<!-- AI_TASK_START: AI标题翻译 -->
[解决方案] ExpressRoute 网关迁移手册
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 解决方案分析
## 解决方案概述
本文档详细阐述了Azure ExpressRoute网关从非区域冗余SKU迁移到区域冗余SKU(如ErGw1Az/ErGw2Az/ErGw3Az)的过程,同时将关联的公网IP从Basic SKU升级到Standard SKU。核心目标是通过提升网关的**区域冗余**能力,确保对区域故障的弹性,提高整体可靠性、性能和安全性。该解决方案针对即将于2025年9月底退役的Basic SKU公网IP问题,提供及时迁移指导,适用于混合云环境中的企业用户。背景包括ExpressRoute网关的原有SKU在高可用性方面不足,以及升级后能更好地支持控制平面通信,满足**IT Service Management (ITSM)** 标准和业务连续性需求。
## 实施步骤
1. **准备阶段**
- 获取**Stakeholder Approvals**和Change Request批准,确保变更过程受控。
- 规划维护窗口,选择低活动期以最小化中断,并准备备份计划,包括配置备份(如使用PowerShell命令备份ExpressRoute网关)。
- 进行预迁移测试,包括**Connectivity Tests**(如ICMP ping测试)、**Application access test**和**Latency and throughput tests**(使用工具如ACT、iPerf或PSPing)。
2. **预迁移操作**
- 发送提前通知邮件给相关利益相关者。
- 停止或最小化IOs(如在混合私有端点上停止流量),并验证网关子网IP地址空间(如确保/27前缀可用)。
- 测试迁移过程在非生产环境(可选)。
3. **迁移执行**
- **使用Azure门户**:测试连接性,确认支持工程师待命,发送中断通知邮件,然后通过门户执行迁移(参考Microsoft Learn文档)。
- **使用PowerShell**:类似步骤,通过脚本执行迁移。
- 迁移后立即重启IOs,并进行验证测试,包括**BGP Peering**检查、路由传播验证和重新运行连接性测试。
4. **后迁移和回滚**
- 更新Change Request和CMDB记录,并获取利益相关者签收。
- 若出现问题,执行回滚计划:通过Microsoft支持恢复原网关,并重新验证连接性。
## 方案客户价值
- **提升可靠性**:通过**区域冗余**设计,网关能抵抗区域故障,提高可用性,避免单点失效风险,从而减少服务中断对业务的冲击。
- **改善性能和安全性**:Standard SKU公网IP提供更好的性能和安全特性,支持高并发场景,适用于混合连接环境,但需在迁移窗口内管理短暂的连接中断。
- **合规和风险管理**:符合ITSM指南,帮助用户避免Basic SKU退役后的支持问题,确保长期兼容性,与传统非冗余架构相比,显著降低了故障恢复时间。
## 涉及的相关产品
- **ExpressRoute网关**:核心组件,用于处理Azure与本地网络的专用连接,在方案中提供区域冗余版本,提升高可用性。
- **Azure门户**:用户界面工具,支持图形化迁移操作,便于非技术用户执行步骤。
- **PowerShell**:脚本工具,用于自动化迁移过程,提高效率和可重复性。
- **测试工具(如ACT、iPerf、PSPing)**:辅助验证网络性能和连接性,确保迁移前后的一致性。
## 技术评估
本解决方案的技术先进性体现在采用**区域冗余**架构,充分利用Azure的可用区功能,提升网关的故障耐受力和整体可用性,可行性高,通过标准化步骤和工具(如PowerShell脚本)实现。该方案适用于单区域或多区域部署,特别适合需要高性能混合云的行业,如金融和企业IT。但在迁移过程中可能面临短暂的连接中断,增加了管理复杂度;在大规模组网场景下,用户需注意IP地址空间要求,以避免验证阶段的潜在问题。总体而言,该方案在可靠性提升上具有显著优势,但需结合具体环境评估中断风险。
## 其他信息
- **联系和支持**:可通过Azure支持门户寻求帮助,确保迁移顺利。
- **参考文档**:包括Microsoft Learn中的迁移指南和PowerShell安装指引,提供额外技术细节。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# ExpressRoute 网关 (ExpressRoute Gateway) 迁移手册
**原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/expressroute-gateway-migration-playbook/4398933](https://techcommunity.microsoft.com/blog/azurenetworkingblog/expressroute-gateway-migration-playbook/4398933)
**发布时间:** 2025-03-31
**厂商:** AZURE
**类型:** TECH-BLOG
---
Azure Networking Blog
# ExpressRoute 网关 (ExpressRoute Gateway) 迁移手册
Mar 31, 2025
