Protección de Virtual WAN para Azure VMware Solution en una sola región o en regiones duales
Este artículo explora las topologías de diseño de red de la solución de VMware en Azure y las consideraciones para escenarios de región única y región doble que utilizan Azure Virtual WAN segura con intención de enrutamiento. Describe cómo la intención de enrutamiento dirige el tráfico a través de una solución de seguridad centralizada. Este método mejora la seguridad y simplifica la administración de red. Este artículo proporciona consideraciones de diseño para implementaciones con y sin Global Reach de Azure ExpressRoute. Destaca las ventajas y los retos de cada escenario.
Puede implementar una solución de seguridad en el centro de Virtual WAN para convertirlo en un centro de Virtual WAN. Para configurar la intención de enrutamiento, debe tener un centro de Virtual WAN segura. La intención de enrutamiento dirige todo el tráfico privado y el tráfico de Internet a la solución de seguridad del centro, lo que simplifica el enrutamiento seguro del centro y el diseño de la seguridad. La intención de enrutamiento mejora la amplitud de la seguridad y realiza una inspección del tráfico de todo el tráfico que pasa por el centro seguro, incluido el tráfico de la solución de VMware en Azure.
Este artículo asume que tiene una comprensión básica de la Virtual WAN y de la Virtual WAN segura con intención de enrutamiento.
Para obtener más información, consulte los siguientes recursos:
- ¿Qué es Virtual WAN?
- ¿Qué es un centro virtual seguro?
- Configurar directivas de intención y directivas de enrutamiento del centro de Virtual WAN
- Global Reach de ExpressRoute
Implementar Virtual WAN segura para diseños de la solución de VMware en Azure
Use Virtual WAN segura con la intención de enrutamiento para enviar todo el tráfico de Internet y el tráfico de red privada (RFC 1918) a una solución de seguridad, como pueda ser Azure Firewall, una aplicación virtual de red (NVA) que no sea de Microsoft o una solución de software como servicio (SaaS). Para admitir diseños de una sola región y de doble región, use la solución de VMware en Azure junto con Virtual WAN segura y la intención de enrutamiento.
Diseño de una sola región
Use el diseño de una sola región para inspeccionar el tráfico de red dentro de la solución de seguridad del centro virtual que va hacia y desde la solución de VMware en Azure. Este enfoque simplifica la administración de red y mejora la posición general de seguridad. Este diseño también le prepara si desea implementar otra nube privada de la solución de VMware en Azure en otra región que tenga un diseño de doble región. Habilite la intención de enrutamiento en un centro de una sola región para más adelante ayudar a escalar a un diseño de región de dos centros. Este diseño admite configuraciones con o sin Global Reach.
Diseño de dos regiones o de centro de conectividad dual
Use un diseño de doble región para inspeccionar el tráfico de red en dos soluciones de seguridad del centro virtual. Inspeccione el tráfico hacia y desde la solución de VMware en Azure e inspeccione el tráfico entre nubes privadas de la región de Azure que se encuentran en diferentes regiones. Habilite la intención de enrutamiento en ambos centros regionales para que el tráfico pueda pasar a través de las soluciones de seguridad de los dos centros. Un diseño de doble región con intención de enrutamiento mejora la seguridad y simplifica la administración de red entre regiones. Este diseño admite configuraciones con o sin Global Reach.
Opciones de implementación de Global Reach
Use Global Reach para conectar la solución de VMware en Azure a nubes privadas locales o regionales de la región de Azure. Global Reach establece un vínculo lógico directo a través de la red troncal de Microsoft.
Implementación con Global Reach
Cuando implemente Global Reach, el tráfico entre los sitios de Global Reach omite el firewall del centro de la Virtual WAN segura. El firewall del centro de la Virtual WAN segura no inspecciona el tráfico de Global Reach que va entre la solución de VMware en Azure y el entorno local o entre nubes privadas de la solución de VMware en Azure en distintas regiones.
Por ejemplo, en el diagrama siguiente se muestra cómo el tráfico entre la solución de VMware en Azure y el entorno local usa la conexión Global Reach etiquetada como A para comunicarse. Este tráfico no transita por el firewall del centro debido a la conexión A de Global Reach. Para lograr una seguridad óptima entre los sitios de Global Reach, el NSX-T del entorno de la solución de VMware en Azure o un firewall local deben inspeccionar el tráfico.
