Verwenden eines Azure-VMware-Lösungsdesigns mit zwei Regionen mit Virtual WAN und Global Reach
In diesem Artikel werden bewährte Methoden für Konnektivität, Datenverkehrsflüsse und hohe Verfügbarkeit beschrieben, wenn Sie Azure-VMware-Lösung in zwei Regionen bereitstellen. Es bietet Anleitungen für ein sicheres Azure Virtual WAN mit Routing-Intent und Azure ExpressRoute Global Reach. In diesem Artikel wird Virtual WAN mit Routingabsichtstopologie für private Azure-VMware-Lösung-Clouds, lokale Standorte und Azure-native Ressourcen beschrieben.
Die Implementierung und Konfiguration eines sicheren Virtual WAN mit Routingabsicht geht über den Umfang dieses Artikels hinaus. In diesem Artikel wird davon ausgegangen, dass Sie ein grundlegendes Verständnis für Virtual WAN und sicheres Virtual WAN mit Routingabsicht haben.
Sicheres Virtual WAN und Global Reach in zwei Regionen verwenden
Nur die Virtual WAN-Standard-SKU unterstützt sicheres Virtual WAN mit Routingabsicht. Verwenden Sie sicheres Virtual WAN mit Routing, um den gesamten Internetdatenverkehr und privaten Netzwerkdatenverkehr an eine Sicherheitslösung wie Azure Firewall, eine nicht von Microsoft stammende virtuelle Netzwerkappliance (NVA) oder eine SaaS-Lösung (Software as a Service) zu senden. Sie müssen über einen sicheren Virtual WAN-Hub verfügen, wenn Sie Routingabsicht verwenden.
Der Hub dieses Szenarios hat die folgende Konfiguration:
Das Netzwerk mit zwei Regionen verfügt über ein Virtual WAN und zwei Hubs. Jede Region verfügt über einen Hub.
Jeder Hub verfügt über eine eigene Azure Firewall-Instanz, wodurch sie Virtual WAN-Hubs sicher machen.
Die sicheren Virtual WAN-Hubs haben Routingabsichten aktiviert.
Dieses Szenario enthält auch die folgenden Komponenten:
Jede Region verfügt über eine eigene private Azure-VMware-Lösung-Cloud und ein virtuelles Azure-Netzwerk.
Eine lokaler Standort stellt eine Verbindung mit beiden Regionen bereit.
Die Umgebung verfügt über Global Reach-Konnektivität.
Global Reach stellt über das Microsoft-Backbone eine direkte logische Verbindung her, die Azure-VMware-Lösung mit lokalen oder regionalen privaten Azure-VMware-Lösung-Clouds verbindet.
Global Reach-Verbindungen werden nicht durch die Hubfirewalls transitiert. Der Global Reach-Datenverkehr zwischen Standorten wird also nicht überprüft.
Hinweis
Um die Sicherheit zwischen Global Reach-Sites zu verbessern, sollten Sie den Datenverkehr innerhalb von NSX-T der Azure-VMware-Lösung-Umgebung oder einer lokalen Firewall überprüfen.
Die folgende Diagramm zeigt ein Beispiel für dieses Szenario:
In der folgenden Tabelle werden die Topologiekonnektivität im vorherigen Diagramm beschrieben.
| Verbindung | Beschreibung |
|---|---|
| A | Azure-VMware-Lösung Region 1 Global Reach-Verbindung zurück zu lokaler Umgebung |
| b | Azure-VMware-Lösung Region 2 Global Reach-Verbindung zurück zu lokaler Umgebung |
| K | Azure-VMware-Lösung Global Reach-Verbindung zwischen den verwalteten Schaltkreisen der beiden privaten Clouds |
| D | Private Cloud-Verbindung mit Azure-VMware-Lösung mit seinem lokalen regionalen Hub |
| E | Lokale Konnektivität über ExpressRoute zu beiden regionalen Hubs |
| Interhub | Logische Interhub-Verbindung zwischen zwei Hubs, die unter demselben Virtual WAN bereitgestellt werden |
Hinweis
Wenn Sie Azure-VMware-Lösung mit sicheren VIrtual WAN-Hubs konfigurieren, legen Sie die Einstellungsoption Hubrouting auf "AS Path " fest, um optimale Routingergebnisse auf dem Hub sicherzustellen. Weitere Informationen finden Sie unter Routingpräferenz für virtuelle Hubs.