## 文档概述
本文档概述了将 ExpressRoute 网关 (ExpressRoute Gateway) 升级到区域冗余 SKU (Zone-redundant SKU) 以及将公共 IP 升级到 Standard SKU 的过程,从而提升可靠性、性能和安全性。它强调了遵守 IT 服务管理 (ITSM) 指南的重要性,以确保所有最佳实践和标准得到执行。
迁移应安排在计划的维护窗口内,以最小化对用户和服务的影响。该窗口需仔细选择,以符合业务需求并减少停机。在整个过程中,应实施详细的监控和日志记录,以跟踪进度并快速解决任何问题。
#### 单区域 ExpressRoute 网关 (ExpressRoute Gateway):
#### 区域冗余 ExpressRoute 网关 (ExpressRoute Gateway):
## 背景
- ExpressRoute 网关 (ExpressRoute Gateway) Standard SKU 是一种非区域冗余 SKU,这会降低服务的弹性。
- Basic SKU 公共 IP 将于 2025 年 9 月底退役。在此日期后,该 SKU 的支持将停止,这可能影响 ExpressRoute 网关 (ExpressRoute Gateway) 的支持。
- ExpressRoute 网关 (ExpressRoute Gateway) 公共 IP 用于控制平面通信。
## 迁移场景
本文档适用于以下所有场景:
1. 将 ExpressRoute 网关 (ExpressRoute Gateway) Standard/High/Ultraperformance SKU 迁移到 ErGw1Az/ ErGw2Az/ ErGw3Az SKU。
2. 将 ExpressRoute 网关 (ExpressRoute Gateway) Standard/High/Ultraperformance SKU 迁移到 Standard/High/Ultraperformance (Multi-Zone) SKU。
3. 单区域和多区域区域。
4. 在单区域中部署的区域冗余 SKU (ErGw1Az/ErGw2Az/ErGw3Az)。
## 先决条件
- **利益相关者批准:** 确保 ITSM 批准到位,以确保对 IT 系统的更改得到适当审查和授权。
- **变更请求 (CR):** 提交并获得变更请求批准,以保证所有 IT 系统修改得到彻底审查、授权并在受控方式下实施。
- **维护窗口:** 在为生产工作安排维护窗口时,请考虑以下内容。
- **关键考虑因素**
- **最小化中断:** 在低活动期安排,通常在标准工作时间外或周末。
- **确保充足人员:** 确保必要的员工和资源可用,包括技术支持。
- **与生产周期对齐:** 与相关部门协调,以与生产周期对齐。
- **最佳实践**
- **预防性和预测性维护:** 关注定期检查、部件更换和系统升级。
- **有效沟通:** 提前通知利益相关者维护计划。
- **适当规划:** 使用历史数据和洞察来识别最佳维护时段。
**备份计划:** 记录回滚或前滚程序,以防失败发生。
- **最小化中断:** 备份计划可减少计划维护期间的中断,尤其是针对可能关闭或重启的虚拟机 (VM)。
- **确保数据完整性:** 通过事先备份关键数据来保护免受数据丢失或损坏。
- **促进快速恢复:** 如果出现问题,可实现快速恢复,维护业务连续性和最小化停机。
- **当前配置备份:** 备份 ExpressRoute 网关 (ExpressRoute Gateway)、ExpressRoute 网关 (ExpressRoute Gateway) 连接以及与网关关联的路由表 (如果有) 属性。
[以下是用于备份 ExpressRoute 网关 (ExpressRoute Gateway) 配置的 PowerShell 命令。 ](<https://github.com/Azure/Azure-Networking/tree/main/expressroute-gateway#readme>)
### 查看网关迁移文章
- [关于迁移到启用可用区 (Availability Zone) 的 ExpressRoute 虚拟网络网关 - Azure ExpressRoute | Microsoft Learn](<https://learn.microsoft.com/en-us/azure/expressroute/gateway-migration>)
准备好随时打开 Microsoft 支持票证 (可选/主动): 在某些边缘场景中,如果迁移遇到障碍,请准备好必要细节来打开 Microsoft 支持票证。在票证中,向支持工程师提供维护计划,并确保他们充分了解您的环境特定配置。
## 迁移前准备
## 测试
- **连通性测试:** 运行网络可达性测试以验证当前状态。其中一些示例测试包括:
- **从本地 (on-premises) 虚拟机到 Azure 虚拟机的 ICMP 测试** 以测试基本连通性。Ping 本地虚拟机到 Azure 虚拟机。
`$ ping <Azure-Virtual-Machine-IP>`
- **应用程序访问测试:** 从本地访问运行在 Azure 中的工作负载应用程序。这取决于客户应用程序。例如,如果是 Web 应用程序,从浏览器上的笔记本或本地机器访问 Web 服务器。
