Proteggere rete WAN virtuale per soluzione Azure VMware in una singola area o in aree doppie
Questo articolo illustra le topologie e le considerazioni relative alla progettazione di rete soluzione Azure VMware per scenari a singola area e doppia area che usano rete WAN virtuale di Azure sicuro con finalità di routing. Descrive il modo in cui la finalità di routing indirizza il traffico attraverso una soluzione di sicurezza centralizzata. Questo metodo migliora la sicurezza e semplifica la gestione della rete. Questo articolo fornisce considerazioni sulla progettazione per le distribuzioni con e senza Copertura globale di Azure ExpressRoute. Evidenzia i vantaggi e le sfide di ogni scenario.
È possibile implementare una soluzione di sicurezza nell'hub rete WAN virtuale per convertire l'hub in un hub di rete WAN virtuale sicuro. Per configurare la finalità di routing, è necessario disporre di un hub rete WAN virtuale sicuro. La finalità di routing indirizza tutto il traffico privato e il traffico Internet alla soluzione di sicurezza hub, semplificando il routing e la progettazione della sicurezza dell'hub sicuro. La finalità di routing migliora l'ampiezza della sicurezza e esegue un'ispezione del traffico per tutto il traffico che attraversa l'hub sicuro, incluso il traffico soluzione Azure VMware.
Questo articolo presuppone che l'utente abbia una conoscenza di base delle rete WAN virtuale e delle rete WAN virtuale sicure con finalità di routing.
Per ulteriori informazioni, vedi le seguenti risorse:
- Che cos'è una rete WAN virtuale?
- Che cos'è un hub virtuale sicuro?
- Configurare rete WAN virtuale criteri di routing e finalità di routing dell'hub
- Copertura globale di ExpressRoute
Implementare rete WAN virtuale sicure per le progettazioni di soluzione Azure VMware
Usare rete WAN virtuale sicure con finalità di routing per inviare tutto il traffico Internet e il traffico di rete privato (RFC 1918) a una soluzione di sicurezza, ad esempio Firewall di Azure, un'appliance virtuale di rete (NVA) non Microsoft o una soluzione SaaS (Software as a Service). Per supportare le progettazioni a singola area e doppia area, usare soluzione Azure VMware insieme a rete WAN virtuale sicure e finalità di routing.
Progettazione a singola area
Usare la progettazione a singola area per controllare il traffico di rete all'interno della soluzione di sicurezza dell'hub virtuale che passa da e verso soluzione Azure VMware. Questo approccio semplifica la gestione della rete e migliora il comportamento di sicurezza complessivo. Questa progettazione si prepara anche se si vuole distribuire un altro cloud privato soluzione Azure VMware in un'area diversa con una progettazione a due aree. Abilitare la finalità di routing in un hub di una singola area per facilitare la scalabilità in una progettazione di un'area a doppio hub in un secondo momento. Questa progettazione supporta configurazioni con o senza Copertura globale.
Progettazione dual-region o dual-hub
Usare una progettazione a due aree per controllare il traffico di rete in due soluzioni di sicurezza dell'hub virtuale. Esaminare il traffico da e verso soluzione Azure VMware ed esaminare il traffico tra soluzione Azure VMware cloud privati che si trovano in aree diverse. Abilitare la finalità di routing in entrambi gli hub a livello di area in modo che il traffico possa passare attraverso entrambe le soluzioni di sicurezza dell'hub. Una progettazione a due aree con finalità di routing migliora la sicurezza e semplifica la gestione della rete tra aree. Questa progettazione supporta configurazioni con o senza Copertura globale.
Opzioni di distribuzione copertura globale
Usare Copertura globale per connettere soluzione Azure VMware a cloud privati locali o locali soluzione Azure VMware. Global Reach stabilisce un collegamento logico diretto tramite il backbone Microsoft.
Distribuzione con Copertura globale
Quando si distribuisce Copertura globale, il traffico tra i siti copertura globale ignora il firewall dell'hub di rete WAN virtuale sicuro. Il firewall dell'hub di rete WAN virtuale sicuro non esamina il traffico copertura globale che passa tra soluzione Azure VMware e locale o tra soluzione Azure VMware cloud privati in aree diverse.
Ad esempio, il diagramma seguente mostra come il traffico tra soluzione Azure VMware e locale usi la connessione Copertura globale etichettata come A per comunicare. Questo traffico non transita il firewall dell'hub a causa della connessione Copertura globale A. Per una sicurezza ottimale tra i siti Copertura globale, il NSX-T dell'ambiente soluzione Azure VMware o un firewall locale deve controllare il traffico.
