Uso de un diseño de la solución de VMware en Azure de doble región que no tenga Global Reach
Este artículo describe las mejores prácticas de conectividad, flujos de tráfico y alta disponibilidad cuando se implementa la solución de VMware en Azure en dos regiones y se usa Azure Virtual WAN segura con intención de enrutamiento. Proporciona instrucciones sobre el uso de este diseño sin Global Reach. En este artículo se describe Virtual WAN con topología de intención de enrutamiento para nubes privadas de la solución de VMware en Azure, sitios locales y recursos nativos de Azure. La implementación y configuración de una Virtual WAN segura con la intención de enrutamiento están fuera del alcance de este artículo.
Si usa una región que no admite Global Reach o si tiene un requisito de seguridad para inspeccionar el tráfico entre la solución de VMware en Azure y el firewall local, debe abrir una incidencia de soporte técnico para habilitar la transitividad de ExpressRoute a ExpressRoute. Virtual WAN no admite la transitividad de ExpressRoute a ExpressRoute de forma predeterminada. Para obtener más información, consulte Conectividad de tránsito entre circuitos ExpressRoute con intención de enrutamiento.
Uso de un diseño de Virtual WAN segura de doble región sin Global Reach
Solo la SKU estándar de Virtual WAN admite una Virtual WAN con la intención de enrutamiento. Use Virtual WAN segura con la intención de enrutamiento para enviar todo el tráfico de Internet y el tráfico de red privada (RFC 1918) a una solución de seguridad, como Azure Firewall, una aplicación virtual de red (NVA) que no sea de Microsoft o una solución de software como servicio (SaaS).
La configuración del centro del escenario es la siguiente:
La red de doble región dispone de una instancia de Virtual WAN y dos centros. Cada región tiene un centro.
Cada centro tiene su propia instancia de Azure Firewall implementada, lo que las convierte en centros de Virtual WAN seguras.
Los centros de Virtual WAN seguras tienen habilitada la intención de enrutamiento.
Este escenario también tiene estos componentes:
Cada región tiene su propia nube privada de solución de VMware en Azure y una red virtual de Azure.
Un sitio local se conecta a ambas regiones.
Nota:
Si usa prefijos que no son RFC 1918 en los recursos locales conectados, redes virtuales o la solución de VMware en Azure, especifique esos prefijos en el campo Prefijos de tráfico privado de la característica de intención de enrutamiento. Escriba rutas resumidas en el campo Prefijos de tráfico privado para cubrir el intervalo. No escriba el intervalo exacto que anuncia a Virtual WAN porque esta especificación puede provocar problemas de enrutamiento. Por ejemplo, si el circuito de Azure ExpressRoute anuncia 192.0.2.0/24 desde el entorno local, escriba un intervalo de enrutamiento entre dominios sin clases (CIDR) /23, por ejemplo 192.0.2.0/23. Para obtener más información, consulte Configuración de la intención y las directivas de enrutamiento a través del portal de Virtual WAN.
Nota:
Al configurar la solución de VMware en Azure con centros de conectividad de Virtual WAN segura, establezca la opción de preferencia de enrutamiento del centro en Ruta AS para garantizar los resultados de enrutamiento óptimos en el centro. Para obtener más información, consulte Preferencias de enrutamiento del centro.
En el siguiente diagrama se muestra un ejemplo de este escenario.
En la tabla siguiente se describe la conectividad de topología en el diagrama anterior.
| Connection | Descripción |
|---|---|
| D | Conexión de nube privada de la solución de VMware en Azure a su centro regional local |
| E | Conectividad local a través de ExpressRoute a ambos centros regionales |
| Interhub | Conexión lógica Interhub entre dos centros que se implementan en la misma Virtual WAN |
Flujos de tráfico de Virtual WAN seguros de doble región
En las secciones siguientes se describen los flujos de tráfico y la conectividad para la solución de VMware en Azure, los entornos locales, las redes virtuales de Azure e Internet.
