Použití návrhu řešení Azure VMware s duální oblastí, který nemá global Reach
Tento článek popisuje osvědčené postupy pro připojení, toky přenosů a vysokou dostupnost při nasazování řešení Azure VMware ve dvou oblastech a použití zabezpečené služby Azure Virtual WAN se záměrem směrování. Obsahuje pokyny k použití tohoto návrhu bez funkce Global Reach. Tento článek popisuje virtual WAN s topologií záměru směrování pro privátní cloudy Azure VMware Solution, místní lokality a prostředky nativní pro Azure. Implementace a konfigurace zabezpečené sítě Virtual WAN se záměrem směrování jsou nad rámec tohoto článku.
Pokud používáte oblast, která nepodporuje službu Global Reach nebo pokud máte požadavek na zabezpečení ke kontrole provozu mezi řešením Azure VMware a místním prostředím v bráně firewall centra, musíte otevřít lístek podpory, abyste umožnili průchod expressRoute-to-ExpressRoute. Virtual WAN ve výchozím nastavení nepodporuje průchodnost ExpressRoute-to-ExpressRoute. Další informace najdete v tématu Připojení přenosu mezi okruhy ExpressRoute se záměrem směrování.
Použití návrhu virtuální sítě Virtual WAN se zabezpečením v duální oblasti bez funkce Global Reach
Pouze skladová položka Virtual WAN Úrovně Standard podporuje zabezpečenou službu Virtual WAN se záměrem směrování. Pomocí zabezpečené sítě Virtual WAN se záměrem směrování můžete odesílat veškerý internetový provoz a provoz privátní sítě (RFC 1918) do řešení zabezpečení, jako je Azure Firewall, síťové virtuální zařízení (NVA) jiného než Microsoftu nebo řešení saaS (software jako služba).
Centrum tohoto scénáře má následující konfiguraci:
Síť se dvěma oblastmi má jednu instanci služby Virtual WAN a dvě rozbočovače. Každá oblast má jedno centrum.
Každé centrum má nasazenou vlastní instanci služby Azure Firewall, díky které jsou zabezpečená centra Virtual WAN.
Zabezpečené rozbočovače Virtual WAN mají povolený záměr směrování.
Tento scénář má také tyto komponenty:
Každá oblast má vlastní privátní cloud Azure VMware Solution a virtuální síť Azure.
Místní lokalita se připojuje k oběma oblastem.
Poznámka:
Pokud ve svých připojených místních prostředcích, virtuálních sítích nebo řešení Azure VMware použijete předpony jiné než RFC 1918, zadejte tyto předpony v poli Předpony privátního provozu funkce záměru směrování. Do pole Předpony privátního provozu zadejte souhrnné trasy, které pokrývají váš rozsah. Nezadávejte přesný rozsah, který inzeruje virtual WAN, protože tato specifikace může vést k problémům se směrováním. Pokud například okruh Azure ExpressRoute inzeruje 192.0.2.0/24 z místního prostředí, zadejte rozsah CIDR (Classless Inter-Domain Routing) /23 nebo větší, například 192.0.2.0/23. Další informace najdete v tématu Konfigurace záměru směrování a zásad prostřednictvím portálu Virtual WAN.
Poznámka:
Když nakonfigurujete Azure VMware Solution se zabezpečenými rozbočovači Virtual WAN, nastavte možnost předvolby směrování centra na AS Path , abyste zajistili optimální výsledky směrování v centru. Další informace najdete v tématu Předvolby směrování virtuálního centra.
Následující diagram znázorňuje příklad tohoto scénáře.
Následující tabulka popisuje připojení topologie v předchozím diagramu.
| Connection | Popis |
|---|---|
| D | Připojení privátního cloudu Azure VMware Solution k místnímu centru |
| E | Místní připojení přes ExpressRoute k oběma oblastním rozbočovačům |
| Interhub | Logické připojení mezihuby mezi dvěma rozbočovači nasazenými ve stejné službě Virtual WAN |
Toky provozu virtual WAN zabezpečené v duální oblasti
Následující části popisují toky provozu a možnosti připojení pro Azure VMware Solution, místní, virtuální sítě Azure a internet.
