Revisão do Azure Well-Architected Framework – Azure ExpressRoute
Este artigo fornece as melhores práticas de arquitetura para o Azure ExpressRoute. A orientação é baseada nos cinco pilares da excelência da arquitetura:
Presumimos que você tenha conhecimento prático do Azure ExpressRoute e seja bem versado em todos os seus recursos. Para obter mais informações, consulte Azure ExpressRoute.
Pré-requisitos
Para contextualizar, considere revisar uma arquitetura de referência que reflita essas considerações em seu design. Recomendamos que você comece com as diretrizes da metodologia Cloud Adoption Framework Ready Conectar-se ao Azure e Arquitetar para conectividade híbrida com o Azure ExpressRoute. Para arquiteturas de aplicativos de baixo código, recomendamos examinar Habilitando o ExpressRoute para Power Platform ao planejar e configurar o ExpressRoute para uso com o Microsoft Power Platform.
Confiabilidade
Na nuvem, reconhecemos antecipadamente que as falhas ocorrerão. Em vez de tentar evitar completamente a falha, a meta é minimizar os efeitos de uma falha em um componente individual. Use as informações a seguir para minimizar o tempo de inatividade de e para o Azure ao estabelecer a conectividade usando o Azure ExpressRoute.
Ao discutir sobre confiabilidade com o Azure ExpressRoute, é importante levar em consideração o uso da largura de banda, o layout físico da rede e a recuperação de desastre se houver falhas. O Azure ExpressRoute é capaz de atender a essas considerações de design e tem recomendações para cada item na lista de verificação.
Na lista de verificação de design e na lista de recomendações abaixo, as informações são apresentadas para que você crie uma rede altamente disponível entre o ambiente do Azure e a rede local.
Lista de verificação de projeto
Ao fazer escolhas de design para o Azure ExpressRoute, examine os princípios de design para adicionar confiabilidade à arquitetura.
- Selecione entre o circuito do ExpressRoute ou o ExpressRoute Direct para requisitos de negócios.
- Configure circuitos do ExpressRoute com resiliência máxima ou alta para cargas de trabalho de produção.
- Configure uma rede de camada física diversificada e redundante para o provedor de serviços.
- Configure circuitos do ExpressRoute com diferentes provedores de serviços para ter caminhos de roteamento diversos.
- Configure conexões do ExpressRoute ativo-ativo entre o local e o Azure.
- Configure Gateways de Rede Virtual do ExpressRoute com reconhecimento de zona de disponibilidade.
- Configure circuitos do ExpressRoute em um local diferente da rede local.
- Configure Gateways de Rede Virtual do ExpressRoute em diferentes regiões.
- Configure a VPN site a site como um backup para o emparelhamento privado do ExpressRoute.
- Configure o monitoramento para circuitos do ExpressRoute e integridade do Gateway de Rede Virtual do ExpressRoute.
- Configure a integridade do serviço para receber notificações de manutenção de circuito do ExpressRoute.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do ExpressRoute para confiabilidade.
| Recomendação | Benefício |
|---|---|
| Planejar o circuito do ExpressRoute ou o ExpressRoute Direct | Durante a fase de planejamento inicial, você deseja decidir se deseja configurar um circuito do ExpressRoute ou uma conexão do ExpressRoute Direct. Um circuito do ExpressRoute permite uma conexão privada dedicada ao Azure com a ajuda de um provedor de conectividade. O ExpressRoute Direct permite que você estenda a rede local diretamente para a rede da Microsoft em um local de emparelhamento. Você também precisa identificar o requisito de largura de banda e o requisito de tipo de SKU para suas necessidades de negócios. |
| Diversidade da camada física | Para resiliência Máxima ou Alta, planeje ter vários caminhos entre a borda local e os locais de emparelhamento (locais de borda do provedor/Microsoft). Essa configuração pode ser obtida configurando vários circuitos para diferentes locais de emparelhamento para Resiliência Máxima ou configurando um circuito entre vários locais de emparelhamento dentro da mesma área metropolitana para Alta Resiliência da rede local. |
| Planejar circuitos com redundância geográfica | Para planejar a recuperação de desastre, configure circuitos do ExpressRoute em mais de um local de emparelhamento. Você pode criar circuitos em locais de emparelhamento na mesma área metropolitana ou em uma área metropolitana diferente e optar por trabalhar com diferentes provedores de serviços para diversos caminhos em cada circuito. Para obter mais informações, consulte Projetando para recuperação de desastre e Projetando para alta disponibilidade. |
| Planejar a conectividade Ativo-Ativo | Esse modo fornece maior disponibilidade de suas conexões do Expressroute. Também é recomendável configurar o BFD para failover mais rápido se houver uma falha de link em uma conexão. |
| Planejando gateways de rede virtual | Crie um Gateway de Rede Virtual com reconhecimento de zona de disponibilidade para maior resiliência e planeje Gateways de Rede Virtual em diferentes regiões para resiliência, recuperação de desastre e alta disponibilidade. |
| Monitorar circuitos e integridade do gateway | Configure o monitoramento e os alertas para circuitos do ExpressRoute e a integridade do Gateway de Rede Virtual com base em várias métricas disponíveis. |
| Habilitar a integridade do serviço | O ExpressRoute usa a integridade do serviço para notificar sobre manutenção planejada e não planejada. A configuração da integridade do serviço notificará você sobre as alterações feitas nos circuitos do ExpressRoute. |
Para obter mais sugestões, consulte Princípios do pilar de confiabilidade.
