Utilisez une conception Azure VMware Solution à deux régions avec Virtual WAN et Global Reach.
Cet article décrit les bonnes pratiques pour la connectivité, les flux de trafic et la haute disponibilité lorsque vous déployez Azure VMware Solution dans deux régions. Il fournit des recommandations pour l’utilisation d’Azure Virtual WAN sécurisé avec l’intention de routage et Azure ExpressRoute Global Reach. Cet article décrit la topologie de Virtual WAN avec l’intention de routage pour les clouds privés Azure VMware Solution, les sites sur site et les ressources natives Azure.
L’implémentation et la configuration de Virtual WAN sécurisé avec l’intention de routage ne sont pas couvertes dans cet article. Cet article suppose que vous avez une compréhension de base de Virtual WAN et de Virtual WAN sécurisé avec l’intention de routage.
Utilisez Virtual WAN sécurisé et Global Reach dans deux régions
Seul le SKU Standard de Virtual WAN prend en charge Virtual WAN sécurisé avec l’intention de routage. Utilisez Virtual WAN sécurisé avec l’intention de routage pour envoyer tout le trafic Internet et le trafic du réseau privé vers une solution de sécurité, comme Azure Firewall, une appliance réseau virtuelle non-Microsoft (NVA) ou une solution de type SaaS. Vous devez avoir un hub Virtual WAN sécurisé si vous utilisez l’intention de routage.
Ce scénario de hub a la configuration suivante :
Le réseau à deux régions possède un seul Virtual WAN et deux hubs. Chaque région a un hub.
Chaque hub dispose de sa propre instance Azure Firewall déployée, ce qui en fait des hubs Virtual WAN sécurisés.
Les hubs Virtual WAN sécurisés ont l’intention de routage activée.
Ce scénario inclut également les composants suivants :
Chaque région dispose de son propre cloud privé Azure VMware Solution et d’un réseau virtuel Azure.
Un site sur site se connecte aux deux régions.
L’environnement dispose de la connectivité Global Reach.
Global Reach établit un lien logique direct via le backbone Microsoft, qui connecte Azure VMware Solution aux sites sur site ou aux clouds privés régionaux Azure VMware Solution.
Les connexions Global Reach ne transitent pas par les pare-feux des hubs. Ainsi, le trafic Global Reach entre les sites n’est pas inspecté.
Remarque
Pour renforcer la sécurité entre les sites Global Reach, envisagez d’inspecter le trafic à l’aide de NSX-T dans l’environnement Azure VMware Solution ou d’un pare-feu sur site.
Le diagramme suivant montre un exemple de ce scénario.
La table suivante décrit la connectivité topologique dans le diagramme précédent.
| Connexion | Description |
|---|---|
| Un | Connexion Global Reach d’Azure VMware Solution région 1 vers les sites sur site. |
| G | Connexion Global Reach d’Azure VMware Solution région 2 vers les sites sur site. |
| C | Connexion Global Reach entre les circuits managés des deux clouds privés. |
| D | Connexion du cloud privé Azure VMware Solution à son hub régional local. |
| E | Connectivité sur site via ExpressRoute vers les deux hubs régionaux. |
| Interhub | Connexion interhub logique entre deux hubs déployés sous le même Virtual WAN. |
Remarque
Lorsque vous configurez Azure VMware Solution avec des hubs Virtual WAN sécurisés, définissez l’option de préférence de routage du hub sur AS Path pour garantir des résultats de routage optimaux sur le hub. Pour plus d’informations, consultez Préférences de routage du hub virtuel.
Flux de trafic dans Virtual WAN sécurisé à deux régions
Les sections suivantes décrivent les flux de trafic et la connectivité pour Azure VMware Solution, les sites sur site, les réseaux virtuels Azure et l’Internet lorsque vous utilisez Global Reach.
Connectivité inter-régions et flux de trafic pour les clouds privés Azure VMware Solution
Le diagramme suivant montre les flux de trafic entre deux clouds privés Azure VMware Solution dans deux régions.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 1 | Cloud Azure VMware Solution région 1 | Réseau virtuel 1 | Oui, via le pare-feu du hub 1 |
| 2 | Cloud Azure VMware Solution région 1 | Sur site | Non, le trafic contourne le pare-feu et transite par la connexion Global Reach A |
| 3 | Cloud Azure VMware Solution région 1 | Réseau virtuel 2 | Oui, via le pare-feu du hub 2 |
| 4 | Cloud Azure VMware Solution région 1 | Cloud Azure VMware Solution région 2 | Non, le trafic contourne le pare-feu et transite par la connexion Global Reach C |
| 5 | Cloud Azure VMware Solution région 2 | Réseau virtuel 1 | Oui, via le pare-feu du hub 1 |
| 6 | Cloud Azure VMware Solution région 2 | Réseau virtuel 2 | Oui, via le pare-feu du hub 2 |
| 7 | Cloud Azure VMware Solution région 2 | Sur site | Non, le trafic contourne le pare-feu et transite par la connexion Global Reach B |
Chaque cloud privé Azure VMware Solution se connecte à son hub régional local via la connexion ExpressRoute D.
