Sicheres virtuelles WAN für Azure VMware-Lösung in einer einzelnen Region oder in dualen Regionen
In diesem Artikel werden die Azure-VMware-Lösung-Netzwerkentwurfstopologien und Überlegungen für Szenarien mit einer Region und dualen Regionen erläutert, die sicheres Azure Virtual WAN mit Routingabsicht verwenden. Es beschreibt, wie Routingabsicht Datenverkehr über eine zentrale Sicherheitslösung leitet. Diese Methode verbessert die Sicherheit und optimiert die Netzwerkverwaltung. Dieser Artikel enthält Entwurfsüberlegungen für Bereitstellungen mit und ohne Azure ExpressRoute Global Reach. Es hebt die Vorteile und Herausforderungen jedes Szenarios hervor.
Sie können eine Sicherheitslösung im Virtual WAN-Hub implementieren, um den Hub in einen sicheren Virtual WAN-Hub zu konvertieren. Zum Konfigurieren der Routingabsicht benötigen Sie einen sicheren Virtual WAN-Hub. Routingabsicht steuert den gesamten privaten Datenverkehr und den Internetdatenverkehr an die Hub-Sicherheitslösung, wodurch Ihr sicheres Hub-Routing und Ihr Sicherheitsdesign optimiert werden. Die Routingabsicht verbessert die Sicherheitsbreite und führt eine Datenverkehrsüberprüfung für den gesamten Datenverkehr durch, der über den sicheren Hub führt, einschließlich des Azure-VMware-Lösung-Datenverkehrs.
In diesem Artikel wird davon ausgegangen, dass Sie ein grundlegendes Verständnis für Virtual WAN und sicheres Virtual WAN mit Routingabsicht haben.
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Was ist Virtual WAN?
- Was ist ein sicherer virtueller Hub?
- Konfigurieren der Routingabsicht und der Routingrichtlinien für Virtual WAN-Hubs
- ExpressRoute Global Reach
Implementieren eines sicheren VIrtual WAN für Azure VMware-Lösungsdesigns
Verwenden Sie sicheres Virtual WAN mit Routing, um den gesamten Internetdatenverkehr und privaten Netzwerkdatenverkehr (RFC 1918) an eine Sicherheitslösung wie Azure Firewall, eine nicht von Microsoft stammende virtuelle Netzwerkappliance (NVA) oder eine SaaS-Lösung (Software as a Service) zu senden. Verwenden Sie Azure-VMware-Lösung zusammen mit sicherem Virtual WAN und Routingabsicht, um designs mit einer Region und zwei Regionen zu unterstützen.
Design mit einer Region
Verwenden Sie das Einzelregionendesign, um den Netzwerkverkehr innerhalb der virtuellen Hub-Sicherheitslösung zu überprüfen, der zu und von Azure-VMware-Lösung geht. Dieser Ansatz vereinfacht die Netzwerkverwaltung und verbessert Ihren gesamten Sicherheitsstatus. Dieses Design bereitet Sie auch darauf vor, wenn Sie eine andere private Azure-VMware-Lösung-Cloud in einer anderen Region bereitstellen möchten, die über ein Design mit zwei Regionen verfügt. Aktivieren Sie die Routingabsicht in einem einzelnen Regionshub, um später eine Skalierung auf ein Design mit dualen Hub-Regionen zu ermöglichen. Dieses Design unterstützt Konfigurationen mit oder ohne Global Reach.
Dual-Region- oder Dual-Hub-Design
Verwenden Sie ein Design für zwei Hubs, um den Netzwerkdatenverkehr in zwei virtuelle Hub-Sicherheitslösungen zu prüfen. Überprüfen Sie den Datenverkehr zu und von der Azure-VMware-Lösung, und prüfen Sie den Datenverkehr über private Azure-VMware-Lösung-Clouds, die sich in verschiedenen Regionen befinden. Aktivieren Sie Routingabsichten für beide regionalen Hubs, sodass Datenverkehr beide Hub-Sicherheitslösungen durchlaufen kann. Ein Design für zwei Regionen mit Routingabsicht verbessert die Sicherheit und vereinfacht die Netzwerkverwaltung in allen Regionen. Dieses Design unterstützt Konfigurationen mit oder ohne Global Reach.
