Zabezpečení služby Virtual WAN pro řešení Azure VMware v jedné oblasti nebo v duálních oblastech
Tento článek popisuje topologie návrhu sítě Azure VMware Solution a důležité informace pro scénáře s jednou oblastí a duální oblastí, které používají zabezpečenou síť Azure Virtual WAN se záměrem směrování. Popisuje, jak směruje záměr směrování provozu prostřednictvím centralizovaného řešení zabezpečení. Tato metoda vylepšuje zabezpečení a zjednodušuje správu sítě. Tento článek obsahuje aspekty návrhu pro nasazení s azure ExpressRoute Global Reach a bez této služby. Zdůrazňuje výhody a výzvy jednotlivých scénářů.
V centru Virtual WAN můžete implementovat řešení zabezpečení a převést ho na zabezpečené centrum Virtual WAN. Pokud chcete nakonfigurovat záměr směrování, musíte mít zabezpečené centrum Virtual WAN. Záměr směrování řídí veškerý privátní provoz a internetový provoz do řešení zabezpečení centra, které zjednodušuje směrování a zabezpečení zabezpečeného centra. Záměr směrování zlepšuje šířku zabezpečení a provádí kontrolu provozu pro veškerý provoz procházející zabezpečeným centrem, včetně provozu azure VMware Solution.
Tento článek předpokládá, že máte základní znalosti o službě Virtual WAN a zabezpečení virtual WAN se záměrem směrování.
Další informace naleznete v následujících zdrojích:
- Co je Virtual WAN?
- Co je zabezpečené virtuální centrum?
- Konfigurace záměru směrování centra Virtual WAN a zásad směrování
- ExpressRoute Global Reach
Implementace zabezpečené virtuální sítě WAN pro návrhy řešení Azure VMware
Pomocí zabezpečené sítě Virtual WAN se záměrem směrování odesílat veškerý internetový provoz a provoz privátní sítě (RFC 1918) do řešení zabezpečení, jako je Azure Firewall, síťové virtuální zařízení (NVA) jiného než Microsoftu nebo řešení saaS (software jako služba). Pokud chcete podporovat návrhy v jedné i duální oblasti, použijte Azure VMware Solution spolu se zabezpečeným záměrem virtual WAN a směrování.
Návrh s jednou oblastí
Pomocí návrhu jedné oblasti můžete zkontrolovat síťový provoz v rámci řešení zabezpečení virtuálního centra, které přejde do a z řešení Azure VMware Solution. Tento přístup zjednodušuje správu sítě a zlepšuje celkový stav zabezpečení. Tento návrh vás také připraví, pokud chcete nasadit jiný privátní cloud Azure VMware Solution v jiné oblasti, která má návrh se dvěma oblastmi. Povolte záměr směrování v centru jedné oblasti, abyste později mohli škálovat na návrh oblasti se dvěma rozbočovači. Tento návrh podporuje konfigurace s aplikací Global Reach nebo bez.
Návrh duální oblasti nebo duálního rozbočovače
Pomocí návrhu se dvěma oblastmi můžete zkontrolovat síťový provoz na dvou řešeních zabezpečení virtuálních center. Zkontrolujte provoz do a z řešení Azure VMware Solution a zkontrolujte provoz v privátních cloudech Azure VMware Solution, které jsou v různých oblastech. Povolte záměr směrování v obou regionálních centrech, aby provoz mohl projít oběma řešeními zabezpečení centra. Návrh s duální oblastí se záměrem směrování zlepšuje zabezpečení a zjednodušuje správu sítě napříč oblastmi. Tento návrh podporuje konfigurace s aplikací Global Reach nebo bez.
Možnosti nasazení Global Reach
Pomocí služby Global Reach připojte Řešení Azure VMware k místním nebo regionálním privátním cloudům Azure VMware Solution. Global Reach vytvoří přímé logické propojení prostřednictvím páteřní sítě Microsoftu.
Nasazení s využitím služby Global Reach
Když nasadíte službu Global Reach, provoz mezi lokalitami Global Reach obchází zabezpečenou bránu firewall centra Virtual WAN. Zabezpečená brána firewall centra Virtual WAN nekontroluje provoz Global Reach, který prochází mezi azure VMware Solution a místním prostředím nebo mezi privátními cloudy Azure VMware Solution v různých oblastech.
