В этой эталонной архитектуре показано, как подключить локальную сеть к виртуальной сети Azure с помощью Azure ExpressRoute с виртуальной частной сетью типа "сеть — сеть" (VPN) в качестве подключения отработки отказа.
Архитектура
Скачайте файл Visio для этой архитектуры.
Рабочий процесс
Архитектура состоит из следующих компонентов:
- Локальная сеть. Частная локальная сеть, работающая внутри организации.
- VPN-устройство. Устройство или служба, предоставляющая возможность внешнего подключения к локальной сети. VPN-устройство может быть аппаратным устройством или может быть программным решением, таким как служба маршрутизации и удаленного доступа (RRAS) в Windows Server 2012. Список поддерживаемых VPN-устройств и информацию о настройке выбранных VPN-устройств для подключения к Azure см. в статье VPN-устройства и параметры IPsec/IKE для подключений типа "сеть — сеть" через VPN-шлюз.
- Канал ExpressRoute. Это канал уровня 2 или 3, который предоставляет поставщик подключения. Он позволяет подключиться к локальной сети с Azure через пограничные маршрутизаторы. Канал использует инфраструктуру оборудования, настроенную поставщиком подключения.
- Шлюз виртуальной сети ExpressRoute. Шлюз виртуальной сети ExpressRoute позволяет виртуальной сети Azure подключаться к каналу ExpressRoute, который используется для подключения к локальной сети.
- Шлюз виртуальной сети VPN. Шлюз виртуальной сети VPN позволяет виртуальной сети Azure подключаться к VPN-устройству в локальной сети. Шлюз виртуальной сети VPN настроен на прием запросов от локальной сети только с помощью VPN-устройства. Дополнительные сведения см. в статье Подключение локальной сети к виртуальной сети Microsoft Azure.
- VPN-подключение. У соединения есть свойства, указывающие тип соединения (IPSec) и общий ключ с VPN-устройством в локальной среде для шифрования трафика.
- Виртуальная сеть Azure. Каждая виртуальная сеть находится в одном регионе Azure и может размещать несколько уровней приложений. Уровни приложений можно сегментировать с помощью подсетей в каждой виртуальной сети.
- Подсеть шлюза. Шлюзы виртуальных сетей хранятся в одной подсети.
Компоненты
Подробности сценария
В этой эталонной архитектуре показано, как подключить локальную сеть к виртуальной сети Azure с помощью ExpressRoute с виртуальной частной сетью типа "сеть — сеть" (VPN) в качестве подключения отработки отказа. Трафик между локальной сетью и виртуальной сетью Azure через подключение ExpressRoute. Если в канале ExpressRoute возникает потеря подключения, трафик направляется через VPN-туннель IPSec. Разверните это решение.
Обратите внимание, что если канал ExpressRoute недоступен, VPN-маршрут будет обрабатывать только частные пиринговые подключения. Общедоступный пиринг и подключения к пирингу Майкрософт передаются через Интернет.
Рекомендации
Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.
Виртуальная сеть и GatewaySubnet
Создайте подключение шлюза виртуальной сети ExpressRoute и подключение шлюза виртуальной сети VPN в той же виртуальной сети с объектом шлюза, уже на месте. Они будут совместно использовать одну подсеть с именем GatewaySubnet.
Если виртуальная сеть уже включает подсеть с именем GatewaySubnet, убедитесь, что она имеет адресное пространство /27 или больше. Если имеющаяся подсеть слишком мала, удалите подсеть с помощью следующей команды PowerShell:
$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
Если виртуальная сеть не содержит подсеть с именем GatewaySubnet, создайте ее с помощью следующей команды PowerShell:
$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
Шлюз ExpressRoute и VPN-шлюз
Чтобы подключиться к Azure, убедитесь, что ваша организация соответствует обязательным требованиям ExpressRoute.