Copertura globale semplifica la progettazione perché fornisce una connessione logica diretta tra soluzione Azure VMware e locali o soluzione Azure VMware cloud privati. Usare Copertura globale per risolvere i problemi relativi al traffico tra i siti copertura globale ed eliminare le limitazioni della velocità effettiva nel rete WAN virtuale sicuro. Uno svantaggio è che Copertura globale impedisce alla soluzione di sicurezza sicura dell'hub virtuale di controllare il traffico tra cloud privati soluzione Azure VMware regionali e locali e anche all'interno di soluzione Azure VMware cloud privati stessi. La soluzione di sicurezza dell'hub virtuale sicuro non può quindi esaminare il traffico che passa direttamente tra queste entità.
Distribuzione senza Copertura globale
È consigliabile usare costantemente Copertura globale, a meno che non si disponga di requisiti specifici. Quando non si usa Copertura globale, è possibile esaminare tutto il traffico nella soluzione di sicurezza dell'hub di rete WAN virtuale sicura tra soluzione Azure VMware e i cloud privati soluzione Azure VMware locali o a livello di area. Questo approccio, tuttavia, aumenta la complessità della progettazione. Prendere in considerazione anche le limitazioni della velocità effettiva nell'hub di rete WAN virtuale sicuro. Usare Copertura globale a meno che non si disponga di una delle limitazioni seguenti.
È necessario controllare il traffico nell'hub rete WAN virtuale tra soluzione Azure VMware e locale e anche all'interno di soluzione Azure VMware cloud privati. Non è possibile usare Copertura globale se si ha un requisito di sicurezza per controllare il traffico tra soluzione Azure VMware e locale o tra cloud privati soluzione Azure VMware a livello di area nel firewall dell'hub virtuale.
Un'area non supporta Copertura globale. Se un'area non supporta Copertura globale, è possibile usare la finalità di routing per stabilire la connettività tra connessioni ExpressRoute, sia tra soluzione Azure VMware che in locale o tra cloud privati soluzione Azure VMware a livello di area. Per impostazione predefinita, gli hub virtuali non supportano la transitività ExpressRoute in ExpressRoute. Per abilitare questa transitività, è necessario avviare un ticket di supporto. Per altre informazioni, vedere Disponibilità di Copertura globale di ExpressRoute.
L'istanza locale di ExpressRoute usa lo SKU locale di ExpressRoute. Lo SKU locale di ExpressRoute non supporta Copertura globale. Se si usa lo SKU locale, è possibile usare la finalità di routing per stabilire la connettività tra il soluzione Azure VMware e la rete locale.
Il diagramma seguente mostra un esempio che non usa Copertura globale.
Prendere in considerazione le opzioni copertura globale per una singola area o per aree doppie
Usare le indicazioni seguenti per determinare se è necessario abilitare Copertura globale per lo scenario.
Progettazione a singola area con Copertura globale
Quando si usa Copertura globale in una singola area, l'hub sicuro instrada tutto il traffico privato e il traffico Internet attraverso una soluzione di sicurezza, ad esempio Firewall di Azure, un'appliance virtuale di rete non Microsoft o una soluzione SaaS. Nel diagramma seguente la finalità di routing controlla il traffico, ma il traffico Copertura globale tra soluzione Azure VMware e locale ignora il firewall dell'hub (connessione A). È quindi necessario esaminare questo traffico copertura globale con NSX-T in soluzione Azure VMware o un firewall locale per una migliore sicurezza nei siti Copertura globale.
Nella tabella seguente viene illustrato il flusso di traffico da e verso soluzione Azure VMware.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| Soluzione Azure VMware | → ← |
Reti virtuali | Sì |
| Soluzione Azure VMware | → ← |
Internet | Sì |
| Soluzione Azure VMware | → ← |
Locale | No |
La tabella seguente illustra il flusso di traffico da e verso le reti virtuali.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| Reti virtuali | → ← |
Locale | Sì |
| Reti virtuali | → ← |
Internet | Sì |
| Reti virtuali | → ← |
Reti virtuali | Sì |
Progettazione a singola area che non ha Copertura globale
Quando non si usa Copertura globale in una singola area, l'hub sicuro instrada tutto il traffico privato e il traffico Internet attraverso una soluzione di sicurezza. La finalità di routing controlla il traffico. Con questa progettazione, il traffico tra soluzione Azure VMware e locale transita il firewall hub per l'ispezione. Gli hub virtuali non supportano ExpressRoute per la transitività expressRoute per impostazione predefinita. Per abilitare questa transitività, è necessario avviare un ticket di supporto. Dopo aver soddisfatto il ticket di supporto, l'hub protetto annuncia gli indirizzi RFC 1918 predefiniti per soluzione Azure VMware e in locale. Quando si usa la finalità di routing da locale, non è possibile annunciare i prefissi di indirizzi RFC 1918 predefiniti (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) in Azure. È invece necessario annunciare sempre route più specifiche.