O Assistente do Azure fornece muitas recomendações para circuitos do ExpressRoute relacionados à confiabilidade e resiliência. Por exemplo, o Assistente do Azure pode detectar:
- Gateways do ExpressRoute nos quais apenas um único circuito do ExpressRoute é implantado, em vez de vários locais e circuitos de emparelhamento. Vários circuitos do ExpressRoute e locais de emparelhamento são recomendados para resiliência máxima ou alta.
- Circuitos do ExpressRoute que não estão sendo observados pelo Monitor da Conexão, pois o monitoramento de ponta a ponta do circuito do ExpressRoute é fundamental para insights de confiabilidade.
- Topologias de rede envolvendo vários locais de emparelhamento que se beneficiariam do Alcance Global do ExpressRoute para melhorar os designs de recuperação de desastre para conectividade local para contabilizar a perda de conectividade não planejada.
Segurança
A Segurança é um dos aspectos mais importantes de qualquer arquitetura. O ExpressRoute fornece recursos para empregar o princípio de privilégios mínimos e defesa na defesa. Recomendamos que você revise os princípios de design de segurança.
Lista de verificação de projeto
- Configure o log de atividades para enviar logs para o arquivo morto.
- Mantenha um inventário de contas administrativas com acesso aos recursos do ExpressRoute.
- Configure o hash MD5 no circuito do ExpressRoute.
- Configure o MACSec para recursos do ExpressRoute Direct.
- Criptografe o tráfego por emparelhamento privado e emparelhamento da Microsoft para tráfego de rede virtual.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do ExpressRoute para segurança.
| Recomendação | Benefício |
|---|---|
| Configurar o log de atividades para enviar logs para o arquivo morto | Os logs de atividades fornecem insights sobre as operações que foram executadas no nível da assinatura para recursos do ExpressRoute. Com os logs de atividades, você pode determinar quem e quando uma operação foi executada no plano de controle. A retenção de dados é de apenas 90 dias e precisa ser armazenada no Log Analytics, nos Hubs de Eventos ou em uma conta de armazenamento para arquivamento. |
| Manter inventário de contas administrativas | Use o RBAC do Azure para configurar funções para limitar contas de usuário que podem adicionar, atualizar ou excluir a configuração de emparelhamento em um circuito do ExpressRoute. |
| Configurar hash MD5 no circuito do ExpressRoute | Durante a configuração do emparelhamento privado ou do emparelhamento da Microsoft, aplique um hash MD5 para proteger mensagens entre a rota local e os roteadores MSEE. |
| Configurar o MACSec para recursos do ExpressRoute Direct | A segurança do Controle de Acesso à Mídia é uma segurança ponto a ponto na camada de enlace de dados. O ExpressRoute Direct dá suporte à configuração do MACSec para evitar ameaças de segurança a protocolos como ARP, DHCP, LACP normalmente não protegidos no link Ethernet. Para obter mais informações sobre como configurar o MACSec, consulte MACSec para portas do ExpressRoute Direct. |
| Criptografar o tráfego usando IPsec | Configure um túnel VPN site a site no circuito do ExpressRoute para criptografar a transferência de dados entre a rede local e a rede virtual do Azure. Você pode configurar um túnel usando o emparelhamento privado ou usando o emparelhamento da Microsoft. |
Para obter mais sugestões, consulte Princípios do pilar de segurança.