- **延迟和吞吐量测试:** 可以使用 Azure Connectivity Toolkit (ACT) 测试延迟和吞吐量。请参考此链接获取安装详情。 [**排查网络链接性能: Azure ExpressRoute | Microsoft Learn**](<https://learn.microsoft.com/en-us/azure/expressroute/expressroute-troubleshooting-network-performance#azurect---the-azure-connectivity-toolkit>)
`$ Get-LinkPerformance -RemoteHost 10.0.0.1 -TestSeconds 10`
- **测试抖动和丢包时可以使用**
PSPing: psping -l 1024 -n 100 <Azure_VM_IP>:443
PathPing: pathping <Azure VM IP>
捕获上述测试结果,以便与迁移后比较。
“iperf” 是另一个广泛用于吞吐量和延迟测试的工具。
Web 基础的延迟工具也可行: <https://www.azurespeed.com/>
- **在较低环境测试整个 ExpressRoute 网关 (ExpressRoute Gateway) 迁移过程 (可选):** 换句话说,在非生产环境中迁移一个 ExpressRoute 网关 (ExpressRoute Gateway)。
### 高级通知
提前几周向相关利益相关者和受影响的用户/团队发送电子邮件。
在前一天向同一组发送最终通知。
### 停止混合私有端点上的 IO
使用私有端点 (Private Endpoints) 在 Azure 上通过 ExpressRoute 混合连接,提供安全、可靠和高性能的连接到 Azure 服务。通过利用 ExpressRoute 的私有对等 (Private Peering) 和连接模型,您可以确保流量保持在 Microsoft 全球网络内,避免公共互联网暴露。这种设置适合需要高安全性、一致性能以及本地和 Azure 环境无缝集成的场景。
在通过 ExpressRoute 私有对等连接的虚拟网络中,私有端点 (PEs) 可能在迁移期间经历连通性中断。
为避免此问题,请停止所有混合私有端点上的 IO。
### 验证迁移所需 IP 地址
我们的指导是继续迁移,在 GatewaySubnet 中需要 /27 前缀或更长。前缀。**迁移功能** 在验证阶段检查地址空间是否足够。
在没有足够 IP 地址来创建区域冗余 ExpressRoute 网关 (ExpressRoute Gateway) 的场景中,网关迁移脚本将向子网添加额外前缀。作为用户,您无需采取任何行动。迁移功能会通知您是否需要更多 IP。
## 迁移步骤
### 使用 Azure 门户进行迁移
#### **步骤 1:** 测试从本地到 Azure 通过 ExpressRoute 网关 (ExpressRoute Gateway) 的连通性。参考步骤 7。
#### **步骤 2:** 验证 Microsoft Azure 支持工程师已待命。
#### **步骤 3:** 发送电子邮件通知用户计划的连通性中断开始。
#### **步骤 4:** 停止或最小化 ExpressRoute 电路上的 IO (停机)。最小化 IO 将减少影响。
#### **步骤 5:**
[在 Azure 门户中迁移到启用可用区的 ExpressRoute 虚拟网络网关 - Azure ExpressRoute | Microsoft Learn](<https://learn.microsoft.com/en-us/azure/expressroute/expressroute-howto-gateway-migration-portal#migrate-to-a-new-gateway-in-azure-portal>)
#### **步骤 6:** 重新启动 ExpressRoute 电路上的 IO。
#### **步骤 7:** 验证和测试迁移后连通性。
- **验证 BGP 对等:**
Get-AzExpressRouteCircuitPeering -ResourceGroupName <RG> -CircuitName <CircuitName>
- **路由传播检查:**
Get-AzExpressRouteCircuitRouteTable -ResourceGroupName <RG> -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering
- **连通性测试:** 运行网络可达性测试以验证当前状态。其中一些示例测试包括:
- **从本地虚拟机到 Azure 虚拟机的 ICMP 测试** 以测试基本连通性。Ping 本地虚拟机到 Azure 虚拟机。
`$ ping <Azure-Virtual-Machine-IP>`
- **应用程序访问测试:** 从本地访问运行在 Azure 中的工作负载应用程序。这取决于客户应用程序。例如,如果是 Web 应用程序,从浏览器上的笔记本或本地机器访问 Web 服务器。
- **延迟和吞吐量测试:** 可以使用 ACT 测试延迟和吞吐量。请参考此链接获取安装详情。 [**排查网络链接性能: Azure ExpressRoute | Microsoft Learn**](<https://learn.microsoft.com/en-us/azure/expressroute/expressroute-troubleshooting-network-performance#azurect---the-azure-connectivity-toolkit>)
