Usar un diseño de la solución de VMware en Azure de una sola región que no tiene Global Reach
En este artículo se describen las mejores prácticas para la solución de VMware en Azure en una sola región cuando se usa Azure Virtual WAN segura con la intención de enrutamiento. Proporciona recomendaciones de conectividad y flujo de tráfico para una Virtual WAN segura con intención de enrutamiento. En este artículo se describe la topología para diseños en nubes privadas de la solución de VMware en Azure, sitios locales y recursos nativos de Azure cuando no se usa Global Reach de Azure ExpressRoute. La implementación y configuración de una Virtual WAN segura con la intención de enrutamiento están fuera del alcance de este artículo.
Si usa una región que no admite Global Reach o si tiene un requisito de seguridad para inspeccionar el tráfico entre la solución de VMware en Azure y el firewall local, debe abrir una incidencia de soporte técnico para habilitar la transitividad de ExpressRoute a ExpressRoute. Virtual WAN no admite la transitividad de ExpressRoute a ExpressRoute de forma predeterminada. Para obtener más información, consulte Conectividad de tránsito entre circuitos ExpressRoute con intención de enrutamiento.
Usar una Virtual WAN segura sin Global Reach
Solo la SKU estándar de Virtual WAN admite una Virtual WAN con la intención de enrutamiento. Use Virtual WAN segura con la intención de enrutamiento para enviar todo el tráfico de Internet y el tráfico de red privada (RFC 1918) a una solución de seguridad, como Azure Firewall, una aplicación virtual de red (NVA) que no sea de Microsoft o una solución de software como servicio (SaaS).
La configuración del centro del escenario es la siguiente:
La red de una sola región tiene una instancia de Virtual WAN y un centro.
El centro tiene una instancia de Azure Firewall implementada, lo que lo convierte en un centro de Virtual WAN segura.
El centro de Virtual WAN segura tiene habilitada la intención de enrutamiento.
Este escenario también tiene estos componentes:
Una sola región tiene su propia nube privada de solución de VMware en Azure y una red virtual de Azure.
Un sitio local se conecta de nuevo al centro.
Nota:
Si usa prefijos que no son RFC 1918 en los recursos locales conectados, redes virtuales o la solución de VMware en Azure, especifique esos prefijos en el campo Prefijos de tráfico privado de la característica de intención de enrutamiento. Escriba rutas resumidas en el campo Prefijos de tráfico privado para cubrir el intervalo. No escriba el intervalo exacto que anuncia a Virtual WAN porque esta especificación puede provocar problemas de enrutamiento. Por ejemplo, si el circuito de Azure ExpressRoute anuncia 192.0.2.0/24 desde el entorno local, escriba un intervalo de enrutamiento entre dominios sin clases (CIDR) /23, por ejemplo 192.0.2.0/23. Para obtener más información, consulte Configuración de la intención y las directivas de enrutamiento a través del portal de Virtual WAN.
Nota:
Al configurar la solución de VMware en Azure con centros de conectividad de Virtual WAN segura, establezca la opción de preferencia de enrutamiento del centro en Ruta AS para garantizar los resultados de enrutamiento óptimos en el centro. Para obtener más información, consulte Preferencias de enrutamiento del centro.
En el siguiente diagrama se muestra un ejemplo de este escenario.
En la tabla siguiente se describe la conectividad de topología en el diagrama anterior.
| Connection | Descripción |
|---|---|
| D | Conexión de ExpressRoute administrada por la nube privada de la solución de VMware en Azure al centro |
| E | Conexión de ExpressRoute local al centro |
Flujos de tráfico para Virtual WAN de una sola región sin Global Reach
En las secciones siguientes se describen los flujos de tráfico y la conectividad para la solución de VMware en Azure, los entornos locales, las redes virtuales de Azure e Internet.
Flujos de tráfico y conectividad de la nube privada de la solución de VMware en Azure
En el diagrama siguiente se muestran los flujos de tráfico para una nube privada de la solución de VMware en Azure.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 1 | Nube de la solución de VMware en Azure | Red virtual | Sí |
| 2 | Nube de la solución de VMware en Azure | Local | Sí |
La nube privada de la solución de VMware en Azure tiene una conexión ExpressRoute al centro (conexión D).