Následující diagram například ukazuje, jak provoz mezi azure VMware Solution a místním prostředím používá ke komunikaci připojení Global Reach označeného jako A . Tento provoz nepřechází bránou firewall centra kvůli připojení Global Reach A. Pro zajištění optimálního zabezpečení mezi lokalitami Global Reach musí prostředí Azure VMware Solution NSX-T nebo místní brána firewall kontrolovat provoz.
Služba Global Reach zjednodušuje návrh, protože poskytuje přímé logické propojení mezi azure VMware Solution a místními nebo regionálními privátními cloudy Azure VMware Solution. Pomocí služby Global Reach můžete řešit potíže s provozem mezi lokalitami Global Reach a eliminovat omezení propustnosti v zabezpečené službě Virtual WAN. Nevýhodou je, že služba Global Reach brání zabezpečenému řešení zabezpečení virtuálních center ve kontrole provozu mezi regionálními privátními cloudy Azure VMware Solution a místními cloudy a také v rámci privátních cloudů Azure VMware Solution. Zabezpečené řešení zabezpečení virtuálního centra proto nemůže kontrolovat provoz, který prochází přímo mezi těmito entitami.
Nasazení bez služby Global Reach
Doporučujeme konzistentně používat službu Global Reach, pokud nemáte specifické požadavky. Pokud nepoužíváte Službu Global Reach, můžete zkontrolovat veškerý provoz v zabezpečeném řešení zabezpečení centra Virtual WAN mezi azure VMware Solution a místními nebo regionálními privátními cloudy Azure VMware Solution. Tento přístup ale zvyšuje složitost návrhu. Zvažte také omezení propustnosti v zabezpečeném centru Virtual WAN. Použijte službu Global Reach, pokud nemáte některá z následujících omezení.
Musíte zkontrolovat provoz v centru Virtual WAN mezi Azure VMware Solution a místním prostředím a také v privátních cloudech Azure VMware Solution. Službu Global Reach nemůžete použít, pokud máte požadavek na zabezpečení ke kontrole provozu mezi azure VMware Solution a místním prostředím nebo mezi regionálními privátními cloudy Azure VMware Solution v bráně firewall virtuálního centra.
Oblast nepodporuje službu Global Reach. Pokud oblast nepodporuje službu Global Reach, můžete pomocí záměru směrování navázat připojení mezi připojeními ExpressRoute, ať už mezi azure VMware Solution a místními nebo místními privátními cloudy Azure VMware Solution. Ve výchozím nastavení virtuální centra nepodporují přenosnost ExpressRoute do ExpressRoute. Pokud chcete tuto tranzitivitu povolit, musíte zahájit lístek podpory. Další informace najdete v tématu Dostupnost ExpressRoute Global Reach.
Vaše místní instance ExpressRoute používá místní skladovou položku ExpressRoute. Místní skladová položka ExpressRoute nepodporuje službu Global Reach. Pokud použijete místní skladovou položku, můžete pomocí záměru směrování navázat připojení mezi řešením Azure VMware a vaší místní sítí.
Následující diagram znázorňuje příklad, který nepoužívá Global Reach.
Zvažte možnosti Global Reach pro jednu oblast nebo duální oblasti.
Následující doprovodné materiály vám pomůžou určit, jestli pro svůj scénář potřebujete povolit službu Global Reach.
Návrh s jednou oblastí, který má Global Reach
Při použití služby Global Reach v jedné oblasti směruje zabezpečené centrum veškerý privátní provoz a internetový provoz prostřednictvím řešení zabezpečení, jako je Azure Firewall, síťové virtuální zařízení jiné společnosti než Microsoft nebo řešení SaaS. V následujícím diagramu záměr směrování kontroluje provoz, ale provoz Global Reach mezi azure VMware Solution a místním obchází bránu firewall centra (připojení A). Proto potřebujete zkontrolovat tento provoz Global Reach pomocí NSX-T v Azure VMware Solution nebo místní brány firewall, abyste získali lepší zabezpečení napříč lokalitami Global Reach.