Flujos de tráfico y conectividad de la nube privada de la solución de VMware en Azure
En el diagrama siguiente se muestran los flujos de tráfico para las nubes privadas de la solución de VMware en Azure.
En la tabla siguiente se describe la conectividad de topología en el diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 1 | Región de nube de la solución de VMware en Azure 1 | Red virtual 1 | Sí, a través del firewall del centro 1 |
| 2 | Región de nube de la solución de VMware en Azure 1 | Local | Sí, a través del firewall del centro 1 |
| 3 | Región de nube de la solución de VMware en Azure 1 | Red virtual 2 | Sí, a través del firewall del centro 1 y, a continuación, a través del firewall del centro 2 |
| 4 | Región de nube de la solución de VMware en Azure 1 | Región de nube de la solución de VMware en Azure 2 | Sí, a través del firewall del centro 1 y, a continuación, a través del firewall del centro 2 |
| 5 | Región de nube de la solución de VMware en Azure 2 | Red virtual 1 | Sí, a través del firewall del centro 2 y, a continuación, a través del firewall del centro 1 |
| 6 | Región de nube de la solución de VMware en Azure 2 | Red virtual 2 | Sí, a través del firewall del centro 2 |
| 7 | Región de nube de la solución de VMware en Azure 2 | Local | Sí, a través del firewall del centro 2 |
Cada nube privada de la solución de VMware en Azure se conecta al centro a través de la conexión D de ExpressRoute.
Al habilitar la transitividad de ExpressRoute a ExpressRoute en el centro seguro y habilitar la intención de enrutamiento, el centro de conectividad seguro envía las direcciones RFC 1918 predeterminadas (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) a la solución de VMware en Azure a través de la conexión D. Además de las direcciones RFC 1918 predeterminadas, la solución de VMware en Azure aprende rutas más específicas de redes virtuales y redes de sucursales de Azure, como VPN S2S, VPN P2S y SD-WAN, que se conectan a ambos centros. Las dos nubes privadas de la solución de VMware en Azure no aprenden las rutas específicas de redes locales.
Para enrutar el tráfico a redes locales, la solución de VMware en Azure usa las direcciones RFC 1918 predeterminadas que aprende a través de la conexión D desde su centro regional local. Este tráfico transita a través del firewall del centro regional local. El firewall del concentrador usa las rutas específicas de las redes locales para enrutar el tráfico hacia los destinos a través de la conexión E. El tráfico que va desde la nube privada de la solución de VMware en Azure a las redes virtuales transita por el firewall del centro.
Conectividad local y flujo de tráfico
En el diagrama siguiente se muestran los flujos de tráfico para la conectividad local.
En la tabla siguiente se describe la conectividad de topología en el diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 2 | Local | Región de nube de la solución de VMware en Azure 1 | Sí, a través del firewall del centro 1 |
| 7 | Local | Región de nube de la solución de VMware en Azure 2 | Sí, a través del firewall del centro 2 |
| 8 | Local | Red virtual 1 | Sí, a través del firewall del centro 1 |
| 9 | Local | Red virtual 2 | Sí, a través del firewall del centro 2 |
El sitio local se conecta a ambos centros a través de la conexión E de ExpressRoute.
Cuando habilita la transitividad de ExpressRoute a ExpressRoute en los dos centros seguros y habilita la intención de enrutamiento, cada centro seguro envía las direcciones RFC 1918 predeterminadas (10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16) a la conexión E local. Además de las direcciones RFC 1918 predeterminadas, el entorno local aprende rutas más específicas de redes virtuales y redes de ramas de Azure, como VPN S2S, VPN P2S y SD-WAN, que se conectan a ambos centros.
El entorno local no aprende las rutas específicas para las nubes privadas de la solución de VMware en Azure. El entorno local aprende las direcciones RFC 1918 predeterminadas de ambos centros a través de la conexión E. El entorno local se enruta a las ambas nubes privadas de la solución de VMware en Azure a través de las direcciones RFC 1918 predeterminadas que aprende a través de la conexión E.
