Ansluta ett lokalt nätverk till Azure med ExpressRoute

Den här referensarkitekturen visar hur du ansluter ett lokalt nätverk till ett virtuellt Azure-nätverk med hjälp av Azure ExpressRoute, med ett virtuellt privat nätverk (VPN) som en redundansanslutning.

Arkitektur

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Arkitekturen består av följande komponenter.

• Lokalt nätverk. Ett privat lokalt nätverk som körs inom en organisation.
• VPN-enhet. En enhet eller tjänst som tillhandahåller extern anslutning till det lokala nätverket. VPN-installationen kan vara en maskinvaruenhet eller en programvarulösning som routnings- och fjärråtkomsttjänsten (RRAS) i Windows Server 2012. En lista över VPN-enheter som stöds och information om hur du konfigurerar de markerade VPN-enheterna för att ansluta till Azure finns i Om VPN-enheter för VPN Gateway-anslutningar från plats till plats.
• ExpressRoute-krets. Nivå 2- eller nivå 3-kretsen tillhandahålls av anslutningsprovidern som ansluter till det lokala nätverket med Azure via Edge-routrar. Kretsen använder maskinvaruinfrastruktur som hanteras av anslutningsprovidern.
• ExpressRoute-gateway för virtuella nätverk. Med den virtuella ExpressRoute-nätverksgatewayen kan det virtuella Azure-nätverket ansluta till ExpressRoute-kretsen som används för anslutning till ditt lokala nätverk.
• Virtuell nätverks-gateway för virtuellt privat nätverk. Med den virtuella VPN-nätverksgatewayen kan det virtuella Azure-nätverket ansluta till VPN-installationen i det lokala nätverket. VPN-gatewayen för virtuellt nätverk har konfigurerats för att endast acceptera begäranden från det lokala nätverket via VPN-enheten. Mer information finns i Connect an on-premises network to Microsoft Azure virtual network (Ansluta ett lokalt nätverk till virtuellt Microsoft Azure-nätverk).
• VPN-anslutning. Anslutningen har egenskaper som anger vilken typ av anslutning (IPSec) det handlar om och nyckeln delas med den lokala VPN-enheten för att kryptera trafiken.
• Virtuellt Azure-nätverk. Varje virtuellt nätverk finns i en enda Azure-region och kan vara värd för flera programnivåer. Programnivåer kan segmenteras med hjälp av undernät i varje virtuellt nätverk.
• Gateway-undernät. De virtuella nätverksgatewayerna hålls kvar i samma undernät.

Komponenter

• Azure ExpressRoute
• Azure VPN Gateway
• Azure Virtual Network

Information om scenario

Den här referensarkitekturen visar hur du ansluter ett lokalt nätverk till ett virtuellt Azure-nätverk med hjälp av ExpressRoute, med ett virtuellt privat nätverk (VPN) som en redundansanslutning. Trafik flödar mellan det lokala nätverket och det virtuella Azure-nätverket via en ExpressRoute-anslutning. Om anslutningen går förlorad i ExpressRoute-kretsen dirigeras trafiken via en IPSec VPN-tunnel. Distribuera den här lösningen.

Observera att om ExpressRoute-kretsen inte är tillgänglig hanterar VPN-vägen endast privata peeringanslutningar. Offentliga peering- och Microsoft-peeringanslutningar skickas via Internet.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Det virtuella nätverket och GatewaySubnet

Skapa den virtuella ExpressRoute-nätverksgatewayanslutningen och vpn-anslutningen för virtuell nätverksgateway i samma virtuella nätverk med ett Gateway-objekt som redan finns på plats. Båda delar samma undernät med namnet GatewaySubnet.

Om det virtuella nätverket redan innehåller ett undernät med namnet GatewaySubnet kontrollerar du att det har ett /27 eller större adressutrymme. Om det befintliga undernätet är för litet tar du bort undernätet med hjälp av följande PowerShell-kommando:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Om det virtuella nätverket inte innehåller ett undernät med namnet GatewaySubnet skapar du ett nytt med följande PowerShell-kommando:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN och ExpressRoute-gatewayer

Se till att organisationen uppfyller de nödvändiga kraven för ExpressRoute för att ansluta till Azure.

Om du redan har en virtuell VPN-nätverksgateway i ditt virtuella Azure-nätverk använder du följande PowerShell-kommando för att ta bort den:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Följ anvisningarna i Konfigurera en hybridnätverksarkitektur med Azure ExpressRoute för att upprätta din ExpressRoute-anslutning.

