Migrowanie do nowego obwodu usługi ExpressRoute

Jeśli chcesz przełączyć się z jednego obwodu usługi ExpressRoute na inny, możesz to zrobić bezproblemowo z minimalnymi przerwami w działaniu usługi. Ten dokument przeprowadzi Cię przez kroki migracji ruchu produkcyjnego bez powodowania poważnych zakłóceń lub zagrożeń. Ta metoda ma zastosowanie niezależnie od tego, czy przechodzisz do nowej, czy tej samej lokalizacji peeringu.

Jeśli masz obwód usługi ExpressRoute za pośrednictwem dostawcy usług warstwy 3, utwórz nowy obwód w ramach subskrypcji w witrynie Azure Portal. Skontaktuj się z dostawcą usług, aby bezproblemowo przełączyć ruch do nowego obwodu. Po cofnięciu aprowizacji starego obwodu przez dostawcę usług usuń go z portalu Azure.

Pozostała część artykułu ma zastosowanie, jeśli masz obwód usługi ExpressRoute za pośrednictwem dostawcy usług warstwy 2 lub portów ExpressRoute Direct.

Procedura bezproblemowej migracji obwodu usługi ExpressRoute

Na poprzednim diagramie przedstawiono proces migracji z istniejącego obwodu ExpressRoute, nazywanego obwodem A, do nowego obwodu ExpressRoute, nazywanego obwodem B. Obwód B może znajdować się w tej samej lub innej lokalizacji wymiany co obwód A. Proces migracji składa się z następujących kroków:

1. Wdróż obwód B w izolacji: chociaż ruch nadal przepływa przez obwód A, wdróż nowy obwód B bez wpływu na środowisko produkcyjne.

2. Blokuj przepływ ruchu produkcyjnego przez obwód B: zapobiegaj używaniu dowolnego ruchu przy użyciu obwodu B, dopóki nie zostanie przetestowany w pełni i zweryfikowany.

3. Ukończ i zweryfikuj kompleksową łączność obwodu B: upewnij się, że obwód B może ustanowić i utrzymać stabilne i bezpieczne połączenie ze wszystkimi wymaganymi punktami końcowymi.

4. Przełącz ruch: przekieruj przepływ ruchu z obwodu A do obwodu B i zablokuj przepływ ruchu przez obwód A.

5. Likwidowanie obwodu A: Usuń obwód A z sieci i zwolnij jej zasoby.

Wdrażanie nowego obwodu w izolacji

Aby zastąpić jeden do jednego istniejącego obwodu, wybierz opcję Odporność w warstwie Standardowa i wykonaj kroki opisane w przewodniku Tworzenie obwodu za pomocą usługi ExpressRoute, aby utworzyć nowy obwód usługi ExpressRoute (obwód B) w żądanej lokalizacji komunikacji równorzędnej. Następnie wykonaj kroki opisane w temacie Konfigurowanie komunikacji równorzędnej dla obwodu usługi ExpressRoute, aby skonfigurować wymagane typy komunikacji równorzędnej: prywatne i microsoft.

Aby zapobiec używaniu obwodu B przez prywatny ruch równorzędny przed rozpoczęciem testowania i walidacji, nie należy łączyć bramy sieci wirtualnej, która ma wdrożenie produkcyjne, do obwodu B. Podobnie, aby uniknąć produkcyjnego ruchu równorzędnego firmy Microsoft z użyciem obwodu B, nie przypisuj filtru tras do obwodu B.

Blokowanie przepływu ruchu produkcyjnego przez nowo utworzony obwód

Uniemożliw anonsowanie trasy przez jedno lub więcej nowych połączeń równorzędnych na urządzeniach CE.

W przypadku Cisco IOS można użyć route-map i prefix-list do filtrowania tras reklamowanych za pośrednictwem komunikacji równorzędnej BGP. W poniższym przykładzie pokazano, jak utworzyć i zastosować elementy route-map oraz prefix-list do tego celu.

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Użyj zasad eksportu/importu, aby filtrować trasy anonsowane i odbierane na nowym peeringu na urządzeniach Junos. W poniższym przykładzie pokazano, jak skonfigurować zasady eksportowania/importowania w tym celu:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

Weryfikowanie kompleksowej łączności nowo utworzonego obwodu

Prywatna komunikacja równorzędna

Aby połączyć nowy obwód z bramą testowej sieci wirtualnej i zweryfikować łączność prywatnego peeringu, wykonaj kroki opisane w artykule Łączenie sieci wirtualnej z obwodem usługi ExpressRoute. Po połączeniu sieci wirtualnych z obwodem sieciowym, sprawdź tabelę tras prywatnego peeringu, aby upewnić się, że została uwzględniona przestrzeń adresowa sieci wirtualnej. W poniższym przykładzie przedstawiono tabelę tras prywatnego peeringu obiektu ExpressRoute w portalu zarządzania usługi Azure.

Na poniższym diagramie przedstawiono testową maszynę wirtualną w testowej sieci wirtualnej i testowe urządzenie lokalne, używane do weryfikowania łączności za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.

Zmodyfikuj konfigurację mapy tras lub zasad, aby filtrować anonsowane trasy i zezwalać na określony adres IP lokalnego urządzenia testowego. Zezwól na przestrzeń adresową testowej sieci wirtualnej z platformy Azure.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Aby zezwolić na określone prefiksy adresów IP dla urządzeń testowych w systemie Junos, skonfiguruj listę prefiksów. Następnie skonfiguruj zasady importowania/eksportowania protokołu BGP, aby zezwolić na te prefiksy i odrzucić wszystkie inne elementy.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Sprawdź łączność końca do końca za pośrednictwem prywatnego peeringu. Możesz na przykład wysłać polecenie ping do testowej maszyny wirtualnej na platformie Azure z lokalnego urządzenia testowego i sprawdzić wyniki. Aby uzyskać szczegółowe informacje na temat walidacji krok po kroku, zobacz Weryfikowanie łączności usługi ExpressRoute.

