Маршрутизація з ExpressRoute для Office 365

Служба Office 365 забезпечує резервування, безпеку, конфіденційність і відповідність вимогам безпосередньо в самому продукті. Дані, що зберігаються в службі Office 365, надійно захищені. Клієнти по-різному ставляться до питання захисту даних, які містяться в мережі або передаються до служби Office 365.

Додаткові відомості про резервування, безпеку, конфіденційність і відповідність вимогам у службі Office 365 можна отримати в Центрі безпеки та конфіденційності Office 365. У цій статті наведено кілька прикладів сценаріїв, які допоможуть спланувати зміни в підключенні до Інтернету та периметрі у зв’язку з переміщенням до служби Office 365. Докладні відомості про те, як клієнти зазвичай підключаються до Office 365, див. в статті Підключення клієнта.

Наведені нижче сценарії допоможуть спланувати підключення до мережі для розгортання служби Office 365. Вони призначені для розгортань за допомогою Azure ExpressRoute для Office 365 і безпосередньо через Інтернет. Закінчивши розгортання, ознайомтеся тут із принципами моніторингу підключення до служби Office 365.

Примітка : Служба Azure ExpressRoute для Office 365 поки що не підтримує протокол IPv6. Якщо не вимкнути цей протокол, він використовуватиметься за замовчуванням замість ExpressRoute.

Маршрутизація трафіку Office 365 кількома шляхами

Працівники компанії Trey Research можуть отримувати доступ до служб і веб-сайтів в Інтернеті, лише якщо підрозділ безпеки явно дозволив це на двох вихідних проксі-серверах, розташованих між корпоративною мережею та їхнім інтернет-провайдером.

Спеціалісти IT-відділу Trey Research планують використовувати Azure ExpressRoute для Office 365. Вони розуміють, що деякий трафік (зокрема, трафік, який призначено для мереж доставки вмісту) неможливо спрямувати через підключення ExpressRoute для Office 365. Оскільки весь трафік уже спрямовується на апаратні проксі-сервери за замовчуванням, ці запити надходитимуть як описано вище. Впевнившись у спроможності задовольнити вимоги маршрутизації Azure ExpressRoute і NAT, працівники компанії Trey Research почали створювати ланцюг. Вони настроїли маршрутизацію та зв’язали новий ланцюг ExpressRoute із віртуальною мережею. Створивши базову конфігурацію Azure ExpressRoute, вони додали кінцеві точки Office 365, які підтримує ExpressRoute для Office 365, до файлу або URL-адреси для автоматичної настройки конфігурації проксі-сервера, щоб спрямувати трафік із даними клієнта через приватні підключення ExpressRoute для Office 365.

На схемі нижче показано, як працівники компанії Trey Research надсилають одні запити через середовище вихідного проксі-сервера, а інші – через ланцюг ExpressRoute для Office 365, щоб отримати доступ до служби Office 365.

  1. На клієнтах настроєно маршрутизацію за замовчуванням на проксі-сервери Trey Research.

  2. Щоб спрямувати трафік через окрему вихідну точку для Azure ExpressRoute для Office 365, використовується файл або URL-адреса для автоматичної настройки конфігурації проксі-сервера.

У цьому прикладі сценарію компанія Trey Research використовує вихідний апаратний проксі-сервер. Крім апаратного проксі-сервера, можна використовувати пристрої інших типів. Аналогічно, клієнти, які не використовують Azure ExpressRoute для Office 365, можуть скористатися цим методом, щоб спрямувати трафік із урахуванням витрат на контрольний трафік, призначений для відомих кінцевих точок, у які надходять великі обсяги даних.

Нижче наведено перелік імен FQDN для місць призначення служб Exchange Online і SharePoint Online, куди надходять великі обсяги даних. Цей список допоможе розпочати роботу.

  • outlook.office365.com

  • outlook.office.com 

  • <ім’я_клієнта>.sharepoint.com

  • <ім’я_клієнта>-my.sharepoint.com

  • <ім’я_клієнта>-<програма>.sharepoint.com

Дізнайтеся більше про те, як розгортати проксі-сервери та керувати їхніми настройками в ОС Windows 8, а також, як перевірити, чи не регулює проксі-сервер роботу служби Office 365.

(На початок)

Вибіркова маршрутизація через приватну глобальну мережу або підключення до Інтернету

Філіали компанії Humongous Insurance розосереджено по всьому світу. Маючи на меті безпеку, ця компанія запроваджує Azure ExpressRoute для Office 365, щоб використовувати підключення до приватної мережі для більшої частини трафіку служби Office 365. Також у компанії Humongous Insurance є невеликий віддалений філіал, який не використовує ланцюг ExpressRoute. Щоб використовувати підключення ExpressRoute, працівникам віддаленого філіалу потрібно повернути трафік до головного філіалу.

Щоб упровадити цей сценарій, компанія Humongous Insurance використовує файли для автоматичної настройки конфігурації проксі-сервера як описано вище. Ці файли використовуються, щоб надсилати запити працівників віддаленого філіалу на вміст третіх сторін (зокрема, вміст, який зберігається в мережі доставки вмісту). Такий вміст надається безпосередньо з найближчого до їхнього філіалу розташування під час вибіркової маршрутизації трафіку Office 365 до головного офісу.

