindung konfigurieren möchten. Ein ExpressRoute-Schaltkreis ermöglicht eine private dedizierte Verbindung mit Azure mit Hilfe eines Konnektivitätsanbieters. ExpressRoute Direct ermöglicht es Ihnen, das lokale Netzwerk direkt an einem Peeringstandort in das Microsoft-Netzwerk zu erweitern. Außerdem müssen Sie die Bandbreitenanforderung und die SKU-Typanforderung für Ihre Geschäftlichen Anforderungen identifizieren. |
| Vielfältigkeit auf der Bitübertragungsschicht | Planen Sie für eine bessere Ausfallsicherheit mehrere Pfade zwischen dem lokalen Edge und den Peeringspeicherorten (Anbieter-/Microsoft-Edgespeicherorte). Diese Konfiguration kann erreicht werden, indem sie einen anderen Dienstanbieter oder einen anderen Standort vom lokalen Netzwerk durchläuft. |
| Planen von georedundanten Schaltkreisen | Um die Notfallwiederherstellung zu planen, richten Sie ExpressRoute-Schaltkreise an mehreren Peeringstandorten ein. Sie können Schaltungen an Peering-Standorten in derselben Metro oder einer anderen Metro erstellen und wählen, um mit verschiedenen Dienstanbietern für verschiedene Wege durch jeden Schaltkreis zu arbeiten. Weitere Informationen finden Sie unter Entwerfen für Notfallwiederherstellung und Entwerfen für hohe Verfügbarkeit. |
| Planen der Active-Active-Konnektivität | Dedizierte ExpressRoute-Schaltkreise garantieren die 99.95% Verfügbarkeit, wenn eine aktive Verbindung zwischen lokal und Azure konfiguriert ist. Dieser Modus bietet eine höhere Verfügbarkeit Ihrer Expressroute-Verbindung. Es wird auch empfohlen, BFD für ein schnelleres Failover zu konfigurieren, wenn bei einer Verbindung ein Linkfehler auftritt. |
| Planen von Virtuellen Netzwerkgateways | Erstellen Sie verfügbarkeitszonenfähiges virtuelles Netzwerkgateway für höhere Resilienz und planen Sie virtuelle Netzwerkgateways in verschiedenen Regionen für die Notfallwiederherstellung und hohe Verfügbarkeit. |
| Überwachen von Schaltkreisen und Gatewayintegrität | Richten Sie Die Überwachung und Warnungen für ExpressRoute-Schaltkreise und die Integrität des virtuellen Netzwerkgateways basierend auf verschiedenen verfügbaren Metriken ein. |
| Dienststatus aktivieren | ExpressRoute verwendet den Dienststatus, um über geplante und ungeplante Wartungen zu informieren. Wenn Sie den Dienststatus konfigurieren, werden Sie über Änderungen informiert, die an Ihren ExpressRoute-Schaltkreisen vorgenommen wurden. |
Weitere Vorschläge finden Sie unter Grundsätze der Zuverlässigkeitssäule.
Azure Advisor bietet viele Empfehlungen für ExpressRoute-Schaltkreise, da sie sich auf Zuverlässigkeit beziehen. Azure Advisor kann z. B. Folgendes erkennen:
- ExpressRoute-Gateways, in denen nur ein einzelner ExpressRoute-Schaltkreis bereitgestellt wird, anstelle mehrerer. Mehrere ExpressRoute-Schaltkreise werden empfohlen, um die Ausfallsicherheit für den Peeringstandort hinzuzufügen.
- ExpressRoute-Schaltkreise, die von Verbindungsmonitor nicht beobachtet werden, da die End-to-End-Überwachung Ihres ExpressRoute-Schaltkreises für Zuverlässigkeitseinblicke von entscheidender Bedeutung ist.
- Netzwerktopologien mit mehreren Peeringstandorten, die von ExpressRoute Global Reach profitieren würden, um Notfallwiederherstellungsdesigns für lokale Konnektivität zu verbessern, um ungeplante Verbindungsverluste zu berücksichtigen.
Sicherheit
Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. ExpressRoute bietet Features, um sowohl das Prinzip der geringsten Rechte als auch die Verteidigung in der Verteidigung zu verwenden. Wir empfehlen Ihnen, die Grundsätze des Sicherheitsentwurfs zu überprüfen.
Prüfliste für den Entwurf
- Konfigurieren Des Aktivitätsprotokolls zum Senden von Protokollen zum Archivieren.
- Verwalten Sie einen Bestand an Administrativen Konten mit Zugriff auf ExpressRoute-Ressourcen.
