Arquitecturas de ejemplo para Azure VMware Solution
Al establecer una zona de aterrizaje de Azure VMware Solution, primero debe diseñar e implementar funcionalidades de red. Los productos y servicios de red de Azure admiten varios escenarios de red. En este artículo se describen los cuatro escenarios de red más comunes.
- Escenario 1: un centro de Virtual WAN protegido con intenciones de enrutamiento
- escenario 2: una aplicación virtual de red (NVA) en Azure Virtual Network inspecciona todo el tráfico de red.
- Escenario 3: tráfico saliente de Azure VMware Solution con o sin NSX-T o NVA
- Escenario 4: Soluciones de firewall no-Microsoft en una red virtual de concentrador que tiene Azure Route Server
Para elegir una arquitectura adecuada y planear la estructura de los servicios, evalúe las cargas de trabajo, la gobernanza y los requisitos de la organización.
Consideraciones sobre escenarios
Revise las siguientes consideraciones y requisitos clave antes de elegir el escenario de implementación de Azure VMware Solution.
Requisitos para el tráfico de Internet que entra en las aplicaciones de Azure VMware Solution
Consideraciones de ruta de acceso para el tráfico de Internet que sale de las aplicaciones de Azure VMware Solution
Extensión L2 de red para migraciones
Uso de NVA en la arquitectura actual
Conectividad de Azure VMware Solution a una red virtual de centro estándar o a un centro de Azure Virtual WAN
Conectividad de Azure ExpressRoute desde centros de datos locales a Azure VMware Solution
Uso de ExpressRoute Global Reach
Requisitos de inspección del tráfico para:
- Acceso a Internet a las aplicaciones de Azure VMware Solution
- Acceso a Internet de Azure VMware Solution
- Acceso de Azure VMware Solution a centros de datos locales
- Acceso de Azure VMware Solution a Virtual Network
- Tráfico dentro de la nube privada de Azure VMware Solution
En la tabla siguiente se describen las recomendaciones y consideraciones basadas en los requisitos de inspección del tráfico de Azure VMware Solution para cada escenario.
| Escenario | Requisitos de inspección del tráfico | Diseño de soluciones recomendado | Consideraciones |
|---|---|---|---|
| 1 | - Desde Internet - A internet |
Utilice un centro seguro de Virtual WAN que tenga propagación de puerta de enlace predeterminada. Use Azure Application Gateway para el tráfico HTTP o HTTPS. Use Azure Firewall para el tráfico que no sea HTTP ni HTTPS. Implemente un centro de Virtual WAN protegido que tenga la intención de enrutamiento. |
Esta opción usa Global Reach, que no es eficaz para el filtrado local porque omite los centros de Virtual WAN. |
| 2 | - Desde Internet - A internet - En el centro de datos in situ - A la red virtual |
Utiliza soluciones de NVA de firewall no Microsoft en tu red virtual concentradora que tenga Route Server. No utilice Global Reach. Use Application Gateway para el tráfico HTTP o HTTPS. Utilice una aplicación virtual de red (NVA) de firewall que no sea de Microsoft para el tráfico que no sea HTTP o HTTPS en Azure. |
Elija esta opción si desea usar su NVA existente y centralizar toda la inspección del tráfico en la red virtual del concentrador. |
| 3 | - Desde Internet - A internet - Al centro de datos local - A la red virtual - Dentro de Azure VMware Solution |
Use NSX-T Data Center o un firewall de NVA que no sea de Microsoft en Azure VMware Solution. Use Application Gateway para el tráfico HTTPS. Use Azure Firewall para el tráfico que no sea HTTPS. Implemente el centro de Virtual WAN protegido y habilite una dirección IP pública en Azure VMware Solution. |
Elija esta opción si necesita inspeccionar el tráfico de dos o más nubes privadas de Azure VMware Solution. Use esta opción para aprovechar las características nativas de NSX-T. También puede combinar esta opción con NVA que se ejecutan en Azure VMware Solution. |
| 4 | - Desde Internet - A internet - Hacia el centro de datos en las instalaciones - A la red virtual |
Use soluciones de firewall que no son de Microsoft en una red virtual de concentrador que tenga Route Server. Use Application Gateway para el tráfico HTTP o HTTPS. Usa un firewall NVA que no sea de Microsoft en Azure para el tráfico que no sea ni HTTP ni HTTPS. Use una NVA de firewall local que no sea de Microsoft. Implemente soluciones de firewall que no son de Microsoft en una red virtual de concentrador que tenga Route Server. |
Elija esta opción para publicar la ruta 0.0.0.0/0 desde una NVA en su red virtual del centro de Azure a Azure VMware Solution. |
Tenga en cuenta estos puntos clave sobre los escenarios de red:
Todos los escenarios tienen patrones de entrada similares a través de Application Gateway y Azure Firewall.
