Použití návrhu řešení Azure VMware s duální oblastí, který má Virtual WAN a Global Reach
Tento článek popisuje osvědčené postupy pro připojení, toky provozu a vysokou dostupnost při nasazování řešení Azure VMware ve dvou oblastech. Poskytuje pokyny pro zabezpečení služby Azure Virtual WAN se záměrem směrování a službou Azure ExpressRoute Global Reach. Tento článek popisuje virtual WAN s topologií záměru směrování pro privátní cloudy Azure VMware Solution, místní lokality a prostředky nativní pro Azure.
Implementace a konfigurace zabezpečené sítě Virtual WAN se záměrem směrování jsou nad rámec tohoto článku. Tento článek předpokládá, že máte základní znalosti o službě Virtual WAN a zabezpečení virtual WAN se záměrem směrování.
Použití zabezpečené služby Virtual WAN a Global Reach ve dvou oblastech
Pouze skladová položka Virtual WAN Úrovně Standard podporuje zabezpečenou službu Virtual WAN se záměrem směrování. Pomocí zabezpečené sítě Virtual WAN se záměrem směrování odesílat veškerý internetový provoz a privátní síťový provoz do řešení zabezpečení, jako je Azure Firewall, síťové virtuální zařízení (NVA) jiného než Microsoftu nebo řešení saaS (software jako služba). Pokud používáte záměr směrování, musíte mít zabezpečené centrum Virtual WAN.
Centrum tohoto scénáře má následující konfiguraci:
Síť se dvěma oblastmi má jednu virtuální síť WAN a dvě rozbočovače. Každá oblast má jedno centrum.
Každé centrum má nasazenou vlastní instanci služby Azure Firewall, díky které jsou zabezpečená centra Virtual WAN.
Zabezpečené rozbočovače Virtual WAN mají povolený záměr směrování.
Tento scénář má také tyto komponenty:
Každá oblast má vlastní privátní cloud Azure VMware Solution a virtuální síť Azure.
Místní lokalita se připojuje k oběma oblastem.
Prostředí má připojení Global Reach.
Global Reach vytvoří přímé logické propojení prostřednictvím páteřní sítě Microsoftu, která propojuje řešení Azure VMware s místními nebo regionálními privátními cloudy Azure VMware Solution.
Připojení Global Reach nepřenosují brány firewall centra. Proto se provoz Global Reach mezi weby nekontroluje.
Poznámka:
Pokud chcete zlepšit zabezpečení mezi lokalitami Global Reach, zvažte kontrolu provozu v prostředí NSX-T nebo místní brány firewall prostředí Azure VMware Solution.
Následující diagram znázorňuje příklad tohoto scénáře.
Následující tabulka popisuje připojení topologie v předchozím diagramu.
| Connection | Popis |
|---|---|
| A | Připojení Azure VMware Solution region 1 Global Reach zpět k místnímu prostředí |
| T | Připojení Azure VMware Solution region 2 Global Reach zpět k místnímu prostředí |
| C | Připojení Azure VMware Solution Global Reach mezi dvěma spravovanými okruhy privátních cloudů |
| D | Připojení privátního cloudu Azure VMware Solution k místnímu centru |
| E | Místní připojení přes ExpressRoute k oběma oblastním rozbočovačům |
| Interhub | Logické připojení mezihuby mezi dvěma rozbočovači nasazenými ve stejné službě Virtual WAN |
Poznámka:
Když nakonfigurujete Azure VMware Solution se zabezpečenými rozbočovači Virtual WAN, nastavte možnost předvolby směrování centra na AS Path , abyste zajistili optimální výsledky směrování v centru. Další informace najdete v tématu Předvolby směrování virtuálního centra.
Toky provozu virtual WAN zabezpečené v duální oblasti
Následující části popisují toky provozu a možnosti připojení pro Azure VMware Solution, místní sítě, virtuální sítě Azure a internet při použití služby Global Reach.
Připojení privátního cloudu Azure VMware Solution mezi oblastmi a toky provozu
Následující diagram znázorňuje toky provozu pro dva privátní cloudy Azure VMware Solution ve dvou oblastech.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 0 | Cloudová oblast Azure VMware Solution 1 | Virtuální síť 1 | Ano, přes bránu firewall centra 1 |
| 2 | Cloudová oblast Azure VMware Solution 1 | Místní | Ne, provoz obchází bránu firewall a prochází připojením Global Reach A. |
| 3 | Cloudová oblast Azure VMware Solution 1 | Virtuální síť 2 | Ano, přes bránu firewall centra 2 |
| 4 | Cloudová oblast Azure VMware Solution 1 | Cloudová oblast Azure VMware Solution 2 | Ne, provoz obchází bránu firewall a prochází připojením Global Reach C. |
| 5 | Cloudová oblast Azure VMware Solution 2 | Virtuální síť 1 | Ano, přes bránu firewall centra 1 |
| 6 | Cloudová oblast Azure VMware Solution 2 | Virtuální síť 2 | Ano, přes bránu firewall centra 2 |
| 7 | Cloudová oblast Azure VMware Solution 2 | Místní | Ne, provoz obchází bránu firewall a prochází připojením Global Reach B. |
Každý privátní cloud Azure VMware Solution se připojuje ke svému místnímu centru prostřednictvím připojení ExpressRoute D.
