Partager via


Exemples d’architectures pour Azure VMware Solutions

Pour établir une zone d’atterrissage Azure VMware Solution, vous devez d’abord concevoir et implémenter des fonctionnalités de mise en réseau. Les produits et services de réseau Azure prennent en charge un large éventail de scénarios de mise en réseau. Choisissez une architecture et un plan appropriés pour structurer les services par rapport à vos besoins en évaluant les charges de travail, la gouvernance et les exigences de votre organisation.

Passez en revue les considérations et les exigences clés suivantes avant de prendre votre décision de déploiement d’Azure VMware Solution.

  • Exigences d’entrée Internet HTTP/S ou non-HTTP/S dans les applications Azure VMware Solution
  • Considérations relatives aux chemins de sortie Internet
  • Extension L2 pour les migrations
  • Utilisation d’une appliance virtuelle réseau dans l’architecture actuelle
  • Connectivité Azure VMware Solution à un réseau virtuel hub standard ou à un hub Virtual WAN
  • Connectivité ExpressRoute privée à partir de centres de données locaux vers Azure VMware Solution (et si vous devez activer ou non ExpressRoute Global Reach)
  • Exigences en matière d’inspection du trafic pour les éléments suivants :
    • Entrée Internet dans les applications Azure VMware Solution
    • Accès en sortie Azure VMware Solution à Internet
    • Accès Azure VMware Solution aux centres de données locaux
    • Accès Azure VMware Solution au Réseau virtuel Azure
    • Trafic dans le cloud privé Azure VMware Solution

Le tableau suivant utilise les exigences en matière d’inspection du trafic de VMware Solution pour fournir des recommandations et des considérations pour les quatre scénarios de mise en réseau les plus courants.

Scénario Exigences en matière d’inspection du trafic Conception de solution recommandée Considérations
1 - Entrée Internet
- Sortie Internet
Utiliser un hub sécurisé Virtual WAN avec propagation de la passerelle par défaut.

Pour le trafic HTTP/S, utilisez Azure Application Gateway. Pour le trafic non HTTP/S, utilisez Pare-feu Azure.

Déployer un hub Virtual WAN sécurisé et activer l’adresse IP publique dans Azure VMware Solution.
Cette solution ne fonctionne pas pour le filtrage local. Global Reach contourne les hubs Virtual WAN.
2 - Entrée Internet
- Sortie Internet
- Vers un centre de données sur site
- Vers le Réseau virtuel Azure
Utiliser des solutions NVA de pare-feu tierces dans votre réseau virtuel hub avec le Serveur de routes Azure.

Déactivez Global Reach.

Pour le trafic HTTP/S, utilisez Azure Application Gateway. Pour le trafic non HTTP/S, utilisez une appliance virtuelle réseau de pare-feu tierce sur Azure.
Choisissez cette option si vous souhaitez utiliser votre appliance virtuelle réseau existante et centraliser l’inspection du trafic dans votre réseau virtuel hub.
3 - Entrée Internet
- Sortie Internet
- Vers un centre de données sur site
- Vers le réseau virtuel Azure
Dans Azure VMware Solution
Utiliser NSX-T Data Center ou un pare-feu NVA tiers dans Azure VMware Solution.

Utiliser Application Gateway pour HTTPs ou le Pare-feu Azure pour le trafic HTTPs.

Déployez le hub Virtual WAN sécurisé et activez l’adresse IP publique dans Azure VMware Solution.
Utilisez cette option si vous devez inspecter le trafic à partir de plusieurs clouds privés Azure VMware Solution.

Cette option vous permet d’utiliser des fonctionnalités natives NSX-T. Vous pouvez également combiner cette option avec des appliances virtuelles réseau s’exécutant sur Azure VMware Solution entre la couche 1 et la couche 0.
4 - Entrée Internet
- Sortie Internet - Vers un
centre de données
local - Vers Azure Réseau virtuel

Utiliser des solutions de pare-feu tierces dans un réseau virtuel hub avec le Serveur de routes Azure.

Pour le trafic HTTP et HTTPS, utilisez Azure Application Gateway. Pour le trafic non HTTP/HTTPS, utilisez une appliance virtuelle réseau de pare-feu tierce sur Azure.

Utiliser une appliance virtuelle réseau de pare-feu tierce locale.

Déployer des solutions de pare-feu tierces dans un réseau virtuel hub avec le Serveur de routes Azure.
Choisissez cette option pour publier l’itinéraire 0.0.0.0/0 d’une appliance virtuelle réseau dans votre réseau virtuel Azure Hub vers un Azure VMware Solution.