Al habilitar la transitividad de ExpressRoute a ExpressRoute en el centro seguro y habilitar la intención de enrutamiento, el centro de conectividad seguro envía las direcciones RFC 1918 predeterminadas (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) a la solución de VMware en Azure a través de la conexión D. Además de las direcciones RFC 1918 predeterminadas, la solución de VMware en Azure aprende rutas más específicas de redes virtuales y redes de sucursales de Azure, como VPN S2S, VPN P2S y SD-WAN, que se conectan al centro. La solución de VMware en Azure no aprende rutas específicas de redes locales. Para enrutar el tráfico a redes locales, la solución de VMware en Azure usa las direcciones RFC 1918 predeterminadas que aprende de la conexión D. Este tráfico transita a través del firewall del centro. El firewall del concentrador usa las rutas específicas de las redes locales para enrutar el tráfico hacia los destinos a través de la conexión E. El tráfico que va desde la nube privada de la solución de VMware en Azure a las redes virtuales transita por el firewall del centro.
Conectividad local y flujo de tráfico
En el diagrama siguiente se muestran los flujos de tráfico para la conectividad local.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 3 | Local | Nube de la solución de VMware en Azure | Sí |
| 4 | Local | Red virtual | Sí |
El sitio local se conecta al centro a través de la conexión E de ExpressRoute.
Cuando habilite la transitividad de ExpressRoute a ExpressRoute en el centro seguro y la intención de enrutamiento, el centro seguro envía las direcciones RFC 1918 predeterminadas al entorno local a través de la conexión E. Además de las direcciones RFC 1918 predeterminadas, el entorno local aprende rutas más específicas de redes virtuales de Azure y redes de ramas que se conectan al centro. El entorno local no aprende rutas específicas de redes de la solución de VMware en Azure. Para enrutar el tráfico a redes de la solución de VMware en Azure, la solución de VMware en Azure usa las direcciones RFC 1918 predeterminadas que aprende de la conexión E. Este tráfico transita a través del firewall del centro. El firewall del centro usa las rutas específicas de las redes de la solución de VMware en Azure para enrutar el tráfico hacia los destinos a través de la conexión D. El tráfico que va desde el entorno local a las redes virtuales transita por el firewall del centro.
Cuando habilite la transitividad de ExpressRoute a ExpressRoute en el centro, envía las direcciones RFC 1918 predeterminadas a la red local. Por lo tanto, no debe anunciar los prefijos RFC 1918 exactos de vuelta a Azure. La publicidad de las mismas rutas exactas crea problemas de enrutamiento dentro de Azure. En su lugar, debe anunciar rutas más específicas a Azure para las redes locales.
Nota:
Si anuncia las direcciones RFC 1918 predeterminadas desde el entorno local a Azure y desea continuar con esta práctica, debe dividir cada intervalo RFC 1918 en dos subrangos iguales y anunciar estos subrangos de vuelta a Azure. Los subrangos son 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 y 192.168.128.0/17.
Conectividad de red virtual de Azure y flujo de tráfico
En el diagrama siguiente se muestran los flujos de tráfico para la conectividad de red virtual de Azure.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 5 | Red virtual | Nube de la solución de VMware en Azure | Sí |
| 6 | Red virtual | Local | Sí |
En este escenario, la red virtual se empareja directamente con el centro. En el diagrama se muestra cómo los recursos nativos de Azure en la red virtual aprenden sus rutas. Un centro seguro que tiene habilitada la intención de enrutamiento envía las direcciones RFC 1918 predeterminadas a redes virtuales emparejadas. Los recursos nativos de Azure en la red virtual no aprenden rutas específicas que estén fuera de su red virtual. Al habilitar la intención de enrutamiento, todos los recursos de la red virtual poseen la dirección RFC 1918 predeterminada y usan su firewall del centro como próximo salto. Todo el tráfico que entra y sale de las redes virtuales transita por el firewall del centro.