Každá cloudová oblast Azure VMware Solution se připojuje zpět k místní síti přes ExpressRoute Global Reach. Každá cloudová oblast Azure VMware Solution má vlastní připojení Global Reach (připojení A a B). A privátní cloudy Azure VMware Solution se vzájemně připojují přímo prostřednictvím připojení Global Reach C. Provoz Global Reach nikdy nepřevozuje žádné brány firewall rozbočovače.
Nakonfigurujte všechna tři připojení Global Reach. Tento krok musíte provést, abyste zabránili problémům s připojením mezi lokalitami Global Reach.
Místní připojení a tok provozu
Následující diagram znázorňuje toky provozu pro místní lokalitu.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 2 | Místní | Cloudová oblast Azure VMware Solution 1 | Ne, provoz obchází bránu firewall a prochází připojením Global Reach A. |
| 7 | Místní | Cloudová oblast Azure VMware Solution 2 | Ne, provoz obchází bránu firewall a prochází připojením Global Reach B. |
| 8 | Místní | Virtuální síť 1 | Ano, přes bránu firewall centra 1 |
| 9 | Místní | Virtuální síť 2 | Ano, přes bránu firewall centra 2 |
Místní lokalita se připojuje k 1. i 2. oblasti rozbočovači přes připojení ExpressRoute E.
Místní systémy můžou komunikovat s cloudovou oblastí Azure VMware Solution 1 prostřednictvím připojení Global Reach A a s cloudovou oblastí Azure VMware Solution 2 prostřednictvím připojení Global Reach B.
Nakonfigurujte všechna tři připojení Global Reach. Tento krok musíte provést, abyste zabránili problémům s připojením mezi lokalitami Global Reach.
Připojení k virtuální síti Azure a tok provozu
Následující diagram znázorňuje toky provozu pro virtuální sítě.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 0 | Virtuální síť 1 | Cloudová oblast Azure VMware Solution 1 | Ano, přes bránu firewall centra 1 |
| 3 | Virtuální síť 2 | Cloudová oblast Azure VMware Solution 1 | Ano, přes bránu firewall centra 2 |
| 5 | Virtuální síť 1 | Cloudová oblast Azure VMware Solution 2 | Ano, přes bránu firewall centra 1 |
| 6 | Virtuální síť 2 | Cloudová oblast Azure VMware Solution 2 | Ano, přes bránu firewall centra 2 |
| 8 | Virtuální síť 1 | Místní | Ano, přes bránu firewall centra 1 |
| 9 | Virtuální síť 2 | Místní | Ano, přes bránu firewall centra 2 |
| 10 | Virtuální síť 1 | Virtuální síť 2 | Ano, přes bránu firewall centra 1. Provoz pak prochází přes připojení mezihuby a kontroluje se přes bránu firewall centra 2. |
Obě virtuální sítě jsou přímo v partnerském vztahu k místnímu centru.
Zabezpečené centrum, které má záměr směrování, odesílá výchozí adresy RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) do partnerských virtuálních sítí spolu s dalšími předponami, které se přidají jako předpony privátního provozu. Další informace najdete v tématu Předpony privátních adres záměru směrování.
Tento scénář má povolený záměr směrování, takže všechny prostředky ve virtuální síti 1 a virtuální síti 2 mají výchozí adresy RFC 1918 a jako další segment směrování používají bránu firewall místního místního centra. Veškerý provoz, který vstupuje do virtuálních sítí a ukončí je, prochází branami firewall centra.
Připojení k internetu
Tato část popisuje, jak zajistit připojení k internetu pro prostředky nativní pro Azure ve virtuálních sítích a privátních cloudech Azure VMware Solution v obou oblastech. Další informace najdete v tématu Aspekty návrhu připojení k internetu. Pomocí následujících možností můžete poskytnout připojení k internetu ke službě Azure VMware Solution.
- Možnost 1: Internetová služba hostovaná v Azure
- Možnost 2: Překlad síťových adres spravovaný řešením VMware (SNAT)
- Možnost 3: Veřejná adresa IPv4 Azure na hraniční zařízení datacentra NSX-T
Návrh virtuální sítě Virtual WAN se dvěma oblastmi, který má záměr směrování, podporuje všechny možnosti, ale doporučujeme možnost 1. Scénář dále v tomto článku používá možnost 1 k poskytování připojení k internetu. Možnost 1 funguje nejlépe se zabezpečenou službou Virtual WAN, protože je snadné ji kontrolovat, nasazovat a spravovat.
Při použití záměru směrování můžete vygenerovat výchozí trasu z brány firewall centra. Tato výchozí trasa inzeruje vaše virtuální sítě a privátní cloudy Azure VMware Solution.
