Povolení připojení z Řešení Azure VMware
Úvod
V tomto vzoru návrhu má provoz vyhrazenou cestu přes páteřní síť Microsoftu z místního datacentra do privátního cloudu Azure VMware Solution (AVS). K tomuto připojení dochází prostřednictvím ExpressRoute Global Reach, což je mechanismus, který poskytuje přímou cestu mezi zákazníkem spravovanou sítí, která se pak může připojit k okruhům ExpressRoute vyhrazeným pro AVS. Privátní cloud má také samostatný izolovaný breakout z NSX Edge na internet, aby tento provoz neprošel přes ExpressRoute.
Důležitý
Pokud jste v současné chvíli v oblasti, ve které není služba Global Reach podporovaná, je přenos z místního prostředí do privátního cloudu AVS možný nasazením brány ExpressRoute v Azure. K zajištění end-to-end propojení je potřeba virtuální zařízení v hubové virtuální síti (VNET). Viz část Kontroly provozu & VýchozíReklama na výchozí trasu .
Profil zákazníka
Tato architektura je ideální pro:
- Nízká latence, výchozí přenos dat nativně z azure VMware Solution SDDC (softwarově definovaná datacentra) na internet.
- Přímý provoz z místního prostředí do Azure přes ExpressRoute nebo VPN.
- Příchozí služby L4/L7 pro úlohy v SDDC, jako je HTTPS
Provoz, který prochází směrovači NSX AVS, a který je pokrytý tímto návrhem, zahrnuje:
- Řešení Azure VMware do nativních virtuálních sítí Azure
- Řešení Azure VMware na internet
- Azure VMware Solution pro místní datacentra
Součásti architektury
Implementujte tento scénář s:
- Rozšířený nástroj pro vyrovnávání zatížení NSX
- Veřejnou IP adresu pro připojení k internetu z Azure VMware Solution pro překlad zdrojových i cílových adres (SNAT/DNAT)
Poznámka
I když NSX Advanced Load Balancer (Avi) poskytuje příchozí funkce přímo v NSX, je tato funkce také možná s WAF nebo App Gateway v2 v Azure.
Klíčové rozhodnutí
Tento dokument předpokládá a doporučuje oznámení výchozích tras z místní infrastruktury nebo služby AVS. Pokud potřebujete, aby výchozí trasa pocházela z Azure, přečtěte si část Inspekce provozu & Oznámení výchozí trasy.
Úvahy
- Povolte veřejnou IP adresu až na NSX Edge v portálu Azure. To umožňuje přímé připojení ke službě Azure VMware Solution s nízkou latencí a možnost škálovat počet odchozích připojení.
- Použijte pravidlo brány firewall NSX.
- Pomocí nástroje pro vyrovnávání zatížení NSX Advanced můžete rovnoměrně distribuovat provoz do úloh.
- Povolení ochrany před záplavami (distribuovaná služba a brána).
Výchozí přenos dat ze služby AVS pomocí NSX-T nebo síťového virtuálního zařízení
| Pokrytí dopravní inspekce | Doporučený návrh řešení | Úvahy | Internetový průlom |
|---|---|---|---|
| - Příchozí přenos dat z internetu - Výstup dat na internet – Provoz do lokálního datacentra – Provoz do služby Azure Virtual Network – Provoz v rámci řešení Azure VMware |
Použijte NSX-T nebo firewall síťového virtuálního zařízení od třetí strany v řešení Azure VMware.
Pro protokoly HTTPs použijte NSX-T Advanced Load Balancer nebo bránu firewall NSX-T pro provoz mimo HTTP/S. veřejnou IP adresu pro internetový breakout z Azure VMware Solution, SNAT a DNAT. |
Tuto možnost zvolte, pokud chcete inzerovat trasu 0.0.0.0/0 z privátního cloudu Azure VMware Solution.
povolení veřejné IP adresy na hraničních zařízeních NSX na webu Azure Portal. Tato možnost umožňuje připojení s nízkou latencí k Azure a možnost škálovat počet odchozích připojení. |
Azure VMware Solution |
Odchozí provoz z Azure VMware Solution prostřednictvím oznámení 0.0.0.0/0 z místní infrastruktury
| Pokrytí kontroly provozu | Doporučený návrh řešení | Úvahy | Internetový breakout |
|---|---|---|---|
| - Příchozí přenos dat z internetu - Výchozí přenos dat z internetu – do místního datacentra |
Použijte místní virtuální zařízení Pro provoz HTTP/S použijte nástroj pro vyrovnávání zatížení NSX Advanced Load Balancer nebo Application Gateway v Azure. Pro provoz jiného typu než HTTP/S použijte distribuovanou bránu firewall NSX. Povolení veřejné IP adresy v řešení Azure VMware. |
Tuto možnost zvolte, pokud chcete inzerovat trasu 0.0.0.0/0 z místních datacenter. |
Místní prostředí |
Důležitý
Některá tradiční zařízení VMware používají implementaci služeb k umístění zařízení na směrovači úrovně 0. Směrovače vrstvy 0 jsou zřízeny a spravovány společností Microsoft a nejsou využitelné koncovými uživateli. Všechna síťová zařízení a nástroje pro vyrovnávání zatížení musí být umístěny na úrovni 1. Další část popisuje výchozí šíření tras ze zařízení party ve službě AVS.