Conectividad de Internet
En esta sección se describe cómo proporcionar conectividad a Internet para recursos nativos de Azure en redes virtuales y nubes privadas de la solución de VMware en Azure en una sola región. Para más información, consulte Consideraciones de diseño de conectividad a Internet. Puede usar las siguientes opciones para proporcionar conectividad a Internet con la solución de VMware en Azure.
- Opción 1: Servicio de Internet hospedado en Azure
- Opción 2: Traducción de direcciones de red de origen administradas por la solución de VMware en Azure (SNAT)
- Opción 3: De la dirección IPv4 pública de Azure al perímetro del centro de datos de NSX-T
Un diseño de Virtual WAN segura de una sola región que tiene intención de enrutamiento admite todas las opciones, pero se recomienda la opción 1. El escenario que aparece más adelante en este artículo utiliza la opción 1 para proporcionar conectividad a Internet. La opción 1 funciona mejor con Virtual WAN segura porque es fácil de inspeccionar, implementar y administrar.
Al habilitar la intención de enrutamiento en el centro seguro, anuncia RFC 1918 a todas las redes virtuales emparejadas. Pero también puede anunciar una ruta predeterminada 0.0.0.0/0 para la conectividad a Internet a los recursos de nivel inferior. Al usar la intención de enrutamiento, puede generar una ruta predeterminada desde el firewall del centro. Esta ruta predeterminada anuncia a la red virtual y a la solución de VMware en Azure.
Conectividad a Internet entre la solución de VMware en Azure y redes virtuales
Cuando habilite la intención de enrutamiento para el tráfico de Internet, de forma predeterminada, el centro de Virtual WAN segura no anuncia la ruta predeterminada a través de los circuitos ExpressRoute. Para ayudar a garantizar que la ruta predeterminada se propague a la solución de VMware en Azure desde Virtual WAN, debe habilitar la propagación de rutas predeterminada en los circuitos ExpressRoute de la solución de VMware en Azure. Para obtener más información, consulte Anunciar la ruta predeterminada 0.0.0.0/0 a los puntos de conexión.
En el diagrama siguiente se muestran los flujos de tráfico para la red virtual y la conectividad a Internet de solución de VMware en Azure.
La siguiente tabla describe el flujo de tráfico del diagrama anterior.
| Número de flujo de tráfico | Source | Destination | ¿El firewall seguro del centro de la Virtual WAN inspecciona este tráfico? |
|---|---|---|---|
| 7 | Red virtual | Internet | Sí |
| 8 | Nube de la solución de VMware en Azure | Internet | Sí |
Después de habilitar la propagación de ruta predeterminada, la conexión D anuncia la ruta predeterminada 0.0.0.0/0 desde el centro. No habilite esta configuración para circuitos ExpressRoute locales. Le recomendamos que implemente un filtro de Protocolo de puerta de enlace de borde (BGP) en el equipo local. Un filtro BGP evita que los recursos aprendan involuntariamente la ruta predeterminada, agrega una capa adicional de precaución y ayuda a garantizar que la configuración no afecte a la conectividad a Internet local.
Cuando se habilita la intención de enrutamiento para el acceso a Internet, la ruta predeterminada que se genera desde el centro de la Virtual WAN segura se anuncia automáticamente a las conexiones de red virtual dirigidas por el centro. Tenga en cuenta que en las NIC de las máquinas virtuales de la red virtual, el próximo salto 0.0.0.0/0 es el firewall del centro. Para buscar el próximo salto, seleccione Rutas efectivas en la NIC.
Usar Mobility Optimized Networking (MON) de VMware HCX sin Global Reach
Puede habilitar Mobility Optimized Networking (MON) de HCX cuando use la extensión de red de HCX. MON proporciona un enrutamiento óptimo del tráfico en determinados escenarios para evitar que las redes se superpongan o se formen bucles entre los recursos locales y los recursos basados en la nube en redes extendidas.
Tráfico de salida de la solución de VMware en Azure
Cuando habilita MON para una red extendida específica y una máquina virtual, el flujo de tráfico cambia. Después de implementar MON, el tráfico de salida de la máquina virtual no regresa al entorno local. En su lugar, omite el túnel IPSec de extensión de red. El tráfico de la máquina virtual sale de la puerta de enlace de NSX-T de nivel 1 de la solución de VMware en Azure, se dirige a la puerta de enlace de NSX-T de nivel 0 y, a continuación, va a la Virtual WAN.
