Utilisez une conception Azure VMware Solution dans une seule région sans Global Reach.
Cet article décrit les bonnes pratiques pour Azure VMware Solution dans une seule région lorsque vous utilisez Azure Virtual WAN sécurisé avec l’intention de routage. Il fournit des recommandations relatives à la connectivité et au flux de trafic pour Virtual WAN sécurisé avec intention de routage. Cet article décrit la topologie des conceptions dans les clouds privés Azure VMware Solution, les sites locaux et les ressources natives Azure lorsque vous n’utilisez pas Azure ExpressRoute Global Reach. L’implémentation et la configuration de Virtual WAN sécurisé avec l’intention de routage ne sont pas couvertes dans cet article.
Si vous utilisez une région qui ne prend pas en charge Global Reach ou si vous avez une exigence de sécurité pour inspecter le trafic entre la solution Azure VMware et le site sur site au pare-feu du hub, vous devez ouvrir un ticket de support pour activer la transitivité ExpressRoute-ExpressRoute. Virtual WAN ne prend pas en charge la transitivité ExpressRoute-ExpressRoute par défaut. Pour plus d’informations, veuillez consulter la section Connectivité en transit entre les circuits ExpressRoute avec intention de routage.
Utilisez Virtual WAN sécurisé sans Global Reach.
Seul le SKU Standard de Virtual WAN prend en charge Virtual WAN sécurisé avec l’intention de routage. Utilisez Virtual WAN sécurisé avec intention de routage pour envoyer tout le trafic internet et le trafic du réseau privé (RFC 1918) vers une solution de sécurité, telle qu’Azure Firewall, une appliance virtuelle de réseau non-Microsoft (NVA), ou une solution SaaS.
Ce scénario de hub a la configuration suivante :
Le réseau d’une seule région dispose d’une instance Virtual WAN et d’un hub.
Le hub héberge une instance Azure Firewall déployée, ce qui en fait un hub Virtual WAN sécurisé.
Le hub Virtual WAN sécurisé a l’intention de routage activée.
Ce scénario inclut également les composants suivants :
Une seule région possède son propre cloud privé Azure VMware Solution et un réseau virtuel Azure.
Un site local se connecte au hub.
Remarque
Si vous utilisez des préfixes non RFC 1918 dans vos ressources connectées sur site, réseaux virtuels ou solution Azure VMware, spécifiez ces préfixes dans le champ Préfixes de trafic privé de la fonctionnalité d’intention de routage. Saisissez des routes résumées dans le champ Préfixes de trafic privé pour couvrir votre plage. N’entrez pas la plage exacte qui est annoncée à Virtual WAN, car cette spécification peut entraîner des problèmes de routage. Par exemple, si le circuit ExpressRoute annonce 192.0.2.0/24 depuis les sites locaux, entrez une plage Classless Inter-Domain Routing (CIDR) en /23 ou plus large, par exemple 192.0.2.0/23. Pour plus d’informations, veuillez consulter la section Configurer l’intention de routage et les politiques via le portail Virtual WAN.
Remarque
Lorsque vous configurez Azure VMware Solution avec des hubs Virtual WAN sécurisés, définissez l’option de préférence de routage du hub sur AS Path pour garantir des résultats de routage optimaux sur le hub. Pour plus d’informations, consultez Préférences de routage du hub virtuel.
Le diagramme suivant montre un exemple de ce scénario.
La table suivante décrit la connectivité topologique dans le diagramme précédent.
| Connexion | Description |
|---|---|
| D | Connexion ExpressRoute gérée par le cloud privé Azure VMware Solution vers le hub. |
| E | Connexion ExpressRoute sur site vers le hub. |
Flux de trafic pour Virtual WAN dans une seule région sans Global Reach.
Les sections suivantes décrivent les flux de trafic et la connectivité pour Azure VMware Solution, sur site, réseaux virtuels Azure et internet.
Connectivité des clouds privés Azure VMware Solution et flux de trafic
Le diagramme suivant montre les flux de trafic pour un cloud privé Azure VMware Solution.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 1 | Cloud Azure VMware Solution. | Réseau virtuel | Oui |
| 2 | Cloud Azure VMware Solution. | Sur site | Oui |
Le cloud privé Azure VMware Solution a une connexion ExpressRoute au hub (connexion D).
