Funzionamento di Azure ExpressRoute

Completato

Sono state acquisite informazioni sulle finalità del servizio Azure ExpressRoute e sui servizi per i quali è possibile usarlo. A questo punto si può iniziare a vedere come funziona il servizio. Vedremo come interagisce con Azure e le reti locali per offrire una connessione sicura e affidabile tra il data center locale e il cloud Microsoft.

In questa unità viene descritto come creare e usare circuiti di Azure per connettere le reti locali al cloud. Vengono illustrati i passaggi necessari per creare un circuito. Vengono inoltre descritti gli altri componenti di una connessione ExpressRoute, che interagiscono tra loro per formare una connessione dal data center locale al cloud Microsoft.

Architettura di ExpressRoute

ExpressRoute è supportato in tutte le aree e le località. Per implementare ExpressRoute, è necessario collaborare con un partner ExpressRoute. Il partner fornisce il servizio perimetrale, ovvero una connessione autorizzata e autenticata che opera attraverso un router controllato dal partner. Il servizio perimetrale è responsabile dell'estensione della rete al cloud Microsoft.

Il partner configura le connessioni a un endpoint in una località di ExpressRoute (implementato da un router perimetrale Microsoft). Queste connessioni consentono di eseguire il peering delle reti locali con le reti virtuali disponibili tramite l'endpoint. Queste connessioni vengono denominate circuiti.

Diagram of a high-level overview of the Azure ExpressRoute service.

Nota

nel contesto di ExpressRoute, Microsoft Edge si riferisce ai router perimetrali sul lato Microsoft del circuito ExpressRoute.

Un circuito offre una connessione fisica per la trasmissione dei dati attraverso i router perimetrali del provider ExpressRoute ai router perimetrali Microsoft. Un circuito viene stabilito in una rete privata anziché nella rete Internet pubblica. La rete locale è connessa ai router perimetrali del provider ExpressRoute. I router perimetrali Microsoft forniscono il punto di ingresso al cloud Microsoft.

Prerequisiti per ExpressRoute

Prima di connettersi a servizi cloud Microsoft con ExpressRoute, devono essere disponibili:

  • Un partner di connettività ExpressRoute o un provider Cloud Exchange che può configurare una connessione dalle reti locali al cloud Microsoft.
  • Una sottoscrizione di Azure registrata con il partner di connettività ExpressRoute scelto.
  • Un account di Microsoft Azure attivo che può essere usato per richiedere un circuito ExpressRoute.
  • Una sottoscrizione di Office 365 attiva per connettersi al cloud Microsoft e accedere ai servizi di Office 365.

ExpressRoute funziona eseguendo il peering delle reti locali con le reti in esecuzione nel cloud Microsoft. Le risorse nelle reti possono comunicare direttamente con le risorse ospitate da Microsoft. Per supportare questi peering, ExpressRoute impone una serie di requisiti di rete e di routing:

  • Verificare che siano state configurate sessioni BGP per i domini di routing. A seconda del partner, la responsabilità di questa configurazione può essere del partner o dell'utente. Inoltre, per ogni circuito ExpressRoute, Microsoft richiede sessioni BGP ridondanti tra i router Microsoft e i router di peering.
  • L'utente o i provider devono convertire gli indirizzi IP privati usati in locale in indirizzi IP pubblici usando un servizio NAT. Microsoft rifiuta qualsiasi indirizzo a eccezione degli indirizzi IP pubblici tramite il peering Microsoft.
  • Riservare diversi blocchi di indirizzi IP nella rete per il routing del traffico al cloud Microsoft. È possibile configurare questi blocchi come una subnet /29 o due subnet /30 nello spazio indirizzi IP. Una di queste subnet viene usata per configurare il collegamento primario al cloud Microsoft, mentre l'altra implementa un collegamento secondario. Il primo indirizzo in queste subnet rappresenta la fine del peer BGP, mentre il secondo indirizzo è l'indirizzo IP del peer BGP di Microsoft.

