Použití návrhu řešení Azure VMware s jednou oblastí, který má Virtual WAN a Global Reach
Tento článek popisuje osvědčené postupy pro Azure VMware Solution v jedné oblasti při použití zabezpečené služby Azure Virtual WAN se záměrem směrování. Poskytuje doporučení pro připojení a tok provozu pro zabezpečení služby Virtual WAN se záměrem směrování a službou Azure ExpressRoute Global Reach. Tento článek popisuje topologii návrhů v privátních cloudech Azure VMware Solution, místních lokalitách a prostředcích nativních pro Azure. Implementace a konfigurace zabezpečené sítě Virtual WAN se záměrem směrování jsou nad rámec tohoto článku.
Použití zabezpečené služby Virtual WAN v jedné oblasti
Pouze skladová položka Virtual WAN Úrovně Standard podporuje zabezpečenou službu Virtual WAN se záměrem směrování. Pomocí zabezpečené sítě Virtual WAN se záměrem směrování odesílat veškerý internetový provoz a privátní síťový provoz do řešení zabezpečení, jako je Azure Firewall, síťové virtuální zařízení (NVA) jiného než Microsoftu nebo řešení saaS (software jako služba). Pokud používáte záměr směrování, musíte mít zabezpečené centrum Virtual WAN.
Poznámka:
Když nakonfigurujete Azure VMware Solution se zabezpečenými rozbočovači Virtual WAN, nastavte možnost předvolby směrování centra na AS Path , abyste zajistili optimální výsledky směrování v centru. Další informace najdete v tématu Předvolby směrování virtuálního centra.
Centrum tohoto scénáře má následující konfiguraci:
Síť s jednou oblastí má instanci služby Virtual WAN a jedno centrum.
Centrum má nasazenou instanci služby Azure Firewall, což z ní dělá zabezpečené centrum Virtual WAN.
Zabezpečené centrum Virtual WAN má povolený záměr směrování.
Tento scénář má také tyto komponenty:
Jedna oblast má vlastní privátní cloud Azure VMware Solution a virtuální síť Azure.
Místní lokalita se připojí zpět k centru.
Prostředí má připojení Global Reach.
Global Reach vytvoří přímé logické propojení prostřednictvím páteřní sítě Microsoftu, která propojuje řešení Azure VMware s místním prostředím.
Připojení Global Reach neprovozují bránu firewall centra. Proto se provoz Global Reach, který prochází oběma způsoby mezi místním prostředím a azure VMware Solution, neprověřuje.
Poznámka:
Pokud chcete zlepšit zabezpečení mezi lokalitami Global Reach, zvažte kontrolu provozu v prostředí NSX-T nebo místní brány firewall prostředí Azure VMware Solution.
Následující diagram znázorňuje příklad tohoto scénáře.
Následující tabulka popisuje připojení topologie v předchozím diagramu.
| Connection | Popis |
|---|---|
| D | Připojení ExpressRoute spravované privátním cloudem řešení Azure VMware Solution k centru |
| A | Připojení Azure VMware Solution Global Reach k místnímu prostředí |
| E | Místní připojení ExpressRoute k centru |
Toky provozu virtual WAN zabezpečené v jedné oblasti
Následující části popisují toky provozu a možnosti připojení pro Azure VMware Solution, místní, virtuální sítě Azure a internet.
Připojení privátního cloudu Azure VMware Solution a toky provozu
Následující diagram znázorňuje toky provozu pro privátní cloud Azure VMware Solution.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 0 | Cloud Azure VMware Solution | Virtuální síť | Ano |
| 2 | Cloud Azure VMware Solution | Místní | No |
Privátní cloud Azure VMware Solution se připojuje k jeho centru přes připojení D ExpressRoute. Cloudová oblast Azure VMware Solution vytváří připojení k místnímu prostředí prostřednictvím připojení ExpressRoute Global Reach A. Provoz, který cestuje přes Global Reach, nepřechází bránou firewall centra.
Pro váš scénář nakonfigurujte službu Global Reach, abyste zabránili problémům s připojením mezi místním prostředím a řešením Azure VMware.
Místní připojení a tok provozu
Následující diagram znázorňuje místní lokalitu připojenou k centru přes připojení ExpressRoute E. Místní systémy můžou komunikovat se službou Azure VMware Solution prostřednictvím připojení Global Reach A.
