Usare una progettazione di soluzione Azure VMware a due aree con rete WAN virtuale e Copertura globale
Questo articolo illustra le procedure consigliate per la connettività, i flussi di traffico e la disponibilità elevata quando si distribuiscono soluzione Azure VMware in due aree. Fornisce indicazioni per proteggere Azure rete WAN virtuale con finalità di routing e Copertura globale di Azure ExpressRoute. Questo articolo descrive le rete WAN virtuale con topologia di routing per soluzione Azure VMware cloud privati, siti locali e risorse native di Azure.
L'implementazione e la configurazione di rete WAN virtuale sicure con finalità di routing non rientrano nell'ambito di questo articolo. Questo articolo presuppone che l'utente abbia una conoscenza di base delle rete WAN virtuale e delle rete WAN virtuale sicure con finalità di routing.
Usare rete WAN virtuale sicure e Copertura globale in due aree
Solo lo SKU standard rete WAN virtuale supporta rete WAN virtuale sicure con finalità di routing. Usare rete WAN virtuale sicure con finalità di routing per inviare tutto il traffico Internet e il traffico di rete privato a una soluzione di sicurezza, ad esempio Firewall di Azure, un'appliance virtuale di rete (NVA) non Microsoft o una soluzione SaaS (Software as a Service). Se si usa la finalità di routing, è necessario disporre di un hub di rete WAN virtuale sicuro.
L'hub di questo scenario ha la configurazione seguente:
La rete dual-region ha un rete WAN virtuale e due hub. Ogni area ha un hub.
Ogni hub ha una propria istanza Firewall di Azure distribuita, che li rende sicuri rete WAN virtuale hub.
Gli hub rete WAN virtuale sicuri hanno la finalità di routing abilitata.
Questo scenario include anche questi componenti:
Ogni area ha un proprio cloud privato soluzione Azure VMware e una rete virtuale di Azure.
Un sito locale si connette a entrambe le aree.
L'ambiente dispone di connettività Copertura globale.
Copertura globale stabilisce un collegamento logico diretto tramite il backbone Microsoft, che connette soluzione Azure VMware a cloud locali o a soluzione Azure VMware cloud privati a livello di area.
Le connessioni Copertura globale non transitino nei firewall dell'hub. Pertanto, il traffico Copertura globale tra siti non viene controllato.
Nota
Per migliorare la sicurezza tra i siti Copertura globale, è consigliabile esaminare il traffico all'interno del NSX-T dell'ambiente soluzione Azure VMware o un firewall locale.
Il diagramma seguente illustra un esempio di questo scenario.
Nella tabella seguente viene descritta la connettività della topologia nel diagramma precedente.
| Connessione | Descrizione |
|---|---|
| A | soluzione Azure VMware'area 1 Connessione copertura globale all'ambiente locale |
| G | soluzione Azure VMware area 2 Connessione copertura globale all'ambiente locale |
| A | soluzione Azure VMware connessione Copertura globale tra i due circuiti gestiti dei cloud privati |
| D | soluzione Azure VMware connessione al cloud privato all'hub locale |
| E | Connettività locale tramite ExpressRoute a entrambi gli hub a livello di area |
| Interhub | Connessione logica interhub tra due hub distribuiti nello stesso rete WAN virtuale |
Nota
Quando si configura soluzione Azure VMware con hub rete WAN virtuale sicuri, impostare l'opzione di preferenza di routing dell'hub su Percorso as per garantire risultati ottimali del routing nell'hub. Per altre informazioni, vedere Preferenze di routing dell'hub virtuale.
Flussi di traffico protetti da due aree rete WAN virtuale
Le sezioni seguenti descrivono i flussi di traffico e la connettività per soluzione Azure VMware, reti virtuali di Azure e Internet quando si usa Copertura globale.
soluzione Azure VMware connettività tra aree e flussi di traffico tra cloud privati
Il diagramma seguente illustra i flussi di traffico per due cloud privati soluzione Azure VMware in due aree.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 1 | soluzione Azure VMware'area cloud 1 | Rete virtuale 1 | Sì, tramite il firewall hub 1 |
| 2 | soluzione Azure VMware'area cloud 1 | Locale | No, il traffico ignora il firewall e transita la connessione Copertura globale A |
| 3 | soluzione Azure VMware'area cloud 1 | Rete virtuale 2 | Sì, tramite il firewall hub 2 |
| 4 | soluzione Azure VMware'area cloud 1 | soluzione Azure VMware'area cloud 2 | No, il traffico ignora il firewall e transita la connessione Copertura globale C |
| 5 | soluzione Azure VMware'area cloud 2 | Rete virtuale 1 | Sì, tramite il firewall hub 1 |
| 6 | soluzione Azure VMware'area cloud 2 | Rete virtuale 2 | Sì, tramite il firewall hub 2 |
| 7 | soluzione Azure VMware'area cloud 2 | Locale | No, il traffico ignora il firewall e transita la connessione Copertura globale B |
Ogni soluzione Azure VMware cloud privato si connette all'hub locale tramite la connessione ExpressRoute D.