Sicherer Virtual WAN-Datenverkehrsflüsse in zwei Regionen
In den folgenden Abschnitten werden Datenverkehrsflüsse und Konnektivität für Azure-VMware-Lösung, lokale, virtuelle Azure-Netzwerke und das Internet beschrieben, wenn Sie Global Reach verwenden.
Regionenübergreifende Konnektivität und Datenverkehrsflüsse in der privaten Azure-VMware-Lösung-Cloud
Das folgende Diagramm zeigt Datenverkehrsflüsse für zwei private Azure-VMware-Lösung-Clouds in zwei Regionen.
In der folgenden Tabelle wird der Datenverkehrsfluss im vorherigen Diagramm beschrieben.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| 1 | Azure-VMware-Lösung-Cloud Region 1 | Virtuelles Netzwerk 1 | Ja, über die Hub 1-Firewall |
| 2 | Azure-VMware-Lösung-Cloud Region 1 | Lokal | Nein, Datenverkehr umgeht die Firewall und übergeht die Global Reach-Verbindung A |
| 3 | Azure-VMware-Lösung-Cloud Region 1 | Virtuelles Netzwerk 2 | Ja, über die Hub 2-Firewall |
| 4 | Azure-VMware-Lösung-Cloud Region 1 | Azure-VMware-Lösung-Cloud Region 2 | Nein, Datenverkehr umgeht die Firewall und übergeht die Global Reach-Verbindung C |
| 5 | Azure-VMware-Lösung-Cloud Region 2 | Virtuelles Netzwerk 1 | Ja, über die Hub 1-Firewall |
| 6 | Azure-VMware-Lösung-Cloud Region 2 | Virtuelles Netzwerk 2 | Ja, über die Hub 2-Firewall |
| 7 | Azure-VMware-Lösung-Cloud Region 2 | Lokal | Nein, Datenverkehr umgeht die Firewall und übergeht die Global Reach-Verbindung B |
Jede private Azure-VMware-Lösung-Cloud stellt über die ExpressRoute-Verbindung D eine Verbindung zu ihrem lokalen regionalen Hub her.
Jede Cloudregion von Azure-VMware-Lösung stellt eine Verbindung mit einem lokalen Netzwerk über ExpressRoute Global Reach her. Jede Azure-VMware-Lösung-Cloudregion verfügt über eine eigene Global Reach-Verbindung (Verbindung A und B). Und die privaten Azure-VMware-Lösung-Clouds verbinden sich über die Global Reach-Verbindung C direkt miteinander. Der Global Reach-Datenverkehr überschreibt niemals Hubfirewalls.
Konfigurieren Sie alle drei Global Reach-Verbindungen. Sie müssen diesen Schritt ausführen, um Konnektivitätsprobleme zwischen globalen Global Reach-Standorten zu verhindern.
Lokale Konnektivität und Datenverkehrsfluss
Das folgende Diagramm zeigt Datenverkehrsflüsse für die lokale Website.
In der folgenden Tabelle wird der Datenverkehrsfluss im vorherigen Diagramm beschrieben.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| 2 | Lokal | Azure-VMware-Lösung-Cloud Region 1 | Nein, Datenverkehr umgeht die Firewall und übergeht die Global Reach-Verbindung A |
| 7 | Lokal | Azure-VMware-Lösung-Cloud Region 2 | Nein, Datenverkehr umgeht die Firewall und übergeht die Global Reach-Verbindung B |
| 8 | Lokal | Virtuelles Netzwerk 1 | Ja, über die Hub 1-Firewall |
| 9 | Lokal | Virtuelles Netzwerk 2 | Ja, über die Hub 2-Firewall |
Der lokale Standort verbindet sich über ExpressRoute-Verbindung E mit Region 1 und Region 2 Hubs.
Lokale Systeme können mit Azure-VMware-Lösung Cloud Region 1 über die Global Reach-Verbindung A und mit Azure-VMware-Lösung Cloud Region 2 über die Global Reach-Verbindung B kommunizieren.
Konfigurieren Sie alle drei Global Reach-Verbindungen. Sie müssen diesen Schritt ausführen, um Konnektivitätsprobleme zwischen globalen Global Reach-Standorten zu verhindern.
Konnektivität und Datenverkehrsfluss des virtuellen Azure-Netzwerks
Das folgende Diagramm zeigt Datenverkehrsflüsse für die virtuellen Netzwerke.