Bereitstellungsoptionen für Global Reach
Verwenden Sie die Global Reach, um Azure-VMware-Lösung mit lokalen oder regionalen privaten Azure-VMware-Lösung-Clouds zu verbinden. Global Reach stellt über das Microsoft-Backbone eine direkte logische Verbindung her.
Bereitstellung mit globaler Reichweite
Wenn Sie Global Reach bereitstellen, umgehen Datenverkehr zwischen den Global Reach-Standorten die sichere Virtual WAN-Hub-Firewall. Die sichere Virtual WAN-Hubfirewall prüft keinen Global Reach-Datenverkehr, der zwischen Azure-VMware-Lösung und lokaler oder zwischen privaten Azure-VMware-Lösung-Clouds in verschiedenen Regionen verläuft.
Das folgende Diagramm zeigt beispielsweise, wie Datenverkehr zwischen Azure-VMware-Lösung und lokal die Global Reach-Verbindung verwendet, die als A bezeichnet wird, um zu kommunizieren. Dieser Datenverkehr überfuhr die Hubfirewall nicht aufgrund der Global Reach-Verbindung A. Für optimale Sicherheit zwischen Global Reach-Sites muss der Datenverkehr von der NSX-T- oder lokalen Firewall der Azure-VMware-Lösung-Umgebung überprüft werden.
Global Reach vereinfacht das Design, da es eine direkte logische Verbindung zwischen Azure-VMware-Lösung und lokalen oder regionalen privaten Azure-VMware-Lösung-Clouds bietet. Verwenden Sie Global Reach, um Probleme mit dem Datenverkehr zwischen Global Reach-Standorten zu beheben und Durchsatzbeschränkungen im sicheren Virtual WAN zu beseitigen. Ein Nachteil ist, dass Global Reach verhindert, dass die sichere Virtuelle Hub-Sicherheitslösung den Datenverkehr zwischen regionalen privaten Azure-VMware-Lösung-Clouds und lokalen Clouds und auch in privaten Azure VMware-Lösungen selbst prüft. Daher kann die Sicherheitslösung des sicheren virtuellen Hubs den Datenverkehr, der direkt zwischen diesen Entitäten fließt, nicht überprüfen.
Bereitstellung ohne globale Reichweite
Es wird empfohlen, dass Sie Global Reach konsistent verwenden, es sei denn, Sie haben bestimmte Anforderungen. Wenn Sie Global Reach nicht verwenden, können Sie den gesamten Datenverkehr auf der sicheren Sicherheitslösung für Virtual WAN-Hubs zwischen Azure-VMware-Lösung und den lokalen oder regionalen privaten Azure-VMware-Lösung-Clouds überprüfen. Dieser Ansatz erhöht jedoch die Komplexität des Designs. Berücksichtigen Sie auch die Durchsatzbeschränkungen am sicheren Virtual WAN-Hub. Verwenden Sie Global Reach, es sei denn, Sie haben eine der folgenden Einschränkungen.
Sie müssen den Datenverkehr auf dem Virtual WAN-Hub zwischen Azure-VMware-Lösung und lokal sowie in privaten Azure-VMware-Lösung-Clouds prüfen. Sie können Global Reach nicht verwenden, wenn Sie über eine Sicherheitsanforderung verfügen, um den Datenverkehr zwischen Azure-VMware-Lösung und lokal oder zwischen regionalen privaten Azure-VMware-Lösung-Clouds in der virtuellen Hub-Firewall zu prüfen.