Následující tabulka ukazuje tok provozu do a z Azure VMware Solution.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Virtuální sítě | Ano |
| Azure VMware Solution | → ← |
Internet | Ano |
| Azure VMware Solution | → ← |
Místní | No |
Následující tabulka ukazuje tok provozu do a z virtuálních sítí.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Virtuální sítě | → ← |
Místní | Ano |
| Virtuální sítě | → ← |
Internet | Ano |
| Virtuální sítě | → ← |
Virtuální sítě | Ano |
Návrh jedné oblasti, který nemá Global Reach
Pokud službu Global Reach nepoužíváte v jedné oblasti, zabezpečené centrum směruje veškerý privátní provoz a internetový provoz prostřednictvím řešení zabezpečení. Záměr směrování kontroluje provoz. Díky tomuto návrhu provoz mezi azure VMware Solution a místním prostředím prochází bránou firewall centra pro kontrolu. Virtuální centra ve výchozím nastavení nepodporují průchodnost ExpressRoute do ExpressRoute. Pokud chcete tuto tranzitivitu povolit, musíte zahájit lístek podpory. Po splnění lístku podpory služba Secure Hub inzeruje výchozí adresy RFC 1918 do řešení Azure VMware a do místního prostředí. Pokud používáte záměr směrování z místního prostředí, nemůžete inzerovat přesné výchozí předpony adres RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) zpět do Azure. Místo toho musíte vždy inzerovat konkrétnější trasy.
Následující tabulka ukazuje tok provozu do a z Azure VMware Solution.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Místní | Ano |
| Azure VMware Solution | → ← |
Internet | Ano |
| Azure VMware Solution | → ← |
Virtuální sítě | Ano |
Následující tabulka ukazuje tok provozu do a z virtuálních sítí.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Virtuální sítě | → ← |
Místní | Ano |
| Virtuální sítě | → ← |
Internet | Ano |
| Virtuální sítě | → ← |
Virtuální sítě | Ano |
Návrh se dvěma oblastmi, který má Global Reach
Když používáte Službu Global Reach ve dvou oblastech, nasadíte dvě zabezpečená centra v různých oblastech ve službě Virtual WAN. Také jste nastavili dva privátní cloudy Azure VMware Solution v samostatných oblastech.
Následující diagram znázorňuje příklad této konfigurace. Každý privátní cloud Azure VMware Solution v jednotlivých oblastech se připojuje přímo k místnímu centru (připojení D). Místní připojení k jednotlivým místním rozbočovačům (připojení E). Veškerý provoz RFC 1918 a trasy internetového provozu prostřednictvím řešení zabezpečení v obou zabezpečených centrech prostřednictvím záměru směrování. Privátní cloudy Azure VMware Solution mají připojení zpět k místnímu prostředí prostřednictvím služby Global Reach (připojení A a B). Cloudy Azure VMware Solution se vzájemně připojují přes Global Reach (připojení C). Provoz global Reach mezi privátními cloudy Azure VMware Solution nebo mezi privátními cloudy Azure VMware Solution a místním prostředím prochází dvěma centrálními bránami firewall (připojení A, B a C). K lepšímu zabezpečení lokalit Global Reach použijte NSX-T ve službě Azure VMware Solution nebo místní bránu firewall ke kontrole tohoto provozu.
Následující tabulka ukazuje tok provozu do a z privátního cloudu Azure VMware Solution 1.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Virtuální síť 1 | Ano, přes bránu firewall centra 1 |
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Virtuální síť 2 | Ano, přes brány firewall centra 1 a centra 2 |
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Internet | Ano, přes bránu firewall centra 1 |
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Místní | No |
Následující tabulka ukazuje tok provozu do privátního cloudu Azure VMware Solution a z oblasti 2.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Oblast privátního cloudu Azure VMware Solution 2 | → ← |
Virtuální síť 1 | Ano, přes brány firewall centra 1 a centra 2 |
| Oblast privátního cloudu Azure VMware Solution 2 | → ← |
Virtuální síť 2 | Ano, přes bránu firewall centra 2 |
| Oblast privátního cloudu Azure VMware Solution 2 | → ← |
Internet | Ano, přes bránu firewall centra 2 |
| Oblast privátního cloudu Azure VMware Solution 2 | → ← |
Místní | No |
Následující tabulka ukazuje tok provozu do privátního cloudu Azure VMware Solution a z oblasti 1 a oblasti 2.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Oblast privátního cloudu Azure VMware Solution 2 | No |
Následující tabulka ukazuje tok provozu do a z virtuálních sítí.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Virtuální síť 1 | → ← |
Místní | Ano, přes bránu firewall centra 1 |
| Virtuální síť 1 | → ← |
Internet | Ano, přes bránu firewall centra 1 |
| Virtuální síť 1 | → ← |
Virtuální síť 2 | Ano, přes brány firewall centra 1 a centra 2 |
| Virtuální síť 2 | → ← |
Místní | Ano, přes bránu firewall centra 2 |
| Virtuální síť 2 | → ← |
Internet | Ano, přes bránu firewall centra 2 |
Návrh se dvěma oblastmi, který nemá Global Reach
Když používáte Službu Global Reach ve dvou oblastech, nasadíte dvě zabezpečená centra v různých oblastech ve službě Virtual WAN. Také jste nastavili dva privátní cloudy Azure VMware Solution v samostatných oblastech.
