Подключение центра обработки данных к Microsoft Azure с помощью поставщика сетевых услуг ExpressRoute
Обзор ExpressRoute
Microsoft предоставляет два основных способа подключения центра обработки данных к Microsoft Azure.
- Site-to-Site VPN с использованием шифрования IPSEC через Интернет
- Выделенное частное подключение к глобальной сети ExpressRoute
ExpressRoute имеет явное преимущество перед подходом Site-to-Site VPN, поскольку он включает выделенное частное подключение через поставщика глобальной сети и не требует использования общедоступного Интернета для передачи данных. Для сред центра обработки данных, которым требуется высокопроизводительное сетевое соединение с Microsoft Azure в дополнение к более высокому уровню изоляции и безопасности данных, ExpressRoute обеспечивает более стабильное и надежное соединение, а также повышенную скорость при меньшей задержке.
Например, Site-to-Site VPN использует шлюз динамической маршрутизации для интерфейса с сетью Microsoft Azure. Самый быстрый доступный шлюз обеспечивает скорость до 200 Мбит/с. ExpressRoute использует шлюз маршрутизации на основе BGP, который может достигать производительности до 10 Гбит/с.
ExpressRoute предлагает две разные модели поставщиков:
- Поставщик сетевых услуг — использует технологию многопротокольной коммутации по меткам (MPLS) для обеспечения подключения к глобальной сети между клиентской сетью и Microsoft Azure.
- Поставщик Exchange — использует прямые соединения Ethernet для расширения центра обработки данных клиента до Microsoft Azure.
Кроме того, ExpressRoute предлагает некоторые желательные преимущества для приложений корпоративного уровня в области стоимости и конфиденциальности.
В моделях поставщиков ExpressRoute реализованы два разных подхода к стоимости. Поставщик сетевых услуг обычно предлагает модель «все, что вы можете использовать». Другими словами, вы платите фиксированную плату и не платите за входящий или исходящий трафик. В отличие от этого, провайдер обмена взимает с вас фиксированную базовую плату и устанавливает квоту на перевод в зависимости от размера канала. Если вы не превышаете квоту, дополнительная плата не взимается. Если вы превышаете квоту, вы платите дополнительную плату за превышение данных.
С точки зрения конфиденциальности, поскольку ExpressRoute предлагает частное выделенное подключение, которое не использует Интернет в качестве транспортной среды, ваш трафик никогда не проходит через общедоступный Интернет из локального центра обработки данных в центр обработки данных Microsoft Azure.
Вы должны знать, что ExpressRoute влечет за собой две стороны затрат на подключение. Клиенты должны платить за подключение к центру обработки данных Microsoft Azure и поставщику ExpressRoute для подключения и передачи трафика по выделенной частной сети.
Ограничения подключения ExpressRoute
При использовании ExpressRoute, который предоставляет высокоскоростной выделенный канал, существуют ограничения, которые следует учитывать при планировании подключения ExpressRoute. Один канал ExpressRoute может установить не более 10 подключений к виртуальным сетям в Microsoft Azure. Если вам нужно подключить свои центры обработки данных к более чем 10 виртуальным сетям, вам необходимо приобрести дополнительные каналы ExpressRoute.
Если вам нужен один канал ExpressRoute для подключения к нескольким подпискам, то максимум, который он может поддерживать, — 10 подписок для каждого отдельного канала. Таким образом, если вы хотите подключить один канал к десяти подпискам, максимальное количество виртуальных сетей, которое может существовать в каждой подписке, равно одной виртуальной сети.
Если вам нужна одна виртуальная сеть для подключения к нескольким каналам, ограничение составляет не более одной виртуальной сети на каждые четыре канала.
Регион ExpressRoute и регион Microsoft Azure
Microsoft Azure состоит из нескольких регионов с одним или несколькими центрами обработки данных в каждом регионе. Например, в Северной Америке регионы Microsoft Azure — Восток, Запад, Северо-Центральный и Южно-Центральный. Напротив, регионы ExpressRoute основаны на более крупной модели континента, а не на модели меньшей территории. Таким образом, регионы Microsoft Azure в Северной Америке (Восточный, Западный, Северо-Центральный и Южно-Центральный) находятся в одном сетевом регионе ExpressRoute.
