Habilitar la conectividad desde Azure VMware Solution
Introducción
En este patrón de diseño, el tráfico tiene una ruta de acceso dedicada a través de la red troncal de Microsoft desde el centro de datos local hasta la nube privada de Azure VMware Solution (AVS). Esta conexión se produce a través de Global Reach de Expressroute, un mecanismo que proporciona una ruta de acceso directa entre el cliente administrado que, a continuación, se puede conectar a los circuitos Expressroute dedicados a AVS. La nube privada también tiene una interrupción aislada independiente de NSX Edge a Internet para que este tráfico no recorra el Expressroute.
Importante
Si está en una región en la que no se admite Global Reach, el tránsito desde el entorno local a la nube privada de AVS es posible mediante la implementación de una puerta de enlace de Expressroute en Azure. Para proporcionar la transitividad de un extremo a otro, se necesita una aplicación virtual en el centro de conectividad Virtual Network (VNET). Consulta la sección Anuncio de ruta predeterminado e inspección de tráfico.
Perfil de cliente
Esta arquitectura es ideal para:
- Baja latencia, salida de forma nativa desde el SDDC de Azure VMware Solution (centros de datos definidos por software) a Internet.
- Dirigir el tráfico desde el entorno local directamente a Azure a través de Expressroute o VPN.
- Servicios L4/L7 entrantes para cargas de trabajo en el SDDC, como HTTPS
El tráfico, que fluye a través de los enrutadores NSX de AVS, que se tratan en este diseño incluyen:
- Azure VMware Solution a redes virtuales nativas de Azure
- Azure VMware Solution a Internet
- Azure VMware Solution a centros de datos locales
Componentes de la arquitectura
Implemente este escenario con:
- Un equilibrador de carga avanzado de NSX
- IP pública para la interrupción de Internet de Azure VMware Solution para la traducción de direcciones de origen y destino (SNAT/DNAT)
Nota
Aunque el equilibrador de carga avanzado NSX (Avi) proporciona funcionalidades de entrada directamente dentro de NSX, esta funcionalidad también es posible con WAF o App Gateway v2 en Azure.
Decisión clave
En este documento se da por hecho y se recomienda el anuncio de ruta predeterminado desde el entorno local o AVS. Si necesitas que la ruta predeterminada se origine en Azure, consulta la sección Anuncio de ruta predeterminado e inspección de tráfico.
Consideraciones
- Habilite la dirección IP pública hacia abajo en el perímetro de NSX en Azure Portal. Lo que permite conexiones directas de baja latencia a Azure VMware Solution y la capacidad de escalar el número de conexiones salientes.
- Aplique la creación de reglas del firewall de NSX.
- Use el equilibrador de carga avanzado de NSX para distribuir uniformemente el tráfico a las cargas de trabajo.
- Habilite la protección contra ataques “flood” (distribuida y puerta de enlace).
Salida de AVS mediante NSX-T o NVA
Cobertura de inspección del tráfico | Diseño de soluciones recomendado | Consideraciones | Interrupción de Internet |
---|---|---|---|
- Entrada a Internet - Salida de Internet - Tráfico al centro de datos local - Tráfico a Azure Virtual Network - Tráfico en Azure VMware Solution |
Use NSX-T o un firewall de terceros de NVA en Azure VMware Solution. Utilice NSX-T Advanced Load Balancer para HTTP o NSX-T Firewall para el tráfico que no sea HTTP/S. IP pública para la interrupción de Internet de Azure VMware Solution, SNAT y DNAT. |
Elija esta opción para anunciar la ruta 0.0.0.0/0 desde la nube privada de la solución de VMware en Azure. Habilite la dirección IP pública hacia abajo en el perímetro de NSX en Azure Portal. Esta opción permite conexiones de baja latencia a Azure y la capacidad de escalar el número de conexiones salientes. |
Azure VMware Solution |
Salida desde Azure VMware Solution mediante un anuncio 0.0.0.0/0 desde el entorno local
Cobertura de inspección del tráfico | Diseño de soluciones recomendado | Consideraciones | Interrupción de Internet |
---|---|---|---|
- Entrada a Internet - Salida de Internet - Al centro de datos local |
Use una aplicación virtual local para el tráfico HTTP/S, use el equilibrador de carga avanzado NSX o Application Gateway en Azure. Para el tráfico que no es HTTP/S, use el firewall distribuido de NSX. Habilite la dirección IP pública en Azure VMware Solution. |
Elija esta opción para anunciar la ruta 0.0.0.0/0 desde centros de datos locales. |
Local |
Importante
Algunos dispositivos de VMware tradicionales usan la inserción de servicios para colocar dispositivos en el enrutador de nivel 0. Los enrutadores de nivel 0 están aprovisionados y administrados por Microsoft y no son consumibles por los usuarios finales. Todos los dispositivos de red y equilibradores de carga deben colocarse en el nivel 1. En la sección siguiente se describe la propagación de rutas predeterminada desde un dispositivo de entidad en AVS.