Lorsque vous activez la transitivité ExpressRoute-à-ExpressRoute sur le hub sécurisé et que vous activez l’intention de routage, le hub sécurisé envoie les adresses RFC 1918 par défaut (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) à Azure VMware Solution via la connexion D. En plus des adresses RFC 1918 par défaut, Azure VMware Solution apprend des routes plus spécifiques des réseaux virtuels Azure et des réseaux de succursales, tels que VPN S2S, VPN P2S et SD-WAN, qui se connectent au hub. Azure VMware Solution n’apprend pas de routes spécifiques des réseaux locaux. Pour router le trafic de retour vers les réseaux locaux, Azure VMware Solution utilise les adresses RFC 1918 par défaut qu’il apprend via la connexion D. Ce trafic transite par le pare-feu du hub. Le pare-feu du hub utilise les routes spécifiques des réseaux locaux pour acheminer le trafic vers les destinations via la connexion E. Le trafic provenant d’Azure VMware Solution vers les réseaux virtuels transite par le pare-feu du hub.
Connectivité sur site et flux de trafic
Le diagramme suivant montre les flux de trafic pour la connectivité sur site.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 3 | Sur site | Cloud Azure VMware Solution. | Oui |
| 4 | Sur site | Réseau virtuel | Oui |
Le site local se connecte au hub via la connexion ExpressRoute E.
Lorsque vous activez la transitivité ExpressRoute-à-ExpressRoute sur le hub sécurisé et que vous activez l’intention de routage, le hub sécurisé envoie les adresses RFC 1918 par défaut aux sites locaux via la connexion E. En plus des adresses RFC 1918 par défaut, les sites locaux apprennent des routes plus spécifiques des réseaux virtuels Azure et des réseaux de succursales qui se connectent au hub. Les sites locaux n’apprennent pas de routes spécifiques des réseaux Azure VMware Solution. Pour router le trafic de retour vers les réseaux Azure VMware Solution, Azure VMware Solution utilise les adresses RFC 1918 par défaut qu’il apprend via la connexion E. Ce trafic transite par le pare-feu du hub. Le pare-feu du hub utilise les routes spécifiques des réseaux Azure VMware Solution pour acheminer le trafic vers les destinations via la connexion D. Le trafic provenant des sites locaux vers les réseaux virtuels transite par le pare-feu du hub.
Lorsque vous activez la transitivité ExpressRoute-ExpressRoute sur le hub, il envoie les adresses RFC 1918 par défaut vers votre réseau sur site. Ainsi, vous ne devez pas annoncer les mêmes préfixes RFC 1918 exacts vers Azure. L’annonce des mêmes routes exactes crée des problèmes de routage dans Azure. Au lieu de cela, vous devez annoncer des routes plus spécifiques en retour vers Azure pour vos réseaux sur site.
Remarque
Si vous annoncez les adresses RFC 1918 par défaut depuis le site sur site vers Azure et que vous souhaitez continuer cette pratique, vous devez diviser chaque plage RFC 1918 en deux sous-plages égales et annoncer ces sous-plages en retour vers Azure. Les sous-plages sont 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17, et 192.168.128.0/17.
Connectivité des réseaux virtuels Azure et flux de trafic
Le diagramme suivant montre les flux de trafic pour la connectivité des réseaux virtuels Azure.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 5 | Réseau virtuel | Cloud Azure VMware Solution. | Oui |
| 6 | Réseau virtuel | Sur site | Oui |
Dans ce scénario, le réseau virtuel s’apparie directement au hub. Le diagramme montre comment les ressources natives Azure dans le réseau virtuel apprennent leurs routes. Un hub sécurisé avec l’intention de routage activée envoie les adresses RFC 1918 par défaut aux réseaux virtuels appairés. Les ressources natives Azure dans le réseau virtuel n’apprennent pas de routes spécifiques en dehors de leur réseau virtuel. Lorsque vous activez l’intention de routage, toutes les ressources du réseau virtuel possèdent l’adresse RFC 1918 par défaut et utilisent le pare-feu du hub comme prochain saut. Tout le trafic qui entre et sort des réseaux virtuels transite par le pare-feu du hub.