Chaque région de cloud Azure VMware Solution se connecte aux réseaux sur site via ExpressRoute Global Reach. Chaque région de cloud Azure VMware Solution a sa propre connexion Global Reach (connexion A et B). Les clouds privés Azure VMware Solution se connectent directement entre eux via la connexion Global Reach C. Le trafic Global Reach ne transite jamais par les pare-feux des hubs.
Configurez les trois connexions Global Reach Vous devez effectuer cette étape pour éviter les problèmes de connectivité entre les sites Global Reach.
Connectivité sur site et flux de trafic
Le diagramme suivant montre les flux de trafic pour le site sur site.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 2 | Sur site | Cloud Azure VMware Solution région 1 | Non, le trafic contourne le pare-feu et transite par la connexion Global Reach A |
| 7 | Sur site | Cloud Azure VMware Solution région 2 | Non, le trafic contourne le pare-feu et transite par la connexion Global Reach B |
| 8 | Sur site | Réseau virtuel 1 | Oui, via le pare-feu du hub 1 |
| 9 | Sur site | Réseau virtuel 2 | Oui, via le pare-feu du hub 2 |
Le site sur site se connecte aux hubs de la région 1 et de la région 2 via la connexion ExpressRoute E.
Les systèmes sur site peuvent communiquer avec la région cloud Azure VMware Solution 1 via la connexion Global Reach A et avec la région cloud Azure VMware Solution 2 via la connexion Global Reach B.
Configurez les trois connexions Global Reach Vous devez effectuer cette étape pour éviter les problèmes de connectivité entre les sites Global Reach.
Connectivité des réseaux virtuels Azure et flux de trafic
Le diagramme suivant montre les flux de trafic pour les réseaux virtuels.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 1 | Réseau virtuel 1 | Cloud Azure VMware Solution région 1 | Oui, via le pare-feu du hub 1 |
| 3 | Réseau virtuel 2 | Cloud Azure VMware Solution région 1 | Oui, via le pare-feu du hub 2 |
| 5 | Réseau virtuel 1 | Cloud Azure VMware Solution région 2 | Oui, via le pare-feu du hub 1 |
| 6 | Réseau virtuel 2 | Cloud Azure VMware Solution région 2 | Oui, via le pare-feu du hub 2 |
| 8 | Réseau virtuel 1 | Sur site | Oui, via le pare-feu du hub 1 |
| 9 | Réseau virtuel 2 | Sur site | Oui, via le pare-feu du hub 2 |
| 10 | Réseau virtuel 1 | Réseau virtuel 2 | Oui, via le pare-feu du hub 1. Le trafic passe ensuite sur la connexion interhub et il est inspecté via le pare-feu hub 2. |
Les deux réseaux virtuels sont directement appairés à leur hub régional local.
Un hub sécurisé avec l’intention de routage envoie les adresses par défaut RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) aux réseaux virtuels appairés, ainsi que tous les autres préfixes ajoutés en tant que préfixes de trafic privé. Pour plus d’informations, veuillez consulter la section Préfixes d’adresse privée de l’intention de routage.
Dans ce scénario, l’intention de routage est activée. Par conséquent, toutes les ressources du réseau virtuel 1 et du réseau virtuel 2 possèdent les adresses RFC 1918 par défaut et utilisent leur pare-feu de hub régional local comme tronçon suivant. Tout le trafic qui entre et sort des réseaux virtuels transite par les pare-feux des hubs.
Connectivité Internet
Cette section décrit comment fournir une connectivité internet pour les ressources natives Azure dans les réseaux virtuels et les clouds privés Azure VMware Solution dans les deux régions. Pour plus d’informations, consultez Considérations relatives à la conception de la connectivité Internet. Vous pouvez utiliser les options suivantes pour fournir une connectivité internet à Azure VMware Solution.
- Option 1 : Service internet hébergé par Azure
- Option 2 : Traduction d’adresses réseau (SNAT) gérée par la solution VMware
- Option 3 : Adresse IPv4 publique Azure vers la passerelle de NSX-T Data Center
Une conception Virtual WAN à deux régions avec intention de routage prend en charge toutes les options, mais nous recommandons l’option 1. Le scénario plus loin dans cet article utilise l’option 1 pour fournir la connectivité internet. L’option 1 fonctionne le mieux avec Virtual WAN sécurisé car elle est facile à inspecter, déployer et gérer.
Lorsque vous utilisez l’intention de routage, vous pouvez générer une route par défaut depuis le pare-feu du hub. Cette route par défaut est annoncée à vos réseaux virtuels et aux clouds privés Azure VMware Solution.
