Verwenden eines Azure VMware-Lösung-Designs für eine einzelne Region mit Virtual WAN und Global Reach.
In diesem Artikel werden bewährte Methoden für die Azure-VMware-Lösung in einer einzelnen Region beschrieben, wenn Sie sicheres Azure Virtual WAN mit Routingabsicht verwenden. Es bietet Empfehlungen für Konnektivität und Datenverkehrsfluss für sicheres Virtual WAN mit Routingabsicht und Azure ExpressRoute Global Reach. In diesem Artikel wird die Topologie für Designs in privaten Azure-VMware-Lösung-Clouds, lokalen Websites und Azure-nativen Ressourcen beschrieben. Die Implementierung und Konfiguration eines sicheren Virtual WAN mit Routingabsicht geht über den Umfang dieses Artikels hinaus.
Sicheres Virtual WAN in einer einzelnen Region verwenden
Nur die Virtual WAN-Standard-SKU unterstützt sicheres Virtual WAN mit Routingabsicht. Verwenden Sie sicheres Virtual WAN mit Routing, um den gesamten Internetdatenverkehr und privaten Netzwerkdatenverkehr an eine Sicherheitslösung wie Azure Firewall, eine nicht von Microsoft stammende virtuelle Netzwerkappliance (NVA) oder eine SaaS-Lösung (Software as a Service) zu senden. Sie müssen über einen sicheren Virtual WAN-Hub verfügen, wenn Sie Routingabsicht verwenden.
Hinweis
Wenn Sie Azure-VMware-Lösung mit sicheren VIrtual WAN-Hubs konfigurieren, legen Sie die Einstellungsoption Hubrouting auf "AS Path " fest, um optimale Routingergebnisse auf dem Hub sicherzustellen. Weitere Informationen finden Sie unter Routingpräferenz für virtuelle Hubs.
Der Hub dieses Szenarios hat die folgende Konfiguration:
Das Netzwerk mit einer einzelnen Region verfügt über eine virtuelle WAN-Instanz und einen Hub.
Der Hub verfügt über eine Azure Firewall-Instanz, die es zu einem sicheren Virtual WAN-Hub macht.
Der sichere Virtual WAN-Hub hat Routingabsichten aktiviert.
Dieses Szenario enthält auch die folgenden Komponenten:
Eine einzelne Region verfügt über eine eigene private Azure-VMware-Lösung-Cloud und ein virtuelles Azure-Netzwerk.
Ein lokaler Standort stellt eine Verbindung mit dem Hub her.
Die Umgebung verfügt über Global Reach-Konnektivität.
Global Reach stellt über das Microsoft-Backbone eine direkte logische Verbindung her, die Azure-VMware-Lösung lokal verbindet.
Globale Reach-Verbindungen werden nicht durch die Hubfirewall transitiert. Daher wird der Global Reach-Datenverkehr, der beide Wege zwischen der lokalen und Azure-VMware-Lösung geht, nicht überprüft.
Hinweis
Um die Sicherheit zwischen Global Reach-Sites zu verbessern, sollten Sie den Datenverkehr innerhalb von NSX-T der Azure-VMware-Lösung-Umgebung oder einer lokalen Firewall überprüfen.
Die folgende Diagramm zeigt ein Beispiel für dieses Szenario:
In der folgenden Tabelle werden die Topologiekonnektivität im vorherigen Diagramm beschrieben.
| Verbindung | Beschreibung |
|---|---|
| D | Private, cloudverwaltete ExpressRoute-Verbindung zum Hub von Azure-VMware-Lösung |
| A | Azure-VMware-Lösung Global Reach-Verbindung zu lokalen |
| E | Lokale ExpressRoute-Verbindung zum Hub |
Sicherer Virtual WAN-Datenverkehrsflüsse in einer Region
In den folgenden Abschnitten werden Datenverkehrsflüsse und Konnektivität für Azure-VMware-Lösun, lokale Umgebungen, virtuelle Azure-Netzwerke und das Internet beschrieben.
Konnektivität und Datenverkehrsflüsse in der privaten Azure-VMware-Lösung-Cloud
Das folgende Diagramm zeigt die Datenverkehrsflüsse für die private Azure-VMware-Lösung-Clouds.
In der folgenden Tabelle wird der Datenverkehrsfluss im vorherigen Diagramm beschrieben.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| 1 | Azure-VMware-Lösung-Cloud | Virtuelles Netzwerk | Ja |
| 2 | Azure-VMware-Lösung-Cloud | Lokal | No |
Die private Azure-VMware-Lösung-Cloud stellt über ExpressRoute-Verbindung D eine Verbindung mit seinem Hub bereit. Die Azure-VMware-Lösung-Cloudregion stellt eine Verbindung mit der lokalen Verbindung über ExpressRoute Global Reach-Verbindung A her. Datenverkehr, über Global Reach übergibt nicht die Hubfirewall.
Konfigurieren Sie für Ihr Szenario Global Reach, um Konnektivitätsprobleme zwischen lokaler und Azure-VMware-Lösung zu verhindern.
Lokale Konnektivität und Datenverkehrsfluss
Das folgende Diagramm zeigt die lokale Website, die den Hub über ExpressRoute-Verbindung E verbunden hat. Lokale Systeme können über die Global Reach-Verbindung A mit Azure-VMware-Lösung kommunizieren.
