Azure解決方案：如何將本地網(wǎng)絡(luò)無縫擴(kuò)展到Microsoft Cloud？

需求：假如你是某企業(yè)的解決方案架構(gòu)師，目前已經(jīng)將本地資源遷移到Azure，但組織中的系統(tǒng)需要在內(nèi)部網(wǎng)絡(luò)和Azure之間進(jìn)行通信，因為這些應(yīng)用程序系統(tǒng)對帶寬有極高的要求，所以不希望采用Internet通信，同時組織內(nèi)也使用Office 365作為企業(yè)數(shù)據(jù)管理平臺，希望能減少互聯(lián)網(wǎng)上的流量，通過專用鏈接將這些流量發(fā)送到Azure，該如何配置來實現(xiàn)基礎(chǔ)設(shè)施建設(shè)呢？

解決方案: 可以配置Azure Express Route作為企業(yè)基礎(chǔ)設(shè)施建設(shè)的解決方案，它將無縫地將本地網(wǎng)絡(luò)擴(kuò)展到Microsoft Cloud，并且組織和Azure之間的這種連接是專用的和私有的，通過Azure Express Route連接，你還可以連接到Azure、Office 365等Microsoft云服務(wù)，安全性得到增強(qiáng)，連接更加可靠，延遲最小，吞吐量也大大提高。

使用Expre***oute作為Azure和本地網(wǎng)絡(luò)之間的連接服務(wù)，具有以下幾點優(yōu)勢：

• Layer 3 Connectivity：通過Connectivity Partners可以將本地網(wǎng)絡(luò)和Microsoft Cloud之間提供Layer 3 Connectivity，這些連接可以是點對點、任意對任意，也可以是通過交換機(jī)的虛擬交叉連接。

• Build in Redundancy：每個Connectivity Provider都使用冗余設(shè)備來確保與Microsoft建立的連接是高度可用的，你可以配置多個circuits來補(bǔ)充這一特性，所有的redundant connection都配置了Layer 3 Connectivity來滿足SLAs.

• Connectivity to Microsoft Cloud Service: Expre***oute可以直接訪問所有區(qū)域的以下服務(wù)：Office 365、Dynamics 365、Azure Compute Services，Cloud Services等等

• Security Consideration：使用Expre***oute，數(shù)據(jù)不會通過互聯(lián)網(wǎng)傳輸，因此不會暴露在與互聯(lián)網(wǎng)通信相關(guān)的潛在風(fēng)險中，Expre***oute是一個本地基礎(chǔ)架構(gòu)到Azure基礎(chǔ)架構(gòu)的私有連接，即使你有一個Expre***oute連接，DNS查詢，證書撤銷列表查詢，Azure內(nèi)容交付網(wǎng)絡(luò)請求仍舊通過互聯(lián)網(wǎng)發(fā)送。

Azure Expre***oute的工作原理：Expre***oute支持所有地區(qū)和位置，為了實現(xiàn)Expre***oute，需要與Expre***oute Partner一起工作，Partner提供了edge service，通過partner控制的路由器運行的經(jīng)過授權(quán)和身份驗證的連接，edge服務(wù)負(fù)責(zé)將網(wǎng)絡(luò)擴(kuò)展到Microsoft Cloud，Partner在Expre***oute中建立到endpoint的連接，這些連接能夠?qū)⒈镜鼐W(wǎng)絡(luò)與通過endpoint可用的虛擬網(wǎng)絡(luò)進(jìn)行對等互聯(lián)（peer），這種連接稱作circuits，它是通過私有線路建立的，而不是通過互聯(lián)網(wǎng)，你本地網(wǎng)絡(luò)連接到Expre***oute Provider的edge routers，微軟edge router提供了進(jìn)入Microsoft Cloud的入口點。

通過Expre***oute建立到Azure的連接涉及到如下步驟：

• 新建Circuit

• 新建Peering Configuration

• 配置Private Peering

• 配置Microsoft Peering

• 連接一個虛擬網(wǎng)絡(luò)到Expre***oute Circuit

操作過程如下：

1.新建Circuits，登錄Azure Portal，新建一個resource->Network->Expre***oute，新建Expre***oute Circuits，如下所示：

2.Circuits配置完成后，使用Azure Portal來查看其屬性，確保Circuits的狀態(tài)是啟用的，這說明Circuits與Microsoft端已經(jīng)準(zhǔn)備好連接。最初不會提供Provider 的狀態(tài)，因為Provider沒有為連接到你的網(wǎng)絡(luò)配置路由，將Service Key字段中的值發(fā)送給Provider，以使它們能夠配置連接，可能需要幾天的時間。

3.當(dāng)Provider 狀態(tài)為Provisioned后，你可以為peer配置rout，創(chuàng)建一個Peering Configuration
4.使用Private peering將你的網(wǎng)絡(luò)連接到Azure運行的虛擬網(wǎng)絡(luò)中，注意在配置Private peering網(wǎng)絡(luò)前，需要提供：Peer ASN、Primary Subnet、Secondary Subnet、VLAN ID、Shared Key
5.使用Microsoft Peering連接到Office 365以及相關(guān)服務(wù)，配置Microsoft Peering時，需要提供一個ASN、一個primary subnet address range
、一個secondary subnet address range、一個VLAN和一個Shared Key、Advertised Public Prefixes、Customer ASN和Routing Registry Name
6.在Expre***oute Circuits建立完成之后，為你的circuits配置Azure Private peering，并且你的網(wǎng)絡(luò)和Microsoft之間的BGP會話激活后，你可以啟用從你的本地網(wǎng)絡(luò)到Azure的連接。

希望給大家起到拋磚引玉的作用，謝謝閱讀~~