Connectivité internet Azure VMware Solution et réseaux virtuels
Le diagramme suivant montre la connectivité internet pour les instances Azure VMware Solution et les réseaux virtuels.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? | Le point de sortie vers internet |
|---|---|---|---|---|
| 11 | Cloud Azure VMware Solution région 1 | Internet | Oui, via le pare-feu du hub 1 | Via le pare-feu du hub 1 |
| 12 | Cloud Azure VMware Solution région 2 | Internet | Oui, via le pare-feu du hub 2 | Via le pare-feu du hub 2 |
| 15 | Réseau virtuel 1 | Internet | Oui, via le pare-feu du hub 1 | Via le pare-feu du hub 1 |
| 16 | Réseau virtuel 2 | Internet | Oui, via le pare-feu du hub 2 | Via le pare-feu du hub 2 |
Les flux de trafic suivants sont uniquement actifs si vous avez une panne affectant un hub régional local. Par exemple, si le hub régional local de la solution Azure VMware connaît une panne, le trafic internet est redirigé vers le hub transrégional pour la connectivité internet.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? | Le point de sortie vers internet |
|---|---|---|---|---|
| 13 | Cloud Azure VMware Solution région 1 | Internet | Oui, le trafic transite par la connexion Global Reach C, et le pare-feu du hub 2 l’inspecte. | Via le pare-feu du hub 2 |
| 14 | Cloud Azure VMware Solution région 2 | Internet | Oui, le trafic transite par la connexion Global Reach C, et le pare-feu du hub 1 l’inspecte. | Via le pare-feu du hub 1 |
Le cloud privé Azure VMware Solution apprend la route de connectivité internet par défaut à la fois de son hub régional local et de son hub transrégional, ce qui permet de garantir une redondance de la connectivité internet. Le cloud privé Azure VMware Solution priorise le hub régional local pour la connectivité internet principale. Le hub transrégional sert de solution de secours pour l’accès internet si le hub régional local tombe en panne. Cette configuration fournit une redondance de l’accès internet uniquement pour le trafic sortant. Pour le trafic internet entrant vers les charges de travail Azure VMware Solution, envisagez d’utiliser Azure Front Door ou Azure Traffic Manager pour une haute disponibilité régionale.
Le cloud privé Azure VMware Solution reçoit la route par défaut préférée ∞ 0.0.0.0/0 via la connexion D depuis son hub régional local. Le cloud privé Azure VMware Solution reçoit également une route par défaut de secours △ 0.0.0.0/0, qui provient du hub transrégional et est annoncée via la connexion Global Reach C. Cependant, si vous activez la propagation de la route par défaut sur vos connexions ExpressRoute sur site E, le trafic internet transrégional est également dirigé par cette voie.
Par exemple, le trafic internet transrégional qui va du cloud privé Azure VMware 1 au hub 2 est distribué via le routage ECMP (Equal-Cost Multipath) sur la connexion Global Reach C vers la connexion D et sur la connexion Global Reach A vers la connexion E. De même, le trafic de retour qui va du hub 2 à la région du cloud privé 1 emprunte les mêmes chemins via ECMP. Configurez les trois connexions Global Reach Vous devez effectuer cette étape pour éviter les problèmes de connectivité entre les sites Global Reach.
Lorsque vous activez l’intention de routage pour le trafic internet, par défaut, le hub sécurisé Virtual WAN n’annonce pas la route par défaut sur les circuits ExpressRoute. Pour vous assurer que la route par défaut se propage à la solution Azure VMware Solution depuis Virtual WAN, vous devez activer la propagation de la route par défaut sur vos circuits ExpressRoute Azure VMware Solution. Pour plus d’informations, consultez la section Annonce de la route par défaut 0.0.0.0/0 vers les points de terminaison.
Ne pas activer ce paramètre pour les circuits ExpressRoute sur site. La connexion D annonce la route par défaut "∞ 0.0.0.0/0" aux clouds privés Azure VMware Solution, mais la route par défaut est également annoncée vers le site sur site via la connexion Global Reach A et la connexion Global Reach B. En conséquence, nous recommandons de mettre en place un filtre BGP (Border Gateway Protocol) sur votre équipement sur site pour éviter l’apprentissage de la route par défaut. Cette étape garantit que votre configuration n’affecte pas la connectivité internet sur site.
Chaque réseau virtuel accède à internet via le pare-feu de son hub régional local. Lorsque vous activez l’intention de routage pour l’accès internet, la route par défaut générée automatiquement par le hub sécurisé Virtual WAN est annoncée aux connexions de réseau virtuel appairées au hub. Cependant, cette route par défaut n’est pas annoncée entre les hubs régionaux via le lien interhub. Ainsi, les réseaux virtuels utilisent leur hub régional local pour accéder à internet et n’ont pas de connectivité internet de secours vers le hub transrégional.