Připojení privátního cloudu Azure VMware Solution a toky provozu
Následující diagram znázorňuje toky provozu pro privátní cloudy Azure VMware Solution.
Následující tabulka popisuje připojení topologie v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 0 | Cloudová oblast Azure VMware Solution 1 | Virtuální síť 1 | Ano, přes bránu firewall centra 1 |
| 2 | Cloudová oblast Azure VMware Solution 1 | Místní | Ano, přes bránu firewall centra 1 |
| 3 | Cloudová oblast Azure VMware Solution 1 | Virtuální síť 2 | Ano, přes bránu firewall centra 1 a pak přes bránu firewall centra 2. |
| 4 | Cloudová oblast Azure VMware Solution 1 | Cloudová oblast Azure VMware Solution 2 | Ano, přes bránu firewall centra 1 a pak přes bránu firewall centra 2. |
| 5 | Cloudová oblast Azure VMware Solution 2 | Virtuální síť 1 | Ano, přes bránu firewall centra 2 a pak přes bránu firewall centra 1. |
| 6 | Cloudová oblast Azure VMware Solution 2 | Virtuální síť 2 | Ano, přes bránu firewall centra 2 |
| 7 | Cloudová oblast Azure VMware Solution 2 | Místní | Ano, přes bránu firewall centra 2 |
Každý privátní cloud Azure VMware Solution se připojuje k centru prostřednictvím připojení ExpressRoute D.
Když povolíte průchodnost ExpressRoute-to-ExpressRoute v zabezpečeném centru a povolíte směrovací záměr, zabezpečené centrum odešle výchozí adresy RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) do Azure VMware Solution přes připojení D. Kromě výchozích adres RFC 1918 se Azure VMware Solution dozví konkrétnější trasy z virtuálních sítí Azure a poboček, jako jsou S2S VPN, P2S VPN a SD-WAN, které se připojují k oběma rozbočovačům. Privátní cloudy Azure VMware Solution se neučte konkrétní trasy z místních sítí.
K směrování provozu zpět do místních sítí azure VMware Solution používá výchozí adresy RFC 1918, které se učí prostřednictvím připojení D z místního místního centra. Tento provoz prochází bránou firewall místního centra. Brána firewall centra používá konkrétní trasy pro místní sítě ke směrování provozu směrem k cílům přes připojení E. Provoz, který přechází z privátního cloudu Azure VMware Solution do virtuálních sítí, prochází bránou firewall centra.
Místní připojení a tok provozu
Následující diagram znázorňuje toky provozu pro místní připojení.
Následující tabulka popisuje připojení topologie v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 2 | Místní | Cloudová oblast Azure VMware Solution 1 | Ano, přes bránu firewall centra 1 |
| 7 | Místní | Cloudová oblast Azure VMware Solution 2 | Ano, přes bránu firewall centra 2 |
| 8 | Místní | Virtuální síť 1 | Ano, přes bránu firewall centra 1 |
| 9 | Místní | Virtuální síť 2 | Ano, přes bránu firewall centra 2 |
Místní lokalita se připojuje k oběma rozbočovačům přes připojení ExpressRoute E.
Když povolíte průchodnost ExpressRoute-to-ExpressRoute v obou zabezpečených centrech a povolíte směrovací záměr, každé zabezpečené centrum odešle výchozí adresy RFC 1918 (10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16) do místního prostředí přes připojení E. Kromě výchozích adres RFC 1918 se místní prostředí naučí konkrétnější trasy z virtuálních sítí Azure a poboček, jako jsou S2S VPN, P2S VPN a SD-WAN, které se připojují k oběma rozbočovačům.
Místní prostředí se nenaučí konkrétní trasy pro privátní cloudy Azure VMware Solution. Místní prostředí zjišťuje výchozí adresy RFC 1918 z obou center prostřednictvím připojení E. Místní trasy do privátních cloudů Azure VMware Solution prostřednictvím výchozích adres RFC 1918, které se učí přes připojení E.
Poznámka:
V obou centrech musíte přidat konkrétní trasy. Pokud do center nepřidáte konkrétní trasy, můžete zavést neoptimální směrování, protože místní prostředí používá směrování ECMP (Equal-Cost Multi-Path) mezi připojeními E pro provoz, který přechází do privátního cloudu Azure VMware Solution. V důsledku toho může docházet k latenci, problémům s výkonem nebo výpadkům paketů mezi místním prostředím a privátním cloudem Azure VMware Solution.
Pokud chcete inzerovat konkrétnější trasu do místního prostředí, zadejte tyto předpony v poli předpon privátního provozu funkce záměru směrování. Další informace najdete v tématu Konfigurace záměru směrování a zásad prostřednictvím portálu Virtual WAN. Musíte přidat souhrnnou trasu, která zahrnuje váš blok Azure VMware Solution /22 i podsítě Azure VMware Solution. Pokud místo souhrnné trasy přidáte stejnou přesnou předponu nebo konkrétnější předponu, zavádějí se problémy se směrováním v rámci prostředí Azure. Do pole Předpony privátního provozu zahrnout pouze souhrnné trasy.
Jak je znázorněno v diagramu, privátní cloud Azure VMware Solution 1 zahrnuje podsítě úloh od 10.10.0.0/24 do 10.10.7.0/24. V centru 1 se do předpon privátního provozu přidá souhrnná trasa 10.10.0.0/21, protože zahrnuje všechny osm podsítí. Kromě toho v centru 1 se do předpon privátního provozu přidá souhrnná trasa 10.150.0.0/22, která pokrývá blok správy řešení Azure VMware. Souhrnné trasy 10.10.0.0/21 a 10.150.0.0/22 se inzerují do místního prostředí prostřednictvím připojení E , aby místní síť měla konkrétnější trasu než 10.0.0.0/8.
Privátní cloud Azure VMware Solution 2 zahrnuje podsítě úloh od 10.20.0.0/24 do 10.20.7.0/24. V centru 2 se do předpon privátního provozu přidá souhrnná trasa 10.20.0.0/21, protože zahrnuje všechny osm podsítí. Kromě toho v centru 2 se do předpon privátního provozu přidá souhrnná trasa 10.250.0.0/22, která pokrývá blok správy řešení Azure VMware. Souhrnné trasy 10.20.0.0/21 a 10.250.0.0/22 inzerují do místního prostředí prostřednictvím připojení E , aby místní síť měla konkrétnější trasu než 10.0.0.0/8.
Do pole Předpony privátního provozu můžete přidat celý blok správy řešení Azure VMware /22, protože Azure VMware Solution neinzeruje přesný blok /22 zpět do Azure. Azure VMware Solution inzeruje konkrétnější trasy.
Když v centru povolíte průchodnost ExpressRoute-to-ExpressRoute, odešle výchozí adresy RFC 1918 do místní sítě. Neinzerujte přesné předpony RFC 1918 zpět do Azure. Stejné přesné trasy můžou způsobit problémy se směrováním v Rámci Azure. Místo toho byste měli inzerovat konkrétnější trasy zpět do Azure pro vaše místní sítě.
Poznámka:
Pokud inzerujete výchozí adresy RFC 1918 z místního prostředí do Azure a chcete pokračovat v tomto postupu, musíte rozdělit každý rozsah RFC 1918 do dvou stejných podrangů a inzerovat tyto podrangy zpět do Azure. Dílčí uspořádání jsou 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 a 192.168.128.0/17.
Připojení k virtuální síti Azure a tok provozu
Následující diagram znázorňuje toky provozu pro virtuální sítě Azure.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 0 | Virtuální síť 1 | Cloudová oblast Azure VMware Solution 1 | Ano, přes bránu firewall centra 1 |
| 3 | Virtuální síť 2 | Cloudová oblast Azure VMware Solution 1 | Ano, přes bránu firewall centra 2 a pak bránu firewall centra 1. |
| 5 | Virtuální síť 1 | Cloudová oblast Azure VMware Solution 2 | Ano, přes bránu firewall centra 1 pak bránu firewall centra 2. |
| 6 | Virtuální síť 2 | Cloudová oblast Azure VMware Solution 2 | Ano, přes bránu firewall centra 2 |
| 8 | Virtuální síť 1 | Místní | Ano, přes bránu firewall centra 1 |
| 9 | Virtuální síť 2 | Místní | Ano, přes bránu firewall centra 2 |
| 10 | Virtuální síť 1 | Virtuální síť 2 | Ano, přes bránu firewall centra 1 a pak bránu firewall centra 2. |
| 10 | Virtuální síť 2 | Virtuální síť 1 | Ano, přes bránu firewall centra 2 a pak bránu firewall centra 1. |
Každá virtuální síť přímo peersuje do svého regionálního centra.
Diagram znázorňuje, jak se všechny prostředky nativní pro Azure v obou virtuálních sítích učí jejich efektivní trasy. Když povolíte záměr směrování, centrum 1 a centrum 2 posílají výchozí adresy RFC 1918 do jejich partnerských virtuálních sítí. Prostředky nativní pro Azure ve virtuálníchsítích
Když povolíte záměr směrování, všechny prostředky ve virtuální síti zjistí výchozí adresu RFC 1918 a jako další segment směrování budou používat bránu firewall místního centra. Privátní cloudy Azure VMware Solution vzájemně komunikují přes připojení D přes místní bránu firewall centra. Odtud procházejí interhubem služby Virtual WAN a procházejí kontrolou v bráně firewall mezi oblastmi rozbočovače. Privátní cloudy Azure VMware Solution také komunikují s místním prostředím prostřednictvím připojení D přes místní bránu firewall centra. Veškerý provoz, který vstupuje do virtuálních sítí a ukončí je, prochází branami firewall místního centra.
Připojení k internetu
Tato část popisuje, jak zajistit připojení k internetu pro prostředky nativní pro Azure ve virtuálních sítích a privátních cloudech Azure VMware Solution v obou oblastech. Další informace najdete v tématu Aspekty návrhu připojení k internetu. Pomocí následujících možností můžete poskytnout připojení k internetu ke službě Azure VMware Solution.
- Možnost 1: Internetová služba hostovaná v Azure
- Možnost 2: Překlad zdrojových adres spravovaných řešením Azure VMware (SNAT)
- Možnost 3: Veřejná adresa IPv4 Azure na hraniční zařízení datacentra NSX-T
Návrh virtuální sítě Virtual WAN se dvěma oblastmi, který má záměr směrování, podporuje všechny možnosti, ale doporučujeme možnost 1. Scénář dále v tomto článku používá možnost 1 k poskytování připojení k internetu. Možnost 1 funguje nejlépe se zabezpečenou službou Virtual WAN, protože je snadné ji kontrolovat, nasazovat a spravovat.
Když povolíte záměr směrování v obou zabezpečených centrech, inzeruje RFC 1918 přímo do partnerských virtuálních sítí. Můžete ale také inzerovat výchozí trasu 0.0.0.0/0 pro připojení k internetu k podřízeným prostředkům. Když povolíte záměr směrování, můžete vygenerovat výchozí trasu z obou bran firewall centra. Tato výchozí trasa inzeruje přímo partnerské virtuální sítě a přímo připojené řešení Azure VMware.
Řešení Azure VMware a připojení k internetu virtuální sítě
Následující diagram znázorňuje toky provozu pro privátní cloudy a virtuální sítě Azure VMware Solution.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 11 | Cloudová oblast Azure VMware Solution 1 | Internet | Ano, přes bránu firewall centra 1 |
| 12 | Virtuální síť 2 | Internet | Ano, přes bránu firewall centra 2 |
| 13 | Virtuální síť 1 | Internet | Ano, přes bránu firewall centra 1 |
| 14 | Cloudová oblast Azure VMware Solution 2 | Internet | Ano, přes bránu firewall centra 2 |
Když ve výchozím nastavení povolíte směrovací záměr pro internetový provoz, zabezpečené centrum Virtual WAN neinzeruje výchozí trasu napříč okruhy ExpressRoute. Aby se zajistilo, že se výchozí trasa rozšíří do přímo připojeného řešení Azure VMware z Virtual WAN, musíte povolit šíření výchozí trasy v okruhech Azure VMware Solution ExpressRoute. Další informace najdete v tématu Inzerování výchozí trasy 0.0.0.0/0 do koncových bodů.
Po povolení šíření výchozí trasy bude připojení D inzerovat výchozí trasu 0.0.0.0/0 z centra. Nepovolujte toto nastavení pro místní okruhy ExpressRoute. Doporučujeme implementovat filtr protokolu BGP (Border Gateway Protocol) na místní zařízení, abyste vyloučili výuku výchozí trasy. Filtr protokolu BGP přidává další vrstvu ochrany a pomáhá zajistit, aby vaše konfigurace neměla vliv na místní připojení k internetu.
Když povolíte směrovací záměr pro přístup k internetu, obě regionální centra generují výchozí trasu a inzerují ji svým připojením virtuálních sítí v partnerském vztahu rozbočovače. Všimněte si, že v síťových kartách virtuálních počítačů ve virtuální síti je další segment směrování 0.0.0.0/0 bránou firewall centra. Pokud chcete najít další segment směrování, vyberte v síťové kartě efektivní trasy . Výchozí trasa neinzeruje přes místní rozbočovače přes propojení mezihuby. Virtuální sítě proto používají místní místní centrum pro přístup k internetu a nemají záložní připojení k internetu do centra mezi oblastmi.
Odolnost přístupu k internetu pro Řešení Azure VMware
Pokud v návrhu s duální oblastí nepoužíváte službu Global Reach, odchozí připojení k internetu nemá redundanci, protože každý privátní cloud Azure VMware Solution zjistí výchozí trasu z místního místního centra a není přímo připojený k jejímu multiregionálnímu centru. Pokud oblastní výpadek ovlivňuje místní místní centrum, použijte jednu z následujících ručních konfigurací, abyste dosáhli redundance internetu.
Možnost 1
Tuto možnost použijte pouze pro odchozí přístup k internetu. Pokud během místního výpadku potřebujete pro úlohu Azure VMware Solution odchozí přístup k internetu, použijte SNAT spravovanou službou Azure VMware Solution. Toto řešení poskytuje jednoduchý a rychlý přístup. Další informace najdete v tématu Zapnutí spravovaného SNAT pro úlohy Azure VMware Solution.
Možnost 2
Tuto možnost použijte pro příchozí a odchozí přístup k internetu. Pokud během místního výpadku potřebujete příchozí i odchozí internetový přístup pro cloud Azure VMware Solution, použijte následující metodu.
Odeberte připojení, které přechází z řešení Azure VMware do místního centra (připojení D v diagramech).
Na webu Azure Portal vyberte Azure VMware Solution a odeberte autorizační klíč, který jste vytvořili pro připojení D.
Vytvořte nové připojení k centru mezi oblastmi.
Pokud chcete zpracovávat příchozí provoz, zvažte použití služby Azure Front Door nebo Azure Traffic Manageru k zajištění regionální vysoké dostupnosti.
Použití sítí optimalizovaných pro VMware HCX Mobility (MON) bez služby Global Reach
Pokud používáte síťové rozšíření HCX Mobility Optimized Networking (MON), můžete povolit. MON poskytuje optimální směrování provozu v určitých scénářích, aby se sítě nepřekrývaly nebo smyček mezi místními a cloudovými prostředky v rozšířených sítích.
Výchozí přenos dat z Řešení Azure VMware
Když povolíte MON pro konkrétní rozšířenou síť a virtuální počítač, tok provozu se změní. Po implementaci MON se výchozí provoz z virtuálního počítače nevrátí zpět do místního prostředí. Místo toho obchází tunel IPSec rozšíření sítě. Provoz virtuálního počítače se ukončí z brány Azure VMware Solution NSX-T tier-1, přejde do brány NSX-T vrstvy 0 a pak přejde do služby Virtual WAN.
