Usar un diseño de solución de VMware en Azure de una sola región que disponga de Virtual WAN y Global Reach
En este artículo se describen las mejores prácticas para la solución de VMware en Azure en una sola región cuando se usa Azure Virtual WAN segura con la intención de enrutamiento. Proporciona recomendaciones de conectividad y flujo de tráfico para una Virtual WAN segura con la intención de enrutamiento y Global Reach de Azure ExpressRoute. En este artículo se describe la topología para diseños en nubes privadas de la solución de VMware en Azure, sitios locales y recursos nativos de Azure. La implementación y configuración de una Virtual WAN segura con la intención de enrutamiento están fuera del alcance de este artículo.
Usar una Virtual WAN segura en una sola región
Solo la SKU estándar de Virtual WAN admite una Virtual WAN con la intención de enrutamiento. Use Virtual WAN segura con la intención de enrutamiento para enviar todo el tráfico de Internet y el tráfico de red privada a una solución de seguridad, como Azure Firewall, una aplicación virtual de red (NVA) que no sea de Microsoft o una solución de software como servicio (SaaS). Debe tener un centro de Virtual WAN seguro si usa la intención de enrutamiento.
Nota:
Al configurar la solución de VMware en Azure con centros de conectividad de Virtual WAN segura, establezca la opción de preferencia de enrutamiento del centro en Ruta AS para garantizar los resultados de enrutamiento óptimos en el centro. Para obtener más información, consulte Preferencias de enrutamiento del centro.
La configuración del centro del escenario es la siguiente:
La red de una sola región tiene una instancia de Virtual WAN y un centro.
El centro tiene una instancia de Azure Firewall implementada, lo que lo convierte en un centro de Virtual WAN segura.
El centro de Virtual WAN segura tiene habilitada la intención de enrutamiento.
Este escenario también tiene estos componentes:
Una sola región tiene su propia nube privada de solución de VMware en Azure y una red virtual de Azure.
Un sitio local se conecta de nuevo al centro.
El entorno tiene conectividad de Global Reach.
Global Reach establece un vínculo lógico directo a través de la red troncal de Microsoft, que conecta la solución de VMware en Azure a un entorno local.
Las conexiones de Global Reach no transitan por el firewall del centro. Por lo tanto, el tráfico de Global Reach que va de ambas direcciones entre el entorno local y la solución de VMware en Azure no se inspecciona.
Nota:
Para mejorar la seguridad entre los sitios de Global Reach, considere la posibilidad de inspeccionar el tráfico dentro del entorno NSX-T de la solución de VMware en Azure o un firewall local.
En el siguiente diagrama se muestra un ejemplo de este escenario.
En la tabla siguiente se describe la conectividad de topología en el diagrama anterior.
| Connection | Descripción |
|---|---|
| D | Conexión de ExpressRoute administrada por la nube privada de la solución de VMware en Azure al centro |
| A | Conexión de Global Reach de la solución de VMware en Azure al entorno local |
| E | Conexión de ExpressRoute local al centro |
Flujos de tráfico de Virtual WAN seguros de una sola región
En las secciones siguientes se describen los flujos de tráfico y la conectividad para la solución de VMware en Azure, los entornos locales, las redes virtuales de Azure e Internet.
Flujos de tráfico y conectividad de la nube privada de la solución de VMware en Azure
En el diagrama siguiente se muestran los flujos de tráfico para la nube privada de la solución de VMware en Azure.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 1 | Nube de la solución de VMware en Azure | Red virtual | Sí |
| 2 | Nube de la solución de VMware en Azure | Local | No |
La nube privada de la solución de VMware en Azure se conecta a su centro a través de la conexión D de ExpressRoute. La región en la nube de la solución de VMware en Azure establece una conexión con el entorno local a través de la conexión A de Global Reach de ExpressRoute. El tráfico que viaja a través de Global Reach no transita por el firewall del centro.
Para su escenario, configure Global Reach para evitar problemas de conectividad entre el entorno local y la solución de VMware en Azure.
Conectividad local y flujo de tráfico
En el diagrama siguiente se muestra el sitio local conectado al centro a través de la conexión E de ExpressRoute. Los sistemas locales pueden comunicarse con la solución de VMware en Azure a través de la conexión A de Global Reach.