ExpressRoute supporta due schemi di peering:

  • Usare un peering privato per connettersi a servizi IaaS e PaaS di Azure distribuiti in reti virtuali di Azure. Le risorse cui si accede devono trovarsi tutte in una o più reti virtuali di Azure con indirizzi IP privati. Non è possibile accedere alle risorse tramite i rispettivi indirizzi IP pubblici con un peering privato.
  • Usare il peering Microsoft per connettersi a servizi PaaS di Azure, a servizi di Office 365 e a Dynamics 365.

Diagram of Azure peering.

Nota

È possibile usare il portale di Azure per configurare il peering pubblico. Questa forma di peering permette di connettersi agli indirizzi pubblici esposti dai servizi di Azure. Tuttavia, questo peering è deprecato e non è disponibile per i nuovi circuiti. Questo modulo non descrive il peering pubblico.

Creare un circuito e un peering ExpressRoute

La creazione di una connessione ad Azure con ExpressRoute è un processo che comporta più passaggi. Molti di questi passaggi possono essere eseguiti nel portale di Azure o dalla riga di comando tramite PowerShell o l'interfaccia della riga di comando di Azure. Questa sezione descrive il processo tramite l'uso del portale di Azure. Per istruzioni relative a PowerShell e all'interfaccia della riga di comando, vedere la sezione "Altre informazioni" alla fine di questo modulo.

Creare un circuito

Se si usa il portale di Azure, selezionare + Crea una risorsa e cercare ExpressRoute. Nella pagina Crea un circuito ExpressRoute è necessario completare i campi seguenti:

Scheda Informazioni di base

Proprietà valore
Abbonamento Sottoscrizione registrata con il provider ExpressRoute.
Gruppo di risorse Gruppo di risorse di Azure in cui creare il circuito.
Area Località di Azure in cui creare il circuito.
Nome Nome significativo per il circuito, senza spazi o caratteri speciali.

Screenshot showing the Create ExpressRoute Basics tab by using the Azure portal.

Scheda Configurazione

Proprietà valore
Tipo di porta Selezionare Provider se ci si connette tramite un provider di servizi o selezionare Diretta se ci si connette direttamente a Microsoft.
Crea nuovo o importa dalla versione classica Creare un nuovo circuito o selezionare Importa per spostare un circuito esistente dal modello classico a Resource Manager.
Provider Provider ExpressRoute con cui è stata registrata la sottoscrizione.
Località peer Località abilitata dal provider ExpressRoute in cui creare il circuito.
Larghezza di banda Selezionare la larghezza di banda in uso, da 50 Mbps fino a 10 Gbps. Iniziare con valore basso. Sarà possibile aumentarlo in un secondo momento senza interruzioni del servizio. Tuttavia, non è possibile ridurre la larghezza di banda se è stata inizialmente impostata su un valore troppo alto.
SKU Selezionare Locale (se disponibile) se è sufficiente connettersi alla risorsa di Azure in 1 o 2 aree di Azure nella stessa area metropolitana. Selezionare Standard se il numero di reti virtuali non è più di 10 ed è necessario connettersi solo a risorse nella stessa area geografica. In caso contrario selezionare Premium, che consente di connettere più di 10 reti virtuali e offre connettività globale alle risorse di Azure.
Modello di fatturazione Selezionare Illimitata per pagare una tariffa fissa indipendentemente dall'utilizzo. In alternativa, selezionare A consumo per pagare in base al volume di traffico in ingresso e in uscita nel e dal circuito.
Consenti operazioni classiche Selezionare per consentire alle reti virtuali classiche di connettersi al circuito. In caso contrario, selezionare No.

Screenshot showing the Create ExpressRoute Configuration tab by using the Azure portal.