Puede usar soluciones de equilibrador de carga L4 a L7 en Azure VMware Solution.
Puede usar el firewall distribuido de NSX-T para cualquiera de estos escenarios.
En las secciones siguientes se describen los patrones de arquitectura de las nubes privadas de Azure VMware Solution. Para más información, consulte conceptos de redes e interconectividad de Azure VMware Solution.
Escenario 1: un centro de WAN virtual seguro que tiene una configuración de enrutamiento.
Este escenario implica los siguientes componentes y consideraciones de arquitectura.
Cuándo usar este escenario
Use este escenario si:
No se requiere la inspección del tráfico entre Azure VMware Solution y los centros de datos locales.
Necesita la inspección del tráfico entre las cargas de trabajo de Azure VMware Solution e Internet.
Debe proteger el tráfico de entrada público a las cargas de trabajo de Azure VMware Solution.
Tenga en cuenta también estos otros factores:
En este escenario, puede poseer las direcciones IP públicas. Para obtener más información, consulte prefijo de dirección IP personalizada.
Si es necesario, puede agregar servicios de entrada L4 o L7 orientados al público.
Puede que ya tenga o no tenga conectividad de ExpressRoute entre centros de datos locales y Azure.
Visión general
En el diagrama siguiente se proporciona información general de alto nivel sobre el escenario 1.
Descargar un archivo de PowerPoint de esta arquitectura.
Componentes
Este escenario consta de los siguientes componentes:
Azure Firewall en un centro de Virtual WAN protegido para firewalls
Application Gateway para el equilibrio de carga L7 y Azure Web Application Firewall
Traducción de direcciones de red de destino L4 (DNAT) con Azure Firewall para traducir y filtrar el tráfico de entrada de red
Internet de salida mediante Azure Firewall en el centro de Virtual WAN.
EXR, VPN o SD-WAN para la conectividad entre centros de datos locales y Azure VMware Solution
Descargar un archivo de Visio de esta arquitectura.
Consideraciones
Azure Firewall en un centro de Virtual WAN seguro anuncia la ruta
0.0.0.0/0a Azure VMware Solution. Esta ruta también se anuncia localmente a través de Global Reach. Puede usar SD-WAN o VPN para implementar un filtro de rutas en las instalaciones para evitar el aprendizaje de rutas de0.0.0.0/0.Las conexiones de VPN, ExpressRoute o red virtual establecidas con el centro de Virtual WAN seguro no requieren ningún anuncio
0.0.0.0/0, lo reciben igualmente. Para evitar esta acción, puede:Utilice un dispositivo local perimetral para filtrar la ruta
0.0.0.0/0.Inhabilite la propagación de
0.0.0.0/0en conexiones específicas.- Desconecte las conexiones de expressRoute, VPN o red virtual.
- Habilite la propagación de
0.0.0.0/0. - Deshabilite la propagación de
0.0.0.0/0en esas conexiones en específico. - Vuelva a conectar esas conexiones.
Puede hospedar Application Gateway en una red virtual radio que se conecte al centro de Virtual WAN.
Habilitación de Azure VMware Solution para inspeccionar el tráfico local a través de Azure Firewall
Para permitir que Azure VMware Solution inspeccione el tráfico local a través de Azure Firewall, siga estos pasos:
- Elimine la conexión Global Reach entre Azure VMware Solution y el entorno local.