Global Reach simplifica el diseño porque proporciona una conexión lógica directa entre la solución de VMware en Azure y las nubes privadas locales o regionales de la solución de VMware en Azure. Use Global Reach para ayudar a solucionar problemas de tráfico entre sitios de Global Reach y eliminar las limitaciones de rendimiento en la Virtual WAN segura. Un inconveniente es que Global Reach impide que la solución de seguridad del centro virtual seguro inspeccione el tráfico entre nubes privadas regionales de la solución de VMware en Azure y las locales, y también dentro de las nubes privadas de la solución de VMware en Azure. Por lo tanto, la solución de seguridad del centro virtual seguro no puede inspeccionar el tráfico que fluye directamente entre estas entidades.
Implementación sin Global Reach
Se recomienda usar Global Reach de forma coherente a menos que tenga requisitos específicos. Si no usa Global Reach, puede inspeccionar todo el tráfico en la solución de seguridad del centro de Virtual WAN segura entre la solución de VMware en Azure y las nubes privadas locales o regionales de la solución de VMware en Azure. Pero este enfoque aumenta la complejidad del diseño. También hay que tener en cuenta las limitaciones de caudal en el centro de la Virtual WAN segura. Use Global Reach a menos que tenga una de las siguientes limitaciones.
Debe inspeccionar el tráfico en el centro de Virtual WAN entre la solución de VMware en Azure y el entorno local, así como en nubes privadas de la solución de VMware en Azure. No puede usar Global Reach si tiene un requisito de seguridad para inspeccionar el tráfico entre la solución de VMware en Azure y el entorno local, o entre nubes privadas regionales de la solución de VMware en Azure en el firewall del centro virtual.
Una región no admite Global Reach. Si una región no admite Global Reach, puede usar la intención de enrutamiento para establecer la conectividad entre conexiones ExpressRoute, ya sea entre la solución de VMware en Azure y el entorno local o entre nubes privadas de regionales de la solución de VMware en Azure. De forma predeterminada, los centros no admiten la transitividad de ExpressRoute a ExpressRoute. Para habilitar esta transitividad, debe iniciar una incidencia de soporte técnico. Para obtener más información, consulte Disponibilidad de Global Reach de ExpressRoute.
La instancia de ExpressRoute local usa la SKU local de ExpressRoute. La SKU local de ExpressRoute no admite Global Reach. Si usa la SKU local, puede usar la intención de enrutamiento para establecer la conectividad entre la solución de VMware en Azure y la red local.
En el diagrama siguiente se muestra un ejemplo que no usa Global Reach.
Considere las opciones de Global Reach para una sola región o para regiones dobles.
Use las instrucciones siguientes para determinar si necesita habilitar Global Reach para su escenario.
Diseño de región única con Global Reach
Cuando se usa Global Reach en una sola región, el centro seguro enruta todo el tráfico privado y el tráfico de Internet a través de una solución de seguridad, como Azure Firewall, una NVA que no es de Microsoft o una solución SaaS. En el diagrama siguiente, la intención de enrutamiento inspecciona el tráfico, pero el tráfico de Global Reach entre la solución de VMware en Azure y el entorno local omite el firewall del centro (conexión A). Por lo tanto, es necesario inspeccionar este tráfico de Global Reach con NSX-T en la solución de VMware en Azure o un firewall local para mejorar la seguridad en todos los sitios de Global Reach.