Для компанії Humongous Insurance важливо, щоб трафік, який передається через підключення між службою Office 365 і віддаленим філіалом, надсилався до центру обробки даних Office 365 найближчого головного офісу. Для цього компанія Humongous Insurance упровадила перенаправлення служби DNS, яке дає можливість зменшити кількість циклів передавання та операцій пошуку служби DNS, необхідних, щоб установити відповідний зв’язок із середовищем служби Office 365, найближчим до вихідної точки підключення головного офісу до Інтернету. Щоб використовувати ExpressRoute для Office 365, потрібно застосовувати перетворення адрес вихідних мереж (SNAT). Тоді служба Office 365 зможе підключитися не до найближчого географічного розташування клієнта, а до розташування, з якого встановлено вихідні підключення. Іноді перетворення адрес вихідних мереж називають прихованим NAT або перетворенням адрес портів (PAT). Див. додаткові відомості про NAT.

Щоб спочатку визначити, як різні служби Office 365 керують підключеннями клієнта, див. статтю Підключення клієнта. Також ви можете дізнатися, як призначати умовний сервер пересилання для імені домену, а також про зв’язки однорангової взаємодії Microsoft.

(На початок)

Захист ExpressRoute для Office 365

Компанія Woodgrove Bank планує запровадити Azure ExpressRoute для Office 365. Розробивши прийнятну схему маршрутизації запитів до Інтернету, працівники компанії повинні визначити найкращий спосіб захисту периметра. Woodgrove розглядає кілька варіантів, що залежать від типу партнера Azure ExpressRoute. Вони, зокрема, можуть:

  • використати наявну систему безпеки периметра в наявних фізичних розташуваннях;

  • додати нове рішення для захисту периметра й використовувати його для маршрутизації вихідного трафіку;

  • додати систему безпеки периметра до фізичного розташування партнера ExpressRoute.

Оптимальне рішення для Woodgrove Bank залежить від типу партнера Azure ExpressRoute, кількості фізичних розташувань і вже впроваджених систем безпеки. Додаткові відомості про настроювання й обслуговування Azure ExpressRoute див. в бібліотеці Azure ExpressRoute.

Створення резервних підключень

Щоб підвищити рівень конфіденційності, надійності й передбачуваності виділеного з’єднання, компанія World Wide Importers підключається до служби Office 365 за допомогою Azure ExpressRoute для Office 365. Компанія World Wide Importers найвище цінує надійність, оскільки програми служби Office 365 критично важливі для бізнесу. Застосування SLA служби Office 365 до підключення до мережі – це важливий крок у напрямку підвищення надійності. В Azure ExpressRoute передбачено кілька можливостей, які підвищують надійність підключення до служби Office 365. Зокрема, використовуються резервні пристрої підключення в хмарі Microsoft і послуги партнера ExpressRoute, що забезпечує доступність протягом 99,9 % часу відповідно до умов SLA.

На додачу до цього резервування, World Wide Importers розглядає кілька варіантів покращення резервування на своїй стороні підключення до служби Office 365. Ці варіанти описано в таблиці нижче.

Варіант

Особливі примітки

Можливі проблеми

Докладні відомості про впровадження

Перехід на інший ресурс в іншому географічному регіоні

Філіали компанії World Wide Importers розташовано в різних куточках світу. Для всіх великих філіалів передбачено ланцюги Azure ExpressRoute. Таким чином, один із варіантів – перехід на інший ресурс у найближчому філіалі.

Пропускної здатності в додатковому розташуванні не вистачить, щоб обробити додатковий трафік.

Настройте конфігурацію таким чином, щоб запити до служби Office 365 спрямовувалися в додатковий регіон.

Додайте сервер пересилання служби DNS, як описано в розділі "Вибіркова маршрутизація через приватну глобальну мережу або підключення до Інтернету".

Перехід на інший ресурс в Інтернеті

Усі філіали мають підключення до Інтернету, через яке обробляється трафік, що не проходить через ланцюг Azure ExpressRoute. Тому один із варіантів – відновлення після відмови в Інтернеті.

Пропускна здатність і резервування підключення до Інтернету можуть виявитися недостатніми.

Настройте конфігурацію таким чином, щоб запити до служби Office 365 спрямовувалися в додатковий регіон.

Перехід на інший ресурс в іншому локальному ланцюзі Azure ExpressRoute

На даний момент World Wide Importers використовує один ланцюг Azure ExpressRoute на розташування з резервними маршрутизаторами.

Вартість додавання допоміжного ланцюга, який оброблятиме весь трафік, може виявитися зависокою.

Збільште вдвічі кількість ланцюгів і пристроїв.

Залишилися запитання щодо планування та впровадження керування трафіком або Azure ExpressRoute? Інші рекомендації щодо настроювання мережі та продуктивності можна знайти тут або в статті Azure ExpressRoute: запитання й відповіді.

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×