- Abra un caso de soporte técnico con el soporte técnico de Microsoft para habilitar la conectividad de tránsito de ExpressRoute a ExpressRoute mediante un dispositivo de Azure Firewall en el centro configurado con directivas de enrutamiento privado.
Escenario 2: una NVA en Virtual Network inspecciona todo el tráfico de red
Este escenario implica los siguientes componentes y consideraciones de arquitectura.
Cuándo usar este escenario
Use este escenario si:
Debe usar las NVA de firewall que no son de Microsoft en una red virtual de centro para inspeccionar todo el tráfico y no puede usar Global Reach por razones geopolíticas u otras razones.
- Tiene conectividad entre los centros de datos locales y Azure VMware Solution.
- Tiene conectividad entre Virtual Network y Azure VMware Solution.
- Necesita acceso a Internet desde Azure VMware Solution.
- Necesita acceso a Internet para Azure VMware Solution.
Necesita un control específico sobre los firewalls que están fuera de la nube privada de Azure VMware Solution.
Necesita varias direcciones IP públicas para los servicios entrantes y necesita un bloque de direcciones IP predefinidas en Azure. En este escenario, no posee direcciones IP públicas.
En este escenario se supone que tiene conectividad de ExpressRoute entre centros de datos locales y Azure.
Visión general
En el diagrama siguiente se proporciona información general de alto nivel del escenario 2.
Descargar un archivo de Visio de esta arquitectura.
Componentes
Este escenario consta de los siguientes componentes:
NVA de firewall que no son de Microsoft hospedadas en una red virtual para proporcionar inspección del tráfico y otras funciones de red.
Route Server para enrutar el tráfico entre Azure VMware Solution, los centros de datos locales y las redes virtuales.
Application Gateway para proporcionar equilibrio de carga HTTP o HTTPS L7.
Debe deshabilitar ExpressRoute Global Reach en este escenario. Las NVA que no son de Microsoft proporcionan acceso saliente a Internet a Azure VMware Solution.
Descargar un archivo de Visio de esta arquitectura.
Consideraciones
No configure Global Reach de ExpressRoute para este escenario porque el tráfico de Azure VMware Solution fluye directamente entre enrutadores ExpressRoute de Microsoft Enterprise Edge (MSEE). El tráfico omite la red virtual del centro.
Implemente Route Server en tu red virtual del concentrador. Route Server debe estar emparejado con el Protocolo de puerta de enlace de borde (BGP) con las NVA en la red virtual de tránsito. Configure Route Server para permitir la conectividad entre ramas.
Utilice tablas de rutas personalizadas y rutas definidas por el usuario para enrutar el tráfico en ambas direcciones entre Azure VMware Solution y el balancer de carga de los NVAs de firewall que no son de Microsoft. Esta configuración admite todos los modos de alta disponibilidad, incluidos activo/activo y activo/en espera, y ayuda a garantizar la simetría de enrutamiento.
Si necesita alta disponibilidad para las NVA, consulte la documentación del proveedor de NVA e implemente NVA de alta disponibilidad.
Escenario 3: tráfico saliente de Azure VMware Solution con o sin NSX-T o NVA
Este escenario implica los siguientes componentes y consideraciones de arquitectura.
Cuándo usar este escenario
Use este escenario si:
Usted usa la plataforma nativa del Data Center NSX-T, por eso necesita una implementación de plataforma como servicio (PaaS) para Azure VMware Solutions.
Necesita una NVA de tipo traiga su propia licencia (BYOL) en Azure VMware Solution para la inspección del tráfico.
Necesita servicios HTTP, HTTPS o L4 entrantes.
Puede que ya tenga o no conectividad de ExpressRoute entre centros de datos locales y Azure. Todo el tráfico desde Azure VMware Solution hacia la Red Virtual, hacia la Internet y hacia los centros de datos locales se canaliza a través de las puertas de enlace de Nivel 0 o Nivel 1 del centro de datos NSX-T o las NVA.
Visión general
En el diagrama siguiente se proporciona información general de alto nivel del escenario 3.
Descargar un archivo de Visio de esta arquitectura.
Componentes
Este escenario consta de los siguientes componentes:
- Un firewall distribuido de NSX o una NVA detrás de la capa 1 en Azure VMware Solution.