Konfigurieren Sie für Ihr Szenario Global Reach, um Konnektivitätsprobleme zwischen lokaler und Azure-VMware-Lösung zu verhindern.
In der folgenden Tabelle wird der Datenverkehrsfluss im vorherigen Diagramm beschrieben.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| 3 | Lokal | Azure-VMware-Lösung-Cloud | No |
| 4 | Lokal | Virtuelles Netzwerk | Ja |
Konnektivität und Datenverkehrsfluss des virtuellen Azure-Netzwerks
Ein aktivierter sicherer Hub mit Routingabsicht sendet die standardmäßigen RFC 1918-Adressen (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16) zusammen mit anderen Präfixen, die als Präfixe für privaten Datenverkehr hinzugefügt werden. Weitere Informationen finden Sie unter Routing-Intent-Privatadresspräfixe. In diesem Szenario ist die Routingabsicht aktiviert, sodass alle Ressourcen im virtuellen Netzwerk über die standardmäßigen RFC 1918-Adressen verfügen und die Hubfirewall als nächsten Hop verwenden. Der gesamte Datenverkehr, der in die virtuellen Netzwerke wechselt und beendet, durchläuft die Hubfirewalls.
Das folgende Diagramm zeigt, wie die virtuellen Netzwerkspeers direkt auf den Hub übertragen werden.
In der folgenden Tabelle wird der Datenverkehrsfluss im vorherigen Diagramm beschrieben.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| 5 | Virtuelles Netzwerk | Azure-VMware-Lösung-Cloud | Ja |
| 6 | Virtuelles Netzwerk | Azure-VMware-Lösung-Cloud | Ja |
Internetkonnektivität
In diesem Abschnitt wird beschrieben, wie Sie eine Internetverbindung zu Azure-nativen Ressourcen in einem virtuellen Netzwerke und in einer privaten Azure-VMware-Lösung-Cloud bereitstellen. Weitere Informationen finden Sie unter Überlegungen zur Gestaltung von Internetkonnektivität. Sie können die folgenden Optionen verwenden, um eine Internetverbindung mit Azure-VMware-Lösung bereitzustellen.
- Option 1: In Azure gehosteter Internetdienst
- Option 2: Von Azure-VMware-Lösung verwaltete Source Network Address Translation (SNAT)
- Option 3: Öffentliche IPv4-Adresse von Azure für den NSX-T Data Center Edge
Ein sicheres Virtual WAN-Design mit einer Region mit Routingabsicht unterstützt alle Optionen, wir empfehlen jedoch Option 1. Das Szenario weiter unten in diesem Artikel verwendet Option 1, um eine Internetverbindung bereitzustellen. Option 1 eignet sich am besten für sicheres Virtual WAN, da es einfach zu prüfen, bereitzustellen und zu verwalten ist.
Wenn Sie Routingabsicht verwenden, können Sie eine Standardroute aus der Hubfirewall generieren. Diese Standardroute kündigt Ihr virtuelles Netzwerk und Azure-VMware-Lösung an.
Azure-VMware-Lösung und virtuelle Netzwerk-Internetkonnektivität
Wenn Sie die Routingabsicht für Internetdatenverkehr aktivieren, wird standardmäßig der sichere Virtual WAN-Hub nicht für die Standardroute über ExpressRoute-Schaltkreise angekündigt. Um sicherzustellen, dass die Standardroute vom Virtual WAN an Azure-VMware-Lösung weitergegeben wird, müssen Sie die Standardroutenweiterleitung in Ihren Azure-VMware-Lösung ExpressRoute-Schaltkreisen aktivieren. Weitere Informationen finden Sie unter Standardroute 0.0.0.0/0 an Endpunkte bekannt geben.
Nachdem Sie die Standardroutenverteilung aktiviert haben, kündigt die Verbindung D die Standardroute 0.0.0.0/0 vom Hub an. Aktivieren Sie diese Einstellung nicht für lokale ExpressRoute-Schaltkreise. Verbindung D kündigt die Standardroute 0.0.0.0/0 zu Azure-VMware-Lösung an, aber Global Reach (Verbindung A) kündigt auch die Standardroute an die lokalen Standorte an. Daher wird empfohlen, einen BGP-Filter (Border Gateway Protocol) auf Ihrem lokalen Gerät zu implementieren, damit sie die Standardroute nicht erlernen kann. Mit diesem Schritt wird sichergestellt, dass sich ihre Konfiguration nicht auf die lokale Internetverbindung auswirkt.
In der folgenden Tabelle wird der Datenverkehrsfluss im vorherigen Diagramm beschrieben.
| Datenverkehrsflussnummer | Quelle | Ziel | Prüft die sichere Virtual WAN-Hubfirewall diesen Datenverkehr? |
|---|---|---|---|
| 7 | Azure-VMware-Lösung-Cloud | Dem Internet | Ja |
| 8 | Virtuelles Netzwerk | Dem Internet | Ja |
Wenn Sie die Routingabsicht für den Internetzugriff aktivieren, wird die vom sicheren Virtual WAN-Hub generierte Standardroute automatisch den über den Hub verbundenen virtuellen Netzwerkverbindungen bekannt gegeben. Beachten Sie, dass in den Netzwerkschnittstellenkarten (NICs) der virtuellen Maschinen im virtuellen Netzwerk der nächste Hop 0.0.0.0/0 die Hubfirewall ist. Um den nächsten Hop zu finden, wählen Sie Effektive Routen in der NIC aus.