`$ Get-LinkPerformance -RemoteHost 10.0.0.1 -TestSeconds 10`
- **测试抖动和丢包时可以使用**
PSPing: psping -l 1024 -n 100 <Azure_VM_IP>:443
PathPing: pathping <Azure VM IP>
将新结果与中断前捕获的比较。
- 验证迁移成功。ExpressRoute 网关 (ExpressRoute Gateway) 已迁移到新 SKU。
### 使用 PowerShell 进行迁移
#### **步骤 1:** 测试从本地到 Azure 通过 ExpressRoute 网关 (ExpressRoute Gateway) 的连通性。参考步骤 7。
#### **步骤 2:** 验证 Microsoft Azure 支持工程师已待命。参考。
#### **步骤 3:** 发送电子邮件通知用户计划的连通性中断开始。
#### **步骤 4:** 停止或最小化 ExpressRoute 电路上的 IO (停机)。最小化 IO 将减少影响。
#### **步骤 5:**
[使用 PowerShell 迁移到启用可用区的 ExpressRoute 虚拟网络网关 - Azure ExpressRoute | Microsoft Learn](<https://learn.microsoft.com/en-us/azure/expressroute/expressroute-howto-gateway-migration-powershell#migrate-to-a-new-gateway-in-using-powershell>)
#### **步骤 6:** 重新启动 ExpressRoute 电路上的 IO。
#### **步骤 7:** 验证和测试迁移后连通性。
- **验证 BGP 对等:**
Get-AzExpressRouteCircuitPeering -ResourceGroupName <RG> -CircuitName <CircuitName>
- **路由传播检查:**
Get-AzExpressRouteCircuitRouteTable -ResourceGroupName <RG> -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering
- **连通性测试:** 运行网络可达性测试以验证当前状态。其中一些示例测试包括:
- **从本地虚拟机到 Azure 虚拟机的 ICMP 测试** 以测试基本连通性。Ping 本地虚拟机到 Azure 虚拟机。
`$ ping <Azure-Virtual-Machine-IP>`
- **应用程序访问测试:** 从本地访问运行在 Azure 中的工作负载应用程序。这取决于客户应用程序。例如,如果是 Web 应用程序,从浏览器上的笔记本或本地机器访问 Web 服务器。
- **延迟和吞吐量测试:** 可以使用 ACT 测试延迟和吞吐量。请参考此链接获取安装详情。 [**排查网络链接性能: Azure ExpressRoute | Microsoft Learn**](<https://learn.microsoft.com/en-us/azure/expressroute/expressroute-troubleshooting-network-performance#azurect---the-azure-connectivity-toolkit>)
`$ Get-LinkPerformance -RemoteHost 10.0.0.1 -TestSeconds 10`
- **测试抖动和丢包时可以使用**
PSPing: psping -l 1024 -n 100 <Azure_VM_IP>:443
PathPing: pathping <Azure VM IP>
将新结果与中断前捕获的比较。
- 验证迁移成功。ExpressRoute 网关 (ExpressRoute Gateway) 已迁移到新 SKU。
## 回滚计划
如果迁移过程中出现任何问题,请寻求 Microsoft 支持工程师帮助:
- **恢复先前网关:** 使用备份的配置根据支持工程师的指导恢复原始网关或创建一个新网关。
- **验证连通性:** 执行上述步骤 7 中提到的本地到 Azure 连通性测试。
## 迁移后步骤
- **更新变更请求:** 记录并关闭 CR。
- **更新 CMDB:** 在配置管理数据库中反映新网关细节。
- **利益相关者签字:** 确保所有团队验证并批准更改。
## 联系信息
- **网络团队:**
- **Azure 支持:** [Azure Support Portal](<https://azure.microsoft.com/en-us/support/>)
## 参考资料
- [Azure ExpressRoute 网关 (ExpressRoute Gateway) 迁移文档](<https://learn.microsoft.com/en-us/azure/expressroute/gateway-migration>)
- [使用 PowerShellGet 安装 Azure PowerShell | Microsoft Learn](<https://learn.microsoft.com/en-us/powershell/azure/install-az-ps?view=azps-0.10.0>)
Updated Mar 31, 2025
Version 4.0
<!-- AI_TASK_END: AI全文翻译 -->