- Application Gateway para proporcionar el equilibrio de carga L7.
- DNAT L4 a través de Azure Firewall.
- Salida de Internet de Azure VMware Solution.
Descargar un archivo de Visio de esta arquitectura.
Consideraciones
Habilite el acceso a Internet en Azure Portal. En este escenario, una dirección IP de salida puede cambiar y no es determinista. Las direcciones IP públicas residen fuera de la NVA. La NVA de Azure VMware Solution sigue teniendo direcciones IP privadas y no determina la dirección IP pública saliente.
La NVA es BYOL, lo que significa que necesita proporcionar una licencia e implementar alta disponibilidad para la misma.
Consulte la documentación de VMware para obtener opciones de selección de ubicación de NVA e información sobre el límite de VMware de ocho tarjetas de interfaz de red virtual en una máquina virtual. Para más información, consulte Integración del firewall en Azure VMware Solution.
Escenario 4: Soluciones de firewall que no son de Microsoft en una red virtual de concentrador que tiene Route Server
Este escenario implica los siguientes componentes y consideraciones de arquitectura.
Cuándo usar este escenario
Use este escenario si:
Quiere habilitar la salida de Internet de Azure VMware Solution a través de una NVA que no es de Microsoft en un centro de red virtual de Azure. Y quiere inspeccionar el tráfico entre Azure VMware Solution y Virtual Network.
Quiere inspeccionar el tráfico entre centros de datos locales y Azure a través de su NVA que no es de Microsoft.
Necesita varias direcciones IP públicas para los servicios entrantes y necesita un bloque de direcciones IP predefinidas en Azure. En este escenario, no tiene direcciones IP públicas.
Necesita un control específico sobre firewalls fuera de la nube privada de Azure VMware Solution.
Visión general
En el diagrama siguiente se proporciona información general de alto nivel del escenario 4.
Descargar un archivo de Visio de esta arquitectura.
Componentes
Este escenario consta de los siguientes componentes:
NVAs no pertenecientes a Microsoft, configuradas en modo activo/activo o activo/en espera, que se alojan en una red virtual para realizar funciones de cortafuegos y otras funciones de red.
Route Server para intercambiar rutas entre Azure VMware Solution, centros de datos locales y redes virtuales.
Las NVA que no son de Microsoft en el centro de red virtual de Azure para proporcionar Internet saliente a Azure VMware Solution.
ExpressRoute para la conectividad entre centros de datos locales y Azure VMware Solution.
Descargar un archivo de Visio de esta arquitectura.
Consideraciones
En este escenario, las direcciones IP públicas salientes se asignan a las NVA en la red virtual de Azure.
Las NVA que no son de Microsoft en el centro de red virtual están configuradas para emparejarse con el servicio de rutas a través de BGP y el Equal-Cost enrutamiento de múltiples rutas (ECMP). Estas NVA anuncian la ruta predeterminada
0.0.0.0/0para Azure VMware Solution.La ruta predeterminada
0.0.0.0/0también se anuncia localmente a través de Global Reach. Implemente un filtro de ruta local para evitar el aprendizaje de la ruta por defecto0.0.0.0/0.El tráfico entre Azure VMware Solution y la red local fluye a través de Global Reach de ExpressRoute. Para más información, consulte Emparejamiento de entornos locales con Azure VMware Solution. La aplicación virtual de red local que no es de Microsoft realiza la inspección del tráfico entre el entorno local y Azure VMware Solution, en lugar de utilizar las aplicaciones virtuales de red no Microsoft ubicadas en el hub de red virtual de Azure.
Puede hospedar Application Gateway en una red virtual radial que se conecte a un centro o que esté en la red virtual del centro
Pasos siguientes
Integrar Azure VMware Solution en una arquitectura de centro y radio
Configuración de componentes de red de NSX mediante Azure VMware Solution
Para obtener información sobre los principios de arquitectura de la zona de aterrizaje a escala empresarial de Cloud Adoption Framework, varias consideraciones de diseño y procedimientos recomendados para Azure VMware Solution, consulte el siguiente artículo de esta serie: