Utilisez une conception Azure VMware Solution dans une seule région avec Virtual WAN et Global Reach.
Cet article décrit les bonnes pratiques pour Azure VMware Solution dans une seule région lorsque vous utilisez Azure Virtual WAN sécurisé avec l’intention de routage. Il fournit des recommandations de connectivité et de flux de trafic pour Virtual WAN sécurisé avec intention de routage et Azure ExpressRoute Global Reach. Cet article décrit la topologie des conceptions dans les clouds privés Azure VMware Solution, les sites locaux et les ressources natives Azure. L’implémentation et la configuration de Virtual WAN sécurisé avec l’intention de routage ne sont pas couvertes dans cet article.
Utilisez Virtual WAN sécurisé dans une seule région.
Seul le SKU Standard de Virtual WAN prend en charge Virtual WAN sécurisé avec l’intention de routage. Utilisez Virtual WAN sécurisé avec l’intention de routage pour envoyer tout le trafic Internet et le trafic du réseau privé vers une solution de sécurité, comme Azure Firewall, une appliance réseau virtuelle non-Microsoft (NVA) ou une solution de type SaaS. Vous devez avoir un hub Virtual WAN sécurisé si vous utilisez l’intention de routage.
Remarque
Lorsque vous configurez Azure VMware Solution avec des hubs Virtual WAN sécurisés, définissez l’option de préférence de routage du hub sur AS Path pour garantir des résultats de routage optimaux sur le hub. Pour plus d’informations, consultez Préférences de routage du hub virtuel.
Ce scénario de hub a la configuration suivante :
Le réseau d’une seule région dispose d’une instance Virtual WAN et d’un hub.
Le hub héberge une instance Azure Firewall déployée, ce qui en fait un hub Virtual WAN sécurisé.
Le hub Virtual WAN sécurisé a l’intention de routage activée.
Ce scénario inclut également les composants suivants :
Une seule région possède son propre cloud privé Azure VMware Solution et un réseau virtuel Azure.
Un site local se connecte au hub.
L’environnement dispose de la connectivité Global Reach.
Global Reach établit un lien logique direct via le backbone Microsoft, qui connecte Azure VMware Solution aux sites locaux.
Les connexions Global Reach ne transitent pas par le pare-feu du hub. Ainsi, le trafic Global Reach qui circule dans les deux sens entre les sites locaux et Azure VMware Solution n’est pas inspecté.
Remarque
Pour renforcer la sécurité entre les sites Global Reach, envisagez d’inspecter le trafic à l’aide de NSX-T dans l’environnement Azure VMware Solution ou d’un pare-feu sur site.
Le diagramme suivant montre un exemple de ce scénario.
La table suivante décrit la connectivité topologique dans le diagramme précédent.
| Connexion | Description |
|---|---|
| D | Connexion ExpressRoute gérée par le cloud privé Azure VMware Solution vers le hub. |
| Un | Connexion Global Reach d’Azure VMware Solution aux sites locaux. |
| E | Connexion ExpressRoute sur site vers le hub. |
Flux de trafic Virtual WAN sécurisé dans une seule région.
Les sections suivantes décrivent les flux de trafic et la connectivité pour Azure VMware Solution, sur site, réseaux virtuels Azure et internet.
Connectivité des clouds privés Azure VMware Solution et flux de trafic
Le diagramme suivant montre les flux de trafic pour le cloud privé Azure VMware Solution.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 1 | Cloud Azure VMware Solution. | Réseau virtuel | Oui |
| 2 | Cloud Azure VMware Solution. | Sur site | Non |
Le cloud privé Azure VMware Solution se connecte à son hub via une connexion ExpressRoute D. La région cloud Azure VMware Solution établit une connexion aux sites locaux via la connexion ExpressRoute Global Reach A. Le trafic qui passe par Global Reach ne transite pas par le pare-feu du hub.
Pour votre scénario, configurez Global Reach afin d’éviter des problèmes de connectivité entre les sites locaux et Azure VMware Solution.
Connectivité sur site et flux de trafic
Le diagramme suivant montre le site local connecté au hub via une connexion ExpressRoute E. Les systèmes locaux peuvent communiquer avec Azure VMware Solution via la connexion Global Reach A.