Ogni area cloud soluzione Azure VMware si connette a una rete locale tramite Copertura globale di ExpressRoute. Ogni area cloud soluzione Azure VMware ha una propria connessione Copertura globale (connessione A e B). E i soluzione Azure VMware cloud privati si connettono direttamente tra loro tramite la connessione Copertura globale C. Il traffico Copertura globale non transita mai da firewall hub.
Configurare tutte e tre le connessioni Copertura globale. È necessario eseguire questo passaggio per evitare problemi di connettività tra i siti Copertura globale.
Connettività locale e flusso di traffico
Il diagramma seguente illustra i flussi di traffico per il sito locale.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 2 | Locale | soluzione Azure VMware'area cloud 1 | No, il traffico ignora il firewall e transita la connessione Copertura globale A |
| 7 | Locale | soluzione Azure VMware'area cloud 2 | No, il traffico ignora il firewall e transita la connessione Copertura globale B |
| 8 | Locale | Rete virtuale 1 | Sì, tramite il firewall hub 1 |
| 9 | Locale | Rete virtuale 2 | Sì, tramite il firewall hub 2 |
Il sito locale si connette sia all'area 1 che all'area 2 hub tramite la connessione ExpressRoute E.
I sistemi locali possono comunicare con soluzione Azure VMware'area cloud 1 tramite la connessione Copertura globale A e con soluzione Azure VMware area cloud 2 tramite la connessione Copertura globale B.
Configurare tutte e tre le connessioni Copertura globale. È necessario eseguire questo passaggio per evitare problemi di connettività tra i siti Copertura globale.
Connettività e flusso del traffico della rete virtuale di Azure
Il diagramma seguente illustra i flussi di traffico per le reti virtuali.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 1 | Rete virtuale 1 | soluzione Azure VMware'area cloud 1 | Sì, tramite il firewall hub 1 |
| 3 | Rete virtuale 2 | soluzione Azure VMware'area cloud 1 | Sì, tramite il firewall hub 2 |
| 5 | Rete virtuale 1 | soluzione Azure VMware'area cloud 2 | Sì, tramite il firewall hub 1 |
| 6 | Rete virtuale 2 | soluzione Azure VMware'area cloud 2 | Sì, tramite il firewall hub 2 |
| 8 | Rete virtuale 1 | Locale | Sì, tramite il firewall hub 1 |
| 9 | Rete virtuale 2 | Locale | Sì, tramite il firewall hub 2 |
| 10 | Rete virtuale 1 | Rete virtuale 2 | Sì, tramite il firewall hub 1. Il traffico passa quindi attraverso la connessione interhub e viene controllato tramite il firewall hub 2. |
Entrambe le reti virtuali eseguono direttamente il peering all'hub locale.
Un hub sicuro con finalità di routing invia gli indirizzi RFC 1918 predefiniti (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) alle reti virtuali con peering, insieme a qualsiasi altro prefisso aggiunto come prefissi di traffico privato. Per altre informazioni, vedere Routing intent private address prefixes (Prefissi di indirizzo privato della finalità di routing).
Questo scenario ha la finalità di routing abilitata, quindi tutte le risorse nella rete virtuale 1 e nella rete virtuale 2 possiedono gli indirizzi RFC 1918 predefiniti e usano il firewall dell'hub locale come hop successivo. Tutto il traffico che entra e esce dalle reti virtuali transita nei firewall dell'hub.
Connettività Internet
Questa sezione descrive come fornire connettività Internet per le risorse native di Azure nelle reti virtuali e soluzione Azure VMware cloud privati in entrambe le aree. Per altre informazioni, vedere Considerazioni sulla progettazione della connettività Internet. È possibile usare le opzioni seguenti per fornire la connettività Internet a soluzione Azure VMware.
- Opzione 1: servizio Internet ospitato in Azure
- Opzione 2: SNAT (Source Address Translation) gestito dalla soluzione VMware
- Opzione 3: indirizzo IPv4 pubblico di Azure per il data center NSX-T
Una progettazione con doppia area rete WAN virtuale con finalità di routing supporta tutte le opzioni, ma è consigliabile scegliere 1. Lo scenario più avanti in questo articolo usa l'opzione 1 per fornire la connettività Internet. L'opzione 1 funziona meglio con i rete WAN virtuale sicuri perché è facile esaminare, distribuire e gestire.
