Verbinden einer ExpressRoute-Leitung mit einem virtuellen Netzwerk
Eine ExpressRoute-Verbindung stellt eine logische Verbindung zwischen der lokalen Infrastruktur und den Microsoft-Clouddiensten über einen Konnektivitätsanbieter dar. Sie können mehrere ExpressRoute-Verbindungen bestellen. Jeder Stromkreis kann sich in derselben oder in verschiedenen Regionen befinden und kann über verschiedene Konnektivitätsanbieter mit Ihren Räumlichkeiten verbunden werden. ExpressRoute-Verbindungen sind keinen physischen Entitäten zugeordnet. Eine Verbindung verwendet eine Standard-GUID, einen sogenannten Dienstschlüssel.
Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung
- Sie benötigen eine aktive ExpressRoute-Verbindung.
- Stellen Sie sicher, dass privates Azure-Peering für die Verbindung konfiguriert ist.
- Stellen Sie sicher, dass das private Azure-Peering konfiguriert wird und das BGP-Peering zwischen Ihrem Netzwerk und Microsoft einrichtet, damit End-to-End-Konnektivität bereitgestellt werden kann.
- Vergewissern Sie sich, dass ein virtuelles Netzwerk und ein virtuelles Netzwerkgateway erstellt und vollständig bereitgestellt wurden. Für ein virtuelles Netzwerkgateway für ExpressRoute wird der Gatewaytyp „ExpressRoute“ und nicht „VPN“ verwendet.
- Sie können bis zu zehn virtuelle Netzwerke mit einer ExpressRoute-Standardverbindung verknüpfen. Alle virtuellen Netzwerke müssen sich in der gleichen geopolitischen Region befinden, wenn Sie eine ExpressRoute-Standardverbindung verwenden.
- Ein einzelnes virtuelles Netzwerk kann mit bis zu 16 ExpressRoute-Leitungen verknüpft werden. Die ExpressRoute-Leitungen können sich im gleichen Abonnement, in verschiedenen Abonnements oder in einer Kombination aus beidem befinden.
- Wenn Sie das ExpressRoute-Premium-Add-On aktivieren, können Sie virtuelle Netzwerke außerhalb der geopolitischen Region der ExpressRoute-Leitung verknüpfen. Über das Premium-Add-On können Sie je nach ausgewählter Bandbreite auch mehr als zehn virtuelle Netzwerke mit Ihrer ExpressRoute-Verbindung verknüpfen.
- Um die Verbindung zwischen der ExpressRoute-Leitung und dem ExpressRoute-Zielgateway für virtuelle Netzwerke herzustellen, muss die Anzahl der Adressräume, die von den lokalen oder mit Peering verbundenen virtuellen Netzwerken angekündigt werden, mindestens 200 betragen. Nachdem die Verbindung erfolgreich erstellt wurde, können Sie den lokalen oder gepeerten virtuellen Netzwerken weitere Adressräume hinzufügen, bis zu 1.000.
Hinzufügen eines VPN zu einer ExpressRoute-Bereitstellung
Dieser Abschnitt hilft Ihnen bei der Konfiguration einer sicheren, verschlüsselten Verbindung zwischen Ihrem lokalen Netzwerk und Ihren virtuellen Azure-Netzwerken (VNets) über eine private ExpressRoute-Verbindung. Sie können Microsoft-Peering nutzen, um einen Site-to-Site-IPsec/IKE-VPN-Tunnel zwischen den von Ihnen ausgewählten lokalen Netzwerken und Azure VNets einzurichten. Die Konfiguration eines sicheren Tunnels über ExpressRoute ermöglicht den Datenaustausch unter Beachtung von Vertraulichkeit, Authentizität und Integrität ohne Wiedergabe.
Hinweis
Wenn Sie ein Site-to-Site-VPN über Microsoft-Peering einrichten, werden Ihnen die Kosten für das VPN-Gateway und den VPN-Ausgang in Rechnung gestellt.
Für Hochverfügbarkeit und Redundanz können Sie mehrere Tunnel über die beiden MSEE-PE-Paare einer ExpressRoute-Leitung konfigurieren und einen Lastenausgleich zwischen den Tunneln aktivieren.
VPN-Tunnel über Microsoft-Peering können entweder über ein VPN-Gateway oder ein entsprechendes NVA (Network Virtual Appliance, virtuelles Netzwerkgerät) abgeschlossen werden, das im Azure Marketplace erhältlich ist. Sie können Routen statisch oder dynamisch über die verschlüsselten Tunnel austauschen, ohne den Routenaustausch dem zugrundeliegenden Microsoft-Peering zugänglich zu machen. In diesem Abschnitt wird BGP (abweichend von der BGP-Sitzung, die zur Erstellung des Microsoft-Peerings verwendet wurde) verwendet, um Präfixe dynamisch über die verschlüsselten Tunnel auszutauschen.
Wichtig
Auf der lokalen Seite wird das Microsoft-Peering typischerweise in der DMZ abgeschlossen, während das private Peering in der Kernnetzwerkzone abgeschlossen wird. Die beiden Zonen werden mit Firewalls getrennt. Wenn Sie das Microsoft-Peering ausschließlich für die Aktivierung von sicherem Tunneling über ExpressRoute konfigurieren, denken Sie daran, nur die öffentlichen IPs von Interesse zu filtern, die über das Microsoft-Peering angekündigt werden.
Schritte
- Konfigurieren Sie das Microsoft-Peering für Ihre ExpressRoute-Verbindung.
- Kündigen Sie ausgewählte regionale öffentliche Azure-Präfixe Ihrem lokalen Netzwerk über Microsoft-Peering an.
- Konfigurieren eines VPN-Gateways und Einrichten von IPsec-Tunneln
- Konfigurieren Sie das lokale VPN-Gerät.
- Erstellen Sie die Site-to-Site-IPsec/IKE-Verbindung.
- (Optional) Konfigurieren Sie Firewalls/Filterung auf dem lokalen VPN-Gerät.
- Testen und überprüfen Sie die IPsec-Kommunikation über die ExpressRoute-Verbindung.