Compartir vía


Habilitar la conectividad desde Azure VMware Solution

Introducción

En este patrón de diseño, el tráfico tiene una ruta de acceso dedicada a través de la red troncal de Microsoft desde el centro de datos local hasta la nube privada de Azure VMware Solution (AVS). Esta conexión se produce a través de Global Reach de Expressroute, un mecanismo que proporciona una ruta de acceso directa entre el cliente administrado que, a continuación, se puede conectar a los circuitos Expressroute dedicados a AVS. La nube privada también tiene una interrupción aislada independiente de NSX Edge a Internet para que este tráfico no recorra el Expressroute.

Azure VMware Solution con Global Reach con una salida local y separada para el Internet con IP AVS Pública

Importante

Si está en una región en la que no se admite Global Reach, el tránsito desde el entorno local a la nube privada de AVS es posible mediante la implementación de una puerta de enlace de Expressroute en Azure. Para proporcionar la transitividad de un extremo a otro, se necesita una aplicación virtual en el centro de conectividad Virtual Network (VNET). Consulta la sección Anuncio de ruta predeterminado e inspección de tráfico.

Perfil de cliente

Esta arquitectura es ideal para:

  • Baja latencia, salida de forma nativa desde el SDDC de Azure VMware Solution (centros de datos definidos por software) a Internet.
  • Dirigir el tráfico desde el entorno local directamente a Azure a través de Expressroute o VPN.
  • Servicios L4/L7 entrantes para cargas de trabajo en el SDDC, como HTTPS

El tráfico, que fluye a través de los enrutadores NSX de AVS, que se tratan en este diseño incluyen:

  • Azure VMware Solution a redes virtuales nativas de Azure
  • Azure VMware Solution a Internet
  • Azure VMware Solution a centros de datos locales

Componentes de la arquitectura

Implemente este escenario con:

  • Un equilibrador de carga avanzado de NSX
  • IP pública para la interrupción de Internet de Azure VMware Solution para la traducción de direcciones de origen y destino (SNAT/DNAT)

Nota

Aunque el equilibrador de carga avanzado NSX (Avi) proporciona funcionalidades de entrada directamente dentro de NSX, esta funcionalidad también es posible con WAF o App Gateway v2 en Azure.

Decisión clave

En este documento se da por hecho y se recomienda el anuncio de ruta predeterminado desde el entorno local o AVS. Si necesitas que la ruta predeterminada se origine en Azure, consulta la sección Anuncio de ruta predeterminado e inspección de tráfico.

Consideraciones

  • Habilite la dirección IP pública hacia abajo en el perímetro de NSX en Azure Portal. Lo que permite conexiones directas de baja latencia a Azure VMware Solution y la capacidad de escalar el número de conexiones salientes.
  • Aplique la creación de reglas del firewall de NSX.
  • Use el equilibrador de carga avanzado de NSX para distribuir uniformemente el tráfico a las cargas de trabajo.
  • Habilite la protección contra ataques “flood” (distribuida y puerta de enlace).

Salida de AVS mediante NSX-T o NVA

Cobertura de inspección del tráfico Diseño de soluciones recomendado Consideraciones Interrupción de Internet
- Entrada a Internet
- Salida de Internet
- Tráfico al centro de datos local
- Tráfico a Azure Virtual Network
- Tráfico en Azure VMware Solution
Use NSX-T o un firewall de terceros de NVA en Azure VMware Solution.

Utilice NSX-T Advanced Load Balancer para HTTP o NSX-T Firewall para el tráfico que no sea HTTP/S.

IP pública para la interrupción de Internet de Azure VMware Solution, SNAT y DNAT.
Elija esta opción para anunciar la ruta 0.0.0.0/0 desde la nube privada de la solución de VMware en Azure.

Habilite la dirección IP pública hacia abajo en el perímetro de NSX en Azure Portal. Esta opción permite conexiones de baja latencia a Azure y la capacidad de escalar el número de conexiones salientes.
Azure VMware Solution

Salida desde Azure VMware Solution mediante un anuncio 0.0.0.0/0 desde el entorno local

Cobertura de inspección del tráfico Diseño de soluciones recomendado Consideraciones Interrupción de Internet
- Entrada a Internet
- Salida de Internet
- Al centro de datos local
Use una aplicación virtual local

para el tráfico HTTP/S, use el equilibrador de carga avanzado NSX o Application Gateway en Azure. Para el tráfico que no es HTTP/S, use el firewall distribuido de NSX.