Integración de NVA de terceros en AVS
La integración con dispositivos de terceros es posible si se ha hecho la reflexión profunda pertinente. En este diseño, las NVA de terceros se encuentran detrás de uno o varios enrutadores perimetrales T-1.
Es responsabilidad de los usuarios traer una licencia e implementar las funcionalidades de alta disponibilidad nativas del dispositivo.
Tenga en cuenta los límites al elegir esta implementación. Por ejemplo, hay un límite de hasta ocho tarjetas de interfaz de red virtual (NIC) en una máquina virtual. Para más información sobre cómo colocar NVA en AVS, consulte: Patrones de firewall de NSX-T
Nota
Microsoft no admite el uso de redes optimizadas para movilidad cuando se usan NVA de terceros.
Consideraciones sobre la zona de aterrizaje
En esta sección se hace referencia a los procedimientos recomendados para integrar AVS con la zona de aterrizaje de Azure.
Azure Route Server
Azure Route Server (ARS) se usa para propagar dinámicamente las rutas aprendidas de AVS y proporcionar conectividad de rama a rama a las VPN Gateways. Las VNET que están emparejadas con la VNET donde reside ARS también aprenden dinámicamente las rutas, lo que permite aprender rutas de AVS a entornos hub-and-spoke en Azure. Los casos de uso de Azure Route Server incluyen:
Propagación de rutas dinámicas:
- Obtenga información sobre rutas específicas de AVS a redes virtuales locales a través de BGP (Protocolo de puerta de enlace de borde). Las redes virtuales emparejadas también pueden aprender las rutas.
- Integración de NVA de terceros
- Emparejar ARS con NVA para que no necesite UDR para cada segmento de AVS para filtrar el tráfico.
- Devolver el tráfico de redes virtuales emparejadas necesita una UDR (rutas definidas por el usuario) de vuelta a la interfaz local del mecanismo de tránsito del servidor de seguridad
- Mecanismo de tránsito de Expressroute a VPN Gateway
- VPN Gateway debe ser de tipo de sitio a sitio y configurado en Activo/Activo
Para usar Azure Route Server, debe:
Habilitación de rama a rama
Use el resumen de rutas para > 1 000 rutas o use una referencia de marca
NO_ADVERTISE BGP communities
en las preguntas más frecuentes (P+F) de Azure Route ServerEmparejamiento de NVA con ASN específicos que no son de Azure. Por ejemplo, dado que ARS usa 65515, ningún otro dispositivo de la red virtual puede usar ese ASN (número de sistema autónomo).
No hay compatibilidad con IPv6
Integración de Azure NetApp Files
Azure NetApp Files (ANF) proporciona un almacén de datos conectado a la red a través del protocolo NFS. ANF reside en una red virtual de Azure y se conecta a cargas de trabajo en AVS. Mediante los almacenes de datos NFS respaldados por Azure NetApp Files, puede expandir el almacenamiento en lugar de escalar los clústeres.
- Cree volúmenes de Azure NetApp Files mediante características de red estándar para permitir la conectividad optimizada desde la nube privada de AVS a través de FastPath de ExpressRoute
- Implementación de ANF en una subred delegada
- La implementación de Hub y Spoke admite la SKU de ER GW de hasta 10 Gbps
- Se requiere la SKU Ultra y ErGw3AZ para pasar los límites de velocidad del puerto de puerta de enlace
- La entrada de tráfico de lectura y de escritura son salidas a través de Expressroute. El tráfico de salida a través de circuitos Expressroute omite la puerta de enlace y va directamente al enrutador perimetral
- Los cargos de entrada/salida se suprimen de AVS; sin embargo, hay cargo de salida si los datos pasan por redes virtuales emparejadas.