Pour votre scénario, configurez Global Reach afin d’éviter des problèmes de connectivité entre les sites locaux et Azure VMware Solution.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 3 | Sur site | Cloud Azure VMware Solution. | Non |
| 4 | Sur site | Réseau virtuel | Oui |
Connectivité des réseaux virtuels Azure et flux de trafic
Un hub sécurisé avec l’intention de routage activée envoie les adresses RFC 1918 par défaut (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) aux réseaux virtuels appairés, ainsi que tous les autres préfixes ajoutés en tant que préfixes de trafic privé. Pour plus d’informations, veuillez consulter la section Préfixes d’adresse privée de l’intention de routage. Ce scénario a l’intention de routage activée, donc toutes les ressources du réseau virtuel possèdent les adresses RFC 1918 par défaut et utilisent le pare-feu du hub comme prochain saut. Tout le trafic qui entre et sort du réseau virtuel transite par le pare-feu du hub.
Le diagramme suivant montre comment le réseau virtuel s’apparie directement au hub.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 5 | Réseau virtuel | Cloud Azure VMware Solution. | Oui |
| 6 | Réseau virtuel | Cloud Azure VMware Solution. | Oui |
Connectivité Internet
Cette section décrit comment fournir une connectivité Internet aux ressources natives Azure dans un réseau virtuel et dans un cloud privé Azure VMware Solution. Pour plus d’informations, consultez Considérations relatives à la conception de la connectivité Internet. Vous pouvez utiliser les options suivantes pour fournir une connectivité internet à Azure VMware Solution.
- Option 1 : Service internet hébergé par Azure
- Option 2 : Traduction d’adresses réseau (SNAT) gérée par la solution Azure VMware
- Option 3 : Adresse IPv4 publique Azure vers la passerelle de NSX-T Data Center
Une conception Virtual WAN sécurisée dans une seule région avec intention de routage prend en charge toutes les options, mais nous recommandons l’option 1. Le scénario plus loin dans cet article utilise l’option 1 pour fournir la connectivité internet. L’option 1 fonctionne le mieux avec Virtual WAN sécurisé car elle est facile à inspecter, déployer et gérer.
Lorsque vous utilisez l’intention de routage, vous pouvez générer une route par défaut depuis le pare-feu du hub. Cette route par défaut est annoncée à votre réseau virtuel et à Azure VMware Solution.
Connectivité internet Azure VMware Solution et réseaux virtuels
Lorsque vous activez l’intention de routage pour le trafic internet, par défaut, le hub sécurisé Virtual WAN n’annonce pas la route par défaut sur les circuits ExpressRoute. Pour vous assurer que la route par défaut se propage à la solution Azure VMware Solution depuis Virtual WAN, vous devez activer la propagation de la route par défaut sur vos circuits ExpressRoute Azure VMware Solution. Pour plus d’informations, consultez la section Annonce de la route par défaut 0.0.0.0/0 vers les points de terminaison.
Après avoir activé la propagation de la route par défaut, la connexion D annonce la route par défaut 0.0.0.0/0 depuis le hub. Ne pas activer ce paramètre pour les circuits ExpressRoute sur site. La connexion D annonce la route par défaut 0.0.0.0/0 à Azure VMware Solution, mais Global Reach (connexion A) annonce également la route par défaut aux sites locaux. En conséquence, nous recommandons de mettre en œuvre un filtre Border Gateway Protocol (BGP) sur votre équipement local pour qu’il n’apprenne pas la route par défaut. Cette étape garantit que votre configuration n’affecte pas la connectivité internet sur site.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 7 | Cloud Azure VMware Solution. | Internet | Oui |
| 8 | Réseau virtuel | Internet | Oui |
Lorsque vous activez l’intention de routage pour l’accès à Internet, la route par défaut générée par le hub Virtual WAN sécurisé est automatiquement annoncée aux connexions réseau virtuel appairées au hub. Notez que dans les cartes d’interface réseau (NIC) des machines virtuelles dans le réseau virtuel, le prochain saut pour 0.0.0.0/0 est le pare-feu du hub. Pour trouver le prochain saut, sélectionnez Routes effectives dans la NIC.