Connectivité Internet
Cette section décrit comment fournir une connectivité Internet aux ressources natives Azure dans des réseaux virtuels et des clouds privés Azure VMware Solution dans une seule région. Pour plus d’informations, consultez Considérations relatives à la conception de la connectivité Internet. Vous pouvez utiliser les options suivantes pour fournir une connectivité internet à Azure VMware Solution.
- Option 1 : Service internet hébergé par Azure
- Option 2 : Traduction d’adresses réseau (SNAT) gérée par la solution Azure VMware
- Option 3 : Adresse IPv4 publique Azure vers la passerelle de NSX-T Data Center
Une conception Virtual WAN sécurisée dans une seule région avec intention de routage prend en charge toutes les options, mais nous recommandons l’option 1. Le scénario plus loin dans cet article utilise l’option 1 pour fournir la connectivité internet. L’option 1 fonctionne le mieux avec Virtual WAN sécurisé car elle est facile à inspecter, déployer et gérer.
Lorsque vous activez l’intention de routage sur le hub sécurisé, il annonce RFC 1918 à tous les réseaux virtuels appairés. Mais vous pouvez également annoncer une route par défaut 0.0.0.0/0 pour la connectivité internet aux ressources en aval. Lorsque vous utilisez l’intention de routage, vous pouvez générer une route par défaut depuis le pare-feu du hub. Cette route par défaut est annoncée à votre réseau virtuel et à Azure VMware Solution.
Connectivité internet Azure VMware Solution et réseaux virtuels
Lorsque vous activez l’intention de routage pour le trafic internet, par défaut, le hub sécurisé Virtual WAN n’annonce pas la route par défaut sur les circuits ExpressRoute. Pour vous assurer que la route par défaut se propage à la solution Azure VMware Solution depuis Virtual WAN, vous devez activer la propagation de la route par défaut sur vos circuits ExpressRoute Azure VMware Solution. Pour plus d’informations, consultez la section Annonce de la route par défaut 0.0.0.0/0 vers les points de terminaison.
Le diagramme suivant montre les flux de trafic pour la connectivité Internet des réseaux virtuels et d’Azure VMware Solution.
La table suivante décrit les flux de trafic dans le diagramme précédent.
| Numéro de flux de trafic | Source | Destination | Le pare-feu du hub Virtual WAN sécurisé inspecte-t-il ce trafic ? |
|---|---|---|---|
| 7 | Réseau virtuel | Internet | Oui |
| 8 | Cloud Azure VMware Solution. | Internet | Oui |
Après avoir activé la propagation de la route par défaut, la connexion D annonce la route par défaut 0.0.0.0/0 depuis le hub. Ne pas activer ce paramètre pour les circuits ExpressRoute sur site. Nous recommandons de mettre en œuvre un filtre Border Gateway Protocol (BGP) sur votre équipement local. Un filtre BGP empêche les ressources d’apprendre par inadvertance la route par défaut, ajoute une couche supplémentaire de précaution et permet de garantir que votre configuration n’affecte pas la connectivité Internet locale.
Lorsque vous activez l’intention de routage pour l’accès à Internet, la route par défaut générée par le hub Virtual WAN sécurisé est automatiquement annoncée aux connexions réseau virtuel appairées au hub. Notez que dans les cartes réseau (NIC) des machines virtuelles dans le réseau virtuel, le prochain saut 0.0.0.0/0 est le pare-feu du hub. Pour trouver le prochain saut, sélectionnez Routes effectives dans la NIC.
Utilisez VMware HCX Mobility Optimized Networking (MON) sans Global Reach
Vous pouvez activer HCX Mobility Optimized Networking (MON) lorsque vous utilisez l’extension réseau HCX. MON fournit un routage de trafic optimal dans certains scénarios pour éviter que les réseaux ne se chevauchent ou ne bouclent entre les ressources sur site et dans le cloud sur des réseaux étendus.
Trafic sortant d’Azure VMware Solution
Lorsque vous activez MON pour un réseau étendu spécifique et une machine virtuelle, le flux de trafic change. Après avoir mis en œuvre MON, le trafic sortant de la machine virtuelle ne revient pas vers le site sur site. Au lieu de cela, il contourne le tunnel IPSec de l’extension réseau. Le trafic de la machine virtuelle sort du NSX-T Tier-1 gateway de la solution Azure VMware Solution, va vers le NSX-T Tier-0 gateway, puis vers Virtual WAN.
