Usar un diseño de solución de VMware en Azure de doble región que disponga de Virtual WAN y Global Reach
En este artículo se describen las prácticas recomendadas para la conectividad, los flujos de tráfico y la alta disponibilidad al implementar la solución de VMware en Azure en dos regiones. Proporciona instrucciones para Azure Virtual WAN segura con intención de enrutamiento y Global Reach de Azure ExpressRoute. En este artículo se describe Virtual WAN con topología de intención de enrutamiento para nubes privadas de la solución de VMware en Azure, sitios locales y recursos nativos de Azure.
La implementación y configuración de una Virtual WAN segura con la intención de enrutamiento están fuera del alcance de este artículo. Este artículo asume que tiene una comprensión básica de la Virtual WAN y de la Virtual WAN segura con intención de enrutamiento.
Usar Virtual WAN segura y Global Reach en dos regiones
Solo la SKU estándar de Virtual WAN admite una Virtual WAN con la intención de enrutamiento. Use Virtual WAN segura con la intención de enrutamiento para enviar todo el tráfico de Internet y el tráfico de red privada a una solución de seguridad, como Azure Firewall, una aplicación virtual de red (NVA) que no sea de Microsoft o una solución de software como servicio (SaaS). Debe tener un centro de Virtual WAN seguro si usa la intención de enrutamiento.
La configuración del centro del escenario es la siguiente:
La red de doble región dispone de una Virtual WAN y dos centros. Cada región tiene un centro.
Cada centro tiene su propia instancia de Azure Firewall implementada, lo que las convierte en centros de Virtual WAN seguras.
Los centros de Virtual WAN seguras tienen habilitada la intención de enrutamiento.
Este escenario también tiene estos componentes:
Cada región tiene su propia nube privada de solución de VMware en Azure y una red virtual de Azure.
Un sitio local se conecta a ambas regiones.
El entorno tiene conectividad de Global Reach.
Global Reach establece un vínculo lógico directo a través de la red troncal de Microsoft, que conecta la solución de VMware en Azure a nubes privadas locales o regionales de la solución de VMware en Azure.
Las conexiones de Global Reach no transitan por los firewalls del centro. Por lo tanto, el tráfico de Global Reach entre sitios no se inspecciona.
Nota:
Para mejorar la seguridad entre los sitios de Global Reach, considere la posibilidad de inspeccionar el tráfico dentro del entorno NSX-T de la solución de VMware en Azure o un firewall local.
En el siguiente diagrama se muestra un ejemplo de este escenario.
En la tabla siguiente se describe la conectividad de topología en el diagrama anterior.
| Connection | Descripción |
|---|---|
| Un | Conexión de Global Reach de la región 1 de la solución de VMware en Azure al entorno local |
| B | Conexión de Global Reach de la región 2 de la solución de VMware en Azure al entorno local |
| C | Conexión de Global Reach de la solución de VMware en Azure entre los dos circuitos administrados de las dos nubes privadas |
| D | Conexión de nube privada de la solución de VMware en Azure a su centro regional local |
| E | Conectividad local a través de ExpressRoute a ambos centros regionales |
| Interhub | Conexión lógica Interhub entre dos centros que se implementan en la misma Virtual WAN |
Nota:
Al configurar la solución de VMware en Azure con centros de conectividad de Virtual WAN segura, establezca la opción de preferencia de enrutamiento del centro en Ruta AS para garantizar los resultados de enrutamiento óptimos en el centro. Para obtener más información, consulte Preferencias de enrutamiento del centro.
Flujos de tráfico de Virtual WAN seguros de doble región
En las secciones siguientes se describen los flujos de tráfico y la conectividad para la solución de VMware en Azure, los entornos locales, las redes virtuales de Azure e Internet cuando se usa Global Reach.
Flujos de tráfico y conectividad entre regiones de la nube privada de la solución de VMware en Azure
En el diagrama siguiente se muestran los flujos de tráfico de dos nubes privadas de la solución de VMware en Azure en dos regiones.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 1 | Región de nube de la solución de VMware en Azure 1 | Red virtual 1 | Sí, a través del firewall del centro 1 |
| 2 | Región de nube de la solución de VMware en Azure 1 | Local | No, el tráfico omite el firewall y transita por la conexión Global Reach A |
| 3 | Región de nube de la solución de VMware en Azure 1 | Red virtual 2 | Sí, a través del firewall del centro 2 |
| 4 | Región de nube de la solución de VMware en Azure 1 | Región de nube de la solución de VMware en Azure 2 | No, el tráfico omite el firewall y transita por la conexión Global Reach C |
| 5 | Región de nube de la solución de VMware en Azure 2 | Red virtual 1 | Sí, a través del firewall del centro 1 |
| 6 | Región de nube de la solución de VMware en Azure 2 | Red virtual 2 | Sí, a través del firewall del centro 2 |
| 7 | Región de nube de la solución de VMware en Azure 2 | Local | No, el tráfico omite el firewall y transita por la conexión Global Reach B |
Cada nube privada de la solución de VMware en Azure se conecta a su centro regional local a través de la conexión D de ExpressRoute.