Модель поставщика сетевых услуг
Как показано на рис. 1, модель поставщика сетевых услуг — это модель поставщика на основе облака MPLS, в которой облако MPLS подключено к сети Microsoft Azure в нескольких местах. Подключение к центру обработки данных Microsoft Azure обычно представляет собой высокоскоростное соединение со скоростью 10 Гбит/с, которое используется несколькими клиентами. Поставщик сетевых услуг разделяет поток трафика каждого клиента в облаке MPLS с помощью переключения меток. Как только трафик поступает на границу облака MPLS в центре обработки данных Microsoft Azure, трафик преобразуется из метода переключения меток в подход VLAN. VLAN устанавливается для каждого создаваемого канала ExpressRoute.
Рисунок 1: Модель поставщика сетевых услуг
Каналы ExpressRoute можно заказать у поставщика сетевых услуг со следующими приращениями скорости: 10 Мбит/с, 50 Мбит/с, 100 Мбит/с, 500 Мбит/с и 1 Гбит/с. Каждая скорость имеет ежемесячную стоимость, связанную с ней на стороне Microsoft Azure, а также на стороне поставщика. Преимущество модели поставщика сетевых услуг заключается в том, что независимо от того, сколько данных вы передаете в месяц, дополнительные затраты на вход или выход отсутствуют.
Другим преимуществом модели поставщика сетевых услуг является маршрутизация и высокая доступность канала ExpressRoute, а также управление сетью поставщиком. Это снижает накладные расходы клиентов на управление расширением сети от центра обработки данных клиента до Microsoft Azure.
ExpressRoute и PowerShell
Для настройки ExpressRoute требуется Microsoft Azure PowerShell и библиотека командлетов ExpressRoute. Хотя библиотека ExpressRoute установлена с последним пакетом SDK для Azure PowerShell, она не загружается по умолчанию в командном окне Azure PowerShell. Чтобы загрузить библиотеку ExpressRoute, используйте следующую команду:
Import-Module 'C:Program Files (x86)Microsoft SDKAzurePowerShellServiceManagementAzureExpressRouteExpressRoute.psd1'
После загрузки библиотеки ExpressRoute в командном окне Azure PowerShell вы можете получить информацию о поставщике ExpressRoute с помощью командлета .
Запуск этого командлета позволит получить последний список поставщиков сетевых услуг и поставщиков Exchange, расположения, в которых они подключены к центрам обработки данных Microsoft Azure, и поддерживаемую в настоящее время пропускную способность. На рис. 2 показаны текущие доступные поставщики услуг.
Рис. 2. Информация о поставщике услуг ExpressRoute
После того как вы определили последнюю информацию для поставщика сетевых услуг, которая позволит вам подключиться к Microsoft Azure, вы можете приступить к установке подключения по выделенному каналу.
Требуются следующие шаги:
- Создайте выделенный канал с поставщиком сетевых услуг с нужной пропускной способностью в нужное место с помощью Azure PowerShell.
- Настройте виртуальные сети, подсети и шлюз в Microsoft Azure.
- Создайте виртуальное сетевое соединение (VNC) и VLAN на стороне провайдера.
- Установите канал выделенного канала из VLAN в виртуальную сеть Microsoft Azure с помощью Azure PowerShell.
Создайте выделенный канал для поставщика сетевых услуг
Чтобы создать выделенный канал для поставщика сетевых услуг, вам потребуется следующая информация из четырех кортежей:
- Имя поставщика сетевых услуг
- Расположение для подключения к Azure
- Полоса пропускания цепи
- Название цепи
Вся эта информация, кроме имени канала, доступна с помощью командлета Azure PowerShell . В этом примере статьи мы будем использовать AT&T в качестве поставщика сетевых услуг.
Если вы посмотрите на информацию, показанную на Рисунке 2 для AT&T, вы увидите, что есть два места для подключения (Силиконовая долина, Вашингтон, округ Колумбия), и доступны следующие схемы пропускной способности: 10 Мбит/с, 50 Мбит/с, 100 Мбит/с, 500 Мбит/с и 1 Гбит/с.
