Použití návrhu řešení Azure VMware s jednou oblastí, který nemá global Reach
Tento článek popisuje osvědčené postupy pro Azure VMware Solution v jedné oblasti při použití zabezpečené služby Azure Virtual WAN se záměrem směrování. Poskytuje doporučení pro připojení a tok provozu pro zabezpečení služby Virtual WAN se záměrem směrování. Tento článek popisuje topologii návrhů v privátních cloudech Azure VMware Solution, místních lokalitách a prostředcích nativních pro Azure, pokud nepoužíváte Azure ExpressRoute Global Reach. Implementace a konfigurace zabezpečené sítě Virtual WAN se záměrem směrování jsou nad rámec tohoto článku.
Pokud používáte oblast, která nepodporuje službu Global Reach nebo pokud máte požadavek na zabezpečení ke kontrole provozu mezi řešením Azure VMware a místním prostředím v bráně firewall centra, musíte otevřít lístek podpory, abyste umožnili průchod expressRoute-to-ExpressRoute. Virtual WAN ve výchozím nastavení nepodporuje průchodnost ExpressRoute-to-ExpressRoute. Další informace najdete v tématu Připojení přenosu mezi okruhy ExpressRoute se záměrem směrování.
Použití zabezpečené služby Virtual WAN bez služby Global Reach
Pouze skladová položka Virtual WAN Úrovně Standard podporuje zabezpečenou službu Virtual WAN se záměrem směrování. Pomocí zabezpečené sítě Virtual WAN se záměrem směrování můžete odesílat veškerý internetový provoz a provoz privátní sítě (RFC 1918) do řešení zabezpečení, jako je Azure Firewall, síťové virtuální zařízení (NVA) jiného než Microsoftu nebo řešení saaS (software jako služba).
Centrum tohoto scénáře má následující konfiguraci:
Síť s jednou oblastí má instanci služby Virtual WAN a jedno centrum.
Centrum má nasazenou instanci služby Azure Firewall, což z ní dělá zabezpečené centrum Virtual WAN.
Zabezpečené centrum Virtual WAN má povolený záměr směrování.
Tento scénář má také tyto komponenty:
Jedna oblast má vlastní privátní cloud Azure VMware Solution a virtuální síť Azure.
Místní lokalita se připojí zpět k centru.
Poznámka:
Pokud ve svých připojených místních prostředcích, virtuálních sítích nebo řešení Azure VMware použijete předpony jiné než RFC 1918, zadejte tyto předpony v poli Předpony privátního provozu funkce záměru směrování. Do pole Předpony privátního provozu zadejte souhrnné trasy, které pokrývají váš rozsah. Nezadávejte přesný rozsah, který inzeruje virtual WAN, protože tato specifikace může vést k problémům se směrováním. Pokud například okruh ExpressRoute inzeruje 192.0.2.0/24 z místního prostředí, zadejte rozsah CIDR (Classless Inter-Domain Routing) /23 nebo větší, například 192.0.2.0/23. Další informace najdete v tématu Konfigurace záměru směrování a zásad prostřednictvím portálu Virtual WAN.
Poznámka:
Když nakonfigurujete Azure VMware Solution se zabezpečenými rozbočovači Virtual WAN, nastavte možnost předvolby směrování centra na AS Path , abyste zajistili optimální výsledky směrování v centru. Další informace najdete v tématu Předvolby směrování virtuálního centra.
Následující diagram znázorňuje příklad tohoto scénáře.
Následující tabulka popisuje připojení topologie v předchozím diagramu.
| Connection | Popis |
|---|---|
| D | Připojení ExpressRoute spravované privátním cloudem řešení Azure VMware Solution k centru |
| E | Místní připojení ExpressRoute k centru |
Toky provozu pro virtual WAN v jedné oblasti bez služby Global Reach
Následující části popisují toky provozu a možnosti připojení pro Azure VMware Solution, místní, virtuální sítě Azure a internet.
Připojení privátního cloudu Azure VMware Solution a toky provozu
Následující diagram znázorňuje toky provozu pro privátní cloud Azure VMware Solution.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 0 | Cloud Azure VMware Solution | Virtuální síť | Ano |
| 2 | Cloud Azure VMware Solution | Místní | Ano |
Privátní cloud Azure VMware Solution má připojení ExpressRoute k centru (připojení D).