Habilite la dirección IP pública en Azure VMware Solution.
Elija esta opción para anunciar la ruta 0.0.0.0/0 desde centros de datos locales. Local

Importante

Algunos dispositivos de VMware tradicionales usan la inserción de servicios para colocar dispositivos en el enrutador de nivel 0. Los enrutadores de nivel 0 están aprovisionados y administrados por Microsoft y no son consumibles por los usuarios finales. Todos los dispositivos de red y equilibradores de carga deben colocarse en el nivel 1. En la sección siguiente se describe la propagación de rutas predeterminada desde un dispositivo de entidad en AVS.

Integración de NVA de terceros en AVS

La integración con dispositivos de terceros es posible si se ha hecho la reflexión profunda pertinente. En este diseño, las NVA de terceros se encuentran detrás de uno o varios enrutadores perimetrales T-1.

Es responsabilidad de los usuarios traer una licencia e implementar las funcionalidades de alta disponibilidad nativas del dispositivo.

Tenga en cuenta los límites al elegir esta implementación. Por ejemplo, hay un límite de hasta ocho tarjetas de interfaz de red virtual (NIC) en una máquina virtual. Para más información sobre cómo colocar NVA en AVS, consulte: Patrones de firewall de NSX-T

Nota

Microsoft no admite el uso de redes optimizadas para movilidad cuando se usan NVA de terceros.

Consideraciones sobre la zona de aterrizaje

En esta sección se hace referencia a los procedimientos recomendados para integrar AVS con la zona de aterrizaje de Azure.

Azure Route Server

Azure Route Server (ARS) se usa para propagar dinámicamente las rutas aprendidas de AVS y proporcionar conectividad de rama a rama a las VPN Gateways. Las VNET que están emparejadas con la VNET donde reside ARS también aprenden dinámicamente las rutas, lo que permite aprender rutas de AVS a entornos hub-and-spoke en Azure. Los casos de uso de Azure Route Server incluyen:

Propagación de rutas dinámicas:

  • Obtenga información sobre rutas específicas de AVS a redes virtuales locales a través de BGP (Protocolo de puerta de enlace de borde). Las redes virtuales emparejadas también pueden aprender las rutas.
  • Integración de NVA de terceros
    • Emparejar ARS con NVA para que no necesite UDR para cada segmento de AVS para filtrar el tráfico.
    • Devolver el tráfico de redes virtuales emparejadas necesita una UDR (rutas definidas por el usuario) de vuelta a la interfaz local del mecanismo de tránsito del servidor de seguridad
  • Mecanismo de tránsito de Expressroute a VPN Gateway
  • VPN Gateway debe ser de tipo de sitio a sitio y configurado en Activo/Activo

Para usar Azure Route Server, debe:

  • Habilitación de rama a rama

  • Use el resumen de rutas para > 1 000 rutas o use una referencia de marca NO_ADVERTISE BGP communities en las preguntas más frecuentes (P+F) de Azure Route Server

  • Emparejamiento de NVA con ASN específicos que no son de Azure. Por ejemplo, dado que ARS usa 65515, ningún otro dispositivo de la red virtual puede usar ese ASN (número de sistema autónomo).

  • No hay compatibilidad con IPv6

Integración de Azure NetApp Files

Azure NetApp Files (ANF) proporciona un almacén de datos conectado a la red a través del protocolo NFS. ANF reside en una red virtual de Azure y se conecta a cargas de trabajo en AVS. Mediante los almacenes de datos NFS respaldados por Azure NetApp Files, puede expandir el almacenamiento en lugar de escalar los clústeres.