Nota:
Debe agregar rutas específicas en ambos centros. Si no agrega rutas específicas en los centros, se puede introducir un enrutamiento subóptimo, ya que el entorno local utiliza el enrutamiento multitrayectoria de igual coste (ECMP) entre las conexiones E para el tráfico que se dirige a una nube privada de la solución de VMware en Azure. Como resultado, el tráfico entre el entorno local y una nube privada de la solución de VMware en Azure podría experimentar latencia, problemas de rendimiento o caídas de paquetes.
Para anunciar una ruta más específica a un entorno local, especifique esos prefijos en el campo Prefijos de tráfico privado de la característica de intención de enrutamiento. Para obtener más información, consulte Configuración de la intención y las directivas de enrutamiento a través del portal de Virtual WAN. Debe agregar una ruta resumida que abarque tanto su bloque de la solución de VMware en Azure /22 como sus subredes de la solución de VMware en Azure. Si agrega el mismo prefijo exacto o un prefijo más específico en lugar de una ruta de resumen, introducirá problemas de enrutamiento en el entorno de Azure. Incluya solo rutas resumidas en el campo Prefijos de tráfico privado.
Como se muestra en el diagrama, la nube privada de la solución de VMware en Azure 1 incluye subredes de carga de trabajo de 10.10.0.0/24 a 10.10.7.0/24. En el centro 1, la ruta de resumen 10.10.0.0/21 se agrega a Prefijos de tráfico privado porque abarca las ocho subredes. Además, en el centro 1, la ruta de resumen 10.150.0.0/22 se agrega a Prefijos de tráfico privado para cubrir el bloque de administración de la solución de VMware en Azure. Las rutas de resumen 10.10.0.0/21 y 10.150.0.0/22 se anuncian al entorno local a través de la conexión E para que el entorno local tenga una ruta más específica en lugar de 10.0.0.0/8.
La nube privada de la solución de VMware en Azure 2 incluye las subredes de carga de trabajo de 10.20.0.0/24 a 10.20.7.0/24. En el centro 2, la ruta de resumen 10.20.0.0/21 se agrega a Prefijos de tráfico privado porque abarca las ocho subredes. Además, en el centro 2, la ruta de resumen 10.250.0.0/22 se agrega a Prefijos de tráfico privado para cubrir el bloque de administración de la solución de VMware en Azure. Las rutas de resumen 10.20.0.0/21 y 10.250.0.0/22 se anuncian al entorno local a través de la conexión E para que el entorno local tenga una ruta más específica en lugar de 10.0.0.0/8.
Puede agregar todo el bloque de administración de la solución de VMware en Azure /22 en el campo Prefijos de tráfico privado porque la solución de VMware en Azure no anuncia el bloque /22 exacto de vuelta a Azure. La solución de VMware en Azure anuncia rutas más específicas.
Cuando habilite la transitividad de ExpressRoute a ExpressRoute en el centro, envía las direcciones RFC 1918 predeterminadas a la red local. No anuncie los prefijos RFC 1918 exactos de vuelta a Azure. Las mismas rutas exactas pueden crear problemas de enrutamiento dentro de Azure. En su lugar, debe anunciar rutas más específicas a Azure para las redes locales.
Nota:
Si anuncia las direcciones RFC 1918 predeterminadas desde el entorno local a Azure y desea continuar con esta práctica, debe dividir cada intervalo RFC 1918 en dos subrangos iguales y anunciar estos subrangos de vuelta a Azure. Los subrangos son 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 y 192.168.128.0/17.