Když povolíte průchodnost ExpressRoute-to-ExpressRoute v zabezpečeném centru a povolíte směrovací záměr, zabezpečené centrum odešle výchozí adresy RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) do Azure VMware Solution přes připojení D. Kromě výchozích adres RFC 1918 se Azure VMware Solution dozví konkrétnější trasy z virtuálních sítí Azure a poboček, jako jsou S2S VPN, P2S VPN a SD-WAN, které se připojují k centru. Azure VMware Solution se neučte konkrétní trasy z místních sítí. K směrování provozu zpět do místních sítí azure VMware Solution používá výchozí adresy RFC 1918, které se učí z připojení D. Tento provoz prochází bránou firewall centra. Brána firewall centra používá konkrétní trasy pro místní sítě ke směrování provozu směrem k cílům přes připojení E. Provoz, který přechází ze služby Azure VMware Solution do virtuálních sítí, prochází bránou firewall centra.
Místní připojení a tok provozu
Následující diagram znázorňuje toky provozu pro místní připojení.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 3 | Místní | Cloud Azure VMware Solution | Ano |
| 4 | Místní | Virtuální síť | Ano |
Místní lokalita se připojuje k centru přes připojení ExpressRoute E.
Když povolíte přenosnost ExpressRoute do ExpressRoute v zabezpečeném centru a povolíte záměr směrování, zabezpečené centrum odešle výchozí adresy RFC 1918 do místního prostředí přes připojení E. Kromě výchozích adres RFC 1918 se místní prostředí naučí konkrétnější trasy z virtuálních sítí Azure a poboček, které se připojují k centru. Místní prostředí se nenaučí konkrétní trasy ze sítí Azure VMware Solution. K směrování provozu zpět do sítí Azure VMware Solution používá Azure VMware Solution výchozí adresy RFC 1918, které se učí z připojení E. Tento provoz prochází bránou firewall centra. Brána firewall centra používá konkrétní trasy pro sítě Azure VMware Solution ke směrování provozu směrem k cílům přes připojení D. Provoz, který přechází z místního prostředí do virtuálních sítí, prochází bránou firewall centra.
Když v centru povolíte průchodnost ExpressRoute-to-ExpressRoute, odešle výchozí adresy RFC 1918 do místní sítě. Proto byste neměli inzerovat přesné předpony RFC 1918 zpět do Azure. Inzerování stejných přesných tras vytváří problémy se směrováním v Rámci Azure. Místo toho byste měli inzerovat konkrétnější trasy zpět do Azure pro vaše místní sítě.
Poznámka:
Pokud inzerujete výchozí adresy RFC 1918 z místního prostředí do Azure a chcete pokračovat v tomto postupu, musíte rozdělit každý rozsah RFC 1918 do dvou stejných podrangů a inzerovat tyto podrangy zpět do Azure. Dílčí uspořádání jsou 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 a 192.168.128.0/17.
Připojení k virtuální síti Azure a tok provozu
Následující diagram znázorňuje toky provozu pro připojení k virtuální síti Azure.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 5 | Virtuální síť | Cloud Azure VMware Solution | Ano |
| 6 | Virtuální síť | Místní | Ano |
V tomto scénáři partnerské vztahy virtuálních sítí přímo do centra. Diagram znázorňuje, jak nativní prostředky Azure ve virtuální síti učí své trasy. Zabezpečené centrum s povoleným záměrem směrování odesílá výchozí adresy RFC 1918 do partnerských virtuálních sítí. Prostředky nativní pro Azure ve virtuální síti se neučte konkrétní trasy mimo jejich virtuální síť. Když povolíte záměr směrování, všechny prostředky ve virtuální síti mají výchozí adresu RFC 1918 a jako další segment směrování používají bránu firewall centra. Veškerý provoz, který vstupuje do virtuálních sítí a ukončí je, prochází bránou firewall centra.
