Azure解決方案：如何將本地網(wǎng)絡(luò)無(wú)縫擴(kuò)展到Microsoft Cloud？

需求：假如你是某企業(yè)的解決方案架構(gòu)師，目前已經(jīng)將本地資源遷移到Azure，但組織中的系統(tǒng)需要在內(nèi)部網(wǎng)絡(luò)和Azure之間進(jìn)行通信，因?yàn)檫@些應(yīng)用程序系統(tǒng)對(duì)帶寬有極高的要求，所以不希望采用Internet通信，同時(shí)組織內(nèi)也使用Office 365作為企業(yè)數(shù)據(jù)管理平臺(tái)，希望能減少互聯(lián)網(wǎng)上的流量，通過(guò)專用鏈接將這些流量發(fā)送到Azure，該如何配置來(lái)實(shí)現(xiàn)基礎(chǔ)設(shè)施建設(shè)呢？

解決方案: 可以配置Azure Express Route作為企業(yè)基礎(chǔ)設(shè)施建設(shè)的解決方案，它將無(wú)縫地將本地網(wǎng)絡(luò)擴(kuò)展到Microsoft Cloud，并且組織和Azure之間的這種連接是專用的和私有的，通過(guò)Azure Express Route連接，你還可以連接到Azure、Office 365等Microsoft云服務(wù)，安全性得到增強(qiáng)，連接更加可靠，延遲最小，吞吐量也大大提高。

使用Expre***oute作為Azure和本地網(wǎng)絡(luò)之間的連接服務(wù)，具有以下幾點(diǎn)優(yōu)勢(shì)：

• Layer 3 Connectivity：通過(guò)Connectivity Partners可以將本地網(wǎng)絡(luò)和Microsoft Cloud之間提供Layer 3 Connectivity，這些連接可以是點(diǎn)對(duì)點(diǎn)、任意對(duì)任意，也可以是通過(guò)交換機(jī)的虛擬交叉連接。

• Build in Redundancy：每個(gè)Connectivity Provider都使用冗余設(shè)備來(lái)確保與Microsoft建立的連接是高度可用的，你可以配置多個(gè)circuits來(lái)補(bǔ)充這一特性，所有的redundant connection都配置了Layer 3 Connectivity來(lái)滿足SLAs.

• Connectivity to Microsoft Cloud Service: Expre***oute可以直接訪問(wèn)所有區(qū)域的以下服務(wù)：Office 365、Dynamics 365、Azure Compute Services，Cloud Services等等

• Security Consideration：使用Expre***oute，數(shù)據(jù)不會(huì)通過(guò)互聯(lián)網(wǎng)傳輸，因此不會(huì)暴露在與互聯(lián)網(wǎng)通信相關(guān)的潛在風(fēng)險(xiǎn)中，Expre***oute是一個(gè)本地基礎(chǔ)架構(gòu)到Azure基礎(chǔ)架構(gòu)的私有連接，即使你有一個(gè)Expre***oute連接，DNS查詢，證書(shū)撤銷列表查詢，Azure內(nèi)容交付網(wǎng)絡(luò)請(qǐng)求仍舊通過(guò)互聯(lián)網(wǎng)發(fā)送。

Azure Expre***oute的工作原理：Expre***oute支持所有地區(qū)和位置，為了實(shí)現(xiàn)Expre***oute，需要與Expre***oute Partner一起工作，Partner提供了edge service，通過(guò)partner控制的路由器運(yùn)行的經(jīng)過(guò)授權(quán)和身份驗(yàn)證的連接，edge服務(wù)負(fù)責(zé)將網(wǎng)絡(luò)擴(kuò)展到Microsoft Cloud，Partner在Expre***oute中建立到endpoint的連接，這些連接能夠?qū)⒈镜鼐W(wǎng)絡(luò)與通過(guò)endpoint可用的虛擬網(wǎng)絡(luò)進(jìn)行對(duì)等互聯(lián)（peer），這種連接稱作circuits，它是通過(guò)私有線路建立的，而不是通過(guò)互聯(lián)網(wǎng)，你本地網(wǎng)絡(luò)連接到Expre***oute Provider的edge routers，微軟edge router提供了進(jìn)入Microsoft Cloud的入口點(diǎn)。

通過(guò)Expre***oute建立到Azure的連接涉及到如下步驟：

• 新建Circuit

• 新建Peering Configuration

• 配置Private Peering

• 配置Microsoft Peering

• 連接一個(gè)虛擬網(wǎng)絡(luò)到Expre***oute Circuit

操作過(guò)程如下：

1.新建Circuits，登錄Azure Portal，新建一個(gè)resource->Network->Expre***oute，新建Expre***oute Circuits，如下所示：

2.Circuits配置完成后，使用Azure Portal來(lái)查看其屬性，確保Circuits的狀態(tài)是啟用的，這說(shuō)明Circuits與Microsoft端已經(jīng)準(zhǔn)備好連接。最初不會(huì)提供Provider 的狀態(tài)，因?yàn)镻rovider沒(méi)有為連接到你的網(wǎng)絡(luò)配置路由，將Service Key字段中的值發(fā)送給Provider，以使它們能夠配置連接，可能需要幾天的時(shí)間。

3.當(dāng)Provider 狀態(tài)為Provisioned后，你可以為peer配置rout，創(chuàng)建一個(gè)Peering Configuration
4.使用Private peering將你的網(wǎng)絡(luò)連接到Azure運(yùn)行的虛擬網(wǎng)絡(luò)中，注意在配置Private peering網(wǎng)絡(luò)前，需要提供：Peer ASN、Primary Subnet、Secondary Subnet、VLAN ID、Shared Key
5.使用Microsoft Peering連接到Office 365以及相關(guān)服務(wù)，配置Microsoft Peering時(shí)，需要提供一個(gè)ASN、一個(gè)primary subnet address range
、一個(gè)secondary subnet address range、一個(gè)VLAN和一個(gè)Shared Key、Advertised Public Prefixes、Customer ASN和Routing Registry Name
6.在Expre***oute Circuits建立完成之后，為你的circuits配置Azure Private peering，并且你的網(wǎng)絡(luò)和Microsoft之間的BGP會(huì)話激活后，你可以啟用從你的本地網(wǎng)絡(luò)到Azure的連接。

希望給大家起到拋磚引玉的作用，謝謝閱讀~~