Sécuriser virtual WAN pour Azure VMware Solution dans une seule région ou dans deux régions
Cet article explore les topologies de conception de réseau Azure VMware Solution et les considérations pour des scénarios à une seule région ou à deux régions qui utilisent Azure Virtual WAN sécurisé avec l’intention de routage. Il décrit comment l’intention de routage dirige le trafic via une solution de sécurité centralisée. Cette méthode améliore la sécurité et simplifie la gestion du réseau. Cet article fournit des considérations de conception pour des déploiements avec ou sans Azure ExpressRoute Global Reach. Il met en lumière les avantages et les défis de chaque scénario.
Vous pouvez implémenter une solution de sécurité dans le hub Virtual WAN pour convertir le hub en un hub Virtual WAN sécurisé. Pour configurer l’intention de routage, vous devez disposer d’un hub Virtual WAN sécurisé. L’intention de routage dirige tout le trafic privé et le trafic Internet vers la solution de sécurité du hub, ce qui simplifie la conception de routage et de sécurité du hub sécurisé. L’intention de routage améliore la couverture de sécurité et effectue une inspection du trafic pour tout le trafic passant par le hub sécurisé, y compris le trafic Azure VMware Solution.
Cet article suppose que vous avez une compréhension de base de Virtual WAN et de Virtual WAN sécurisé avec l’intention de routage.
Pour plus d’informations, consultez les ressources suivantes :
- Qu’est-ce que Virtual WAN ?
- Qu’est-ce qu’un hub virtuel sécurisé ?
- Configurer l’intention de routage du hub Virtual WAN et les politiques de routage
- Service Global Reach d’ExpressRoute
Implémenter Virtual WAN sécurisé pour les conceptions Azure VMware Solution
Utilisez Virtual WAN sécurisé avec l’intention de routage pour envoyer tout le trafic Internet et le trafic réseau privé (RFC 1918) vers une solution de sécurité, telle que Azure Firewall, une appliance réseau virtuelle non-Microsoft (NVA) ou une solution de type SaaS. Pour prendre en charge les conceptions à une seule région et à deux régions, utilisez Azure VMware Solution avec Virtual WAN sécurisé et l’intention de routage.
Conception à une seule région
Utilisez la conception à une seule région pour inspecter le trafic réseau dans la solution de sécurité du hub virtuel qui va et vient d’Azure VMware Solution. Cette approche simplifie la gestion du réseau et améliore votre posture globale de sécurité. Cette conception vous prépare également à déployer un autre cloud privé Azure VMware Solution dans une autre région avec une conception à deux régions. Activez l’intention de routage dans un hub à une seule région pour faciliter l’évolutivité vers une conception à deux hubs plus tard. Cette conception prend en charge des configurations avec ou sans Global Reach.
Conception double région ou double hub
Utilisez une conception à deux régions pour inspecter le trafic sur deux solutions de sécurité de hub virtuel. Inspectez le trafic à destination et en provenance d’Azure VMware Solution, ainsi que le trafic entre des clouds privés Azure VMware Solution situés dans différentes régions. Activez l’intention de routage sur les deux hubs régionaux pour que le trafic puisse transiter par les deux solutions de sécurité du hub. Une conception à deux régions avec l’intention de routage améliore la sécurité et simplifie la gestion du réseau entre les régions. Cette conception prend en charge des configurations avec ou sans Global Reach.
Options de déploiement Global Reach
Utilisez Global Reach pour connecter Azure VMware Solution aux sites sur site ou aux clouds privés régionaux Azure VMware Solution. Global Reach établit un lien logique direct via le backbone Microsoft.
Déploiement avec Global Reach
Lorsque vous déployez Global Reach, le trafic entre les sites Global Reach contourne le pare-feu du hub Virtual WAN sécurisé. Le pare-feu du hub Virtual WAN sécurisé n’inspecte pas le trafic Global Reach qui circule entre Azure VMware Solution et les sites sur site ou entre les clouds privés Azure VMware Solution dans différentes régions.
Par exemple, le diagramme suivant montre comment le trafic entre Azure VMware Solution et les sites sur site utilise la connexion Global Reach étiquetée comme A pour communiquer. Ce trafic ne transite pas par le pare-feu du hub en raison de la connexion Global Reach A. Pour une sécurité optimale entre les sites Global Reach, l’environnement Azure VMware Solution via NSX-T ou un pare-feu sur site doit inspecter ce trafic.