- Konfigurieren von MD5-Hash auf ExpressRoute-Schaltkreis.
- Konfigurieren Sie MACSec für ExpressRoute Direct-Ressourcen.
- Verschlüsseln des Datenverkehrs über privates Peering und Microsoft-Peering für virtuellen Netzwerkdatenverkehr.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration für sicherheit zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren des Aktivitätsprotokolls zum Senden von Protokollen zum Archivieren | Aktivitätsprotokolle bieten Einblicke in Vorgänge, die auf Abonnementebene für ExpressRoute-Ressourcen ausgeführt wurden. Mit Aktivitätsprotokollen können Sie bestimmen, wer und wann ein Vorgang auf der Steuerungsebene ausgeführt wurde. Die Datenaufbewahrung beträgt nur 90 Tage und muss in Log Analytics, Event Hubs oder einem Speicherkonto für das Archiv gespeichert werden. |
| Verwalten des Inventars von Administrativen Konten | Verwenden Sie Azure RBAC, um Rollen zu konfigurieren, um Benutzerkonten zu beschränken, die peering-Konfigurationen auf einem ExpressRoute-Schaltkreis hinzufügen, aktualisieren oder löschen können. |
| Konfigurieren von MD5-Hash auf ExpressRoute-Schaltkreis | Wenden Sie während der Konfiguration von privatem Peering oder Microsoft-Peering einen MD5-Hash auf sichere Nachrichten zwischen der lokalen Route und den MSEE-Routern an. |
| Konfigurieren von MACSec für ExpressRoute Direct-Ressourcen | Die Sicherheit der Medienzugriffssteuerung ist eine Punkt-zu-Punkt-Sicherheit auf der Datenverknüpfungsebene. ExpressRoute Direct unterstützt die Konfiguration von MACSec, um Sicherheitsbedrohungen für Protokolle wie ARP, DHCP, LACP zu verhindern, die normalerweise nicht über die Ethernet-Verbindung gesichert sind. Weitere Informationen zum Konfigurieren von MACSec finden Sie unter MACSec für ExpressRoute Direct-Ports. |
| Verschlüsseln des Datenverkehrs mithilfe von IPsec | Konfigurieren Sie einen Standort-zu-Standort-VPN-Tunnel über Ihren ExpressRoute-Schaltkreis, um die Übertragung von Daten zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk zu verschlüsseln. Sie können einen Tunnel mit privatem Peering oder Microsoft-Peering konfigurieren. |
Weitere Vorschläge finden Sie unter Prinzipien der Säule „Sicherheit“.
Kostenoptimierung
Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Es wird empfohlen, das Kostenoptimierungsdesignprinzip zu überprüfen und Kosten für Azure ExpressRoute zu verwalten.
Prüfliste für den Entwurf
- Machen Sie sich mit den ExpressRoute-Preisen vertraut.
- Ermitteln Sie die erforderliche ExpressRoute-Schaltkreis-SKU und Bandbreite.
- Ermitteln Sie die erforderliche Größe des virtuellen ExpressRoute-Netzwerkgateways.
- Überwachen Sie Kosten, und erstellen Sie Budgetwarnungen.
- Aufheben der Bereitstellung von ExpressRoute-Schaltkreisen, die nicht mehr verwendet werden.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration für die Kostenoptimierung zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Machen Sie sich mit den ExpressRoute-Preisen vertraut | Informationen zu ExpressRoute-Preisen finden Sie unter Grundlegendes zu den Preisen für Azure ExpressRoute. Sie können auch den Preisrechner verwenden. Achten Sie darauf, dass die Optionen die richtige Größe haben, um dem Kapazitätsbedarf gerecht zu werden und die erwartete Leistung zu liefern, ohne Ressourcen zu vergeuden. |
| Ermitteln der erforderlichen SKU und Bandbreite | Die Art und Weise, wie Sie ihre ExpressRoute-Nutzung in Rechnung stellen, variiert zwischen den drei verschiedenen SKU-Typen. Bei der Local-SKU wird Ihnen automatisch eine Datenflatrate in Rechnung gestellt. Bei der Standard- und Premium-SKU können Sie zwischen einem Volumentarif und einer Datenflatrate wählen. Alle eingehenden Daten sind kostenlos, außer bei Verwendung des Global Reach-Add-Ons. Es ist wichtig zu wissen, welche SKU-Typen und Datentarife am besten für Ihre Workload geeignet sind, um Kosten und Budget zu optimieren. Weitere Informationen zum Ändern der Größe des ExpressRoute-Schaltkreises finden Sie unter Upgrade der ExpressRoute-Schaltkreisbandbreite. |