  • Cree volúmenes de Azure NetApp Files mediante características de red estándar para permitir la conectividad optimizada desde la nube privada de AVS a través de FastPath de ExpressRoute
  • Implementación de ANF en una subred delegada
  • La implementación de Hub y Spoke admite la SKU de ER GW de hasta 10 Gbps
  • Se requiere la SKU Ultra y ErGw3AZ para pasar los límites de velocidad del puerto de puerta de enlace
  • La entrada de tráfico de lectura y de escritura son salidas a través de Expressroute. El tráfico de salida a través de circuitos Expressroute omite la puerta de enlace y va directamente al enrutador perimetral
  • Los cargos de entrada/salida se suprimen de AVS; sin embargo, hay cargo de salida si los datos pasan por redes virtuales emparejadas.
  • Actualmente solo se admite NFS v3.

Si ve una latencia inesperada, asegúrese de que la nube privada de AVS y la implementación de ANF estén ancladas al mismo AZ (Azure Availability Zones). Para lograr una alta disponibilidad, cree volúmenes ANF en AZ independientes y habilite Cross Zone Replication

Importante

Microsoft no admite Fastpath para el centro de Azure VWAN protegido, donde la velocidad máxima del puerto posible es de 20 Gbps. Considera la posibilidad de usar la red virtual en estrella tipo Hub y Spoke si se requiere un mayor rendimiento. Consulte cómo asociar almacenes de datos de Azure NetApp Files a hosts de Azure VMware Solution aquí

Conectividad VPN desde un entorno local

Aunque se recomienda un circuito Expressroute, también es posible conectarse a AVS desde el entorno local con IPSEC mediante una red virtual del concentrador de tránsito en Azure. Este escenario requiere una puerta de enlace de VPN y Azure Route Server. Como se ha mencionado anteriormente, Azure Route Server habilita la transitividad entre la puerta de enlace de VPN y la puerta de enlace de Expressroute de AVS.

Azure VMware Solution con tránsito entre Expressroute y VPN Gateway local

La inspección del tráfico

Como se ha visto anteriormente, el anuncio de ruta predeterminado se está produciendo desde AVS con la dirección IP pública hasta la opción NSX Edge, pero también es posible seguir publicando la ruta predeterminada desde el entorno local. El filtrado de tráfico de un extremo a otro desde el entorno local a AVS es posible con el firewall colocado en cualquiera de estos puntos de conexión.

Azure VMware Solution con inspección del tráfico en Azure con aplicación virtual de red de terceros

El anuncio de ruta predeterminado de Azure es posible con una NVA de terceros en una VNET de concentrador o cuando se usa Azure vWAN. En una implementación tipo hub-and-spoke, Azure Firewall no es posible porque no se comunica mediante BGP, pero puede usar un dispositivo compatible con BGP de terceros. Este escenario funciona para inspeccionar el tráfico desde:

  • Local a Azure
  • Azure a Internet
  • AVS a Internet
  • AVS a Azure

Una NVA de terceros en la red virtual de centro inspecciona el tráfico entre AVS e Internet, y entre AVS y redes virtuales de Azure

Requisitos de inspección del tráfico Diseño de soluciones recomendado Consideraciones Interrupción de Internet
- Entrada a Internet
- Salida de Internet
: al centro de datos local
: a Azure Virtual Network
Use soluciones de firewall de terceros en una red virtual de centro con Azure Route Server.

Para el tráfico HTTP/S, use Azure Application Gateway. Para el tráfico que no es HTTP/S, use una NVA de firewall de terceros en Azure.

Use una NVA de firewall de terceros local.

Implemente soluciones de firewall de terceros en una red virtual de centro con Azure Route Server.
Elija esta opción para anunciar la ruta 0.0.0.0/0 de una NVA en la red virtual de centro de Azure a Azure VMware Solution. Azure

Información adicional

  • Acceso a vCenter mediante Bastion + Jumpbox VM: si accede a vCenter desde el entorno local, asegúrese de tener una ruta desde las redes locales a la red de administración de AVS /22. Para validar que la ruta en la CLI escriba Test-NetConnection x.x.x.2 -port 443
  • Consideraciones sobre DNS: si usa puntos de conexión privados, siga las instrucciones que se detallan aquí: Configuración DNS del punto de conexión privado de Azure | Microsoft Learn

Suscripción a Azure VMware Solution y a la organización de grupo de recursos

Pasos siguientes

A continuación, observe otros patrones de diseño para establecer la conectividad con el Azure VMware Solution