Global Reach simplifie la conception car il fournit une connexion logique directe entre Azure VMware Solution et les sites sur site ou les clouds privés régionaux Azure VMware Solution. Utilisez Global Reach pour aider à dépanner le trafic entre les sites Global Reach et éliminer les limitations de débit au niveau du Virtual WAN sécurisé. Un inconvénient est que Global Reach empêche la solution de sécurité du hub virtuel sécurisé d’inspecter le trafic entre les clouds privés régionaux Azure VMware Solution et les sites sur site, ainsi qu’au sein des clouds privés Azure VMware Solution eux-mêmes. Ainsi, la solution de sécurité du hub virtuel sécurisé ne peut pas inspecter le trafic qui circule directement entre ces entités.
Déploiement sans Global Reach
Nous recommandons d’utiliser Global Reach en permanence sauf si vous avez des exigences spécifiques. Lorsque vous n’utilisez pas Global Reach, vous pouvez inspecter tout le trafic sur la solution de sécurité du hub Virtual WAN sécurisé entre Azure VMware Solution et les sites sur site ou les clouds privés régionaux Azure VMware Solution. Cependant, cette approche augmente la complexité de la conception. Prenez également en compte les limitations de débit au niveau du hub Virtual WAN sécurisé. Utilisez Global Reach sauf si vous avez une des limitations suivantes.
Vous devez inspecter le trafic sur le hub Virtual WAN sécurisé entre Azure VMware Solution et les sites sur site, ainsi qu’au sein des clouds privés Azure VMware Solution. Vous ne pouvez pas utiliser Global Reach si vous avez une exigence de sécurité pour inspecter le trafic entre Azure VMware Solution et les sites sur site, ou entre les clouds privés régionaux Azure VMware Solution sur le pare-feu du hub virtuel.
Une région ne prend pas en charge Global Reach. Si une région ne prend pas en charge Global Reach, vous pouvez utiliser l’intention de routage pour établir la connectivité entre les connexions ExpressRoute, que ce soit entre Azure VMware Solution et les sites sur site ou entre les clouds privés régionaux Azure VMware Solution. Par défaut, les hubs virtuels ne prennent pas en charge la transitivité ExpressRoute-à-ExpressRoute. Pour activer cette transitivité, vous devez soumettre un ticket de support. Pour plus d’informations, consultez Disponibilité d’ExpressRoute Global Reach.
Votre instance ExpressRoute sur site utilise le SKU Local ExpressRoute. Le SKU Local ExpressRoute ne prend pas en charge Global Reach. Si vous utilisez le SKU Local, vous pouvez utiliser l’intention de routage pour établir la connectivité entre la solution Azure VMware et votre réseau sur site.
Le diagramme suivant montre un exemple qui n’utilise pas Global Reach.
Envisagez les options Global Reach pour une seule région ou pour deux régions.
Suivez les instructions ci-dessous pour déterminer si vous devez activer Global Reach pour votre scénario.
Une conception monorégionale avec Global Reach
Lorsque vous utilisez Global Reach dans une seule région, le hub sécurisé route tout le trafic privé et le trafic internet via une solution de sécurité, comme Azure Firewall, une NVA non-Microsoft ou une solution SaaS. Dans le diagramme suivant, l’intention de routage inspecte le trafic, mais le trafic Global Reach entre la solution Azure VMware et le site sur site contourne le pare-feu du hub (connexion A). Vous devez donc inspecter ce trafic Global Reach avec NSX-T dans Azure VMware Solution ou un pare-feu sur site pour améliorer la sécurité entre les sites Global Reach.
Le tableau suivant montre le flux de trafic vers et depuis la solution Azure VMware.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Réseaux virtuels | Oui |
| Azure VMware Solution | → ← |
Internet | Oui |
| Azure VMware Solution | → ← |
Sur site | Non |
Le tableau suivant montre le flux de trafic vers et depuis les réseaux virtuels.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Réseaux virtuels | → ← |
Sur site | Oui |
| Réseaux virtuels | → ← |
Internet | Oui |
| Réseaux virtuels | → ← |
Réseaux virtuels | Oui |
Conception monorégionale sans Global Reach
Lorsque vous n’utilisez pas Global Reach dans une seule région, le hub sécurisé route tout le trafic privé et le trafic internet via une solution de sécurité. L’intention de routage inspecte le trafic. Avec cette conception, le trafic entre la solution Azure VMware et le site sur site transite par le pare-feu du hub pour inspection. Les hubs virtuels ne prennent pas en charge la transitivité ExpressRoute vers ExpressRoute par défaut. Pour activer cette transitivité, vous devez soumettre un ticket de support. Après traitement du ticket de support, le hub sécurisé annonce les adresses RFC 1918 par défaut à la solution Azure VMware et au site sur site. Lorsque vous utilisez l’intention de routage depuis le site sur site, vous ne pouvez pas annoncer les préfixes d’adresses RFC 1918 par défaut exacts (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) vers Azure. Vous devez toujours annoncer des routes plus spécifiques.