Komunikacja równorzędna firmy Microsoft

Weryfikacja peeringu Microsoftu wymaga starannego planowania, aby uniknąć wpływu na ruch produkcyjny. Wykonaj następujące kroki, aby zapewnić bezproblemowy proces:

1. Użyj odrębnych prefiksów: Skonfiguruj peering Microsoft dla obwodu B z prefiksami innymi niż te używane dla obwodu A, aby zapobiec konfliktom routingu. Aby uzyskać wskazówki, zapoznaj się z tworzeniem Microsoft Peering.
2. Oddzielne filtry tras: Połącz komunikację równorzędną firmy Microsoft obwodu B z innym filtrem tras niż obwód A. Wykonaj kroki konfigurowania filtrów tras dla komunikacji równorzędnej firmy Microsoft.
3. Unikaj typowych tras: upewnij się, że filtry tras dla obu obwodów nie współużytkują wspólnych tras, aby zapobiec routingowi asymetrycznemu. Można to zrobić za pomocą:
   • Wybranie usługi lub regionu platformy Azure do testowania obwodu B, który nie jest używany przez ruch produkcyjny obwodu A.
   • Minimalizacja nakładania się między dwoma filtrami tras i zezwalaniem na tylko określone testowe publiczne punkty końcowe za pośrednictwem obwodu B.

Po połączeniu filtra tras sprawdź trasy anonsowane i odebrane za pośrednictwem sesji BGP na urządzeniu CE. Zmodyfikuj konfigurację mapy tras lub polityki Junos, aby filtrować anonsowane trasy, zezwalając jedynie na prefiksy lokalne parowania z Microsoft oraz określone adresy IP wybranych publicznych punktów końcowych Microsoft do testów.

Aby przetestować łączność z punktami końcowymi platformy Microsoft 365, wykonaj kroki opisane w artykule Implementowanie usługi ExpressRoute dla platformy Microsoft 365 — tworzenie procedur testowych. W przypadku publicznych punktów końcowych platformy Azure rozpocznij od podstawowych testów łączności, takich jak traceroute ze środowiska lokalnego, aby upewnić się, że żądania przechodzą przez punkty końcowe usługi ExpressRoute. Poza punktami końcowymi usługi ExpressRoute komunikaty ICMP są pomijane przez sieć firmy Microsoft. Ponadto przetestuj łączność na poziomie aplikacji. Jeśli na przykład masz maszynę wirtualną platformy Azure z publicznym adresem IP z uruchomionym serwerem internetowym, spróbuj uzyskać dostęp do publicznego adresu IP serwera internetowego z sieci lokalnej za pośrednictwem połączenia usługi ExpressRoute. Potwierdza to, że złożony ruch, taki jak żądania HTTP, może uzyskiwać dostęp do usług platformy Azure.

Prywatna komunikacja równorzędna

1. Odłącz obwód B od wszystkich testowych bram sieci wirtualnej.
2. Usuń wszelkie wyjątki wprowadzone w zasadach Cisco route-maps lub Junos.
3. Połącz obwód B z produkcyjną bramą sieci wirtualnej, wykonując kroki opisane w artykule Łączenie sieci wirtualnej z obwodem usługi ExpressRoute.
4. Upewnij się, że obwód B jest gotowy do ogłaszania wszystkich tras aktualnie ogłaszanych za pośrednictwem obwodu A. Sprawdź, czy interfejsy obwodu B są skojarzone z odpowiednią instancją przypisaną do VRF lub instancją routingu.
5. Usuń mapy tras lub zasady w interfejsach Obwodu B i zastosuj je do interfejsów Obwodu A, aby zablokować anonse tras w obwodzie A, przełączając przepływ ruchu do obwodu B.
6. Sprawdź przepływ ruchu przez obwód B. Jeśli weryfikacja nie powiedzie się, przywróć zmiany i przełącz przepływ ruchu z powrotem do obwodu A.
7. Jeśli weryfikacja zakończy się pomyślnie, usuń obwód A.

Komunikacja równorzędna firmy Microsoft

1. Usuń obwód B z dowolnego testowego filtru tras platformy Azure.
2. Usuń wszelkie wyjątki wprowadzone w mapach tras lub zasadach.
3. Upewnij się, że interfejsy obwodu B są skojarzone z odpowiednim wystąpieniem VRF lub routingu.
4. Zweryfikuj i potwierdź reklamowane prefiksy w peeringu z Microsoftem.
5. Połącz obwód Circuit B firmy Microsoft za pomocą łączności równorzędnej z filtrem tras platformy Azure, który jest obecnie powiązany z obwodem A.
6. Usuń mapy tras lub zasady eksportowania/importowania w interfejsach obwodu B i zastosuj je do interfejsów Obwodu A, aby zablokować anonse tras za pośrednictwem obwodu A, przełączając przepływ ruchu do obwodu B.
7. Sprawdź przepływ ruchu przez obwód B. Jeśli weryfikacja nie powiedzie się, przywróć zmiany i przełącz przepływ ruchu z powrotem do obwodu A.
8. Jeśli weryfikacja zakończy się pomyślnie, usuń obwód A.

Następny krok

Aby uzyskać więcej informacji na temat konfiguracji routera, zobacz Przykłady konfiguracji routera, aby skonfigurować routing i zarządzać nim.