Trafic entrant vers Azure VMware Solution
Lorsque vous activez MON pour un réseau étendu spécifique et une machine virtuelle, vous introduisez les changements suivants. Depuis NSX-T Azure VMware Solution, MON injecte une route d’hôte /32 en retour vers Virtual WAN. Virtual WAN annonce cette route /32 en retour vers le site sur site, les réseaux virtuels et les réseaux de succursales. Cette route d’hôte /32 garantit que le trafic provenant du site sur site, des réseaux virtuels et des réseaux de succursales n’utilise pas le tunnel IPSec de l’extension réseau lorsque le trafic se dirige vers la machine virtuelle activée par MON. Le trafic provenant des réseaux sources se dirige directement vers la machine virtuelle activée par MON car elle apprend la route /32.
Limitation HCX MON pour Virtual WAN sécurisé sans Global Reach
Lorsque vous activez la transitivité ExpressRoute-ExpressRoute sur le hub sécurisé et que vous activez l’intention de routage, le hub sécurisé envoie les adresses RFC 1918 par défaut à la fois au site sur site et à la solution Azure VMware. En plus des adresses RFC 1918 par défaut, le site sur site et la solution Azure VMware apprennent des routes plus spécifiques des réseaux virtuels Azure et des réseaux de succursales qui se connectent au hub.
Cependant, les réseaux sur site n’apprennent pas de routes spécifiques depuis la solution Azure VMware, et la solution Azure VMware n’apprend pas de routes spécifiques depuis les réseaux sur site. Au lieu de cela, les deux environnements se reposent sur les adresses RFC 1918 par défaut pour faciliter le routage retour l’un vers l’autre via le pare-feu du hub. Par conséquent, les routes plus spécifiques, telles que les routes d’hôte MON, ne sont pas annoncées du circuit ExpressRoute Azure VMware Solution vers le circuit ExpressRoute basé sur le site sur site. L’inverse est également vrai. L’incapacité d’apprendre des routes spécifiques introduit des flux de trafic asymétriques. Le trafic sortant d’Azure VMware Solution passe par le NSX-T Tier-0 gateway, mais le trafic retour provenant du site sur site revient via le tunnel IPSec de l’extension réseau.
Corriger l’asymétrie du trafic
Pour corriger l’asymétrie du trafic, vous devez ajuster les routes de la politique MON. Les routes de la politique MON déterminent quel trafic retourne vers la passerelle sur site via une extension L2. Elles décident également quel trafic passe par le NSX-T Tier-0 gateway de la solution Azure VMware.
Si une adresse IP de destination correspond et que vous la définissez sur autoriser dans la configuration de la politique MON, deux actions se produisent. Premièrement, le système identifie le paquet. Deuxièmement, le système envoie le paquet vers la passerelle sur site via l’appliance d’extension réseau.
Si une adresse IP de destination ne correspond pas ou que vous la définissez sur refuser dans la politique MON, le système envoie le paquet vers le NSX-T Tier-0 gateway de la solution Azure VMware pour le routage.
Le tableau suivant décrit les routes de politique HCX.
| Network (Réseau) | Rediriger vers le pair | Remarque |
|---|---|---|
| Espace d’adressage de réseau virtuel Azure | Deny | Inclure explicitement les plages d’adresses pour tous vos réseaux virtuels. Le trafic destiné à Azure est dirigé vers l’extérieur via Azure VMware Solution et ne revient pas au réseau sur site. |
| Espaces d’adresses RFC 1918 par défaut | Autoriser | Ajoutez les adresses RFC 1918 par défaut. Cette configuration garantit que tout trafic ne correspondant pas aux critères précédents est redirigé vers le réseau sur site. Si votre configuration sur site utilise des adresses qui ne font pas partie de RFC 1918, vous devez inclure explicitement ces plages. |
| Espace d’adresses 0.0.0.0/0 | Deny | Les adresses non couvertes par RFC 1918, telles que les adresses IP accessibles sur internet, ou le trafic ne correspondant pas aux entrées spécifiées, sortent directement via Azure VMware Solution et ne sont pas redirigées vers le réseau sur site. |