ExpressRoute
Azure ExpressRoute
En Azure tjeneste som gjør at man kan kople direkte til Azure, uten å gå over internett.
ExpressRoute krypterer faktisk ikke dataene dine. Men de blir sendt i en privat circuit og kan dermed ikke sniffes.
Man kan konfigurere en MD5 Shared Key som brukes for encode meldinger.
Fordeler
Gir Layer 3, adresse-level, sammenkopling gjennom en "connectivity partner" til Microsoft. .
I.e. man må fysisk kunne kople datasenteret til en "Partner Edge".
Man kan i tillegg til å nå Azure ressurser, nå Microsoft Office og Dynamics 365.
Man kan også kople sammen ExpressRoute datasentere slik at de kommuniserer gjennom Microsofts nettverk, uten å gå via internett. Dette kalles ExpressRoute Global Reach.
Connectivity Model
Det finnes 3 modeller for å kople til Azure via ExpressRoute
- CloudExchange co-location
- Dette er når man har et datasenter som eksisterer ved siden av f.eks. en ISP. Da kan man spørre om å få en virtuell cross-connection til Microsoft sin sky.
- Point-to-point ethernet connection
- Dette er om du har et datasenter som f.eks. ligger i bedriftsbygget. Da kan du bruke en point-to-point Ethernet link for å kople til Microsoft. Usikker på hva dette betyr i praksis. Må man faktisk fysisk legge en kabel fra sine headquarters til en Microsoft partner.
- Virker som om man kontakter en "Ethernet point-to-point" provider som kopler fysisk opp en Ethnernet kopling.
- Any-to-any (IPVPN) Connection
- Dette er fra et WAN til Azure. Dermed kan man kople opp alle sine kontorer, fabrikker etc, til Azure. Da er Azure bare enda en node i WANet slik som alle andre nettverk som er koplet til. Se bilde under for visuell guide.
Sikkerhet
Ingenting går over internett bortsett fra: DNS queries, sertifikat revocation list sjekking og Azure Content Delivery Network (CDN) forespørsler over internett.
Arkitektur
For å implementere ER må man jobbe sammen med en ER partner, som gir deg en edge service:
Når man kopler seg til parneren så koples man derfra til Azure på en fysisk private kabel istedenfor internett.
Forutsetninger
- BGP må være satt opp (hva enn det innebærer), dette kan være enten ditt eller partneren sitt ansvar.
- Private IPer må oversettes til public IPer vha. NAT. Microsoft sine switcher vil ikke motta ting fra ikke-offentlige IPer.
- Man må reservere blokker med med IP-addresser som Microsoft bruker for å rute trafikk, slik som i GatewaySubnet. Enten ett /29 subnet eller to /30 subnet.
Det finnes to "peering schemes":
- Azure Private Peering
- Mellom vårt nettverk og Azure tjenester
- Microsoft Peering
- Mellom vårt nettverk og Microsoft apper som Office 365, Dynamics 365
Opprette en circuit og peering
Man kan lage en circuit i Azure portal eller gjennom cli. Her gir man info om hvilken provider man bruker. Når dette er satt opp må man si ifra til sin partner, som igjen må sette det opp på sin side. Dette tar typisk flere dager.
Etter alt er konfigurert ferdi må man lage en Virtual network gateway med typen ExpressRoute for å kople Azure sitt VNet til denne circuiten.
Når skal man velge ER
- Om man flytter og produserer enorme mengde data som skal fra og til skyen kjapt
- Om man trenger lav-latency kopling til sky-tjenester.
- Om man flytter massive on-premise systemer til skyen, og fortsatt vil beholde performance som før.
- Situasjoner der data ikke skal over internett for sikkerhetsgrunner.
- Store datasentre som har mange brukere og systemer som bruker SaaS tjenester som Office 365.