In der folgenden Tabelle wird der Datenverkehrsfluss im vorherigen Diagramm beschrieben.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| 1 | Virtuelles Netzwerk 1 | Azure-VMware-Lösung-Cloud Region 1 | Ja, über die Hub 1-Firewall |
| 3 | Virtuelles Netzwerk 2 | Azure-VMware-Lösung-Cloud Region 1 | Ja, über die Hub 2-Firewall |
| 5 | Virtuelles Netzwerk 1 | Azure-VMware-Lösung-Cloud Region 2 | Ja, über die Hub 1-Firewall |
| 6 | Virtuelles Netzwerk 2 | Azure-VMware-Lösung-Cloud Region 2 | Ja, über die Hub 2-Firewall |
| 8 | Virtuelles Netzwerk 1 | Lokal | Ja, über die Hub 1-Firewall |
| 9 | Virtuelles Netzwerk 2 | Lokal | Ja, über die Hub 2-Firewall |
| 10 | Virtuelles Netzwerk 1 | Virtuelles Netzwerk 2 | Ja, über die Hub 1-Firewall. Der Datenverkehr geht dann über die Interhub-Verbindung und wird über die Hub 2-Firewall geprüft. |
Beide virtuellen Netzwerke sind direkt mit ihrem lokalen regionalen Hub verbunden.
Ein sicherer Hub mit Routingabsicht sendet die standardmäßigen RFC 1918-Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) zusammen mit anderen Präfixen, die als Präfixe für privaten Datenverkehr hinzugefügt werden. Weitere Informationen finden Sie unter Routing-Intent-Privatadresspräfixe.
In diesem Szenario ist die Routingabsicht aktiviert, sodass alle Ressourcen in virtuellem Netzwerk 1 und virtuellem Netzwerk 2 über die standardmäßigen RFC 1918-Adressen verfügen und ihre lokale regionale Hubfirewall als nächsten Hop verwenden. Der gesamte Datenverkehr, der in die virtuellen Netzwerke wechselt und beendet, übergibt die Hubfirewalls.
Internetkonnektivität
In diesem Abschnitt wird beschrieben, wie Sie eine Internetverbindung für Azure-native Ressourcen in virtuellen Netzwerken und private Azure-VMware-Lösung-Clouds in beiden Regionen bereitstellen. Weitere Informationen finden Sie unter Überlegungen zur Gestaltung von Internetkonnektivität. Sie können die folgenden Optionen verwenden, um eine Internetverbindung mit Azure-VMware-Lösung bereitzustellen.
- Option 1: In Azure gehosteter Internetdienst
- Option 2: Von VMware-Lösung verwaltete Source Network Address Translation (SNAT)
- Option 3: Öffentliche IPv4-Adresse von Azure für den NSX-T Data Center Edge
Ein Virtual WAN-Design mit dualer Region mit Routingabsicht unterstützt alle Optionen, wir empfehlen jedoch Option 1. Das Szenario weiter unten in diesem Artikel verwendet Option 1, um eine Internetverbindung bereitzustellen. Option 1 eignet sich am besten für sicheres Virtual WAN, da es einfach zu prüfen, bereitzustellen und zu verwalten ist.
Wenn Sie Routingabsicht verwenden, können Sie eine Standardroute aus der Hubfirewall generieren. Diese Standardroute kündigt Ihre virtuellen Netzwerke und private Azure-VMware-Lösung-Clouds an.
Azure-VMware-Lösung und virtuelle Netzwerk-Internetkonnektivität
Das folgende Diagramm zeigt die Internetverbindung für Azure-VMware-Lösung-Instanzen und virtuelle Netzwerke.