Eine Region unterstützt kein Global Reach. Wenn eine Region die Global Reach nicht unterstützt, können Sie Routingabsichten verwenden, um Verbindungen zwischen ExpressRoute-Verbindungen herzustellen, entweder zwischen Azure-VMware-Lösung und lokalen oder regionalen privaten Azure-VMware-Lösung-Clouds. Virtual Hubs unterstützt die Transitivität von ExpressRoute-zu-ExpressRoute standardmäßig nicht. Um diese Transitivität zu aktivieren, müssen Sie ein Supportticket initiieren. Weitere Informationen finden Sie unter ExpressRoute Global Reach-Verfügbarkeit.
Ihre lokale ExpressRoute-Instanz verwendet die lokale ExpressRoute-SKU. Die lokale ExpressRoute-SKU unterstützt kein Global Reach. Wenn Sie die lokale SKU verwenden, können Sie Routingabsichten verwenden, um Verbindungen zwischen der Azure-VMware-Lösung und Ihrem lokalen Netzwerk herzustellen.
Das folgende Diagramm zeigt ein Beispiel, das kein Global Reach verwendet.
Erwägen sie Global Reach-Optionen für eine einzelne Region oder für duale Regionen
Verwenden Sie die folgenden Anleitungen, um zu ermitteln, ob Sie Global Reach für Ihr Szenario aktivieren müssen.
Design mit einer Region mit Global Reach
Wenn Sie Global Reach in einer einzelnen Region verwenden, leitet der sichere Hub den gesamten privaten Datenverkehr und Internetdatenverkehr über eine Sicherheitslösung wie Azure Firewall, eine Nicht-Microsoft NVA oder eine SaaS-Lösung weiter. Im folgenden Diagramm prüft Routingabsicht Datenverkehr, aber der Global Reach-Datenverkehr zwischen Azure-VMware-Lösung und der lokalen Umgebung wird die Hubfirewall (Verbindung A) umgangen. Daher müssen Sie diesen Global Reach-Datenverkehr mit NSX-T in Azure-VMware-Lösung oder einer lokalen Firewall überprüfen, um die Sicherheit auf allen Global Reach-Standorten zu verbessern.
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und von Azure-VMware-Lösung.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Virtuelle Netzwerke | Ja |
| Azure VMware Solution | → ← |
Dem Internet | Ja |
| Azure VMware Solution | → ← |
Lokal | No |
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und von virtuellen Netzwerken.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Virtuelle Netzwerke | → ← |
Lokal | Ja |
| Virtuelle Netzwerke | → ← |
Dem Internet | Ja |
| Virtuelle Netzwerke | → ← |
Virtuelle Netzwerke | Ja |
Design mit einer Region ohne Global Reach
Wenn Sie Global Reach nicht in einer einzelnen Region verwenden, leitet der sichere Hub den gesamten privaten Datenverkehr und Internetdatenverkehr über eine Sicherheitslösung weiter. Routingabsicht prüft Datenverkehr. Mit diesem Design überschreibt der Datenverkehr zwischen Azure-VMware-Lösung und der lokalen Bereitstellung die Hubfirewall zur Überprüfung. Virtuelle Hubs unterstützen die Transitivität von ExpressRoute-zu-ExpressRoute standardmäßig nicht. Um diese Transitivität zu aktivieren, müssen Sie ein Supportticket initiieren. Nachdem das Supportticket erfüllt wurde, kündigt der sichere Hub die standardmäßigen RFC 1918-Adressen an Azure-VMware-Lösung und lokal an. Wenn Sie Routingabsichten von lokal verwenden, können Sie die genauen RFC 1918-Adresspräfixe (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) nicht wieder in Azure bewerben. Stattdessen müssen Sie immer spezifischere Routen bewerben.