Otimização de custo
A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Recomendamos que você examine o princípio de design de otimização de custos e Planejar e gerenciar custos para o Azure ExpressRoute.
Lista de verificação de projeto
- Familiarize-se com os preços do ExpressRoute.
- Determine o SKU do circuito do ExpressRoute e a largura de banda necessária.
- Determine o tamanho do gateway de rede virtual do ExpressRoute necessário.
- Monitore o custo e crie alertas de orçamento.
- Desprovisionar circuitos do ExpressRoute que não estão mais em uso.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do ExpressRoute para otimização de custo.
| Recomendação | Benefício |
|---|---|
| Familiarize-se com os preços do ExpressRoute | Para obter informações sobre os preços do ExpressRoute, consulte Entender os preços do Azure ExpressRoute. Você também pode usar a calculadora de preços. Certifique-se de que as opções sejam dimensionadas adequadamente para atender à demanda de capacidade e fornecer o desempenho esperado sem desperdiçar recursos. |
| Determinar SKU e largura de banda necessárias | A maneira como você é cobrado pelo uso do ExpressRoute varia entre os três tipos diferentes de SKU. Com o SKU Local, você é cobrado automaticamente por um plano de dados ilimitados. Com o SKU Standard e Premium, você pode selecionar entre um plano de dados limitado ou Ilimitado. Todos os dados de entrada são gratuitos, exceto ao usar o complemento Alcance Global. É importante entender quais tipos de SKU e plano de dados funcionam melhor para sua carga de trabalho para otimizar melhor o custo e o orçamento. Para obter mais informações sobre como redimensionar o circuito do ExpressRoute, consulte atualizando a largura de banda do circuito do ExpressRoute. |
| Determinar o tamanho do gateway de rede virtual do ExpressRoute | Os gateways de rede virtual do ExpressRoute são usados para passar o tráfego para uma rede virtual por meio de emparelhamento privado. Examine as necessidades de desempenho e escala do SKU do Gateway de Rede Virtual preferencial. Selecione o SKU de gateway apropriado em sua carga de trabalho local para o Azure. |
| Monitore o custo e crie alertas de orçamento | Monitore o custo do circuito do ExpressRoute e crie alertas para anomalias de gastos e riscos de gastos excessivos. Para obter mais informações, consulte Monitorando os custos do ExpressRoute. |
| Desprovisione e exclua circuitos do ExpressRoute que não estão mais em uso. | Os circuitos do ExpressRoute são cobrados a partir do momento em que são criados. Para reduzir custos desnecessários, desprovisione o circuito com o provedor de serviços e exclua o circuito do ExpressRoute de sua assinatura. Para obter etapas sobre como remover um circuito do ExpressRoute, consulte Desprovisionando um circuito do ExpressRoute. |
Para obter mais sugestões, consulte Lista de verificação de revisão de design para otimização de custos.
O Assistente do Azure pode detectar circuitos do ExpressRoute que foram implantados por um tempo significativo, mas têm um status de provedor de Não Provisionado. Os circuitos nesse estado não estão operacionais; e a remoção do recurso não utilizado reduzirá custos desnecessários.
Excelência operacional
Monitoramento e diagnóstico são cruciais. Você não apenas pode medir estatísticas de desempenho, mas também usar métricas, solucionar problemas e corrigir problemas rapidamente. Recomendamos que você revise os princípios de design de excelência operacional.
Lista de verificação de projeto
- Configure o monitoramento de conexão entre sua rede local e o Azure.
- Configure a Integridade do Serviço para receber notificação.
- Examine as métricas e os painéis disponíveis por meio do ExpressRoute Insights usando o Network Insights.
- Examine as métricas de recursos do ExpressRoute.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do ExpressRoute para excelência operacional.