Le tableau suivant montre le flux de trafic vers et depuis la solution Azure VMware.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Sur site | Oui |
| Azure VMware Solution | → ← |
Internet | Oui |
| Azure VMware Solution | → ← |
Réseaux virtuels | Oui |
Le tableau suivant montre le flux de trafic vers et depuis les réseaux virtuels.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Réseaux virtuels | → ← |
Sur site | Oui |
| Réseaux virtuels | → ← |
Internet | Oui |
| Réseaux virtuels | → ← |
Réseaux virtuels | Oui |
Conception à deux régions avec Global Reach
Lorsque vous utilisez Global Reach dans deux régions, vous déployez deux hubs sécurisés dans différentes régions au sein de votre WAN virtuel. Vous configurez également deux clouds privés Azure VMware Solution dans des régions distinctes.
Le diagramme suivant montre un exemple de cette configuration. Chaque cloud privé Azure VMware Solution régional se connecte directement à son hub régional local (connexion D). Le site sur site se connecte à chaque hub régional (connexion E). Tout le trafic RFC 1918 et le trafic internet transitent par une solution de sécurité sur les deux hubs sécurisés via l’intention de routage. Les clouds privés Azure VMware Solution ont une connectivité retour vers le site sur site via Global Reach (connexions A et B). Les clouds Azure VMware Solution se connectent entre eux via Global Reach (connexion C). Le trafic Global Reach entre les clouds privés Azure VMware Solution ou entre les clouds privés Azure VMware Solution et le site sur site contourne les deux pare-feux des hubs (connexions A, B et C). Pour améliorer la sécurité entre les sites Global Reach, utilisez NSX-T dans la solution Azure VMware ou un pare-feu sur site pour inspecter ce trafic.
Le tableau suivant montre le flux de trafic vers et depuis la région 1 du cloud privé Azure VMware Solution.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Région 1 du cloud privé Azure VMware Solution | → ← |
Réseau virtuel 1 | Oui, via le pare-feu du hub 1 |
| Région 1 du cloud privé Azure VMware Solution | → ← |
Réseau virtuel 2 | Oui, via les pare-feux des hubs 1 et 2 |
| Région 1 du cloud privé Azure VMware Solution | → ← |
Internet | Oui, via le pare-feu du hub 1 |
| Région 1 du cloud privé Azure VMware Solution | → ← |
Sur site | Non |
Le tableau suivant montre le flux de trafic vers et depuis la région 2 du cloud privé Azure VMware Solution.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Région 2 du cloud privé Azure VMware Solution | → ← |
Réseau virtuel 1 | Oui, via les pare-feux des hubs 1 et 2 |
| Région 2 du cloud privé Azure VMware Solution | → ← |
Réseau virtuel 2 | Oui, via le pare-feu du hub 2 |
| Région 2 du cloud privé Azure VMware Solution | → ← |
Internet | Oui, via le pare-feu du hub 2 |
| Région 2 du cloud privé Azure VMware Solution | → ← |
Sur site | Non |
Le tableau suivant montre le flux de trafic vers et depuis les régions 1 et 2 du cloud privé Azure VMware Solution.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Région 1 du cloud privé Azure VMware Solution | → ← |
Région 2 du cloud privé Azure VMware Solution | Non |
Le tableau suivant montre le flux de trafic vers et depuis les réseaux virtuels.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Réseau virtuel 1 | → ← |
Sur site | Oui, via le pare-feu du hub 1 |
| Réseau virtuel 1 | → ← |
Internet | Oui, via le pare-feu du hub 1 |
| Réseau virtuel 1 | → ← |
Réseau virtuel 2 | Oui, via les pare-feux des hubs 1 et 2 |
| Réseau virtuel 2 | → ← |
Sur site | Oui, via le pare-feu du hub 2 |
| Réseau virtuel 2 | → ← |
Internet | Oui, via le pare-feu du hub 2 |
Conception à deux régions sans Global Reach
Lorsque vous utilisez Global Reach dans deux régions, vous déployez deux hubs sécurisés dans différentes régions au sein de votre WAN virtuel. Vous configurez également deux clouds privés Azure VMware Solution dans des régions distinctes.