Řešení Azure VMware a připojení k internetu virtuální sítě
Následující diagram znázorňuje připojení k internetu pro instance azure VMware Solution a virtuální sítě.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? | Internetový breakout |
|---|---|---|---|---|
| 11 | Cloudová oblast Azure VMware Solution 1 | Internet | Ano, přes bránu firewall centra 1 | Přes bránu firewall centra 1 |
| 12 | Cloudová oblast Azure VMware Solution 2 | Internet | Ano, přes bránu firewall centra 2 | Přes bránu firewall centra 2 |
| 15 | Virtuální síť 1 | Internet | Ano, přes bránu firewall centra 1 | Přes bránu firewall centra 1 |
| 16 | Virtuální síť 2 | Internet | Ano, přes bránu firewall centra 2 | Přes bránu firewall centra 2 |
Následující toky provozu jsou aktivní pouze v případě výpadku, který má vliv na místní místní centrum. Pokud například místní regionální centrum azure VMware Solution dojde k výpadku, internetový provoz se přesměruje do centra mezi oblastmi pro připojení k internetu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? | Internetový breakout |
|---|---|---|---|---|
| 13 | Cloudová oblast Azure VMware Solution 1 | Internet | Ano, provoz prochází přes připojení Global Reach C a brána firewall centra 2 ho kontroluje. | Přes bránu firewall centra 2 |
| 14 | Cloudová oblast Azure VMware Solution 2 | Internet | Ano, provoz prochází přes připojení Global Reach C a brána firewall centra 1 ho kontroluje. | Přes bránu firewall centra 1 |
Privátní cloud Azure VMware Solution zjišťuje výchozí trasu připojení k internetu z místního centra i z místního centra i z centra mezi oblastmi, takže můžete dosáhnout redundance připojení k internetu. Privátní cloud Azure VMware Solution upřednostňuje místní centrum pro primární připojení k internetu. Centrum mezi oblastmi slouží jako záloha internetu, pokud místní místní centrum selže. Toto nastavení poskytuje redundanci přístupu k internetu pouze pro odchozí provoz. U příchozího internetového provozu do úloh Azure VMware Solution zvažte použití služby Azure Front Door nebo Azure Traffic Manageru pro regionální vysokou dostupnost.
Privátní cloud Azure VMware Solution přijímá upřednostňovanou výchozí trasu ∞ 0.0.0.0/0 prostřednictvím připojení D z místního místního centra. Privátní cloud Azure VMware Solution obdrží výchozí trasu zálohování △ 0.0.0.0/0, která pochází z centra napříč oblastmi a inzeruje přes připojení Global Reach C. Pokud ale povolíte šíření výchozí trasy na místních připojeních ExpressRoute E, provoz přes internet mezi oblastmi směruje i tuto cestu.
Například meziregionální internetový provoz, který přechází z privátního cloudu Azure VMware 1 do centra 2, se distribuuje prostřednictvím směrování ECMP (Equal-Cost MultiPath) přes připojení C připojení Global Reach k připojení D a přes připojení A k připojení E. Podobně návratový provoz, který směřuje z centra 2 do oblasti privátního cloudu 1, prochází stejnými cestami přes ECMP. Nakonfigurujte všechna tři připojení Global Reach. Tento krok musíte provést, abyste zabránili problémům s připojením mezi lokalitami Global Reach.
Když ve výchozím nastavení povolíte směrovací záměr pro internetový provoz, zabezpečené centrum Virtual WAN neinzeruje výchozí trasu napříč okruhy ExpressRoute. Aby se zajistilo, že se výchozí trasa rozšíří do služby Azure VMware Solution z virtual WAN, musíte povolit šíření výchozích tras v okruhech Azure VMware Solution ExpressRoute. Další informace najdete v tématu Inzerování výchozí trasy 0.0.0.0/0 do koncových bodů.
Nepovolujte toto nastavení pro místní okruhy ExpressRoute. Connection D inzeruje výchozí trasu "∞ 0.0.0.0/0" do privátních cloudů Azure VMware Solution, ale výchozí trasa také inzeruje do místního prostředí prostřednictvím připojení Global Reach A a připojení Global Reach B. Proto doporučujeme, abyste na místním zařízení implementovali filtr BGP (Border Gateway Protocol), abyste vyloučili výuku výchozí trasy. Tento krok pomáhá zajistit, aby vaše konfigurace neměla vliv na místní připojení k internetu.
Každá virtuální síť se odesílají na internet přes místní bránu firewall centra. Když povolíte směrovací záměr pro přístup k internetu, výchozí trasa, kterou zabezpečené centrum Virtual WAN generuje, automaticky inzeruje připojení virtuální sítě v partnerském vztahu rozbočovače. Tato výchozí trasa ale neinzeruje přes propojení mezi různými oblastmi přes propojení mezihuby. Virtuální sítě proto používají místní regionální centrum pro přístup k internetu a nemají žádné záložní připojení k internetu k centru mezi oblastmi.