| Ermitteln der Größe des virtuellen ExpressRoute-Netzwerkgateways | ExpressRoute-Gateways für virtuelle Netzwerke werden verwendet, um Datenverkehr in ein virtuelles Netzwerk über private Peering zu übergeben. Überprüfen Sie die Leistungs- und Skalierungsanforderungen Ihrer bevorzugten SKU für virtuelles Netzwerkgateway. Wählen Sie die entsprechende Gateway-SKU auf Ihrer lokalen Zu Azure-Workload aus. |
| Überwachen von Kosten und Erstellen von Budgetwarnungen | Überwachen Sie die Kosten Ihres ExpressRoute-Schaltkreises, und erstellen Sie Warnungen für Ausgabenanomalien und überstehende Risiken. Weitere Informationen finden Sie unter Monitoring ExpressRoute-Kosten. |
| Aufheben und Löschen von ExpressRoute-Schaltkreisen, die nicht mehr verwendet werden. | ExpressRoute-Schaltkreise werden ab dem Zeitpunkt der Erstellung in Rechnung gestellt. Um unnötige Kosten zu reduzieren, stellen Sie den Schaltkreis mit dem Dienstanbieter außer Betrieb, und löschen Sie den ExpressRoute-Schaltkreis aus Ihrem Abonnement. Schritte zum Entfernen eines ExpressRoute-Schaltkreises finden Sie unter Deprovisioning an ExpressRoute circuit. |
Weitere Vorschläge finden Sie in der Prüfliste für die Entwurfsüberprüfung für die Kostenoptimierung.
Azure Advisor kann ExpressRoute-Schaltkreise erkennen, die seit einer erheblichen Zeit bereitgestellt wurden, aber über einen Anbieterstatus von "Nicht bereitgestellt" verfügen. Schaltkreise in diesem Zustand sind nicht betriebsbereit; und das Entfernen der nicht verwendeten Ressource reduziert unnötige Kosten.
Optimaler Betrieb
Die Überwachung und die Diagnose sind von entscheidender Bedeutung. Sie können nicht nur Leistungsstatistiken messen, sondern auch Metriken zur schnellen Problemsuche und -behandlung nutzen. Wir empfehlen Ihnen, die Designprinzipien der Operational Excellence zu überprüfen.
Prüfliste für den Entwurf
- Konfigurieren Sie die Verbindungsüberwachung zwischen Ihrem lokalen und dem Azure-Netzwerk.
- Konfigurieren des Dienststatus für den Empfang von Benachrichtigungen.
- Überprüfen Sie Metriken und Dashboards, die über ExpressRoute Insights mit Network Insights verfügbar sind.
- Überprüfen Sie expressRoute-Ressourcenmetriken.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration für operative Exzellenz zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren der Verbindungsüberwachung | Die Verbindungsüberwachung ermöglicht es Ihnen, die Konnektivität zwischen Ihren lokalen Ressourcen und Azure über die private ExpressRoute-Peering- und Microsoft-Peeringverbindung zu überwachen. Der Verbindungsmonitor kann Netzwerkprobleme erkennen, indem ermittelt wird, wo sich das Problem entlang des Netzwerkpfads befindet, und Sie können Konfigurations- oder Hardwarefehler schnell beheben. |
| Dienststatus konfigurieren | Richten Sie Dienststatusbenachrichtigungen so ein, dass sie benachrichtigt werden, wenn geplant und anstehende Wartungen an allen ExpressRoute-Schaltkreisen in Ihrem Abonnement vorgenommen werden. Der Dienststatus zeigt auch die vergangene Wartung zusammen mit RCA an, wenn eine ungeplante Wartung erfolgen sollte. |
| Überprüfen von Metriken mit Network Insights | Mit ExpressRoute Insights mit Network Insights können Sie ExpressRoute-Schaltkreise, Gateways, Verbindungsmetriken und Integritätsdashboards überprüfen und analysieren. ExpressRoute Insights bietet auch eine Topologieansicht Ihrer ExpressRoute-Verbindungen, in denen Sie Details Ihrer Peeringkomponenten an einem zentralen Ort anzeigen können. Verfügbare Metriken: -Verfügbarkeit -Durchsatz – Gatewaymetriken |
| Überprüfen von ExpressRoute-Ressourcenmetriken | ExpressRoute verwendet Azure Monitor, um Metriken zu sammeln und Warnungen basierend auf Ihrer Konfiguration zu erstellen. Metriken werden für ExpressRoute-Schaltkreise, ExpressRoute-Gateways, ExpressRoute-Gatewayverbindungen und ExpressRoute Direct erfasst. Diese Metriken sind nützlich, um Konnektivitätsprobleme zu diagnostizieren und die Leistung Ihrer ExpressRoute-Verbindung zu verstehen. |
Weitere Vorschläge finden Sie in den Grundsätzen der operativen Exzellenzsäule.