Conectividad de red virtual de Azure y flujo de tráfico
En el diagrama siguiente se muestran los flujos de tráfico de las redes virtuales de Azure.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 1 | Red virtual 1 | Región de nube de la solución de VMware en Azure 1 | Sí, a través del firewall del centro 1 |
| 3 | Red virtual 2 | Región de nube de la solución de VMware en Azure 1 | Sí, a través del firewall del centro 2 y, a continuación, del firewall del centro 1 |
| 5 | Red virtual 1 | Región de nube de la solución de VMware en Azure 2 | Sí, a través del firewall del centro 1 y luego del firewall del centro 2 |
| 6 | Red virtual 2 | Región de nube de la solución de VMware en Azure 2 | Sí, a través del firewall del centro 2 |
| 8 | Red virtual 1 | Local | Sí, a través del firewall del centro 1 |
| 9 | Red virtual 2 | Local | Sí, a través del firewall del centro 2 |
| 10 | Red virtual 1 | Red virtual 2 | Sí, a través del firewall del centro 1 y, a continuación, del firewall del centro 2 |
| 10 | Red virtual 2 | Red virtual 1 | Sí, a través del firewall del centro 2 y, a continuación, del firewall del centro 1 |
Cada red virtual se empareja directamente con su centro regional.
En el diagrama se muestra cómo todos los recursos nativos de Azure en ambas redes virtuales aprenden sus rutas efectivas. Cuando se habilita la intención de enrutamiento, el centro 1 y el centro 2 envían las direcciones RFC 1918 predeterminadas a sus redes virtuales emparejadas. Los recursos nativos de Azure en las redes virtuales no aprenden rutas específicas que estén fuera de su red virtual.
Al habilitar la intención de enrutamiento, todos los recursos de la red virtual aprenden la dirección RFC 1918 predeterminada y usan su firewall del centro regional como próximo salto. Las nubes privadas de la solución de VMware en Azure se comunican entre sí mediante la conexión D a través de su firewall del centro regional local. Desde allí, atraviesan el interhub de Virtual WAN y se someten a la inspección en el firewall del centro entre regiones. Las nubes privadas de la solución de VMware en Azure también se comunican con el entorno local a través de la conexión D a través de su firewall del centro regional local. Todo el tráfico que entra y sale de las redes virtuales transita por los firewalls del centro regional.
Conectividad de Internet
En esta sección se describe cómo proporcionar conectividad a Internet para recursos nativos de Azure en redes virtuales y nubes privadas de la solución de VMware en Azure en ambas regiones. Para más información, consulte Consideraciones de diseño de conectividad a Internet. Puede usar las siguientes opciones para proporcionar conectividad a Internet con la solución de VMware en Azure.
- Opción 1: Servicio de Internet hospedado en Azure
- Opción 2: Traducción de direcciones de red de origen administradas por la solución de VMware en Azure (SNAT)
- Opción 3: De la dirección IPv4 pública de Azure al perímetro del centro de datos de NSX-T
Un diseño de Virtual WAN de doble región que tiene intención de enrutamiento admite todas las opciones, pero se recomienda la opción 1. El escenario que aparece más adelante en este artículo utiliza la opción 1 para proporcionar conectividad a Internet. La opción 1 funciona mejor con Virtual WAN segura porque es fácil de inspeccionar, implementar y administrar.
Cuando se habilita la intención de enrutamiento en ambos centros seguros, se anuncia RFC 1918 a las redes virtuales emparejadas directamente. Pero también puede anunciar una ruta predeterminada 0.0.0.0/0 para la conectividad a Internet a los recursos de nivel inferior. Cuando se habilita la intención de enrutamiento, puede generar una ruta predeterminada desde ambos firewalls del centro. Esta ruta predeterminada anuncia a sus redes virtuales emparejadas directamente y a su instancia de Solución de VMware en Azure emparejada directamente.
Conectividad a Internet entre la solución de VMware en Azure y redes virtuales
En el diagrama siguiente se muestran los flujos de tráfico de las nubes privadas y las redes virtuales de la solución de VMware en Azure.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 11 | Región de nube de la solución de VMware en Azure 1 | Internet | Sí, a través del firewall del centro 1 |
| 12 | Red virtual 2 | Internet | Sí, a través del firewall del centro 2 |
| 13 | Red virtual 1 | Internet | Sí, a través del firewall del centro 1 |
| 14 | Región de nube de la solución de VMware en Azure 2 | Internet | Sí, a través del firewall del centro 2 |
Cuando habilite la intención de enrutamiento para el tráfico de Internet, de forma predeterminada, el centro de Virtual WAN segura no anuncia la ruta predeterminada a través de los circuitos ExpressRoute. Para ayudar a garantizar que la ruta predeterminada se propaga a su instancia de la solución de VMware en Azure conectada directamente desde una Virtual WAN, debe habilitar la propagación de rutas predeterminada en los circuitos ExpressRoute de la solución de VMware en Azure. Para obtener más información, consulte Anunciar la ruta predeterminada 0.0.0.0/0 a los puntos de conexión.