Nella tabella seguente viene illustrato il flusso di traffico da e verso soluzione Azure VMware.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| Soluzione Azure VMware | → ← |
Locale | Sì |
| Soluzione Azure VMware | → ← |
Internet | Sì |
| Soluzione Azure VMware | → ← |
Reti virtuali | Sì |
La tabella seguente illustra il flusso di traffico da e verso le reti virtuali.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| Reti virtuali | → ← |
Locale | Sì |
| Reti virtuali | → ← |
Internet | Sì |
| Reti virtuali | → ← |
Reti virtuali | Sì |
Progettazione in due aree con Copertura globale
Quando si usa Copertura globale in due aree, si distribuiscono due hub sicuri in aree diverse all'interno dell'rete WAN virtuale. È anche possibile configurare due cloud privati soluzione Azure VMware in aree separate.
Il diagramma seguente illustra un esempio di questa configurazione. Ogni soluzione Azure VMware cloud privato a livello di area si connette direttamente all'hub locale (connessione D). L'ambiente locale si connette a ogni hub a livello di area (connessione E). Tutto il traffico RFC 1918 e il traffico Internet instradano attraverso una soluzione di sicurezza in entrambi gli hub sicuri tramite la finalità di routing. I soluzione Azure VMware cloud privati hanno connettività all'ambiente locale tramite Copertura globale (connessioni A e B). soluzione Azure VMware cloud si connettono tra loro tramite Copertura globale (connessione C). Il traffico Copertura globale tra i cloud privati soluzione Azure VMware o tra i cloud privati soluzione Azure VMware e in locale ignora i due firewall hub (connessioni A, B e C). Per una maggiore sicurezza nei siti Copertura globale, usare NSX-T in soluzione Azure VMware o un firewall locale per controllare il traffico.
La tabella seguente illustra il flusso di traffico da e verso soluzione Azure VMware'area del cloud privato 1.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| soluzione Azure VMware'area del cloud privato 1 | → ← |
Rete virtuale 1 | Sì, tramite il firewall hub 1 |
| soluzione Azure VMware'area del cloud privato 1 | → ← |
Rete virtuale 2 | Sì, tramite i firewall hub 1 e hub 2 |
| soluzione Azure VMware'area del cloud privato 1 | → ← |
Internet | Sì, tramite il firewall hub 1 |
| soluzione Azure VMware'area del cloud privato 1 | → ← |
Locale | No |
La tabella seguente illustra il flusso di traffico da e verso soluzione Azure VMware'area del cloud privato 2.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| soluzione Azure VMware'area del cloud privato 2 | → ← |
Rete virtuale 1 | Sì, tramite i firewall hub 1 e hub 2 |
| soluzione Azure VMware'area del cloud privato 2 | → ← |
Rete virtuale 2 | Sì, tramite il firewall hub 2 |
| soluzione Azure VMware'area del cloud privato 2 | → ← |
Internet | Sì, tramite il firewall hub 2 |
| soluzione Azure VMware'area del cloud privato 2 | → ← |
Locale | No |
La tabella seguente illustra il flusso di traffico da e verso soluzione Azure VMware'area del cloud privato 1 e l'area 2.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| soluzione Azure VMware'area del cloud privato 1 | → ← |
soluzione Azure VMware'area del cloud privato 2 | No |
La tabella seguente illustra il flusso di traffico da e verso le reti virtuali.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| Rete virtuale 1 | → ← |
Locale | Sì, tramite il firewall hub 1 |
| Rete virtuale 1 | → ← |
Internet | Sì, tramite il firewall hub 1 |
| Rete virtuale 1 | → ← |
Rete virtuale 2 | Sì, tramite i firewall hub 1 e hub 2 |
| Rete virtuale 2 | → ← |
Locale | Sì, tramite il firewall hub 2 |
| Rete virtuale 2 | → ← |
Internet | Sì, tramite il firewall hub 2 |
Progettazione con doppia area che non ha Copertura globale
Quando si usa Copertura globale in due aree, si distribuiscono due hub sicuri in aree diverse all'interno dell'rete WAN virtuale. È anche possibile configurare due cloud privati soluzione Azure VMware in aree separate.