Points clés des scénarios de mise en réseau :

  • Tous les scénarios ont des modèles d’entrée via Application Gateway et le Pare-feu Azure similaires.
  • Vous pouvez utiliser des appliances virtuelles réseau d’équilibreur de charge L4-L7 dans Azure VMware Solution.
  • Vous pouvez utiliser le pare-feu NSX-T Data Center dans n’importe lequel de ces scénarios.

Les sections suivantes décrivent les modèles d’architecture pour les clouds privés Azure VMware Solution. Cette liste n’est pas exhaustive. Pour plus d’informations, consultez Concepts de réseau et d’interconnexion d’Azure VMware Solution.

Hub Virtual WAN sécurisé avec propagation de la route par défaut

Ce scénario aborde le profil client, les composants architecturaux et les éléments à prendre en considération suivants.

Profil client

Ce scénario est idéal dans les cas suivants :

  • Vous n’avez pas besoin de l’inspection du trafic entre Azure VMware Solution et le Réseau virtuel Azure.
  • Vous n’avez pas besoin de l’inspection du trafic entre Azure VMware Solution et les centre de données locaux.
  • Vous avez besoin de l’inspection du trafic entre les charges de travail Azure VMware Solution et Internet.

Dans ce scénario, vous consommez Azure VMware Solution en tant qu’offre PaaS (Platform as a Service). Dans ce scénario, vous n’êtes pas propriétaire des adresses IP publiques. Si nécessaire, ajoutez les services entrants L4 et L7 publics. Il se peut que vous disposiez ou non d’une connectivité ExpressRoute entre les centres de données locaux et Azure.

Vue d’ensemble globale

Le diagramme suivant offre une vue d’ensemble à haut niveau du scénario.

Diagramme de vue d’ensemble du scénario 1 avec un hub Virtual WAN sécurisé avec propagation de l’itinéraire par défaut.

Composants architecturaux

Implémentez ce scénario avec :

  • Le Pare-feu Azure dans un hub Virtual WAN sécurisé pour les pare-feu
  • Application Gateway pour l’équilibrage de charge L7
  • La traduction d’adresses réseau de destination (DNAT) L4 avec le Pare-feu Azure pour traduire et filtrer le trafic d’entrée réseau
  • Internet sortant via le Pare-feu Azure dans votre hub Virtual WAN
  • EXR, VPN ou SD-WAN pour la connectivité entre les centres de données locaux et Azure VMware Solution

Schéma du scénario 1 avec un hub Virtual WAN sécurisé avec propagation de la route par défaut.

Considérations

Si vous ne souhaitez pas recevoir la publication de l’itinéraire 0.0.0.0/0 par défaut à partir d’Azure VMware Solution car il est en conflit avec votre environnement existant, vous devez prendre des mesures supplémentaires.

Le Pare-feu Azure dans un hub Virtual WAN sécurisé publie l’itinéraire 0.0.0.0/0 vers Azure VMware Solution. L’itinéraire est également publié localement par le biais de Global Reach. Implémentez un filtre de routage local pour empêcher l’apprentissage de la route 0.0.0.0/0. Évitez ce problème en utilisant un SD-WAN ou un VPN.

Si vous vous connectez à une topologie hub-and-spoke basée sur un réseau virtuel via une passerelle ExpressRoute plutôt que directement, l’itinéraire 0.0.0.0/0 par défaut à partir du hub Virtual WAN se propage à la passerelle et est prioritaire sur l’itinéraire système Internet intégré au réseau virtuel. Évitez ce problème en implémentant un 0.0.0.0/0 itinéraire défini par l’utilisateur dans le réseau virtuel afin de remplacer l’itinéraire par défaut appris.

Les connexions VPN, ExpressRoute ou de réseau virtuel établies vers un hub Virtual WAN sécurisé qui ne nécessitent pas de publication de 0.0.0.0/0 reçoivent la publication dans tous les cas. Pour éviter cela, vous pouvez :

  • Filtrer la route 0.0.0.0/0 avec un périphérique local.
  • Désactiver la propagation de 0.0.0.0/0 sur des connexions spécifiques.
    1. Déconnecter le réseau virtuel, VPN ou ExpressRoute.
    2. Activer la propagation de 0.0.0.0/0.
    3. Désactiver la propagation de 0.0.0.0/0 sur ces connexions spécifiques.
    4. Reconnecter ces connexions.

Vous pouvez héberger Application Gateway sur un réseau virtuel spoke connecté à votre hub ou sur le réseau virtuel hub.

Appliance virtuelle réseau dans Azure Réseau virtuel pour inspecter tout le trafic réseau

Ce scénario aborde le profil client, les composants architecturaux et les éléments à prendre en considération suivants.