Integrace virtuálního síťového zařízení třetí strany v AVS
Integraci se zařízeními třetích stran je možné pečlivě zvážit. V tomto návrhu se síťová virtuální zařízení třetích stran nacházejí za jedním nebo více hraničními směrovači T-1.
Je zodpovědností uživatelů zajistit licenci a implementovat veškeré funkce vysoké dostupnosti, které jsou nativní pro zařízení.
Při výběru této implementace mějte na paměti omezení. Na virtuálním počítači je například limit až osmi karet virtuálních síťových rozhraní. Další informace o tom, jak umístit NVA v AVS, najdete v tématu: NSX-T vzory brány firewall
Poznámka
Společnost Microsoft nepodporuje použití sítí optimalizovaných pro mobilitu při použití síťových virtuálních zařízení třetích stran.
Úvahy o přistávacích zónách
Tato část odkazuje na osvědčené postupy pro integraci služby AVS s vaší cílovou zónou Azure.
Azure Route Server
Azure Route Server (ARS) se používá k dynamickému šíření naučených tras z AVS a k poskytování připojení branch-to-branch ke službě VPN Gateway. Virtuální sítě, které jsou ve vzájemném propojení s virtuální sítí, kde se nachází ARS, se také dynamicky učí trasy, což umožňuje učit se trasy z AVS do prostředí Hub and Spoke v Azure. Mezi případy použití pro Azure Route Server patří:
Šíření dynamických tras
- Seznamte se s konkrétními trasami z AVS do místních virtuálních sítí přes protokol BGP (Border Gateway Protocol). Partnerské virtuální sítě pak můžou zjistit také trasy.
- Integrace síťového virtuálního zařízení třetích stran
- Propojte ARS se síťovými virtuálními zařízeními (NVA), abyste pro každý segment AVS k filtrování provozu nepotřebovali UDRs.
- Odchozí provoz ze spárovaných VNETů potřebuje trasu definovanou uživatelem zpět do místního rozhraní firewallu.
- Mechanismus přenosu z ExpressRoute do bran VPN
- Brána VPN Gateway musí být typu Site-to-Site a nakonfigurovaná v Active-Active
Pokud chcete použít Azure Route Server, musíte:
Povolit spojení mezi větvemi
Souhrn tras použijte pro > 1000 tras nebo použijte
NO_ADVERTISE BGP communitiesrefencerování příznaku v nejčastějších dotazech k Azure Route ServeruSpojte partnerské virtuální zařízení NVA s konkrétními AS čísly mimo Azure. Například vzhledem k tomu, že ARS používá 65515, žádné jiné zařízení ve virtuální síti nemůže používat toto ČÍSLO ASN (číslo autonomního systému).
Žádná podpora protokolu IPV6
Integrace se službou Azure NetApp Files
Azure NetApp Files (ANF) poskytuje úložiště dat připojené k síti prostřednictvím protokolu NFS. ANF žije ve virtuální síti Azure a připojuje se k úlohám v AVS. Pomocí úložišť dat NFS zálohovaných službou Azure NetApp Files můžete místo škálování clusterů rozšířit úložiště.
- Vytvoření svazků Azure NetApp Files pomocí síťových funkcí standardu, které umožňují optimalizované připojení z privátního cloudu AVS přes ExpressRoute FastPath
- Nasazení ANF v delegovaném podsíti
- Nasazení hvězdicové & podporuje skladovou položku ER GW o rychlosti 10 Gb/s.
- Pro obejití limitů rychlosti portů brány je vyžadováno Ultra & ErGw3AZ SKU.
- Příchozí přenosy dat pro čtení a zápis jsou výchozí přenosy dat přes ExpressRoute. Odchozí provoz přes okruhy ExpressRoute obchází bránu a směřuje přímo k hraničnímu směrovači.
- Poplatky za příchozí a výchozí přenos dat se v AVS neúčtují, avšak pokud data procházejí přes propojené virtuální sítě (peered VNETs), účtují se poplatky za výchozí přenos dat.