Quando si usa la finalità di routing, è possibile generare una route predefinita dal firewall hub. Questa route predefinita annuncia alle reti virtuali e soluzione Azure VMware cloud privati.
soluzione Azure VMware e connettività Internet della rete virtuale
Il diagramma seguente illustra la connettività Internet per soluzione Azure VMware istanze e reti virtuali.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? | Interruzione Internet |
|---|---|---|---|---|
| 11 | soluzione Azure VMware'area cloud 1 | Internet | Sì, tramite il firewall hub 1 | Tramite il firewall hub 1 |
| 12 | soluzione Azure VMware'area cloud 2 | Internet | Sì, tramite il firewall hub 2 | Tramite il firewall hub 2 |
| 15 | Rete virtuale 1 | Internet | Sì, tramite il firewall hub 1 | Tramite il firewall hub 1 |
| 16 | Rete virtuale 2 | Internet | Sì, tramite il firewall hub 2 | Tramite il firewall hub 2 |
I flussi di traffico seguenti sono attivi solo se si verifica un'interruzione che influisce su un hub locale a livello di area. Ad esempio, se l'hub regionale locale di soluzione Azure VMware si verifica un'interruzione, il traffico Internet reindirizza all'hub tra aree per la connettività Internet.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? | Interruzione Internet |
|---|---|---|---|---|
| 13 | soluzione Azure VMware'area cloud 1 | Internet | Sì, il traffico transita tramite la connessione Copertura globale C e il firewall hub 2 lo controlla. | Tramite il firewall hub 2 |
| 14 | soluzione Azure VMware'area cloud 2 | Internet | Sì, il traffico transita tramite la connessione Copertura globale C e il firewall hub 1 lo controlla. | Tramite il firewall hub 1 |
Il cloud privato soluzione Azure VMware apprende la route di connettività Internet predefinita dall'hub locale e dall'hub tra aree, in modo da ottenere la ridondanza della connettività Internet. Il soluzione Azure VMware cloud privato assegna priorità all'hub locale per la connettività di accesso a Internet primaria. L'hub tra aree funge da backup Internet se l'hub locale ha esito negativo. Questa configurazione fornisce ridondanza dell'accesso a Internet solo per il traffico in uscita. Per il traffico Internet in ingresso per soluzione Azure VMware carichi di lavoro, è consigliabile usare Frontdoor di Azure o Gestione traffico di Azure per la disponibilità elevata a livello di area.
Il cloud privato soluzione Azure VMware riceve la route predefinita preferita ∞ 0.0.0.0/0 tramite la connessione D dall'hub locale. E il cloud privato soluzione Azure VMware riceve una route predefinita di backup △ 0.0.0.0/0, che ha origine nell'hub tra aree e annuncia attraverso la connessione Copertura globale C. Tuttavia, se si abilita la propagazione della route predefinita nelle connessioni ExpressRoute locali E, anche il traffico Internet tra aree indirizza attraverso questo percorso.
Ad esempio, il traffico Internet tra aree che passa dal cloud privato di Azure VMware 1 all'hub 2 viene distribuito tramite il routing ECMP (Equal-Cost MultiPath) attraverso la connessione Global Reach C alla connessione D e attraverso la connessione A alla connessione E. Analogamente, il traffico di ritorno che passa dall'hub 2 all'area del cloud privato 1 attraversa gli stessi percorsi tramite ECMP. Configurare tutte e tre le connessioni Copertura globale. È necessario eseguire questo passaggio per evitare problemi di connettività tra i siti Copertura globale.
Quando si abilita la finalità di routing per il traffico Internet, per impostazione predefinita, l'hub rete WAN virtuale sicuro non annuncia la route predefinita tra circuiti ExpressRoute. Per garantire che la route predefinita venga propagata alle soluzione Azure VMware da rete WAN virtuale, è necessario abilitare la propagazione della route predefinita nei circuiti ExpressRoute soluzione Azure VMware. Per altre informazioni, vedere Annunciare la route predefinita 0.0.0.0/0 agli endpoint.
Non abilitare questa impostazione per i circuiti ExpressRoute locali. La connessione D annuncia la route predefinita "∞ 0.0.0.0/0" ai cloud privati soluzione Azure VMware, ma la route predefinita annuncia anche in locale tramite la connessione Copertura globale A e la connessione Copertura globale B. Di conseguenza, è consigliabile implementare un filtro BGP (Border Gateway Protocol) sulle apparecchiature locali per escludere l'apprendimento della route predefinita. Questo passaggio consente di assicurarsi che la configurazione non influisca sulla connettività Internet locale.
Ogni rete virtuale passa a Internet tramite il firewall dell'hub locale. Quando si abilita la finalità di routing per l'accesso a Internet, la route predefinita generata dall'hub di rete WAN virtuale sicuro genera automaticamente annunci alle connessioni di rete virtuale con peering hub. Questa route predefinita, tuttavia, non viene pubblicizzata tra hub regionali tramite il collegamento interhub. Le reti virtuali usano quindi l'hub locale a livello di area per l'accesso a Internet e non hanno connettività Internet di backup all'hub tra aree.