Después de habilitar la propagación de ruta predeterminada, la conexión D anuncia la ruta predeterminada 0.0.0.0/0 desde el centro. No habilite esta configuración para circuitos ExpressRoute locales. Se recomienda implementar un filtro de Protocolo de puerta de enlace de borde (BGP) en el equipo local para excluir el aprendizaje de la ruta predeterminada. Un filtro BGP agrega una capa adicional de protección y ayuda a garantizar que la configuración no afecte a la conectividad a Internet local.
Cuando se habilita la intención de enrutamiento para el acceso a Internet, ambos centros regionales generan una ruta predeterminada y la anuncian a sus conexiones de red virtual emparejadas por centro. Tenga en cuenta que en las tarjetas de interfaz de red (NIC) de las máquinas virtuales de la red virtual, el próximo salto 0.0.0.0/0 es el firewall del centro. Para buscar el próximo salto, seleccione Rutas efectivas en la NIC. La ruta predeterminada no se anuncia en centros regionales a través del vínculo entre centros. Por lo tanto, las redes virtuales usan su centro regional local para el acceso a Internet y no tienen conectividad a Internet de reserva en el centro entre regiones.
Resistencia del acceso a Internet para la solución de VMware en Azure
Cuando no se usa Global Reach en un diseño de doble región, la conectividad saliente a Internet no tiene redundancia porque cada nube privada de la solución de VMware en Azure aprende la ruta predeterminada desde su centro regional local y no está conectada directamente a su centro entre regiones. Si una interrupción regional afecta al centro regional local, use una de las siguientes configuraciones manuales para lograr la redundancia de Internet.
Opción 1
Use esta opción solo para el acceso saliente a Internet. Durante una interrupción regional local, si necesita acceso saliente a Internet para la carga de trabajo de la solución de VMware en Azure, use SNAT administrado por la solución de VMware en Azure. Esta solución proporciona acceso sencillo y rápido. Para más información, consulte Activación de SNAT administradas para cargas de trabajo de la solución de VMware en Azure.
Opción 2
Use esta opción para el acceso entrante y saliente a Internet. Durante una interrupción regional local, si necesita acceso a Internet entrante y saliente para la nube de la solución de VMware en Azure, use el método siguiente.
Quite la conexión que va de la solución de VMware en Azure al centro regional local (conexión D en los diagramas).
En Azure Portal, seleccione la solución de VMware en Azure y quite la clave de autorización que creó para la conexión D.
Cree una nueva conexión con el centro entre regiones.
Para controlar el tráfico entrante, considere la posibilidad de usar Azure Front Door o Azure Traffic Manager para mantener la alta disponibilidad regional.
Usar Mobility Optimized Networking (MON) de VMware HCX sin Global Reach
Puede habilitar Mobility Optimized Networking (MON) de HCX cuando use la extensión de red de HCX. MON proporciona un enrutamiento óptimo del tráfico en determinados escenarios para evitar que las redes se superpongan o se formen bucles entre los recursos locales y los recursos basados en la nube en redes extendidas.
Tráfico de salida de la solución de VMware en Azure
Cuando habilita MON para una red extendida específica y una máquina virtual, el flujo de tráfico cambia. Después de implementar MON, el tráfico de salida de la máquina virtual no regresa al entorno local. En su lugar, omite el túnel IPSec de extensión de red. El tráfico de la máquina virtual sale de la puerta de enlace de NSX-T de nivel 1 de la solución de VMware en Azure, se dirige a la puerta de enlace de NSX-T de nivel 0 y, a continuación, va a la Virtual WAN.
