為Azure ExpressRoute 設定Router Filter
在Azure ExpressRoute可以分成兩種,一種是Azure Private Peering,另一種是Microsoft Peering,前者主要是讓地端與雲端IaaS相連接,例如透過地端VM連線到雲端的VM,這種方式基本上只要設定好ExpressRoute (需要和電信商搭配),就可以直接連線。而後者則是地端與雲端的PaaS或SaaS直接做連線,當然前提還是一定要先設定好ExpressRoute。
什麼是ExpressRoute:
ExpressRoute 線路代表您的內部部署基礎結構與 Microsoft 雲端服務之間,透過連線提供者的邏輯連線。 您可以訂購多條 ExpressRoute 線路。 每一條線路可以位於相同或不同區域,且可透過不同的連線提供者連線到您的內部環境。ExpressRoute 線路不對應至任何實體裝置。 線路由一個稱為服務金鑰 (s 金鑰) 的標準 GUID 唯一識別。 服務金鑰是 Microsoft、連線提供者與您之間唯一會交換的資訊。 S 金鑰不是安全性用途的密碼。 ExpressRoute 線路與 s 金鑰之間存在 1:1 對應。
在Microsoft Peering部分,設定好ExpressRoute,其實還不夠,這時候還必須設定Route Filter。
什麼是Route Filter:
當 Microsoft 對等互連在 ExpressRoute 線路上設定時,Microsoft 邊緣路由器會建立一組 BGP 工作階段與邊緣路由器 (您或您的連線提供者)。 沒有路由會公告至您的網路。 若要讓路由公告至您的網路,您必須建立與路由篩選的關聯。路由篩選可讓您識別想要透過 ExpressRoute 線路的 Microsoft 對等互連使用的服務。 這基本上是您想要允許的所有 BGP 社區值的清單。 一旦定義路由篩選資源,並且連結至 ExpressRoute 線路,對應到 BGP 社群值的所有前置詞都會公告至您的網路
如果沒有設定好這部分,再測試時候可能就不會通
設定Route Filter
可以在Marketplace找到Route Filter的服務
在這邊的區域,最好是選擇電信商的節點所在位置,以CHT來說,其節點位置位於香港,所以區域就要選擇東亞
當Filter建立好時候,必須新增一個ExpressRoute的線路,在這邊可以設定多個線路,要設定多個線路,對應的電信商會好是不同一家,這樣可以做BGP備援
而新增線路完畢後,再來就是設定管理規則 ,管理規則部分細分很多Azure 服務區域的資料中心以及和儲存資料相關的服務,主要目的在於,可以限制地端連線到其他區域資料中心內或是避免碰觸到一些服務
如果是剛開始設定,會建議先把目前有在Azure用到的服務區域的資料中心都設定進去。之後再做慢慢刪減,這樣會比較安全一點,畢竟,在測試階段很多很難預料的事情都會發生的。此外,像是同樣設定Azure East Asia 後,我還會多設定一組Azure Storage East Asia ,雖然我們認知East Asia內就因該會包含Storage East Asia,但實際上並沒有,從下圖的BGP值部分,就可以看出有些差異
以上設定完成後,就可以開始測試地端與雲端PaaS的通訊了