Tráfico de entrada a la solución de VMware en Azure
Cuando habilita MON para una red extendida específica y una máquina virtual, introduzca los siguientes cambios. Desde NSX-T de la solución de VMware en Azure, MON inserta una ruta de host /32 a la Virtual WAN. La Virtual WAN anuncia esta ruta /32 a redes locales, redes virtuales y redes de rama. Esta ruta de host /32 garantiza que el tráfico desde el entorno local, las redes virtuales y las redes de rama no usen el túnel IPSec de extensión de red cuando el tráfico se dirige a la máquina virtual habilitada para MON. El tráfico de las redes de origen va directamente a la máquina virtual habilitada para MON porque aprende la ruta /32.
Limitación de HCX MON para la Virtual WAN segura sin Global Reach
Cuando se habilita la transitividad de ExpressRoute a ExpressRoute en el centro seguro y se habilita la intención de enrutamiento, el centro seguro envía las direcciones RFC 1918 predeterminadas tanto al entorno local como a la solución de VMware en Azure. Además de las direcciones RFC 1918 predeterminadas, tanto en el entorno local como en la solución de VMware en Azure, se obtienen rutas más específicas de redes virtuales de Azure y redes de rama que se conectan al centro.
Pero las redes locales no aprenden rutas específicas de la solución de VMware en Azure, y la solución de VMware en Azure no aprende rutas específicas de las redes locales. En su lugar, ambos entornos dependen de las direcciones RFC 1918 predeterminadas para facilitar el enrutamiento entre sí a través del firewall del centro. Por lo tanto, las rutas más específicas, como las rutas de host MON, no se anuncian desde ExpressRoute de la solución de VMware en Azure al circuito de ExpressRoute basado en el entorno local. El proceso inverso también es cierto. La imposibilidad de aprender rutas específicas introduce flujos de tráfico asimétricos. La salida del tráfico de la solución de VMware en Azure se realiza a través de la puerta de enlace de NSX-T de nivel 0, pero devuelve el tráfico desde el entorno local a través del túnel IPSec de extensión de red.
Corregir la asimetría del tráfico
Para corregir la asimetría de tráfico, debe ajustar las rutas de directiva MON. Las rutas de directiva MON determinan qué tráfico vuelve a la puerta de enlace local a través de una extensión L2. También deciden qué tráfico pasa por la puerta de enlace de NSX de nivel 0 de la solución de VMware en Azure.
Si una dirección IP de destino coincide y la establece como permitir en la configuración de la directiva MON, se producen dos acciones. En primer lugar, el sistema identifica el paquete. En segundo lugar, el sistema envía el paquete a la puerta de enlace local a través del dispositivo de extensión de red.
Si una dirección IP de destino no coincide o la establece como denegar en la directiva MON, el sistema envía el paquete a la puerta de enlace de nivel 0 de la solución de VMware en Azure para el enrutamiento.
En la tabla siguiente se describen las rutas de directiva de HCX.
| Red | Redirigir al nodo del mismo nivel | Nota: |
|---|---|---|
| Espacios de direcciones de red virtual de Azure | Denegar | Incluya explícitamente los intervalos de direcciones para todas las redes virtuales. El tráfico destinado a Azure dirige la salida a través de la solución de VMware en Azure y no vuelve a la red local. |
| Espacios de direcciones RFC 1918 predeterminados | Permitir | Agregue las direcciones RFC 1918 predeterminadas. Esta configuración garantiza que cualquier tráfico que no coincida con los criterios anteriores vuelva a enrutarse a la red local. Si la configuración local usa direcciones que no forman parte de RFC 1918, debe incluir explícitamente esos intervalos. |
| Espacio de direcciones 0.0.0.0/0 | Denegar | Direcciones que RFC 1918 no cubre, como las direcciones IP enrutables por Internet o el tráfico que no coincide con las entradas especificadas, salen directamente a través de la solución de VMware en Azure y no se redirigen de nuevo a la red local. |