En la tabla siguiente se muestra el flujo de tráfico hacia y desde la solución de VMware en Azure.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Redes virtuales | Sí |
| Azure VMware Solution | → ← |
Internet | Sí |
| Azure VMware Solution | → ← |
Local | No |
En la tabla siguiente se muestra el flujo de tráfico hacia y desde las redes virtuales.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Redes virtuales | → ← |
Local | Sí |
| Redes virtuales | → ← |
Internet | Sí |
| Redes virtuales | → ← |
Redes virtuales | Sí |
Diseño de región única sin Global Reach
Cuando no se usa Global Reach en una sola región, el centro seguro enruta todo el tráfico privado y el tráfico de Internet a través de una solución de seguridad. La intención de enrutamiento inspecciona el tráfico. Con este diseño, el tráfico entre la solución de VMware en Azure y el entorno local transita por el firewall del centro para su inspección. Los centros no admiten la transitividad de ExpressRoute a ExpressRoute de forma predeterminada. Para habilitar esta transitividad, debe iniciar una incidencia de soporte técnico. Una vez completada la incidencia de soporte técnico, el centro seguro anuncia las direcciones RFC 1918 predeterminadas a la solución de VMware en Azure y al entorno local. Cuando se usa la intención de enrutamiento desde el entorno local, no se pueden anunciar los prefijos de dirección RFC 1918 exactos (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) de vuelta a Azure. En su lugar, siempre debe anunciar rutas más específicas.
En la tabla siguiente se muestra el flujo de tráfico hacia y desde la solución de VMware en Azure.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Local | Sí |
| Azure VMware Solution | → ← |
Internet | Sí |
| Azure VMware Solution | → ← |
Redes virtuales | Sí |
En la tabla siguiente se muestra el flujo de tráfico hacia y desde las redes virtuales.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Redes virtuales | → ← |
Local | Sí |
| Redes virtuales | → ← |
Internet | Sí |
| Redes virtuales | → ← |
Redes virtuales | Sí |
Diseño de región doble con Global Reach
Cuando se usa Global Reach en dos regiones, se implementan dos centros seguros en regiones diferentes dentro de la Virtual WAN. También puede configurar dos nubes privadas de la solución de VMware en Azure en regiones separadas.
En el siguiente diagrama se muestra un ejemplo de esta configuración. Cada nube privada de la solución de VMware en Azure regional se conecta directamente a su centro regional local (conexión D). El entorno local se conecta a cada centro regional (conexión E). Todo el tráfico RFC 1918 y el tráfico de Internet se enrutan a través de una solución de seguridad en ambos centros seguros a través de la intención de enrutamiento. Las nubes privadas de la solución de VMware en Azure tienen conectividad con el entorno local a través de Global Reach (conexiones A y B). Las nubes de la solución de VMware en Azure se conectan entre sí a través de Global Reach (conexión C). El tráfico de Global Reach entre las nubes privadas de la solución de VMware en Azure o entre las nubes privadas de la solución de VMware en Azure y las instalaciones locales pasa por alto los dos firewalls centrales (conexiones A, B y C). Para mejorar la seguridad en todos los sitios de Global Reach, use NSX-T en la solución de VMware en Azure o un firewall local para inspeccionar este tráfico.
En la tabla siguiente se muestra el flujo de tráfico hacia y desde la región 1 de la nube privada de la solución de VMware en Azure.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Red virtual 1 | Sí, a través del firewall del centro 1 |
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Red virtual 2 | Sí, a través de los firewalls del centro 1 y 2 |
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Internet | Sí, a través del firewall del centro 1 |
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Local | No |
En la tabla siguiente se muestra el flujo de tráfico hacia y desde la región 2 de la nube privada de la solución de VMware en Azure.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Región 2 de la nube privada de la solución de VMware en Azure | → ← |
Red virtual 1 | Sí, a través de los firewalls del centro 1 y 2 |
| Región 2 de la nube privada de la solución de VMware en Azure | → ← |
Red virtual 2 | Sí, a través del firewall del centro 2 |
| Región 2 de la nube privada de la solución de VMware en Azure | → ← |
Internet | Sí, a través del firewall del centro 2 |
| Región 2 de la nube privada de la solución de VMware en Azure | → ← |
Local | No |
En la tabla siguiente se muestra el flujo de tráfico hacia y desde la región 1 y región 2 de la nube privada de la solución de VMware en Azure.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Región 2 de la nube privada de la solución de VMware en Azure | No |
En la tabla siguiente se muestra el flujo de tráfico hacia y desde las redes virtuales.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Red virtual 1 | → ← |
Local | Sí, a través del firewall del centro 1 |
| Red virtual 1 | → ← |
Internet | Sí, a través del firewall del centro 1 |
| Red virtual 1 | → ← |
Red virtual 2 | Sí, a través de los firewalls del centro 1 y 2 |
| Red virtual 2 | → ← |
Local | Sí, a través del firewall del centro 2 |
| Red virtual 2 | → ← |
Internet | Sí, a través del firewall del centro 2 |
Diseño de región doble sin Global Reach
Cuando se usa Global Reach en dos regiones, se implementan dos centros seguros en regiones diferentes dentro de la Virtual WAN. También puede configurar dos nubes privadas de la solución de VMware en Azure en regiones separadas.