Le diagramme suivant montre un exemple de cette configuration. Chaque cloud privé Azure VMware Solution régional se connecte directement à son hub régional local (connexion D). Le site sur site se connecte à chaque hub régional (connexion E). Tout le trafic RFC 1918 et le trafic internet transitent par une solution de sécurité sur les deux hubs sécurisés via l’intention de routage.
Les hubs virtuels ne prennent pas en charge la transitivité ExpressRoute vers ExpressRoute par défaut. Pour activer cette transitivité, vous devez soumettre un ticket de support. Après traitement du ticket de support, les hubs sécurisés annoncent les adresses RFC 1918 par défaut à la solution Azure VMware et au site sur site. Référez-vous aux deux hubs régionaux lorsque vous ouvrez le ticket. Utilisez la transitivité ExpressRoute vers ExpressRoute pour que les clouds privés Azure VMware puissent communiquer entre eux via l’interhub WAN virtuel, et que le cloud Azure VMware Solution puisse communiquer avec le site sur site.
Les adresses RFC 1918 sont annoncées au site sur site, vous ne pouvez pas annoncer les préfixes d’adresses RFC 1918 par défaut exacts (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) vers Azure. Vous devez toujours annoncer des routes plus spécifiques.
Le tableau suivant montre le flux de trafic vers et depuis la région 1 du cloud privé Azure VMware Solution.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Région 1 du cloud privé Azure VMware Solution | → ← |
Réseau virtuel 1 | Oui, via le pare-feu du hub 1 |
| Région 1 du cloud privé Azure VMware Solution | → ← |
Réseau virtuel 2 | Oui, via les pare-feux des hubs 1 et 2 |
| Région 1 du cloud privé Azure VMware Solution | → ← |
Internet | Oui, via le pare-feu du hub 1 |
| Région 1 du cloud privé Azure VMware Solution | → ← |
Sur site | Oui, via le pare-feu du hub 1 |
Le tableau suivant montre le flux de trafic vers et depuis la région 2 du cloud privé Azure VMware Solution.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Région 2 du cloud privé Azure VMware Solution | → ← |
Réseau virtuel 1 | Oui, via le pare-feu du hub 2 |
| Région 2 du cloud privé Azure VMware Solution | → ← |
Réseau virtuel 2 | Oui, via les pare-feux des hubs 1 et 2 |
| Région 2 du cloud privé Azure VMware Solution | → ← |
Internet | Oui, via le pare-feu du hub 2 |
| Région 2 du cloud privé Azure VMware Solution | → ← |
Sur site | Oui, via le pare-feu du hub 2 |
Le tableau suivant montre le flux de trafic vers et depuis les régions 1 et 2 du cloud privé Azure VMware Solution.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Région 1 du cloud privé Azure VMware Solution | → ← |
Région 2 du cloud privé Azure VMware Solution | Oui, via les pare-feux des hubs 1 et 2 |
Le tableau suivant montre le flux de trafic vers et depuis les réseaux virtuels.
| Emplacement 1 | Sens | Emplacement 2 | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| Réseau virtuel 1 | → ← |
Sur site | Oui, via le pare-feu du hub 1 |
| Réseau virtuel 1 | → ← |
Internet | Oui, via le pare-feu du hub 1 |
| Réseau virtuel 1 | → ← |
Réseau virtuel 2 | Oui, via les pare-feux des hubs 1 et 2 |
| Réseau virtuel 2 | → ← |
Sur site | Oui, via le pare-feu du hub 2 |
| Réseau virtuel 2 | → ← |
Internet | Oui, via le pare-feu du hub 2 |
Ressources associées
- Conception à région unique de la solution Azure VMware avec WAN virtuel et Global Reach
- Conception à région unique de la solution Azure VMware sans Global Reach
- Conception à deux régions de la solution Azure VMware avec WAN virtuel et Global Reach
- Conception à deux régions de la solution Azure VMware sans Global Reach