Profil client

Ce scénario est idéal dans les cas suivants :

  • Vous devez utiliser vos appliances virtuelles réseau de pare-feu tierce dans un réseau virtuel Hub pour inspecter tout le trafic, et vous ne pouvez pas utiliser Global Reach pour des raisons géopolitiques ou autres.
    • Vous êtes entre les centres de données locaux et Azure VMware Solution.
    • Vous êtes entre Azure Virtual Network et Azure VMware Solution.
    • Vous avez besoin d’une entrée Internet à partir d’Azure VMware Solution.
    • Vous avez besoin d’une sortie Internet vers Azure VMware Solution.
  • Vous avez besoin d’un contrôle affiné sur les pare-feu en dehors du cloud privé Azure VMware Solution.
  • Vous avez besoin de plusieurs adresses IP publiques pour les services entrants et d’un bloc d’adresses IP prédéfinies dans Azure. Dans ce scénario, vous n’êtes pas propriétaire des adresses IP publiques.

Ce scénario suppose que vous disposez déjà d’une connectivité ExpressRoute entre les centres de données locaux et Azure.

Vue d’ensemble globale

Le diagramme suivant offre une vue d’ensemble à haut niveau du scénario.

Diagramme de vue d’ensemble du scénario 2 avec un NVA tiers dans le hub Azure Virtual Network inspectant tout le trafic réseau.

Composants architecturaux

Implémentez ce scénario avec :

  • Les appliances virtuelles réseau de pare-feu tierces hébergées dans un réseau virtuel pour l’inspection du trafic et autres fonctions de mise en réseau.
  • Le Serveur de routes Azure pour router le trafic entre Azure VMware Solution, les centres de données locaux et les réseaux virtuels.
  • Application Gateway pour fournir l’équilibrage de charge HTTP/S L7.

Dans ce scénario, vous devez désactiver ExpressRoute Global Reach. Les appliances virtuelles réseau tierces sont chargées de fournir un accès Internet sortant à Azure VMware Solution.

Diagramme du scénario 2 avec NVA tierce dans un Réseau virtuel Azure hub qui inspecte tout le trafic réseau.

Considérations

  • Ne configurez jamais ExpressRoute Global Reach pour ce scénario, car il permet au flux de trafic Azure VMware Solution de circuler directement entre les routeurs ExpressRoute Microsoft Enterprise Edge (MSEE), en ignorant le réseau virtuel hub.
  • Le Serveur de routes Azure doit être déployé dans votre réseau virtuel hub et appairé à l’aide du protocole BGP avec les appliances virtuelles réseau dans le réseau virtuel de transit. Configurez le Serveur de routes Azure pour autoriser la connectivité de branche à branche.
  • Les tables de routage personnalisées et les itinéraires définis par l’utilisateur servent à acheminer le trafic vers/depuis Azure VMware Solution vers l’équilibreur de charge des appliances virtuelles réseau d’un pare-feu tiers. Tous les modes de HA (actifs/actifs et actifs/passif) sont pris en charge, avec une symétrie d’itinéraire garantie.
  • Si vous avez besoin d’une haute disponibilité pour les appliances virtuelles réseau, consultez la documentation de votre fournisseur d’appliances virtuelles réseau et déployez des appliances virtuelles hautement disponibles.

Sortie d’Azure VMware Solution avec ou sans NSX-T ou appliance virtuelle réseau

Ce scénario aborde le profil client, les composants architecturaux et les éléments à prendre en considération suivants.

Profil client

Ce scénario est idéal dans les cas suivants :

  • Vous devez utiliser la plateforme NSX-T Data Center native. Vous avez donc besoin d’un déploiement PaaS pour Azure VMware Solution.
  • Vous avez besoin d’une appliance virtuelle réseau BYOL (apportez votre propre licence) au sein d’Azure VMware Solution pour l’inspection du trafic.
  • Il se peut que vous disposiez ou non d’une connectivité ExpressRoute entre les centres de données locaux et Azure.
  • Vous avez besoin de services HTTP/S ou L4 entrants.

Tout le trafic allant d’Azure VMware Solution vers le Réseau virtuel Azure, d’Azure VMware Solution vers Internet et d’Azure VMware Solution vers les centres de données locaux est canalisé par les passerelles de Niveau 0/Niveau 1 NSX-T Data Center ou les appliances virtuelles réseau.

Vue d’ensemble globale

Le diagramme suivant offre une vue d’ensemble à haut niveau du scénario.

Diagramme de vue d’ensemble du scénario 3 avec trafic de sortie depuis Azure VMware Solution avec ou sans NSX-T Data Center ou NVA.