En el siguiente diagrama se muestra un ejemplo de esta configuración. Cada nube privada de la solución de VMware en Azure regional se conecta directamente a su centro regional local (conexión D). El entorno local se conecta a cada centro regional (conexión E). Todo el tráfico RFC 1918 y el tráfico de Internet se enrutan a través de una solución de seguridad en ambos centros seguros a través de la intención de enrutamiento.
Los centros no admiten la transitividad de ExpressRoute a ExpressRoute de forma predeterminada. Para habilitar esta transitividad, debe iniciar una incidencia de soporte técnico. Una vez completada la incidencia de soporte técnico, los centros seguros anuncian las direcciones RFC 1918 predeterminadas a la solución de VMware en Azure y al entorno local. Haga referencia a ambos centros regionales al abrir el vale. Use la transitividad de ExpressRoute a ExpressRoute para que las nubes privadas de la solución de VMware en Azure puedan comunicarse entre sí a través del interhub de Virtual WAN y la solución de VMware en Azure puede comunicarse con el entorno local.
Las direcciones RFC 1918 se anuncian en el entorno local. No puede anunciar los prefijos de dirección RFC 1918 predeterminados exactos (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) en Azure. En su lugar, siempre debe anunciar rutas más específicas.
En la tabla siguiente se muestra el flujo de tráfico hacia y desde la región 1 de la nube privada de la solución de VMware en Azure.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Red virtual 1 | Sí, a través del firewall del centro 1 |
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Red virtual 2 | Sí, a través de los firewalls del centro 1 y 2 |
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Internet | Sí, a través del firewall del centro 1 |
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Local | Sí, a través del firewall del centro 1 |
En la tabla siguiente se muestra el flujo de tráfico hacia y desde la región 2 de la nube privada de la solución de VMware en Azure.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Región 2 de la nube privada de la solución de VMware en Azure | → ← |
Red virtual 1 | Sí, a través del firewall del centro 2 |
| Región 2 de la nube privada de la solución de VMware en Azure | → ← |
Red virtual 2 | Sí, a través de los firewalls del centro 1 y 2 |
| Región 2 de la nube privada de la solución de VMware en Azure | → ← |
Internet | Sí, a través del firewall del centro 2 |
| Región 2 de la nube privada de la solución de VMware en Azure | → ← |
Local | Sí, a través del firewall del centro 2 |
En la tabla siguiente se muestra el flujo de tráfico hacia y desde la región 1 y región 2 de la nube privada de la solución de VMware en Azure.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Región 1 de la nube privada de la solución de VMware en Azure | → ← |
Región 2 de la nube privada de la solución de VMware en Azure | Sí, a través de los firewalls del centro 1 y 2 |
En la tabla siguiente se muestra el flujo de tráfico hacia y desde las redes virtuales.
| Ubicación 1 | Dirección | Ubicación 2 | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| Red virtual 1 | → ← |
Local | Sí, a través del firewall del centro 1 |
| Red virtual 1 | → ← |
Internet | Sí, a través del firewall del centro 1 |
| Red virtual 1 | → ← |
Red virtual 2 | Sí, a través de los firewalls del centro 1 y 2 |
| Red virtual 2 | → ← |
Local | Sí, a través del firewall del centro 2 |
| Red virtual 2 | → ← |
Internet | Sí, a través del firewall del centro 2 |
Recursos relacionados
- Diseño de la solución de VMware en Azure de una sola región que tiene Virtual WAN y Global Reach
- Diseño de la solución de VMware en Azure de una sola región que no tiene Global Reach
- Diseño de la solución de VMware en Azure de doble región que tiene Virtual WAN y Global Reach
- Diseño de la solución de VMware en Azure de doble región que no tiene Global Reach