Если у вас уже есть шлюз виртуальной сети VPN в виртуальной сети Azure, используйте следующую команду PowerShell, чтобы удалить ее:
Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>
Следуйте инструкциям в статье "Настройка гибридной сетевой архитектуры с помощью Azure ExpressRoute", чтобы установить подключение ExpressRoute .
Следуйте инструкциям в статье "Настройка гибридной сетевой архитектуры с помощью Azure и локальной VPN ", чтобы установить подключение шлюза виртуальной сети VPN.
После установки подключений шлюза виртуальной сети проверьте среду следующим образом:
- Убедитесь, что вы можете подключиться из локальной сети к виртуальной сети Azure.
- Обратитесь к поставщику, чтобы удалить подключение ExpressRoute для тестирования.
- Убедитесь, что вы по-прежнему можете подключиться из локальной сети к виртуальной сети Azure с помощью подключения vpn-шлюза виртуальной сети.
- Обратитесь к поставщику, чтобы повторно установить подключение ExpressRoute.
Рекомендации
Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.
Безопасность
Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".
Рекомендации по обеспечению безопасности Azure см. в статье Облачные службы Microsoft Cloud и сетевая безопасность.
Оптимизация затрат
Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".
Рекомендации по затратам ExpressRoute см. в следующих статьях:
Эффективность работы
Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".
Рекомендации по ExpressRoute DevOps см. в руководстве по настройке гибридной сетевой архитектуры с помощью Azure ExpressRoute .
Рекомендации по настройке гибридной сетевой архитектуры с помощью Azure и локальных VPN-подключений см. в статье Рекомендации по vpn-подключению типа "сеть — сеть".
Развертывание этого сценария
Предварительные требования. Вам необходима настроенная локальная инфраструктура с подходящим сетевым устройством.
Чтобы развернуть решение, сделайте следующее.
Выберите ссылку ниже.
Дождитесь открытия ссылки в портал Azure, а затем выберите группу ресурсов, в которые вы хотите развернуть эти ресурсы или создать новую группу ресурсов. Регион и расположение автоматически изменятся в соответствии с группой ресурсов.
Обновите оставшиеся поля, если вы хотите изменить имена ресурсов, поставщики, SKU или СЕТЕВЫе IP-адреса для вашей среды.
Выберите "Просмотр и создание " и "Создать ", чтобы развернуть эти ресурсы.
Дождитесь завершения развертывания.
Примечание.
Это развертывание шаблона развертывает только следующие ресурсы:
- Группа ресурсов (при создании)
- канал ExpressRoute.
- Виртуальная сеть Azure.
- Шлюз виртуальной сети ExpressRoute
Чтобы вы успешно установили подключение частного пиринга из локальной среды к каналу ExpressRoute, вам потребуется привлечь поставщика услуг к ключу службы канала. Ключ службы можно найти на странице обзора ресурса канала ExpressRoute. Дополнительные сведения о настройке канала ExpressRoute см. в статье "Создание или изменение конфигурации пиринга". После успешной настройки частного пиринга можно связать шлюз виртуальной сети ExpressRoute с каналом. Дополнительные сведения см. в руководстве по подключению виртуальной сети к каналу ExpressRoute с помощью портал Azure.
Чтобы завершить развертывание VPN типа "сеть — сеть" в качестве резервной копии в ExpressRoute, см. статью "Создание VPN-подключения типа "сеть — сеть".
После успешной настройки VPN-подключения к той же локальной сети, которую вы настроили ExpressRoute, вы завершите настройку для резервного копирования подключения ExpressRoute, если в расположении пиринга произошел общий сбой.
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.
Автор субъекта:
- Сара Паркес | Старший архитектор облачных решений
Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.
Следующие шаги
- Документация по ExpressRoute
- Базовые показатели безопасности Azure для ExpressRoute
- Создание и изменение канала ExpressRoute
- Блог о сети Azure
- Настройка подключений ExpressRoute и "сеть — сеть" с помощью PowerShell