Cada región de nube de la solución de VMware en Azure se conecta a una red local a través de Global Reach de ExpressRoute. Cada región de nube de la solución de VMware en Azure tiene su propia conexión de Global Reach (conexión A y B). Y las nubes privadas de la solución de VMware en Azure se conectan directamente entre sí a través de la conexión Global Reach C. El tráfico de Global Reach nunca transita por ningún firewall de concentrador.
Configure las tres conexiones de Global Reach. Debe realizar este paso para evitar problemas de conectividad entre sitios de Global Reach.
Conectividad local y flujo de tráfico
En el diagrama siguiente se muestran los flujos de tráfico del sitio local.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 2 | Local | Región de nube de la solución de VMware en Azure 1 | No, el tráfico omite el firewall y transita por la conexión Global Reach A |
| 7 | Local | Región de nube de la solución de VMware en Azure 2 | No, el tráfico omite el firewall y transita por la conexión Global Reach B |
| 8 | Local | Red virtual 1 | Sí, a través del firewall del centro 1 |
| 9 | Local | Red virtual 2 | Sí, a través del firewall del centro 2 |
El sitio local se conecta a los centros de conectividad de la región 1 y de la región 2 a través de la conexión E de ExpressRoute.
Los sistemas locales pueden comunicarse con la región de nube de la solución de VMware en Azure 1 a través de la conexión A de Global Reach y con la región de nube de solución de VMware en Azure 2 a través de la conexión B de Global Reach.
Configure las tres conexiones de Global Reach. Debe realizar este paso para evitar problemas de conectividad entre sitios de Global Reach.
Conectividad de red virtual de Azure y flujo de tráfico
En el diagrama siguiente se muestran los flujos de tráfico de las redes virtuales.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 1 | Red virtual 1 | Región de nube de la solución de VMware en Azure 1 | Sí, a través del firewall del centro 1 |
| 3 | Red virtual 2 | Región de nube de la solución de VMware en Azure 1 | Sí, a través del firewall del centro 2 |
| 5 | Red virtual 1 | Región de nube de la solución de VMware en Azure 2 | Sí, a través del firewall del centro 1 |
| 6 | Red virtual 2 | Región de nube de la solución de VMware en Azure 2 | Sí, a través del firewall del centro 2 |
| 8 | Red virtual 1 | Local | Sí, a través del firewall del centro 1 |
| 9 | Red virtual 2 | Local | Sí, a través del firewall del centro 2 |
| 10 | Red virtual 1 | Red virtual 2 | Sí, a través del firewall del centro 1. A continuación, el tráfico pasa por la conexión entre centros y se inspecciona a través del firewall del centro 2. |
Las dos redes virtuales se emparejan directamente con su centro regional local.
Un centro seguro que tiene intención de enrutamiento envía las direcciones RFC 1918 predeterminadas (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) a las redes virtuales emparejadas, junto con cualquier otro prefijo que se agregue como prefijos de tráfico privado. Para obtener más información, consulte Enrutamiento de prefijos de dirección privada de intención.
Este escenario tiene habilitada la intención de enrutamiento, por lo que todos los recursos de la red virtual 1 y la red virtual 2 poseen las direcciones RFC 1918 predeterminadas y usan su firewall del centro regional local como próximo salto. Todo el tráfico que entra y sale de las redes virtuales transita por los firewalls del centro.
Conectividad de Internet
En esta sección se describe cómo proporcionar conectividad a Internet para recursos nativos de Azure en redes virtuales y nubes privadas de la solución de VMware en Azure en ambas regiones. Para más información, consulte Consideraciones de diseño de conectividad a Internet. Puede usar las siguientes opciones para proporcionar conectividad a Internet con la solución de VMware en Azure.
- Opción 1: Servicio de Internet hospedado en Azure
- Opción 2: Traducción de direcciones de red de origen administradas por la solución de VMware (SNAT)
- Opción 3: De la dirección IPv4 pública de Azure al perímetro del centro de datos de NSX-T
Un diseño de Virtual WAN de doble región que tiene intención de enrutamiento admite todas las opciones, pero se recomienda la opción 1. El escenario que aparece más adelante en este artículo utiliza la opción 1 para proporcionar conectividad a Internet. La opción 1 funciona mejor con Virtual WAN segura porque es fácil de inspeccionar, implementar y administrar.
Al usar la intención de enrutamiento, puede generar una ruta predeterminada desde el firewall del centro. Esta ruta predeterminada anuncia las redes virtuales y las nubes privadas de la solución de VMware en Azure.