Pro váš scénář nakonfigurujte službu Global Reach, abyste zabránili problémům s připojením mezi místním prostředím a řešením Azure VMware.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 3 | Místní | Cloud Azure VMware Solution | No |
| 4 | Místní | Virtuální síť | Ano |
Připojení k virtuální síti Azure a tok provozu
Zabezpečené centrum s povoleným záměrem směrování odesílá výchozí adresy RFC 1918 (10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16) do partnerských virtuálních sítí spolu s dalšími předponami, které se přidají jako předpony privátního provozu. Další informace najdete v tématu Předpony privátních adres záměru směrování. Tento scénář má povolený záměr směrování, takže všechny prostředky ve virtuální síti mají výchozí adresy RFC 1918 a jako další segment směrování používají bránu firewall centra. Veškerý provoz, který vstupuje a ukončí virtuální síť, prochází bránou firewall centra.
Následující diagram znázorňuje, jak partnerské vztahy virtuálních sítí přímo do centra.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 5 | Virtuální síť | Cloud Azure VMware Solution | Ano |
| 6 | Virtuální síť | Cloud Azure VMware Solution | Ano |
Připojení k internetu
Tato část popisuje, jak poskytovat připojení k internetovým prostředkům nativním pro Azure ve virtuální síti a v privátním cloudu Azure VMware Solution. Další informace najdete v tématu Aspekty návrhu připojení k internetu. Pomocí následujících možností můžete poskytnout připojení k internetu ke službě Azure VMware Solution.
- Možnost 1: Internetová služba hostovaná v Azure
- Možnost 2: Překlad zdrojových adres spravovaných řešením Azure VMware (SNAT)
- Možnost 3: Veřejná adresa IPv4 Azure na hraniční zařízení datacentra NSX-T
Návrh služby Virtual WAN zabezpečený v jedné oblasti, který má záměr směrování, podporuje všechny možnosti, ale doporučujeme možnost 1. Scénář dále v tomto článku používá možnost 1 k poskytování připojení k internetu. Možnost 1 funguje nejlépe se zabezpečenou službou Virtual WAN, protože je snadné ji kontrolovat, nasazovat a spravovat.
Při použití záměru směrování můžete vygenerovat výchozí trasu z brány firewall centra. Tato výchozí trasa inzeruje vaši virtuální síť a azure VMware Solution.
Řešení Azure VMware a připojení k internetu virtuální sítě
Když ve výchozím nastavení povolíte směrovací záměr pro internetový provoz, zabezpečené centrum Virtual WAN neinzeruje výchozí trasu napříč okruhy ExpressRoute. Aby se zajistilo, že se výchozí trasa rozšíří do služby Azure VMware Solution z virtual WAN, musíte povolit šíření výchozích tras v okruhech Azure VMware Solution ExpressRoute. Další informace najdete v tématu Inzerování výchozí trasy 0.0.0.0/0 do koncových bodů.
Po povolení šíření výchozí trasy bude připojení D inzerovat výchozí trasu 0.0.0.0/0 z centra. Nepovolujte toto nastavení pro místní okruhy ExpressRoute. Connection D inzeruje výchozí trasu 0.0.0.0/0 do řešení Azure VMware, ale Global Reach (připojení A) také inzeruje výchozí trasu do místního prostředí. Proto doporučujeme, abyste na místním zařízení implementovali filtr BGP (Border Gateway Protocol), aby se nenaučil výchozí trasu. Tento krok pomáhá zajistit, aby vaše konfigurace neměla vliv na místní připojení k internetu.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 7 | Cloud Azure VMware Solution | Internet | Ano |
| 8 | Virtuální síť | Internet | Ano |
Když povolíte směrovací záměr pro přístup k internetu, výchozí trasa, která se generuje ze zabezpečeného centra Virtual WAN, automaticky inzeruje připojení virtuální sítě v partnerském vztahu rozbočovače. Všimněte si, že v síťových kartách virtuálních počítačů ve virtuální síti je další segment směrování 0.0.0.0/0 bránou firewall centra. Pokud chcete najít další segment směrování, vyberte v síťové kartě efektivní trasy .