Вы можете создать новый выделенный канал с помощью командлета и предоставить 4 кортежа информации (поставщик услуг, расположение, пропускная способность, имя канала). Например, чтобы создать новый выделенный канал с использованием AT&T, с расположением в Силиконовой долине, пропускной способностью 500 Мбит/с и именем канала WestDedicatedCircuit, вы можете использовать следующие команды:
$ServiceProvider = «в&т»
$Location = «Силиконовая долина»
$Пропускная способность = 500
$CircuitName = «Западный выделенный контур»
New-AzureDedicatedCircuit -CircuitName $CircuitName -ServiceProviderName $ServiceProvider -Bandwidth $Bandwidth -Location $Location
Результатом выполнения командлета будет примерно следующая информация:
Пропускная способность: 500
Название цепи: WestDedicatedCircuit
Место: Силиконовая долина
Сервисный ключ: 11111111-2222-3333-4444-555555555555
ServiceProviderName: at&t
ServiceProviderProvisioningState: NotProvisioned
Статус: Включено
Вы также можете получить информацию с помощью командлета , который выведет список всех определенных выделенных каналов.
Настройка виртуальных сетей, подсетей и шлюза для ExpressRoute.
Прежде чем продолжить, необходимо определить адресное пространство для каждой виртуальной сети, которая будет определена, как это адресное пространство будет разбито на подсети (включая подсеть шлюза с CIDR /28) и создать шлюз для виртуальной сети.. Выполнение этих шагов было описано в предыдущих статьях, а дополнительные сведения можно найти в разделе Настройка виртуальной сети и шлюза для ExpressRoute на сайте Microsoft MSDN.
Создайте виртуальное сетевое соединение и VLAN
Следующим шагом является создание виртуального сетевого подключения (VNC), которое устанавливает подключение к центру обработки данных Microsoft Azure и устанавливает пропускную способность канала. После этого необходимо настроить VLAN, которая установила канал на стороне поставщика для пограничных маршрутизаторов Microsoft Azure. Для выполнения этого шага вам потребуется выделенный адрес CIDR для сети /29, который провайдер может использовать для разделения на две сети /30 для создания резервных сетей VLAN.
У большинства поставщиков сетевых услуг есть портал самообслуживания, который клиенты могут использовать для выполнения этих действий. На TechEd North America 2014 компания AT&T продемонстрировала портал самообслуживания на сессии DCIM-B423. Вы можете посмотреть этот сеанс по следующей ссылке: http://channel9.msdn.com/Events/TechEd/NorthAmerica/2014/DCIM-B423#fbid.
Установите канал выделенного канала из VLAN в виртуальную сеть Microsoft Azure с помощью Azure PowerShell.
После того, как сеть VLAN поставщика сетевых услуг будет создана и показана как подготовленная на портале самообслуживания, вы можете приступить к установке стороны Microsoft Azure выделенного канала связи. Для выполнения этого шага вы используете командлет в Azure PowerShell.
Прежде чем продолжить, необходимо знать виртуальную сеть, к которой будет подключаться канал, и ключ службы, созданный при выполнении командлета . Сервисный ключ будет иметь формат 11111111-2222-3333-4444-555555555555.
$Vnet = «MyTestVNet»
$ServiceKey = "11111111-2222-3333-4444-555555555555"
New-AzureDedicatedCircuitLink -ServiceKey $ServiceKey -VNetName $Vnet
Если выделенная ссылка канала будет успешной, вы получите ответ с надписью Provisioned. Если вы получили сообщение об ошибке, вам необходимо устранить неполадки со всеми значениями, чтобы убедиться, что они верны.
Чтобы убедиться, что канал подготовлен, вы можете запустить командлет и убедиться, что ServiceProviderProvisioningState отображается как Provisioned.
Вывод
ExpressRoute предоставляет высокоскоростную выделенную частную сеть с малой задержкой для подключения вашего центра обработки данных к виртуальной сети в центре обработки данных Microsoft Azure. Использование ExpressRoute с использованием модели поставщика сетевых услуг позволяет вам получить высокопроизводительную и надежную сетевую ссылку из вашего центра обработки данных в Microsoft Azure с предсказуемой моделью ежемесячных затрат, а также снизить накладные расходы на управление сетью для выделенного подключения к Microsoft Azure.