| Recomendação | Benefício |
|---|---|
| Configurar o monitoramento de conexão | O monitoramento de conexão permite que você monitore a conectividade entre seus recursos locais e o Azure por meio do emparelhamento privado do ExpressRoute e da conexão de emparelhamento da Microsoft. O Monitor de Conexão pode detectar problemas de rede identificando onde o problema está ao longo do caminho de rede e ajudá-lo a resolver rapidamente falhas de configuração ou hardware. |
| Configurar a integridade do serviço | Configure notificações de Integridade do Serviço para alertar quando a manutenção planejada e futura estiver acontecendo em todos os circuitos do ExpressRoute em sua assinatura. A integridade do serviço também exibe a manutenção anterior junto com a RCA se ocorrer uma manutenção não planejada. |
| Analisar métricas com o Network Insights | O ExpressRoute Insights com Network Insights permite que você examine e analise circuitos, gateways, métricas de conexões e painéis de integridade do ExpressRoute. O ExpressRoute Insights também fornece uma exibição de topologia de suas conexões do ExpressRoute, onde você pode exibir detalhes de seus componentes de emparelhamento em um único local. Métricas disponíveis: -Disponibilidade -Throughput - Métricas de gateway |
| Examinar as métricas de recursos do ExpressRoute | O ExpressRoute usa o Azure Monitor para coletar métricas e criar alertas com base em sua configuração. As métricas são coletadas para circuitos do ExpressRoute, gateways do ExpressRoute, conexões de gateway do ExpressRoute e ExpressRoute Direct. Essas métricas são úteis para diagnosticar problemas de conectividade e entender o desempenho da conexão do ExpressRoute. |
Para mais sugestões, consulte Princípios do pilar de excelência operacional.
Eficiência de desempenho
A eficiência do desempenho é a capacidade de dimensionar a carga de trabalho para atender às demandas exigidas pelos usuários de maneira eficiente. Recomendamos que você revise os princípios de eficiência de desempenho.
Lista de verificação de projeto
- Teste o desempenho do gateway do ExpressRoute para atender aos requisitos de carga de trabalho.
- Aumente o tamanho do gateway do ExpressRoute.
- Atualize a largura de banda do circuito do ExpressRoute.
- Habilite o ExpressRoute FastPath para obter uma taxa de transferência mais alta.
- Monitore as métricas de gateway e circuito do ExpressRoute.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do ExpressRoute para eficiência de desempenho.
| Recomendação | Benefício |
|---|---|
| Teste o desempenho do gateway do ExpressRoute para atender aos requisitos de carga de trabalho. | Use o Kit de Ferramentas de Conectividade do Azure para testar o desempenho em seu circuito do ExpressRoute para entender a capacidade de largura de banda e a latência de sua conexão de rede. |
| Aumente o tamanho do gateway do ExpressRoute. | Atualize para um SKU de gateway mais alto para melhorar o desempenho da taxa de transferência entre o ambiente local e o Azure. |
| Atualizar a largura de banda do circuito do ExpressRoute | Atualize a largura de banda do circuito para atender aos requisitos de carga de trabalho. A largura de banda do circuito é compartilhada entre todas as redes virtuais conectadas ao circuito do ExpressRoute. Dependendo da carga de trabalho, uma ou mais redes virtuais podem usar toda a largura de banda no circuito. |
| Habilitar o ExpressRoute FastPath para maior taxa de transferência | Se você estiver usando um desempenho Ultra ou um gateway de rede virtual ErGW3AZ, poderá habilitar o FastPath para melhorar o desempenho do caminho de dados entre sua rede local e a rede virtual do Azure. |
| Monitorar métricas de gateway e circuito do ExpressRoute | Configure alertas com base nas métricas do ExpressRoute para notificá-lo proativamente quando um determinado limite for atingido. Essas métricas são úteis para entender anomalias que podem ocorrer com sua conexão do ExpressRoute, como interrupções e manutenção que ocorrem em seus circuitos do ExpressRoute. |
Para obter mais sugestões, consulte Princípios do pilar de eficiência de desempenho.
O Assistente do Azure oferecerá uma recomendação para atualizar a largura de banda do circuito do ExpressRoute para acomodar o uso quando o circuito tiver consumido recentemente mais de 90% da largura de banda adquirida. Se o tráfego exceder a largura de banda alocada, você experimentará pacotes descartados, o que pode levar a um impacto significativo no desempenho ou na confiabilidade.
Azure Policy
O Azure Policy não fornece nenhuma política interna para o ExpressRoute, mas políticas personalizadas podem ser criadas para ajudar a controlar como os circuitos do ExpressRoute devem corresponder ao estado final desejado, como escolha de SKU, tipo de emparelhamento, configurações de emparelhamento e assim por diante.
Recursos adicionais
Diretrizes do Cloud Adoption Framework
Próximas etapas
Configure um circuito do ExpressRoute ou uma porta do ExpressRoute Direct para estabelecer a comunicação entre sua rede local e o Azure.