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und von Azure-VMware-Lösung.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Lokal | Ja |
| Azure VMware Solution | → ← |
Dem Internet | Ja |
| Azure VMware Solution | → ← |
Virtuelle Netzwerke | Ja |
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und von virtuellen Netzwerken.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Virtuelle Netzwerke | → ← |
Lokal | Ja |
| Virtuelle Netzwerke | → ← |
Dem Internet | Ja |
| Virtuelle Netzwerke | → ← |
Virtuelle Netzwerke | Ja |
Design mit zwei Regionen mit Global Reach
Wenn Sie Global Reach in zwei Regionen verwenden, stellen Sie zwei sichere Hubs in verschiedenen Regionen innerhalb Ihres Virtual WAN bereit. Sie sollten außerdem zwei private Azure-VMware-Lösung-Clouds in separaten Regionen einrichten
Die folgende Diagramm zeigt ein Beispiel für diese Konfiguration: Jede regionale private Azure-VMware-Lösung-Cloud stellt eine direkte Verbindung zu ihrem lokalen regionalen Hub her (Verbindung D). Lokal stellt eine Verbindung mit jedem regionalen Hub (Verbindung E) bereit. Alle RFC 1918-Datenverkehrs- und Internetdatenverkehr werden über eine Sicherheitslösung für sichere Hubs über Routingabsicht geleitet. Die privaten Azure-VMware-Lösung-Clouds verfügen über Verbindungen mit der lokalen Bereitstellung über Global Reach (Verbindungen A und B). Azure-VMware-Lösung-Clouds verbinden sich über Global Reach (Verbindung C) miteinander. Global Reach-Datenverkehr zwischen den privaten Azure-VMware-Lösung-Clouds oder zwischen den privaten Azure-VMware-Lösung-Clouds und lokalen Standorten umgeht die beiden Hub-Firewalls (Verbindungen A, B und C). Verwenden Sie zur Verbesserung der Sicherheit an Global Reach-Standorten NSX-T in Azure-VMware-Lösung oder eine lokale Firewall, um diesen Datenverkehr zu überprüfen.
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und aus der privaten Azure-VMware-Lösung-Cloudregion 1.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Virtuelles Netzwerk 1 | Ja, über die Hub 1-Firewall |
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Virtuelles Netzwerk 2 | Ja, über die Firewalls von Hub 1 und Hub 2 |
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Dem Internet | Ja, über die Hub 1-Firewall |
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Lokal | No |
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und aus der privaten Azure-VMware-Lösung-Cloudregion 2.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Private Azure-VMware-Lösung-Cloudregion 2 | → ← |
Virtuelles Netzwerk 1 | Ja, über die Firewalls von Hub 1 und Hub 2 |
| Private Azure-VMware-Lösung-Cloudregion 2 | → ← |
Virtuelles Netzwerk 2 | Ja, über die Hub 2-Firewall |
| Private Azure-VMware-Lösung-Cloudregion 2 | → ← |
Dem Internet | Ja, über die Hub 2-Firewall |
| Private Azure-VMware-Lösung-Cloudregion 2 | → ← |
Lokal | No |
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und aus der privaten Azure-VMware-Lösung-Cloudregion 1 und 2.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Private Azure-VMware-Lösung-Cloudregion 2 | No |
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und von virtuellen Netzwerken.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Virtuelles Netzwerk 1 | → ← |
Lokal | Ja, über die Hub 1-Firewall |
| Virtuelles Netzwerk 1 | → ← |
Dem Internet | Ja, über die Hub 1-Firewall |
| Virtuelles Netzwerk 1 | → ← |
Virtuelles Netzwerk 2 | Ja, über die Firewalls von Hub 1 und Hub 2 |
| Virtuelles Netzwerk 2 | → ← |
Lokal | Ja, über die Hub 2-Firewall |
| Virtuelles Netzwerk 2 | → ← |
Dem Internet | Ja, über die Hub 2-Firewall |
Design mit zwei Regionen ohne Global Reach
Wenn Sie Global Reach in zwei Regionen verwenden, stellen Sie zwei sichere Hubs in verschiedenen Regionen innerhalb Ihres Virtual WAN bereit. Sie sollten außerdem zwei private Azure-VMware-Lösung-Clouds in separaten Regionen einrichten
Die folgende Diagramm zeigt ein Beispiel für diese Konfiguration: Jede regionale private Azure-VMware-Lösung-Cloud stellt eine direkte Verbindung zu ihrem lokalen regionalen Hub her (Verbindung D). Lokal stellt eine Verbindung mit jedem regionalen Hub (Verbindung E) bereit. Alle RFC 1918-Datenverkehrs- und Internetdatenverkehr werden über eine Sicherheitslösung für sichere Hubs über Routingabsicht geleitet.
