想要让本地数据中心与微软云之间建立更高效、更安全的连接?本文将带您深入了解 Azure ExpressRoute Direct 的实现方式,逐步拆解关键步骤,助您轻松上手。
01
Azure ExpressRoute 是一项企业级专线服务,支持通过第三方网络服务商,在本地数据中心和微软云之间建立一条私密、高带宽、低延迟的专用连接。通过 ExpressRoute,企业可以安全接入 Microsoft Azure、Microsoft 365 等服务,绕开公网,提高连接的稳定性与数据的安全性。
目前,ExpressRoute 提供四种连接模式,满足不同场景的需求:
|
其中,ExpressRoute Direct 支持直接接入微软全球骨干网络,这种连接方式跳过中间服务商,适用于对网络性能、安全性、带宽有极致要求的关键业务场景。
ExpressRoute Direct 提供双路 100Gbps 或 10Gbps 的高带宽连接,支持 Active-Active(双活)部署架构,为关键业务提供高可用性和可扩展性保障,满足超大规模的连接需求。
02
搭配 ExpressRoute Local,实现本地高速互通且出站流量免费
ExpressRoute Direct 默认集成了 ExpressRoute Local,可在同一城市或同一对等互联节点实现与 Azure 的专线连接。得益于本地直连架构,无论您使用的是按量计费还是不限流量的套餐,出站流量(egress)均免费。对于本地部署的区域性应用,这意味着可以在不经过微软全球骨干网的前提下,获得低延迟、高带宽的连接体验,极大节省数据传输成本。
双端口架构
ExpressRoute Direct(以及通过服务商连接的模式)均采用双物理端口架构——两对独立光纤链路分别连接至不同的微软路由器,配合 BGP 双活配置,实现流量自动分担与冗余保障。微软更是将这一企业级可靠性作为标配,而非额外选项。
在像悉尼这样的地区,有些客户更进一步,通过多个机房部署 ExpressRoute Direct,例如分别在 Equinix SY2 和 NextDC S1 部署一对端口,共建立起四条物理链路。这种跨数据中心的高可用设计,能有效防御供电故障、自然灾害等物理层级的风险,真正做到业务连续不中断。
地理局限场景下的弹性设计
并非所有区域都具备多节点部署条件。以新西兰为例,目前仅有一个 ExpressRoute 对等互联地点,若企业希望实现地域级冗余,需跨越塔斯曼海连接至澳大利亚悉尼节点,虽然会产生连接费用,但可大幅降低服务中断风险。好消息是,一旦数据进入微软骨干网,只要是在同一地缘政治区内,Azure 之间的数据传输不再收取流量费用,微软承担了所需的相关成本。
Premium SKU,打通全球网络
通过升级到 Premium SKU,ExpressRoute Direct 可启用 Global Reach 功能,将分布于全球的本地网络通过微软全球骨干网私密互联。适用于跨国公司、全球分布式基础设施的统一管理和高速通信。Premium SKU 还带来了更高的路由限制、更广的区域覆盖和更强的跨区域连接能力,是大型国际企业的理想选择。
MACsec 加密:数据链路层的安全防线
ExpressRoute Direct 还支持 MACsec(IEEE 802.1AE)链路层加密协议,即使在共享的机房环境中,也可实现用户设备与微软路由器之间的点对点加密传输。特别适用于银行、政府等对数据合规性和机密性要求极高的场景。
面向企业的高性能数据传输
ExpressRoute Direct 提供 10Gbps 至 100Gbps 的专属带宽,适用于 AI 模型训练、大规模数据备份、灾备等高吞吐需求场景,确保低延迟、高可靠的数据同步,是构建混合云、多云架构的理想选择。
支持 FastPath
ExpressRoute Direct 现已支持 FastPath,可为 Private Endpoint 和 Private Link 提供更低延迟、更高吞吐的网络路径。启用后,数据流量绕过虚拟网络网关直接传输,仅用于路由交换,大幅提升应用性能。目前该功能仅适用于 10Gbps 或 100Gbps 的 ExpressRoute Direct 线路。
03
在正式启用 ExpressRoute Direct 之前,做好规划至关重要。尤其是在连接架构设计上,需要了解从客户网络边缘(Customer Edge)到微软企业边缘(Microsoft Enterprise Edge, MSEE)之间的两种主要连接方式。
连接方式1:
客户设备主机托管
这是目前最常见的部署方式。客户将自己的网络设备(如边缘路由器、防火墙等)放置在与微软网络设备位于同一第三方数据中心(例如 Equinix 或 NextDC)内的机柜中。
完成部署的流程通常如下:
|
这种方式的优势在于链路简洁、高效,省去了中间中间跃点,在 Layer 1 物理层即完成连接,为后续高可用和高性能传输打下稳定基础。
连接方式2:
通过运营商或网络交换服务商中转
如果客户不希望在新的数据中心部署自有硬件(出于成本或运维复杂度考虑),另一种更灵活的做法是借助已有入驻该数据中心的运营商或交换平台服务商进行中转连接。
在这种架构中,客户只需将其本地数据中心与运营商网络连接,而运营商负责将网络延伸至微软的对等互联节点。例如,客户可以选择 全球 NaaS 提供商(例如Megaport)或本地电信服务商,将数据从本地路由到 Megaport 的设备,再由 Megaport 在目标数据中心完成与微软设备之间的物理交叉连接。
这种模式的优势包括:
 对于许多大型企业来说,将网络设备部署在连接资源丰富的数据中心是实现高性能 Azure 专线的理想方式。像银行等对网络稳定性和合规性要求极高的客户,通常会选择在Equinix Sydney或NextDC Sydney等设施内安装路由器,直接通过光纤接入 Azure 网络,实现“零中转”的极速连接。 不过,我们也理解,并非所有企业都愿意承担在新地点购置、安装和管理物理设备所带来的成本和复杂度。 对于这类客户,像 Megaport 这样的云交换平台提供了一种更加灵活的选择——既保留了 ExpressRoute Direct 的专属、高带宽连接优势,又将底层设施的搭建和维护交由专业服务商处理,帮助企业更专注于业务本身。 一旦选定了连接模式,下一步就是配置 ExpressRoute Direct 端口并建立物理链接: Step1 - 开通 ExpressRoute Direct 端口 企业可通过 Azure 门户或 CLI 创建 ExpressRoute Direct 资源,具体配置流程首先选择对等节点,就是目标 Azure 路由器所在的数据中心。其次配置端口带宽,目前端口带宽支 10 Gbps 或 100 Gbps;接下来指定封装类型,如 Dot1Q(单层 VLAN)或 Q-in-Q(双层 VLAN)封装模式。 完成配置后,Azure 会在所选数据中心中为客户分配两组物理端口,分别位于不同的微软网络设备上,构成一主一备的冗余接口,避免单点故障影响连接稳定性。 Step 2:生成授权函并完成交叉连接申请 当 ExpressRoute Direct 资源在 Azure 门户中创建完成后,微软会自动生成一份授权函。这是一份正式文档(通常为 PDF 格式),用于授权数据中心运营方将微软的端口与客户或服务商的端口进行物理连接。 授权函中包含以下关键信息:数据中心名称、配线架标识、微软端口编号。如果您选择“同一地址部署”,您还需要从数据中心运营方获取针对您自己设备端口的另一份授权函(或者在交叉连接订单表中直接填写你的端口信息)。如果您通过 Megaport 等服务商中转,那么 Megaport 会提供其侧的授权函,授权数据中心将其端口与微软端口连接。通常需要微软端口的授权函和客户或服务商端口的授权函两份文档才能完成连接申请,这两份授权文件将一并提交给数据中心,由其负责执行物理光纤交叉连接,从而完成整个 Layer 1 链路的闭环。 Step 3:在数据中心完成 拿到双方的授权函之后,数据中心的技术人员会在 MMR(Meet-Me Room)完成物理连接操作。此时,微软路由器与客户设备(或服务商设备)之间的光纤链路正式建立。 需要注意的是,这条链路并不会直接从一个机柜拉到另一个机柜,而是通过 MMR 内的配线架进行中转。这种方式在数据中心中更符合安全性和可维护性标准,避免了混乱布线带来的管理难题。 完成连接后,专线电路的物理通道就位,但通常在初期会保持管理关闭状态,待网络配置准备完成后再上线使用。 Step 4:启用端口,检查光纤链路状态 当交叉连接在数据中心完成后,接下来就可以在 Azure 门户中将 ExpressRoute Direct 的两个端口状态从“管理关闭”切换为“启用”,正式激活链路。需要特别注意:一旦启用,计费也随即开始。因此建议在此之前,先确认链路状态一切正常。 Step 5:创建 Express Route Circuits ExpressRoute 电路是连接的逻辑层,将您已开通的物理 ExpressRoute Direct 端口转化为可用的网络连接。企业通过 Azure 门户创建电路资源,绑定到现有的 ExpressRoute Direct 端口,并根据实际需求配置带宽及选择合适的 SKU(Local、Standard 或 Premium)。其主要优势在于,只要总带宽不超出物理限制,就能在同一物理端口对上配置多个电路。 Step 6:建立对等互联 当 ExpressRoute 电路创建完成,VLAN 连接建立后,下一步就是配置 BGP(边界网关协议)会话,实现您的网络与微软基础设施之间的路由信息动态交换。ExpressRoute 支持两种主要的 BGP 对等类型: 用于访问 Azure 虚拟网络的 Private Peering,以及用于访问 Microsoft SaaS 服务(如 Office 365 和 Azure PaaS 产品)的 Microsoft Peering 。 对于大多数数据中心到 Azure 的连接场景,Private Peering互联是关键配置。Azure 会为您的电路配置提供特定的 BGP IP 地址,为主链路和次链路对等互联定义 30 子网,您将在边缘路由器上配置这些地址以交换路由信息。典型的流程是,您的组织通过这些 BGP 会话发布内部网络前缀广告,而 Azure 则发布 VNet 前缀广告,从而在您的环境之间创建动态路由发现。重要的是,主链路和辅助链路都能保持活动的 BGP 会话,确保在一个连接出现故障时,辅助 BGP 会话能无缝地保持连接,并使您的网络免受单点故障的影响。 Step 7:路由配置与连通性测试 一旦建立了 BGP 会话,你的 ExpressRoute 电路就可以完全投入使用,将内部网络无缝扩展到 Azure 虚拟网络。使用 ping、traceroute 和应用程序流量进行的连接性测试证实,内部部署的服务器现在可以通过专用 ExpressRoute 路径直接与 Azure 虚拟机通信,完全绕过了公共互联网。流量通过 VLAN 标签与电路完全隔离,确保不会与其他租户混杂,同时提供只有专用连接才能提供的低延迟和可预测性能。 在此阶段结束时,客户的数据中心通过专用的弹性连接在第 3 层与 Azure 相连。他们可以访问 Azure 资源,就像在同一局域网扩展一样,具有低延迟和高吞吐量的特点。剩下的工作就是将该电路连接到相关的 Azure 虚拟网络(通过 ExpressRoute 网关),并完成端到端应用流量的验证,即可全面投入生产使用。 |
扫描下方二维码或点击【阅读原文】
查看详细部署方法
 扫码关注 Azure云科技 |
