了解 Azure ExpressRoute

  • 5 分钟

如果你的公司需处理高度敏感的数据且需要将大量信息存储在 Azure 中,则需关注通过公共 Internet 进行的连接的安全性和可靠性。 除非 Azure 在连接性、安全性和可靠性方面表现出更高的水平,否则公司不会愿意进行大规模迁移。

在这里,我们将舍弃利用 Internet 的连接,而是使用直通 Azure 数据中心的专用线路。

Azure ExpressRoute

使用 Microsoft Azure ExpressRoute,组织可以通过连接服务提供商所实现的专用连接,将本地网络扩展到 Microsoft 云。 这样的安排意味着,将通过专用链路而不是 Internet 连接到 Azure 数据中心。 ExpressRoute 也可帮助实现与 Microsoft 的其他基于云的服务(例如 Microsoft 365 和 Dynamics 365)进行高效的连接。

ExpressRoute 具有的优势包括:

  • 速度更快(从 50 Mbps 到 10 Gbps),并且可以动态缩放带宽

  • 降低延迟

  • 通过内置的对等互连提高可靠性

  • 安全性高

ExpressRoute 引入了更多好处,例如:

  • 连接到所有支持的 Azure 服务

  • 在全球连接到所有区域(需要高级加载项)

  • 通过边界网关协议进行动态路由

  • 针对连接运行时间的服务级别协议 (SLA)

  • 针对 Skype for Business 提供的服务质量 (QoS)

另外还有 ExpressRoute 高级加载项,其优势包括:提高路由限制、全球服务连接、提高每个线路的虚拟网络链路数。

ExpressRoute 连接模型

可通过以下机制连接到 ExpressRoute 中:

  • IP VPN 网络(任意位置之间)

  • 通过以太网交换进行的虚拟交叉连接

  • 点到点以太网连接

在上述所有连接模型中,ExpressRoute 功能与特性完全相同。

什么是第 3 层连接?

Microsoft 采用行业标准动态路由协议 (BGP),在本地网络、Azure 中的实例和 Microsoft 公共地址之间交换路由。 我们根据不同的流量配置文件与网络建立多个 BGP 会话。

任意位置之间的 (IPVPN) 网络

IPVPN 提供商通常通过托管的第 3 层连接在分支机构与公司数据中心之间提供连接。 使用 ExpressRoute 时,Azure 数据中心看起来就像是另一分支机构一样。

通过以太网交换进行的虚拟交叉连接

如果你的组织中有云交换设施,则可通过提供商的以太网交换功能请求进行到 Microsoft 云的交叉连接。 到 Microsoft 云的交叉连接可以在第 2 层或第 3 层托管连接上运行,如网络 OSI 模型所示。

点到点以太网连接

点到点以太网链路可在本地数据中心/办公室和 Microsoft 云之间提供第 2 层连接或托管的第 3 层连接。

ExpressRoute 工作原理

Azure ExpressRoute 使用 ExpressRoute 线路与路由域的组合提供到 Microsoft 云的高带宽连接。

什么是 ExpressRoute 线路

ExpressRoute 线路是在本地基础结构与 Microsoft 云之间建立的逻辑连接。 某个连接服务提供商会实现该连接,虽然某些组织会出于冗余性考虑而使用多个连接服务提供商。 每条线路的固定带宽为 50、100、200 Mbps 或 500 Mbps,或者 1 Gbps 或 10 Gbps,并且每条这样的线路都会映射到某个连接服务提供商和某个对等互连位置。 另外,每条 ExpressRoute 线路都有默认的配额和限制。

ExpressRoute 线路不同于网络连接或网络设备。 每条线路都通过名为“服务”或“s-key”的 GUID 定义。 此 s-key 在 Microsoft、连接服务提供商和组织之间提供连接性链路 - 它不是加密机密。 每个 s-key 以一对一的映射方式映射到 Azure ExpressRoute 线路。

每条线路最多可以有两个对等互连,这些对等互连是为了冗余性而配置的一对 BGP 会话。 包括:

  • Azure 专用
  • Microsoft

路由域

然后,ExpressRoute 线路会映射到路由域,且每个 ExpressRoute 线路有多个路由域, 这些域与之前列出的两个对等互连相同。 在主动-主动配置中,每对路由器都会对每个路由域进行相同的配置,因此可提供高可用性。 Azure 专用对等互连名称代表 IP 寻址方案。

Azure 专用对等互连

Azure 专用对等互连连接到通过虚拟网络部署的虚拟机和云服务之类的 Azure 计算服务。 就安全性来说,专用对等互连域仅仅是本地网络扩展到了 Azure 中。 然后,在该网络和任何 Azure 虚拟网络之间启用双向连接性,使 Azure VM IP 地址在内部网络中可见。

只能将一个虚拟网络连接到专用对等互连域。

Microsoft 对等互连

Microsoft 对等互连支持连接到基于云的 SaaS 产品/服务,例如 Microsoft 365 和 Dynamics 365。 此对等互连选项在公司的 WAN 和 Microsoft 云服务之间提供双向连接。

ExpressRoute 运行状况

就像 Microsoft Azure 中的大多数功能一样,可以通过监视 ExpressRoute 连接来确保其执行情况令人满意。 监视涵盖以下方面:

  • 可用性
  • 到虚拟网络的连接
  • 带宽利用率

此监视活动的关键工具是网络性能监视器,尤其适用于 ExpressRoute。

使用 Azure ExpressRoute,可在 Azure 数据中心与本地环境或共同租用环境中的基础结构之间创建专用连接。 ExpressRoute 连接并不经过公共 Internet。与典型的 Internet 连接相比,它的可靠性更高、速度更快且延迟更低。