La creazione del circuito può richiedere alcuni minuti. Dopo aver effettuato il provisioning del circuito, è possibile usare il portale di Azure per visualizzare le proprietà. Come si può notare, Stato circuito è Abilitato, ovvero il lato Microsoft del circuito è pronto ad accettare connessioni. Stato provider è inizialmente impostato su Senza provisioning, perché il provider non ha configurato il proprio lato del circuito per la connessione alla rete.

Si invia al provider il valore del campo Chiave servizio per consentirgli di configurare la connessione. Il completamento della configurazione può richiedere diversi giorni. È possibile tornare a visitare questa pagina per verificare lo stato del provider.

Screenshot of provisioning a circuit by using the Azure portal.

Creare una configurazione del peering

Quando lo stato del provider è indicato come Provisioning eseguito, è possibile configurare il routing per i peering. Questi passaggi si applicano solo ai circuiti creati con provider di servizi che offrono connettività di livello 2. Per i circuiti che operano al livello 3, il provider può essere in grado di configurare il routing automaticamente.

La pagina Circuito ExpressRoute visualizzata sopra elenca ogni peering e le relative proprietà. È possibile selezionare ogni peering per configurarne le proprietà.

Configurare il peering privato

È possibile usare il peering privato per connettere la rete alle reti virtuali in esecuzione in Azure. Per configurare il peering privato, è necessario specificare le informazioni seguenti:

  • ASN peer: numero di sistema autonomo (ASN) per il proprio lato del peering. Questo ASN può essere pubblico o privato, a 16 bit o a 32 bit.
  • Subnet: specificare se si vuole usare IPv4, IPv6 o entrambi per le subnet del peering.
  • Subnet primaria: intervallo di indirizzi della subnet /30 primaria creata nella rete. Si userà il primo indirizzo IP di questa subnet per il router. Microsoft usa il secondo per il proprio router.
  • Subnet secondaria: intervallo di indirizzi della subnet /30 secondaria. Questa subnet offre un collegamento secondario a Microsoft. I primi due indirizzi vengono usati per mantenere l'indirizzo IP del router e il router Microsoft.
  • Abilita peering IPv4: questa opzione consente di abilitare e disabilitare la sessione BGP del peering privato.
  • ID VLAN: ID della VLAN in cui si stabilisce il peering. I collegamenti primario e secondario usano entrambi questo ID VLAN.
  • Chiave condivisa: questa chiave è un hash MD5 facoltativo usato per codificare i messaggi che passano attraverso il circuito.

Configurare il peering Microsoft

Usare un peering Microsoft per connettersi a Office 365 e ai servizi associati. Per configurare un peering Microsoft, è necessario specificare molte delle informazioni descritte per un peering privato: un ASN del peer, un intervallo di indirizzi della subnet primaria, un intervallo di indirizzi della subnet secondaria, la versione IP della subnet, un ID VLAN e una chiave condivisa facoltativa. Devono essere specificate anche le informazioni seguenti:

  • Prefissi pubblici annunciati: elenco dei prefissi di indirizzo usati nella sessione BGP. Questi prefissi devono essere registrati a nome dell'utente e devono essere i prefissi usati per gli intervalli di indirizzi pubblici.
  • ASN cliente: numero di sistema autonomo lato client facoltativo da usare se si annunciano prefissi che non sono registrati nell'ASN del peer.
  • Nome Internet Routing Registry: questo nome identifica il registro in cui sono registrati i prefissi pubblici e l'ASN del cliente.

Connettere una rete virtuale a un circuito ExpressRoute

Una volta stabilito il circuito ExpressRoute, il peering privato di Azure è configurato per il circuito. La sessione BGP tra la rete e Microsoft è attiva, pertanto è possibile abilitare la connettività dalla rete locale ad Azure.

Prima di potersi connettere a un circuito privato, è necessario creare un gateway di rete virtuale di Azure usando una subnet in una delle reti virtuali di Azure. Il gateway di rete virtuale fornisce il punto di ingresso per il traffico di rete in ingresso proveniente dalla rete locale. Indirizza il traffico in ingresso attraverso la rete virtuale alle risorse di Azure.