Il diagramma seguente illustra un esempio di questa configurazione. Ogni soluzione Azure VMware cloud privato a livello di area si connette direttamente all'hub locale (connessione D). L'ambiente locale si connette a ogni hub a livello di area (connessione E). Tutto il traffico RFC 1918 e il traffico Internet instradano attraverso una soluzione di sicurezza in entrambi gli hub sicuri tramite la finalità di routing.
Gli hub virtuali non supportano ExpressRoute per la transitività expressRoute per impostazione predefinita. Per abilitare questa transitività, è necessario avviare un ticket di supporto. Dopo aver soddisfatto il ticket di supporto, gli hub sicuri annunciano gli indirizzi RFC 1918 predefiniti per soluzione Azure VMware e in locale. Fare riferimento a entrambi gli hub a livello di area quando si apre il ticket. Usare ExpressRoute per la transitività di ExpressRoute in modo che soluzione Azure VMware cloud privati possano comunicare tra loro tramite l'interhub rete WAN virtuale e il cloud soluzione Azure VMware può comunicare con l'ambiente locale.
Gli indirizzi RFC 1918 vengono annunciati in locale, non è possibile annunciare i prefissi di indirizzi RFC 1918 predefiniti (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) in Azure. È invece necessario annunciare sempre route più specifiche.
La tabella seguente illustra il flusso di traffico da e verso soluzione Azure VMware'area del cloud privato 1.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| soluzione Azure VMware'area del cloud privato 1 | → ← |
Rete virtuale 1 | Sì, tramite il firewall hub 1 |
| soluzione Azure VMware'area del cloud privato 1 | → ← |
Rete virtuale 2 | Sì, tramite i firewall hub 1 e hub 2 |
| soluzione Azure VMware'area del cloud privato 1 | → ← |
Internet | Sì, tramite il firewall hub 1 |
| soluzione Azure VMware'area del cloud privato 1 | → ← |
Locale | Sì, tramite il firewall hub 1 |
La tabella seguente illustra il flusso di traffico da e verso soluzione Azure VMware'area del cloud privato 2.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| soluzione Azure VMware'area del cloud privato 2 | → ← |
Rete virtuale 1 | Sì, tramite il firewall hub 2 |
| soluzione Azure VMware'area del cloud privato 2 | → ← |
Rete virtuale 2 | Sì, tramite i firewall hub 1 e hub 2 |
| soluzione Azure VMware'area del cloud privato 2 | → ← |
Internet | Sì, tramite il firewall hub 2 |
| soluzione Azure VMware'area del cloud privato 2 | → ← |
Locale | Sì, tramite il firewall hub 2 |
La tabella seguente illustra il flusso di traffico da e verso soluzione Azure VMware'area del cloud privato 1 e l'area 2.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| soluzione Azure VMware'area del cloud privato 1 | → ← |
soluzione Azure VMware'area del cloud privato 2 | Sì, tramite i firewall hub 1 e hub 2 |
La tabella seguente illustra il flusso di traffico da e verso le reti virtuali.
| Posizione 1 | Direzione | Posizione 2 | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| Rete virtuale 1 | → ← |
Locale | Sì, tramite il firewall hub 1 |
| Rete virtuale 1 | → ← |
Internet | Sì, tramite il firewall hub 1 |
| Rete virtuale 1 | → ← |
Rete virtuale 2 | Sì, tramite i firewall hub 1 e hub 2 |
| Rete virtuale 2 | → ← |
Locale | Sì, tramite il firewall hub 2 |
| Rete virtuale 2 | → ← |
Internet | Sì, tramite il firewall hub 2 |
Risorse correlate
- Progettazione di soluzione Azure VMware a singola area con copertura globale e rete WAN virtuale
- Progettazione di un'area singola soluzione Azure VMware che non dispone di Copertura globale
- Progettazione di soluzione Azure VMware a due aree con copertura globale e rete WAN virtuale
- Progettazione di due aree soluzione Azure VMware che non ha Copertura globale