Tráfico de entrada a la solución de VMware en Azure
Cuando habilita MON para una red extendida específica y una máquina virtual, introduzca los siguientes cambios. Desde NSX-T de la solución de VMware en Azure, MON inserta una ruta de host /32 a la Virtual WAN. La Virtual WAN anuncia esta ruta /32 a redes locales, redes virtuales y redes de rama. Esta ruta de host /32 garantiza que el tráfico desde el entorno local, las redes virtuales y las redes de rama no usen el túnel IPSec de extensión de red cuando el tráfico se dirige a la máquina virtual habilitada para MON. El tráfico de las redes de origen va directamente a la máquina virtual habilitada para MON porque aprende la ruta /32.
Limitación de HCX MON para la Virtual WAN segura sin Global Reach
Cuando se habilita la transitividad de ExpressRoute a ExpressRoute en el centro seguro y se habilita la intención de enrutamiento, el centro seguro envía las direcciones RFC 1918 predeterminadas tanto al entorno local como a la solución de VMware en Azure. Además de las direcciones RFC 1918 predeterminadas, tanto en el entorno local como en la solución de VMware en Azure, se obtienen rutas más específicas de redes virtuales de Azure y redes de rama que se conectan al centro.
Pero las redes locales no aprenden rutas específicas de la solución de VMware en Azure, y la solución de VMware en Azure no aprende rutas específicas de las redes locales. En su lugar, ambos entornos dependen de las direcciones RFC 1918 predeterminadas para facilitar el enrutamiento entre sí a través del firewall del centro. Por lo tanto, las rutas más específicas, como las rutas de host MON, no se anuncian desde ExpressRoute de la solución de VMware en Azure al circuito de ExpressRoute basado en el entorno local. El proceso inverso también es cierto. La imposibilidad de aprender rutas específicas introduce flujos de tráfico asimétricos. La salida del tráfico de la solución de VMware en Azure se realiza a través de la puerta de enlace de NSX-T de nivel 0, pero devuelve el tráfico desde el entorno local a través del túnel IPSec de extensión de red.
Corregir la asimetría del tráfico
Para corregir la asimetría de tráfico, debe ajustar las rutas de directiva MON. Las rutas de directiva MON determinan qué tráfico vuelve a la puerta de enlace local a través de una extensión L2. También deciden qué tráfico pasa por la puerta de enlace de NSX de nivel 0 de la solución de VMware en Azure.
Si una dirección IP de destino coincide y la establece como permitir en la configuración de la directiva MON, se producen dos acciones. En primer lugar, el sistema identifica el paquete. En segundo lugar, el sistema envía el paquete a la puerta de enlace local a través del dispositivo de extensión de red.
Si una dirección IP de destino no coincide o la establece como denegar en la directiva MON, el sistema envía el paquete a la puerta de enlace de nivel 0 de la solución de VMware en Azure para el enrutamiento.
En la tabla siguiente se describen las rutas de directiva de HCX.
| Red | Redirigir al nodo del mismo nivel | Nota: |
|---|---|---|
| Espacios de direcciones de red virtual de Azure | Denegar | Incluya explícitamente los intervalos de direcciones para todas las redes virtuales. El tráfico destinado a Azure dirige la salida a través de la solución de VMware en Azure y no vuelve a la red local. |
| Espacios de direcciones RFC 1918 predeterminados | Permitir | Agregue las direcciones RFC 1918 predeterminadas. Esta configuración garantiza que cualquier tráfico que no coincida con los criterios anteriores vuelva a enrutarse a la red local. Si la configuración local usa direcciones que no forman parte de RFC 1918, debe incluir explícitamente esos intervalos. |
| Espacio de direcciones 0.0.0.0/0 | Denegar | Direcciones que RFC 1918 no cubre, como las direcciones IP enrutables por Internet o el tráfico que no coincide con las entradas especificadas, salen directamente a través de la solución de VMware en Azure y no se redirigen de nuevo a la red local. |