Effiziente Leistung
Leistungseffizienz ist die Fähigkeit Ihrer Workload, eine effiziente Skalierung entsprechend den Anforderungen der Benutzer auszuführen. Wir empfehlen Ihnen, die Prinzipien der Leistungseffizienz zu überprüfen.
Prüfliste für den Entwurf
- Testen Sie die Leistung des ExpressRoute-Gateways, um die Arbeitslastanforderungen zu erfüllen.
- Erhöhen Sie die Größe des ExpressRoute-Gateways.
- Aktualisieren Sie die ExpressRoute-Schaltkreisbandbreite.
- Aktivieren Sie ExpressRoute FastPath für einen höheren Durchsatz.
- Überwachen Sie die ExpressRoute-Schaltkreis- und Gatewaymetriken.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre ExpressRoute-Konfiguration für die Leistungseffizienz zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Testen Sie die Leistung des ExpressRoute-Gateways, um die Arbeitslastanforderungen zu erfüllen. | Verwenden Sie das Azure Connectivity Toolkit , um die Leistung in Ihrem ExpressRoute-Schaltkreis zu testen, um die Bandbreitenkapazität und Latenz Ihrer Netzwerkverbindung zu verstehen. |
| Erhöhen Sie die Größe des ExpressRoute-Gateways. | Upgrade auf eine höhere Gateway-SKU für verbesserte Durchsatzleistung zwischen lokaler und Azure-Umgebung. |
| Bandbreite der ExpressRoute-Verbindung aktualisieren | Aktualisieren Sie ihre Schaltkreisbandbreite so, dass sie Ihren Anforderungen für die Arbeitslast entspricht. Die Schaltkreisbandbreite wird zwischen allen virtuellen Netzwerken gemeinsam genutzt, die mit dem ExpressRoute-Schaltkreis verbunden sind. Je nach Arbeitslast kann mindestens ein virtuelles Netzwerk die gesamte Bandbreite auf dem Schaltkreis nutzen. |
| Aktivieren von ExpressRoute FastPath für einen höheren Durchsatz | Wenn Sie eine Ultra-Leistung oder ein virtuelles ErGW3AZ-Netzwerkgateway verwenden, können Sie FastPath aktivieren, um die Leistung des Datenpfads zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk zu verbessern. |
| Überwachen von ExpressRoute-Schaltkreis- und Gatewaymetriken | Richten Sie Warnungen basierend auf ExpressRoute-Metriken ein, um Sie proaktiv zu benachrichtigen, wenn ein bestimmter Schwellenwert erreicht wird. Diese Metriken sind nützlich, um Anomalien zu verstehen, die mit Ihrer ExpressRoute-Verbindung auftreten können, z. B. Ausfälle und Wartungen, die mit Ihren ExpressRoute-Schaltkreisen geschehen können. |
Weitere Vorschläge finden Sie unter Grundsätze der Leistungseffizienz-Säule.
Azure Advisor bietet eine Empfehlung, Ihre ExpressRoute-Schaltkreisbandbreite zu aktualisieren, um die Nutzung zu berücksichtigen, wenn Ihr Schaltkreis kürzlich mehr als 90 % Ihrer beschafften Bandbreite verbraucht hat. Wenn Ihr Datenverkehr Ihre zugewiesene Bandbreite überschreitet, treten verworfene Pakete auf, was zu erheblichen Leistungs- oder Zuverlässigkeitseinbußen führen kann.
Azure Policy
Azure-Richtlinie bietet keine integrierten Richtlinien für ExpressRoute, aber benutzerdefinierte Richtlinien können erstellt werden, um zu steuern, wie ExpressRoute-Schaltkreise Ihrem gewünschten Endzustand entsprechen sollen, z. B. SKU-Auswahl, Peeringtyp, Peeringkonfigurationen usw.
Zusätzliche Ressourcen
Leitfaden zum Cloud Adoption Framework
Nächste Schritte
Konfigurieren Sie einen ExpressRoute-Schaltkreis oder einen ExpressRoute Direct-Port, um die Kommunikation zwischen Ihrem lokalen Netzwerk und Azure herzustellen.