In der folgenden Tabelle wird der Datenverkehrsfluss im vorherigen Diagramm beschrieben.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? | Der Internet-Breakout |
|---|---|---|---|---|
| 11 | Azure-VMware-Lösung-Cloud Region 1 | Dem Internet | Ja, über die Hub 1-Firewall | Über die Hub 1-Firewall. |
| 12 | Azure-VMware-Lösung-Cloud Region 2 | Dem Internet | Ja, über die Hub 2-Firewall | Über die Hub 2-Firewall. |
| 15 | Virtuelles Netzwerk 1 | Dem Internet | Ja, über die Hub 1-Firewall | Über die Hub 1-Firewall. |
| 16 | Virtuelles Netzwerk 2 | Dem Internet | Ja, über die Hub 2-Firewall | Über die Hub 2-Firewall. |
Die folgenden Datenverkehrsflüsse sind nur aktiv, wenn Sie einen Ausfall haben, der sich auf einen lokalen regionalen Hub auswirkt. Wenn beispielsweise der lokale regionale Hub von Azure-VMware-Lösung einen Ausfall erlebt, wird der Internetdatenverkehr an den regionalen Hub für die Internetkonnektivität umgeleitet.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? | Der Internet-Breakout |
|---|---|---|---|---|
| 13 | Azure-VMware-Lösung-Cloud Region 1 | Dem Internet | Ja, Datenverkehrsdurchgänge über die Global Reach-Verbindung C und die Hub 2-Firewall prüft sie. | Über die Hub 2-Firewall. |
| 14 | Azure-VMware-Lösung-Cloud Region 2 | Dem Internet | Ja, Datenverkehrsdurchgänge über die Global Reach-Verbindung C und die Hub 1-Firewall prüft sie. | Über die Hub 1-Firewall. |
Die private Azure-VMware-Lösung lernt die Standardmäßige Internetkonnektivitätsroute sowohl vom lokalen regionalen Hub als auch vom regionalen Hub, sodass Sie Redundanz in der Internetkonnektivität erzielen können. Die private Azure-VMware-Lösungscloud priorisiert den lokalen regionalen Hub für die primäre Internetverbindung. Der regionale Hub dient als Internetsicherung, wenn der lokale regionale Hub fehlschlägt. Dieses Setup bietet Redundanz für Internetzugriff nur für ausgehenden Datenverkehr. Für eingehenden Internetdatenverkehr zu Azure-VMware-Lösung-Workloads sollten Sie Azure Front Door oder Azure Traffic Manager für regionale hohe Verfügbarkeit verwenden.
Die private Azure-VMware-Lösung-Cloud empfängt die bevorzugte Standardroute ∞ 0.0.0.0/0 über die Verbindung D vom lokalen regionalen Hub. Und die private Azure-VMware-Lösung empfängt eine Backup-Standardroute △ 0.0.0.0/0, die auf dem regionalen Hub stammt und über die Global Reach-Verbindung C angekündigt wird. Wenn Sie jedoch die Standardroutenverteilung für Ihre lokalen ExpressRoute-Verbindungen E aktivieren, leitet der regionale Internetdatenverkehr auch diesen Pfad weiter.
So wird z. B. der regionale Internetdatenverkehr, der von der Azure VMware privaten Cloud 1 zu Hub 2 geht, über das Multipath-Routing (Equal-Cost Multipath, ECMP) über die Global Reach-Verbindung C bis zur Verbindung D und über die Global Reach-Verbindung A zur Verbindung E verteilt. Ebenso durchläuft der Rückverkehr von Hub 2 zur privaten Cloud-Region 1 dieselben Pfade über ECMP. Konfigurieren Sie alle drei Global Reach-Verbindungen. Sie müssen diesen Schritt ausführen, um Konnektivitätsprobleme zwischen globalen Global Reach-Standorten zu verhindern.
Wenn Sie die Routingabsicht für Internetdatenverkehr aktivieren, wird standardmäßig der sichere Virtual WAN-Hub nicht für die Standardroute über ExpressRoute-Schaltkreise angekündigt. Um sicherzustellen, dass die Standardroute vom Virtual WAN an Azure-VMware-Lösung weitergegeben wird, müssen Sie die Standardroutenweiterleitung in Ihren Azure-VMware-Lösung ExpressRoute-Schaltkreisen aktivieren. Weitere Informationen finden Sie unter Standardroute 0.0.0.0/0 an Endpunkte bekannt geben.
Aktivieren Sie diese Einstellung nicht für lokale ExpressRoute-Schaltkreise. Connection D kündigt die Standardroute "∞ 0.0.0.0/0" an private Azure VMware-Lösung-Clouds an, aber die Standardroute kündigt auch über die Global Reach-Verbindung A und die Global Reach-Verbindung B an. Daher wird empfohlen, einen BGP-Filter (Border Gateway Protocol) auf Ihrem lokalen Gerät zu implementieren, um das Lernen der Standardroute auszuschließen. Mit diesem Schritt wird sichergestellt, dass sich ihre Konfiguration nicht auf die lokale Internetverbindung auswirkt.
Jedes virtuelle Netzwerk geht über seine lokale regionale Hubfirewall an das Internet weiter. Wenn Sie die Routingabsicht für den Internetzugriff aktivieren, wird die vom sicheren Virtual WAN-Hub generierte Standardroute automatisch den über den Hub verbundenen virtuellen Netzwerkverbindungen bekannt gegeben. Diese Standardroute wird jedoch nicht über den Interhub-Link über regionale Hubs angekündigt. Virtuelle Netzwerke verwenden also ihren lokalen regionalen Hub für den Internetzugriff und verfügen über keine Backup-Internetverbindung mit dem regionalen Hub.