È possibile configurare gruppi di sicurezza di rete e regole del firewall per controllare il traffico instradato dalla rete locale. È anche possibile bloccare le richieste da indirizzi non autorizzati nella rete locale.

Nota

È necessario creare il gateway di rete virtuale usando il tipo ExpressRoute e non VPN.

Screenshot of creating a virtual network gateway with the gateway type set to ExpressRoute.

È possibile collegare fino a 10 reti virtuali al circuito ExpressRoute, ma queste reti virtuali devono trovarsi nella stessa area geopolitica del circuito ExpressRoute durante l'utilizzo di uno SKU Standard. È possibile collegare una singola rete virtuale a un massimo di quattro circuiti ExpressRoute, se necessario. Il circuito ExpressRoute può trovarsi nella stessa sottoscrizione della rete virtuale o in una diversa.

Se si usa il portale di Azure, è possibile connettere un peering a un gateway di rete virtuale nel modo seguente:

  1. Nella pagina Circuito ExpressRoute del circuito in uso selezionare Connessioni.
  2. Nella pagina Connessioni selezionare Aggiungi.
  3. Nella pagina Aggiungi connessione assegnare un nome alla connessione e quindi selezionare il gateway di rete virtuale. Al termine dell'operazione, la rete locale viene connessa tramite il gateway di rete virtuale alla rete virtuale in Azure. La connessione viene effettuata attraverso la connessione ExpressRoute.

Disponibilità elevata e failover con ExpressRoute

Ogni circuito ExpressRoute include due connessioni dal provider di connettività a due diversi router perimetrali Microsoft. Questa configurazione viene eseguita automaticamente e offre una certa disponibilità all'interno di un'unica località.

Considerare la possibilità di configurare circuiti ExpressRoute in località di peering diverse per garantire disponibilità elevata e protezione dalle interruzioni a livello di area. Ad esempio, è possibile creare circuiti nelle aree Stati Uniti orientali e Stati Uniti centrali e connettere questi circuiti alla rete virtuale. In questo modo, se un circuito ExpressRoute smette di funzionare, non si perde la connettività alla risorsa ed è possibile effettuare il failover della connessione a un altro circuito ExpressRoute.

È anche possibile usare più circuiti tra provider diversi per garantire che la rete sia sempre disponibile, anche quando si verifica un'interruzione che interessa tutti i circuiti di un singolo provider approvato. È possibile impostare il peso della connessione per preferire un circuito a un altro.

ExpressRoute Direct e FastPath

Microsoft offre anche un'opzione ad altissima velocità denominata ExpressRoute Direct. Questo servizio abilita la doppia connettività a 100 Gbps. È adatto in scenari che comportano un inserimento dati complesso e frequente. È anche adatto per soluzioni che richiedono una scalabilità estrema, ad esempio nei settori bancario, della pubblica amministrazione e della vendita al dettaglio.

Per attivare ExpressRoute Direct, è possibile registrare la sottoscrizione in Microsoft. Per altre informazioni, vedere l'articolo relativo a ExpressRoute indicato nella sezione "Altre informazioni" alla fine di questo modulo.

ExpressRoute Direct supporta FastPath. Quando è abilitato, FastPath invia il traffico di rete direttamente a una macchina virtuale che rappresenta la destinazione desiderata. Il traffico non passa attraverso il gateway di rete virtuale, migliorando le prestazioni tra le reti virtuali di Azure e le reti locali.

FastPath supporta il peering di rete virtuale (in cui le reti virtuali sono connesse tra loro). Supporta inoltre route definite dall'utente nella subnet del gateway.

Verificare le conoscenze

1.

Che cos'è il peering Microsoft?

2.

Che cos'è un circuito ExpressRoute?

3.

Quali vantaggi in termini di sicurezza offre Azure ExpressRoute?