Para su escenario, configure Global Reach para evitar problemas de conectividad entre el entorno local y la solución de VMware en Azure.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 3 | Local | Nube de la solución de VMware en Azure | No |
| 4 | Local | Red virtual | Sí |
Conectividad de red virtual de Azure y flujo de tráfico
Un centro seguro que tiene habilitada la intención de enrutamiento envía las direcciones RFC 1918 predeterminadas (10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16) a las redes virtuales emparejadas, junto con cualquier otro prefijo que se agregue como prefijos de tráfico privado. Para obtener más información, consulte Enrutamiento de prefijos de dirección privada de intención. Este escenario tiene habilitada la intención de enrutamiento, por lo que todos los recursos de la red virtual poseen las direcciones RFC 1918 predeterminadas y usan el firewall del centro como próximo salto. Todo el tráfico que entra y sale de la red virtual transita por el firewall del centro.
En el diagrama siguiente se muestra cómo la red virtual del mismo nivel se empareja directamente con el centro.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 5 | Red virtual | Nube de la solución de VMware en Azure | Sí |
| 6 | Red virtual | Nube de la solución de VMware en Azure | Sí |
Conectividad de Internet
En esta sección se describe cómo proporcionar conectividad a Internet a los recursos nativos de Azure en una red virtual de la nube privada de la solución de VMware en Azure. Para más información, consulte Consideraciones de diseño de conectividad a Internet. Puede usar las siguientes opciones para proporcionar conectividad a Internet con la solución de VMware en Azure.
- Opción 1: Servicio de Internet hospedado en Azure
- Opción 2: Traducción de direcciones de red de origen administradas por la solución de VMware en Azure (SNAT)
- Opción 3: De la dirección IPv4 pública de Azure al perímetro del centro de datos de NSX-T
Un diseño de Virtual WAN segura de una sola región que tiene intención de enrutamiento admite todas las opciones, pero se recomienda la opción 1. El escenario que aparece más adelante en este artículo utiliza la opción 1 para proporcionar conectividad a Internet. La opción 1 funciona mejor con Virtual WAN segura porque es fácil de inspeccionar, implementar y administrar.
Al usar la intención de enrutamiento, puede generar una ruta predeterminada desde el firewall del centro. Esta ruta predeterminada anuncia a la red virtual y a la solución de VMware en Azure.
Conectividad a Internet entre la solución de VMware en Azure y redes virtuales
Cuando habilite la intención de enrutamiento para el tráfico de Internet, de forma predeterminada, el centro de Virtual WAN segura no anuncia la ruta predeterminada a través de los circuitos ExpressRoute. Para ayudar a garantizar que la ruta predeterminada se propague a la solución de VMware en Azure desde Virtual WAN, debe habilitar la propagación de rutas predeterminada en los circuitos ExpressRoute de la solución de VMware en Azure. Para obtener más información, consulte Anunciar la ruta predeterminada 0.0.0.0/0 a los puntos de conexión.
Después de habilitar la propagación de ruta predeterminada, la conexión D anuncia la ruta predeterminada 0.0.0.0/0 desde el centro. No habilite esta configuración para circuitos ExpressRoute locales. La conexión D anuncia la ruta predeterminada 0.0.0.0/0 a la solución de VMware en Azure, pero Global Reach (conexión A) también anuncia la ruta predeterminada a un entorno local. Como resultado, le recomendamos que implemente un filtro de Protocolo de puerta de enlace de borde (BGP) en el equipo local para que no aprenda la ruta predeterminada. Este paso ayuda a garantizar que la configuración no afecte a la conectividad a Internet local.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 7 | Nube de la solución de VMware en Azure | Internet | Sí |
| 8 | Red virtual | Internet | Sí |
Cuando se habilita la intención de enrutamiento para el acceso a Internet, la ruta predeterminada que se genera desde el centro de la Virtual WAN segura se anuncia automáticamente a las conexiones de red virtual dirigidas por el centro. Tenga en cuenta que en las tarjetas de interfaz de red (NIC) de las máquinas virtuales de la red virtual, el próximo salto 0.0.0.0/0 es el firewall del centro. Para buscar el próximo salto, seleccione Rutas efectivas en la NIC.