Composants architecturaux

Implémentez ce scénario avec :

  • Un pare-feu distribué NSX (DFW) ou une appliance virtuelle réseau derrière le niveau 1 dans Azure VMware Solution.
  • Application Gateway pour fournir l’équilibrage de charge L7.
  • DNAT de couche 4 avec le Pare-feu Azure.
  • Breakout Internet à partir d’Azure VMware Solution.

Diagramme du scénario 3 avec sortie d’Azure VMware Solution avec ou sans NSX-T Data Center ou NVA.

Considérations

Activez l’accès Internet sur le portail Azure. Dans le cadre de cette conception, une adresse IP sortante peut être modifiée et n’est pas déterminante. Les adresses IP publiques se trouvent en dehors de l’appliance virtuelle réseau. L’appliance virtuelle réseau dans Azure VMware Solution a toujours des adresses IP privées et ne détermine pas l’adresse IP publique sortante.

L’appliance virtuelle réseau est de type BYOL. Il vous appartient d’apporter une licence et de mettre en œuvre une haute disponibilité pour l’appliance virtuelle réseau.

Consultez la documentation de VMware pour connaître les options de placement des appliances virtuelles réseau et pour obtenir des informations sur la limitation de VMware de huit cartes d’interface réseau virtuelles sur une machine virtuelle. Pour plus d’informations, consultez Intégration du pare-feu Azure VMware Solution.

Des solutions de pare-feu tierces dans un réseau virtuel hub avec le serveur de routes Azure

Ce scénario présente le profil client, les composants architecturaux et les éléments à prendre en considération suivants :

Profil client

Ce scénario est idéal dans les cas suivants :

  • Vous souhaitez mettre en place une sortie Internet vers Azure VMware Solution à l’aide de votre appliance virtuelle réseau tierce dans le hub Azure VNet et vous souhaitez inspecter le trafic entre Azure VMware Solution et le réseau virtuel Azure.
  • Vous souhaitez inspecter le trafic entre les centres de données locaux et Azure à l’aide de votre appliance virtuelle réseau tierce locale.
  • Vous avez besoin de plusieurs adresses IP publiques pour les services entrants et d’un bloc d’adresses IP prédéfinies dans Azure. Dans ce scénario, vous n’êtes pas propriétaire des adresses IP publiques.
  • Vous avez besoin d’un contrôle affiné sur les pare-feu en dehors du cloud privé Azure VMware Solution.

Vue d’ensemble globale

Le diagramme suivant offre une vue d’ensemble à haut niveau du scénario.

Diagramme de vue d’ensemble du scénario 4 avec un NVA tiers dans le V Net hub inspectant le trafic entre Azure VMware Solution et internet et entre Azure VMware Solution et Azure Virtual Network.

Composants architecturaux

Implémentez ce scénario avec :

  • Appliances virtuelles réseau tierces du type actif/actif ou actif/passif hébergées dans un réseau virtuel pour les pare-feu et autres fonctions de mise en réseau.
  • Le Serveur de routes Azure pour échanger les itinéraires entre Azure VMware Solution, les centres de données locaux et les réseaux virtuels.
  • Vos appliances virtuelles réseau tierces dans votre hub de réseau virtuel Azure pour fournir un trafic Internet sortant à Azure VMware Solution.
  • ExpressRoute pour la connectivité entre les centres de données locaux et Azure VMware Solution.

Diagramme du scénario 4 avec un NVA tiers dans le V Net hub inspectant le trafic entre Azure VMware Solution et internet et entre Azure VMware Solution et Azure Virtual Network.

À propos de l’installation

  • Dans cette conception, les adresses IP publiques sortantes résident avec des appliances virtuelles réseau dans le réseau virtuel Azure.
  • Les appliances virtuelles réseau tierces du hub de réseau virtuel BGP sont appairés avec le Serveur de routes Azure (ECMP) et publient l’itinéraire par défaut0.0.0.0/0 sur Azure VMware Solution.
  • L’itinéraire 0.0.0.0/0 est également publié localement par le biais de Global Reach. Implémentez un filtre de routage local pour empêcher l’apprentissage de l’itinéraire 0.0.0.0/0.
  • Le trafic entre Azure VMware Solution et votre réseau local circule via ExpressRoute Global Reach, comme décrit dans la rubrique Environnements locaux homologues vers Azure VMware Solution. L’inspection du trafic entre l’environnement local et Azure VMware Solution est effectuée par votre appliance virtuelle réseau tierce locale, et non par vos appliances virtuelles réseau tierces dans le hub de réseau virtuel Azure.
  • Vous pouvez héberger Application Gateway sur un réseau virtuel spoke connecté à un hub ou sur le réseau virtuel du hub.

Étapes suivantes