Připojení k internetu
Tato část popisuje, jak poskytovat připojení k internetu pro prostředky nativní pro Azure ve virtuálních sítích a privátních cloudech Azure VMware Solution v jedné oblasti. Další informace najdete v tématu Aspekty návrhu připojení k internetu. Pomocí následujících možností můžete poskytnout připojení k internetu ke službě Azure VMware Solution.
- Možnost 1: Internetová služba hostovaná v Azure
- Možnost 2: Překlad zdrojových adres spravovaných řešením Azure VMware (SNAT)
- Možnost 3: Veřejná adresa IPv4 Azure na hraniční zařízení datacentra NSX-T
Návrh služby Virtual WAN zabezpečený v jedné oblasti, který má záměr směrování, podporuje všechny možnosti, ale doporučujeme možnost 1. Scénář dále v tomto článku používá možnost 1 k poskytování připojení k internetu. Možnost 1 funguje nejlépe se zabezpečenou službou Virtual WAN, protože je snadné ji kontrolovat, nasazovat a spravovat.
Když povolíte záměr směrování v zabezpečeném centru, inzeruje RFC 1918 do všech partnerských virtuálních sítí. Můžete ale také inzerovat výchozí trasu 0.0.0.0/0 pro připojení k internetu k podřízeným prostředkům. Při použití záměru směrování můžete vygenerovat výchozí trasu z brány firewall centra. Tato výchozí trasa inzeruje vaši virtuální síť a azure VMware Solution.
Řešení Azure VMware a připojení k internetu virtuální sítě
Když ve výchozím nastavení povolíte směrovací záměr pro internetový provoz, zabezpečené centrum Virtual WAN neinzeruje výchozí trasu napříč okruhy ExpressRoute. Aby se zajistilo, že se výchozí trasa rozšíří do služby Azure VMware Solution z virtual WAN, musíte povolit šíření výchozích tras v okruhech Azure VMware Solution ExpressRoute. Další informace najdete v tématu Inzerování výchozí trasy 0.0.0.0/0 do koncových bodů.
Následující diagram znázorňuje toky provozu pro virtuální síť a připojení k internetu azure VMware Solution.
Následující tabulka popisuje tok provozu v předchozím diagramu.
| Číslo toku provozu | Zdroj | Cíl | Kontroluje tento provoz zabezpečená brána firewall centra Virtual WAN? |
|---|---|---|---|
| 7 | Virtuální síť | Internet | Ano |
| 8 | Cloud Azure VMware Solution | Internet | Ano |
Po povolení šíření výchozí trasy bude připojení D inzerovat výchozí trasu 0.0.0.0/0 z centra. Nepovolujte toto nastavení pro místní okruhy ExpressRoute. Doporučujeme implementovat filtr protokolu BGP (Border Gateway Protocol) na místní zařízení. Filtr protokolu BGP brání prostředkům neúmyslně učit výchozí trasu, přidává další vrstvu preventivních opatření a pomáhá zajistit, aby vaše konfigurace neměla vliv na místní připojení k internetu.
Když povolíte směrovací záměr pro přístup k internetu, výchozí trasa, která se generuje ze zabezpečeného centra Virtual WAN, automaticky inzeruje připojení virtuální sítě v partnerském vztahu rozbočovače. Všimněte si, že v síťových rozhraních virtuálních počítačů ve virtuální síti je další segment směrování 0.0.0.0/0 bránou firewall centra. Pokud chcete najít další segment směrování, vyberte v síťové kartě efektivní trasy .
Použití sítí optimalizovaných pro VMware HCX Mobility (MON) bez služby Global Reach
Pokud používáte síťové rozšíření HCX Mobility Optimized Networking (MON), můžete povolit. MON poskytuje optimální směrování provozu v určitých scénářích, aby se sítě nepřekrývaly nebo smyček mezi místními a cloudovými prostředky v rozšířených sítích.
Výchozí přenos dat z Řešení Azure VMware
Když povolíte MON pro konkrétní rozšířenou síť a virtuální počítač, tok provozu se změní. Po implementaci MON se výchozí provoz z virtuálního počítače nevrátí zpět do místního prostředí. Místo toho obchází tunel IPSec rozšíření sítě. Provoz virtuálního počítače se ukončí z brány Azure VMware Solution NSX-T tier-1, přejde do brány NSX-T vrstvy 0 a pak přejde do služby Virtual WAN.