- Actualmente solo se admite NFS v3.
Si ve una latencia inesperada, asegúrese de que la nube privada de AVS y la implementación de ANF estén ancladas al mismo AZ (Azure Availability Zones). Para lograr una alta disponibilidad, cree volúmenes ANF en AZ independientes y habilite Cross Zone Replication
Importante
Microsoft no admite Fastpath para el centro de Azure VWAN protegido, donde la velocidad máxima del puerto posible es de 20 Gbps. Considera la posibilidad de usar la red virtual en estrella tipo Hub y Spoke si se requiere un mayor rendimiento. Consulte cómo asociar almacenes de datos de Azure NetApp Files a hosts de Azure VMware Solution aquí
Conectividad VPN desde un entorno local
Aunque se recomienda un circuito Expressroute, también es posible conectarse a AVS desde el entorno local con IPSEC mediante una red virtual del concentrador de tránsito en Azure. Este escenario requiere una puerta de enlace de VPN y Azure Route Server. Como se ha mencionado anteriormente, Azure Route Server habilita la transitividad entre la puerta de enlace de VPN y la puerta de enlace de Expressroute de AVS.
La inspección del tráfico
Como se ha visto anteriormente, el anuncio de ruta predeterminado se está produciendo desde AVS con la dirección IP pública hasta la opción NSX Edge, pero también es posible seguir publicando la ruta predeterminada desde el entorno local. El filtrado de tráfico de un extremo a otro desde el entorno local a AVS es posible con el firewall colocado en cualquiera de estos puntos de conexión.
El anuncio de ruta predeterminado de Azure es posible con una NVA de terceros en una VNET de concentrador o cuando se usa Azure vWAN. En una implementación tipo hub-and-spoke, Azure Firewall no es posible porque no se comunica mediante BGP, pero puede usar un dispositivo compatible con BGP de terceros. Este escenario funciona para inspeccionar el tráfico desde:
- Local a Azure
- Azure a Internet
- AVS a Internet
- AVS a Azure
Una NVA de terceros en la red virtual de centro inspecciona el tráfico entre AVS e Internet, y entre AVS y redes virtuales de Azure
Requisitos de inspección del tráfico | Diseño de soluciones recomendado | Consideraciones | Interrupción de Internet |
---|---|---|---|
- Entrada a Internet - Salida de Internet : al centro de datos local : a Azure Virtual Network |
Use soluciones de firewall de terceros en una red virtual de centro con Azure Route Server. Para el tráfico HTTP/S, use Azure Application Gateway. Para el tráfico que no es HTTP/S, use una NVA de firewall de terceros en Azure. Use una NVA de firewall de terceros local. Implemente soluciones de firewall de terceros en una red virtual de centro con Azure Route Server. |
Elija esta opción para anunciar la ruta 0.0.0.0/0 de una NVA en la red virtual de centro de Azure a Azure VMware Solution. |
Azure |
Información adicional
- Acceso a vCenter mediante Bastion + Jumpbox VM: si accede a vCenter desde el entorno local, asegúrese de tener una ruta desde las redes locales a la red de administración de AVS /22. Para validar que la ruta en la CLI escriba
Test-NetConnection x.x.x.2 -port 443
- Consideraciones sobre DNS: si usa puntos de conexión privados, siga las instrucciones que se detallan aquí: Configuración DNS del punto de conexión privado de Azure | Microsoft Learn
Pasos siguientes
- Para más información sobre cómo pasar de VPN local a Azure VMware Solution, consulte el siguiente artículo sobre el tránsito de VPN a ExR:
- Para obtener más información sobre Azure VMware Solution en redes en estrella tipo hub-and-spoke, consulte Integración de Azure VMware Solution en una arquitectura en estrella tipo hub-and-spoke.
- Para obtener más información sobre los segmentos de red de VMware NSX-T Data Center, consulte Configuración de los componentes de red NSX-T Data Center mediante Azure VMware Solution.
- Para más información sobre Azure Router Server, consulte la introducción al producto ¿Qué es Azure Route Server?
A continuación, observe otros patrones de diseño para establecer la conectividad con el Azure VMware Solution