Conectividad a Internet entre la solución de VMware en Azure y redes virtuales
En el diagrama siguiente se muestra la conectividad a Internet para las instancias y redes virtuales de la solución de VMware en Azure.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? | La irrupción de Internet |
|---|---|---|---|---|
| 11 | Región de nube de la solución de VMware en Azure 1 | Internet | Sí, a través del firewall del centro 1 | A través del firewall del centro 1 |
| 12 | Región de nube de la solución de VMware en Azure 2 | Internet | Sí, a través del firewall del centro 2 | A través del firewall del centro 2 |
| 15 | Red virtual 1 | Internet | Sí, a través del firewall del centro 1 | A través del firewall del centro 1 |
| 16 | Red virtual 2 | Internet | Sí, a través del firewall del centro 2 | A través del firewall del centro 2 |
Los siguientes flujos de tráfico solo están activos si tiene una interrupción que afecte a un centro regional local. Por ejemplo, si el centro regional local de la solución de VMware en Azure experimenta una interrupción, el tráfico de Internet se vuelve a enrutar al centro entre regiones para la conectividad a Internet.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? | La irrupción de Internet |
|---|---|---|---|---|
| 13 | Región de nube de la solución de VMware en Azure 1 | Internet | Sí, el tráfico transita por la conexión C de Global Reach y el firewall del centro 2 lo inspecciona. | A través del firewall del centro 2 |
| 14 | Región de nube de la solución de VMware en Azure 2 | Internet | Sí, el tráfico transita por la conexión C de Global Reach y el firewall del centro 2 lo inspecciona. | A través del firewall del centro 1 |
La nube privada de la solución de VMware en Azure aprende la ruta de conectividad a Internet predeterminada tanto de su centro regional local como de su centro de conectividad entre regiones, por lo que puede conseguir la redundancia de conectividad a Internet. La nube privada de la solución de VMware en Azure prioriza el centro regional local para la conectividad de acceso a Internet principal. El centro entre regiones sirve de reserva de Internet si se produce un error en el centro regional local. Esta configuración proporciona redundancia de acceso a Internet solo para el tráfico saliente. Para el tráfico entrante de Internet a las cargas de trabajo de la solución de VMware en Azure, considere la posibilidad de usar Azure Front Door o Azure Traffic Manager para lograr una alta disponibilidad regional.
La nube privada de la solución de VMware en Azure recibe la ruta ∞ 0.0.0.0/0 predeterminada preferida a través de la conexión D desde su centro regional local. Y la nube privada de la solución de VMware en Azure recibe una ruta △ 0.0.0.0/0 predeterminada de copia de seguridad, que se origina en el centro entre regiones y se anuncia a través de la conexión C de Global Reach. Pero si habilita la propagación de rutas predeterminadas en las conexiones E de ExpressRoute locales, el tráfico de Internet entre regiones también se dirige a través de esta ruta de acceso.
Por ejemplo, el tráfico de Internet entre regiones que va de la nube privada de Azure VMware 1 al concentrador 2 se distribuye a través del enrutamiento de múltiples rutas de igual costo (ECMP) a través de la conexión C de Global Reach a la conexión D y a través de la conexión A a la conexión E. Del mismo modo, el tráfico de retorno que va del centro 2 a la región de nube privada 1 atraviesa las mismas rutas a través de ECMP. Configure las tres conexiones de Global Reach. Debe realizar este paso para evitar problemas de conectividad entre sitios de Global Reach.
Cuando habilite la intención de enrutamiento para el tráfico de Internet, de forma predeterminada, el centro de Virtual WAN segura no anuncia la ruta predeterminada a través de los circuitos ExpressRoute. Para ayudar a garantizar que la ruta predeterminada se propague a la solución de VMware en Azure desde Virtual WAN, debe habilitar la propagación de rutas predeterminada en los circuitos ExpressRoute de la solución de VMware en Azure. Para obtener más información, consulte Anunciar la ruta predeterminada 0.0.0.0/0 a los puntos de conexión.
No habilite esta configuración para circuitos ExpressRoute locales. La conexión D anuncia la ruta predeterminada "∞ 0.0.0.0/0" a las nubes privadas de la solución de VMware en Azure, pero la ruta predeterminada también se anuncia en el entorno local a través de la conexión A de Global Reach y la conexión B Global Reach. Como resultado, se recomienda implementar un filtro de Protocolo de puerta de enlace de borde (BGP) en el equipo local para excluir el aprendizaje de la ruta predeterminada. Este paso ayuda a garantizar que la configuración no afecte a la conectividad a Internet local.
Cada red virtual sale a Internet a través del firewall de su centro regional local. Cuando se habilita la intención de enrutamiento para el acceso a Internet, la ruta predeterminada que genera el centro Virtual WAN seguro se anuncia automáticamente a las conexiones de red virtual dirigidas por el centro. Pero esta ruta predeterminada no se anuncia en centros regionales a través del vínculo entre centros. Por lo tanto, las redes virtuales usan su centro regional local para el acceso a Internet y no tienen conectividad a Internet de reserva en el centro entre regiones.