Následující diagram znázorňuje příklad této konfigurace. Každý privátní cloud Azure VMware Solution v jednotlivých oblastech se připojuje přímo k místnímu centru (připojení D). Místní připojení k jednotlivým místním rozbočovačům (připojení E). Veškerý provoz RFC 1918 a trasy internetového provozu prostřednictvím řešení zabezpečení v obou zabezpečených centrech prostřednictvím záměru směrování.
Virtuální centra ve výchozím nastavení nepodporují průchodnost ExpressRoute do ExpressRoute. Pokud chcete tuto tranzitivitu povolit, musíte zahájit lístek podpory. Po splnění lístku podpory služba Secure Hubs inzeruje výchozí adresy RFC 1918 do řešení Azure VMware a do místního prostředí. Při otevření lístku odkažte obě místní centra. Použijte ExpressRoute k průchodnosti ExpressRoute, aby privátní cloudy Azure VMware Solution mohly vzájemně komunikovat přes interhub Virtual WAN a cloud Azure VMware Solution mohl komunikovat s místním prostředím.
Adresy RFC 1918 se inzerují do místního prostředí, nemůžete inzerovat přesné výchozí předpony adres RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) zpět do Azure. Místo toho musíte vždy inzerovat konkrétnější trasy.
Následující tabulka ukazuje tok provozu do a z privátního cloudu Azure VMware Solution 1.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Virtuální síť 1 | Ano, přes bránu firewall centra 1 |
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Virtuální síť 2 | Ano, přes brány firewall centra 1 a centra 2 |
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Internet | Ano, přes bránu firewall centra 1 |
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Místní | Ano, přes bránu firewall centra 1 |
Následující tabulka ukazuje tok provozu do privátního cloudu Azure VMware Solution a z oblasti 2.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Oblast privátního cloudu Azure VMware Solution 2 | → ← |
Virtuální síť 1 | Ano, přes bránu firewall centra 2 |
| Oblast privátního cloudu Azure VMware Solution 2 | → ← |
Virtuální síť 2 | Ano, přes brány firewall centra 1 a centra 2 |
| Oblast privátního cloudu Azure VMware Solution 2 | → ← |
Internet | Ano, přes bránu firewall centra 2 |
| Oblast privátního cloudu Azure VMware Solution 2 | → ← |
Místní | Ano, přes bránu firewall centra 2 |
Následující tabulka ukazuje tok provozu do privátního cloudu Azure VMware Solution a z oblasti 1 a oblasti 2.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Oblast privátního cloudu Azure VMware Solution 1 | → ← |
Oblast privátního cloudu Azure VMware Solution 2 | Ano, přes brány firewall centra 1 a centra 2 |
Následující tabulka ukazuje tok provozu do a z virtuálních sítí.
| Umístění 1 | Směr | Umístění 2 | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| Virtuální síť 1 | → ← |
Místní | Ano, přes bránu firewall centra 1 |
| Virtuální síť 1 | → ← |
Internet | Ano, přes bránu firewall centra 1 |
| Virtuální síť 1 | → ← |
Virtuální síť 2 | Ano, přes brány firewall centra 1 a centra 2 |
| Virtuální síť 2 | → ← |
Místní | Ano, přes bránu firewall centra 2 |
| Virtuální síť 2 | → ← |
Internet | Ano, přes bránu firewall centra 2 |