Příchozí provoz do řešení Azure VMware Solution
Když povolíte MON pro konkrétní rozšířenou síť a virtuální počítač, zavedete následující změny. Z Azure VMware Solution NSX-T vloží MON trasu hostitele /32 zpět do služby Virtual WAN. Virtual WAN tuto trasu /32 inzeruje zpět do místních, virtuálních sítí a poboček. Tato trasa hostitele /32 zajišťuje, že provoz z místních, virtuálních sítí a poboček nepoužívá tunel IPSec síťového rozšíření sítě, když provoz přejde na virtuální počítač s podporou MON. Provoz ze zdrojových sítí směřuje přímo na virtuální počítač s podporou MON, protože se učí trasu /32.
Omezení HCX MON pro zabezpečenou službu Virtual WAN bez služby Global Reach
Když v zabezpečeném centru povolíte průchodnost ExpressRoute-to-ExpressRoute a povolíte záměr směrování, odešle zabezpečené centrum výchozí adresy RFC 1918 do místního řešení i do řešení Azure VMware. Kromě výchozích adres RFC 1918 se místní i azure VMware Solution dozvíte konkrétnější trasy z virtuálních sítí Azure a větví, které se připojují k centru.
Místní sítě se ale neučte konkrétní trasy z řešení Azure VMware Solution a Azure VMware Solution se neučte konkrétní trasy z místních sítí. Obě prostředí se místo toho spoléhají na výchozí adresy RFC 1918 a usnadňují tak směrování zpět do sebe přes bránu firewall centra. Konkrétnější trasy, jako jsou trasy hostitelů MON, proto neinzerují z Azure VMware Solution ExpressRoute do místního okruhu ExpressRoute. Platí to i opačně. Nemožnost naučit se konkrétní trasy představuje asymetrický tok provozu. Přenosy odchozích přenosů azure VMware Solution prostřednictvím brány NSX-T tier-0, ale vrácení provozu z místního prostředí se vrátí přes tunel IPSec rozšíření sítě.
Oprava asymetrie provozu
Pokud chcete opravit asymetrii provozu, musíte upravit trasy zásad MON. Trasy zásad MON určují, který provoz se přes rozšíření L2 vrací zpět do místní brány. Také se rozhodnou, který provoz prochází bránou Azure VMware Solution NSX úrovně 0.
Pokud se cílová IP adresa shoduje a nastavíte ji tak, aby umožňovala konfiguraci zásad MON, dojde k dvěma akcím. Nejprve systém identifikuje paket. Za druhé systém odešle paket do místní brány prostřednictvím zařízení síťového rozšíření.
Pokud cílová IP adresa neodpovídá nebo ji nastavíte tak, aby v zásadách MON odepřela , odešle systém paket do brány Azure VMware Solution Tier-0 pro směrování.
Následující tabulka popisuje trasy zásad HCX.
| Síť | Přesměrování na partnerský vztah | Poznámka: |
|---|---|---|
| Adresní prostor virtuální sítě Azure | Odepřít | Explicitně zahrňte rozsahy adres pro všechny vaše virtuální sítě. Provoz určený pro Azure směruje odchozí provoz přes Azure VMware Solution a nevrátí se do místní sítě. |
| Výchozí adresní prostory RFC 1918 | Povolit | Přidejte výchozí adresy RFC 1918. Tato konfigurace zajišťuje, že veškerý provoz, který neodpovídá předchozím kritériím, se znovu směruje zpět do místní sítě. Pokud vaše místní nastavení používá adresy, které nejsou součástí RFC 1918, musíte tyto rozsahy explicitně zahrnout. |
| Adresní prostor 0.0.0.0/0 | Odepřít | Adresy, které RFC 1918 nepokrývá, jako jsou IP adresy směrovatelné přes internet nebo provoz, který neodpovídá zadaným položkám, ukončete přímo přes Azure VMware Solution a nepřesměrovávejte se zpět do místní sítě. |