Příchozí provoz do řešení Azure VMware Solution
Když povolíte MON pro konkrétní rozšířenou síť a virtuální počítač, zavedete následující změny. Z Azure VMware Solution NSX-T vloží MON trasu hostitele /32 zpět do služby Virtual WAN. Virtual WAN tuto trasu /32 inzeruje zpět do místních, virtuálních sítí a poboček. Tato trasa hostitele /32 zajišťuje, že provoz z místních, virtuálních sítí a poboček nepoužívá tunel IPSec síťového rozšíření sítě, když provoz přejde na virtuální počítač s podporou MON. Provoz ze zdrojových sítí směřuje přímo na virtuální počítač s podporou MON, protože se učí trasu /32.
Omezení HCX MON pro zabezpečenou službu Virtual WAN bez služby Global Reach
Když v zabezpečeném centru povolíte průchodnost ExpressRoute-to-ExpressRoute a povolíte záměr směrování, odešle zabezpečené centrum výchozí adresy RFC 1918 do místního řešení i do řešení Azure VMware. Kromě výchozích adres RFC 1918 se místní i azure VMware Solution dozvíte konkrétnější trasy z virtuálních sítí Azure a větví, které se připojují k centru.
Místní sítě se ale neučte konkrétní trasy z řešení Azure VMware Solution a Azure VMware Solution se neučte konkrétní trasy z místních sítí. Obě prostředí se místo toho spoléhají na výchozí adresy RFC 1918 a usnadňují tak směrování zpět do sebe přes bránu firewall centra. Konkrétnější trasy, jako jsou trasy hostitelů MON, proto neinzerují z Azure VMware Solution ExpressRoute do místního okruhu ExpressRoute. Platí to i opačně. Nemožnost naučit se konkrétní trasy představuje asymetrický tok provozu. Přenosy odchozích přenosů azure VMware Solution prostřednictvím brány NSX-T tier-0, ale vrácení provozu z místního prostředí se vrátí přes tunel IPSec rozšíření sítě.
Oprava asymetrie provozu
Pokud chcete opravit asymetrii provozu, musíte upravit trasy zásad MON. Trasy zásad MON určují, který provoz se přes rozšíření L2 vrací zpět do místní brány. Také se rozhodnou, který provoz prochází bránou Azure VMware Solution NSX úrovně 0.
Pokud se cílová IP adresa shoduje a nastavíte ji tak, aby umožňovala konfiguraci zásad MON, dojde k dvěma akcím. Nejprve systém identifikuje paket. Za druhé systém odešle paket do místní brány prostřednictvím zařízení síťového rozšíření.
Pokud cílová IP adresa neodpovídá nebo ji nastavíte tak, aby v zásadách MON odepřela , odešle systém paket do brány Azure VMware Solution Tier-0 pro směrování.
Následující tabulka popisuje trasy zásad HCX.
| Síť | Přesměrování na partnerský vztah | Poznámka: |
|---|---|---|
| Adresní prostor virtuální sítě Azure | Odepřít | Explicitně zahrňte rozsahy adres pro všechny vaše virtuální sítě. Provoz určený pro Azure směruje odchozí provoz přes Azure VMware Solution a nevrátí se do místní sítě. |
| Výchozí adresní prostory RFC 1918 | Povolit | Přidejte výchozí adresy RFC 1918. Tato konfigurace zajišťuje, že veškerý provoz, který neodpovídá předchozím kritériím, se znovu směruje zpět do místní sítě. Pokud vaše místní nastavení používá adresy, které nejsou součástí RFC 1918, musíte tyto rozsahy explicitně zahrnout. |
| Adresní prostor 0.0.0.0/0 | Odepřít | Adresy, které RFC 1918 nepokrývá, jako jsou IP adresy směrovatelné přes internet nebo provoz, který neodpovídá zadaným položkám, ukončete přímo přes Azure VMware Solution a nepřesměrovávejte se zpět do místní sítě. |