Virtuelle Hubs unterstützen die Transitivität von ExpressRoute-zu-ExpressRoute standardmäßig nicht. Um diese Transitivität zu aktivieren, müssen Sie ein Supportticket initiieren. Nachdem das Supportticket erfüllt wurde, kündigen die sicheren Hubs die standardmäßigen RFC 1918-Adressen an Azure-VMware-Lösung und lokal an. Verweisen Sie beim Öffnen des Tickets auf beide regionalen Hubs. Verwenden Sie ExpressRoute-zur-ExpressRoute-Transitivität, sodass private Azure-VMware-Lösung-Clouds über den Virtual WAN-Interhub miteinander kommunizieren können und die Azure-VMware-Lösung-Cloud lokal kommunizieren kann.
RFC 1918-Adressen werden lokal angekündigt, Sie können nicht die exakten RFC 1918-Adresspräfixe (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) zurück zu Azure ankündigen. Stattdessen müssen Sie immer spezifischere Routen bewerben.
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und aus der privaten Azure-VMware-Lösung-Cloudregion 1.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Virtuelles Netzwerk 1 | Ja, über die Hub 1-Firewall |
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Virtuelles Netzwerk 2 | Ja, über die Firewalls von Hub 1 und Hub 2 |
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Dem Internet | Ja, über die Hub 1-Firewall |
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Lokal | Ja, über die Hub 1-Firewall |
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und aus der privaten Azure-VMware-Lösung-Cloudregion 2.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Private Azure-VMware-Lösung-Cloudregion 2 | → ← |
Virtuelles Netzwerk 1 | Ja, über die Hub 2-Firewall |
| Private Azure-VMware-Lösung-Cloudregion 2 | → ← |
Virtuelles Netzwerk 2 | Ja, über die Firewalls von Hub 1 und Hub 2 |
| Private Azure-VMware-Lösung-Cloudregion 2 | → ← |
Dem Internet | Ja, über die Hub 2-Firewall |
| Private Azure-VMware-Lösung-Cloudregion 2 | → ← |
Lokal | Ja, über die Hub 2-Firewall |
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und aus der privaten Azure-VMware-Lösung-Cloudregion 1 und 2.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Private Azure-VMware-Lösung-Cloudregion 1 | → ← |
Private Azure-VMware-Lösung-Cloudregion 2 | Ja, über die Firewalls von Hub 1 und Hub 2 |
Die folgende Tabelle zeigt den Datenverkehrsfluss zu und von virtuellen Netzwerken.
| Standort 1 | Direction | Standort 2 | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| Virtuelles Netzwerk 1 | → ← |
Lokal | Ja, über die Hub 1-Firewall |
| Virtuelles Netzwerk 1 | → ← |
Dem Internet | Ja, über die Hub 1-Firewall |
| Virtuelles Netzwerk 1 | → ← |
Virtuelles Netzwerk 2 | Ja, über die Firewalls von Hub 1 und Hub 2 |
| Virtuelles Netzwerk 2 | → ← |
Lokal | Ja, über die Hub 2-Firewall |
| Virtuelles Netzwerk 2 | → ← |
Dem Internet | Ja, über die Hub 2-Firewall |
Zugehörige Ressourcen
- Verwenden eines Azure-VMware-Lösung-Designs für eine einzelne Region mit Virtual WAN und Global Reach.
- Verwenden eines Azure-VMware-Lösungsdesigns mit einer Region, das keine Global Reach hat
- Verwenden eines Azure VMware-Lösungsdesigns mit zwei Regionen mit Virtual WAN und Global Reach
- Azure-VMware-Lösungsdesign mit zwei Regionen, das keine Global Reach hat