- Pro Azure Netapp Files použijte vyhrazenou bránu ExpressRoute, nepoužívejte sdílenou nebo centralizovanou bránu ExpressRoute.
- Neumisťujte bránu firewall ani síťové virtuální zařízení do cesty k datům mezi azure NetApp Files a řešením Azure VMware Solution.
- Dnes se podporuje jenom systém souborů NFS v3.
Pokud se zobrazuje neočekávaná latence, ujistěte se, že je privátní cloud AVS a nasazení ANF připnuté ke stejnému AZ (zóny dostupnosti Azure). Pro zajištění vysoké dostupnosti vytvořte svazky ANF v samostatných dostupnostních zónách (AZ) a povolte Cross Zone Replication.
Důležitý
Microsoft nepodporuje fastpath pro zabezpečené centrum Azure VWAN, kde je maximální možná rychlost portu 20 Gb/s. Pokud potřebujete větší propustnost, zvažte použití centrální virtuální sítě & s paprskovými VNETy. Informace o připojení úložišť dat Azure Netapp Files k hostitelům Azure VMware Solution najdete
Připojení VPN z místního prostředí
I když se doporučuje okruh ExpressRoute, připojení k AVS z místního prostředí pomocí protokolu IPSEC pomocí virtuální sítě tranzitního centra v Azure je také možné. Tento scénář vyžaduje bránu VPN a Azure Route Server. Jak už bylo uvedeno výše, Azure Route Server umožňuje průchodnost mezi bránou VPN a bránou AVS ExpressRoute.
Kontrola provozu
Jak už bylo vidět dříve, inzerování výchozích tras probíhá z AVS s veřejnou IP adresou až po možnost NSX Edge, ale je také možné pokračovat v inzerování výchozí trasy z místního prostředí. Kompletní filtrování provozu z místního prostředí do AVS je možné s bránou firewall umístěnou v některém z těchto koncových bodů.
Inzerce výchozích tras z Azure je možná pomocí síťového virtuálního zařízení třetí strany buď v centrové virtuální síti (VNET), nebo při použití virtuální sítě WAN Azure. V nasazení typu Hub and Spoke není možné použít Azure Firewall, protože nepracuje s protokolem BGP, ale můžete použít zařízení třetí strany, které podporuje protokol BGP. Tento scénář funguje pro kontrolu provozu z:
- Z místní infrastruktury na Azure
- Azure na internet
- AVS na internetu
- AVS do Azure
Síťové virtuální zařízení třetí strany v centrálním VNetu kontroluje síťový provoz mezi AVS a internetem a mezi AVS a virtuálními sítěmi Azure.
| Požadavky na kontrolu provozu | Doporučený návrh řešení | Úvahy | Internetový breakout |
|---|---|---|---|
| - Příchozí přenos dat z internetu – Výstup na internet – Do místního datového centra – Do služby Azure Virtual Network |
Použití řešení brány firewall třetích stran ve virtuální síti centra se službou Azure Route Server.
pro provoz HTTP/S použijte Azure Application Gateway. Pro ne-HTTP/S provoz použijte NVA bránu firewall třetí strany v Azure. Použijte lokální firewallové NVA od třetí strany. Nasazení firewallových řešení třetích stran v centrální virtuální síti pomocí Azure Route Serveru. |
Tuto možnost vyberte, pokud chcete oznámit trasu 0.0.0.0/0 z virtuálního síťového zařízení (NVA) v centrální virtuální síti Azure do řešení Azure VMware. |
Azurový |
Další informace
- Přístup k vCenter pomocí virtuálního počítače Bastion + Jumpbox – Pokud přistupujete k vCenter z místního prostředí, ujistěte se, že máte trasu z místních sítí do sítě pro správu AVS /22. Ověření trasy v rozhraní příkazového řádku zadáním
Test-NetConnection x.x.x.2 -port 443 - Důležité informace o DNS – Pokud používáte privátní koncové body, postupujte podle pokynů uvedených tady: Konfigurace DNS privátního koncového bodu Azure | Microsoft Learn
Další kroky
- Další informace o přenosu z místní sítě VPN do řešení Azure VMware najdete v následujícím článku VPN do exR:
- Další informace o řešení Azure VMware v hvězdicových sítích najdete v tématu Integrace řešení Azure VMware v hvězdicové architektuře.
- Další informace o síťových segmentech datového centra VMware NSX-T najdete v tématu Konfigurace síťových komponent datového centra NSX-T pomocí služby Azure VMware Solution.
- Další informace o Azure Router Serveru najdete v přehledu produktu Co je Azure Route Server?
Dále sledujte další vzory návrhu pro navázání připojení k řešení Azure VMware Solution.