Följ anvisningarna i Konfigurera en hybridnätverksarkitektur med Azure och lokalt VPN för att upprätta anslutningen till din virtuella VPN-nätverksgateway.

När du har upprättat anslutningarna för den virtuella nätverksgatewayen testar du miljön på följande sätt:

1. Se till att du kan ansluta från ditt lokala nätverk till ditt virtuella Azure-nätverk.
2. Kontakta leverantören för att stoppa ExpressRoute-anslutningen för testning.
3. Kontrollera att du fortfarande kan ansluta från ditt lokala nätverk till ditt virtuella Azure-nätverk med vpn-anslutningen för virtuell nätverksgateway.
4. Kontakta leverantören för att återupprätta ExpressRoute-anslutningen.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

Allmänna Azure-säkerhetsaspekter finns Microsofts molntjänster och nätverkssäkerhet.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

Mer information om ExpressRoute-kostnader finns i följande artiklar:

• Kostnadsöverväganden vid konfiguration av en hybridnätverksarkitektur med Azure ExpressRoute.

Driftsäkerhet

Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftskvalitet.

Mer information om ExpressRoute DevOps finns i Guiden Konfigurera en hybridnätverksarkitektur med Azure ExpressRoute .

Mer information om VPN DevOps för plats-till-plats finns i Konfigurera en hybridnätverksarkitektur med Azure och lokal VPN-vägledning .

Distribuera det här scenariot

Förutsättningar. Du måste ha en befintlig lokal infrastruktur som redan har konfigurerats med en lämplig nätverksenhet.

Distribuera lösningen med hjälp av följande steg.

1. Välj länken nedan.

   

2. Vänta tills länken öppnas i Azure-portalen och välj sedan den resursgrupp som du vill distribuera resurserna till eller skapa en ny resursgrupp. Region och plats ändras automatiskt så att de matchar resursgruppen.

3. Uppdatera de återstående fälten om du vill ändra resursnamn, providers, SKU eller nätverks-IP-adresser för din miljö.

4. Välj Granska + skapa och sedan Skapa för att distribuera dessa resurser.

5. Vänta tills distributionen har slutförts.

   Kommentar

   Den här malldistributionen distribuerar endast följande resurser:

   • En resursgrupp (om du skapar ny)
   • En ExpressRoute-krets
   • Ett virtuellt Azure-nätverk
   • En virtuell ExpressRoute-nätverksgateway

   För att du ska kunna upprätta en privat peeringanslutning från en lokal plats till ExpressRoute-kretsen måste du kontakta tjänstleverantören med kretstjänstnyckeln. Tjänstnyckeln finns på översiktssidan för ExpressRoute-kretsresursen. Mer information om hur du konfigurerar ExpressRoute-kretsen finns i Skapa eller ändra peeringkonfiguration. När du har konfigurerat privat peering kan du länka den virtuella ExpressRoute-nätverksgatewayen till kretsen. Mer information finns i Självstudie: Ansluta ett virtuellt nätverk till en ExpressRoute-krets med hjälp av Azure-portalen.

6. Information om hur du slutför distributionen av plats-till-plats-VPN som en säkerhetskopia till ExpressRoute finns i Skapa en PLATS-till-plats-VPN-anslutning.

7. När du har konfigurerat en VPN-anslutning till samma lokala nätverk som du har konfigurerat ExpressRoute har du slutfört konfigurationen för att säkerhetskopiera ExpressRoute-anslutningen om det uppstår ett totalt fel på peeringplatsen.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

• Sarah Parkes | Senior Cloud Solution Architect

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

• Dokumentation om ExpressRoute
• Azure Security-baslinje för ExpressRoute
• Så här skapar du en ExpressRoute-krets
• Azure-nätverksblogg
• Konfigurera expressroute- och plats-till-plats-samexisterande anslutningar med hjälp av PowerShell

Relaterade resurser

• Hybrid arkitekturdesign
• Hybridalternativ för Azure
• Nätverkstopologi för hub-spoke i Azure
• Spoke-to-spoke-nätverk
• Ansluta ett lokalt nätverk till Azure
• Utöka ett lokalt nätverk med ExpressRoute
• Implementera ett säkert hybridnätverk
• Integrera lokal AD med Azure