Usare una progettazione di soluzione Azure VMware a singola area con rete WAN virtuale e Copertura globale
Questo articolo descrive le procedure consigliate per soluzione Azure VMware in una singola area quando si usa rete WAN virtuale di Azure sicuro con finalità di routing. Fornisce raccomandazioni sulla connettività e sul flusso di traffico per rete WAN virtuale sicure con finalità di routing e Copertura globale di Azure ExpressRoute. Questo articolo descrive la topologia per le progettazioni in soluzione Azure VMware cloud privati, siti locali e risorse native di Azure. L'implementazione e la configurazione di rete WAN virtuale sicure con finalità di routing non rientrano nell'ambito di questo articolo.
Usare rete WAN virtuale sicure in una singola area
Solo lo SKU standard rete WAN virtuale supporta rete WAN virtuale sicure con finalità di routing. Usare rete WAN virtuale sicure con finalità di routing per inviare tutto il traffico Internet e il traffico di rete privato a una soluzione di sicurezza, ad esempio Firewall di Azure, un'appliance virtuale di rete (NVA) non Microsoft o una soluzione SaaS (Software as a Service). Se si usa la finalità di routing, è necessario disporre di un hub di rete WAN virtuale sicuro.
Nota
Quando si configura soluzione Azure VMware con hub rete WAN virtuale sicuri, impostare l'opzione di preferenza di routing dell'hub su Percorso as per garantire risultati ottimali del routing nell'hub. Per altre informazioni, vedere Preferenze di routing dell'hub virtuale.
L'hub di questo scenario ha la configurazione seguente:
La rete a singola area ha un'istanza di rete WAN virtuale e un hub.
L'hub ha un'istanza di Firewall di Azure distribuita, che lo rende un hub rete WAN virtuale sicuro.
L'hub di rete WAN virtuale sicuro ha la finalità di routing abilitata.
Questo scenario include anche questi componenti:
Una singola area ha un proprio cloud privato soluzione Azure VMware e una rete virtuale di Azure.
Un sito locale si connette di nuovo all'hub.
L'ambiente dispone di connettività Copertura globale.
Copertura globale stabilisce un collegamento logico diretto tramite il backbone Microsoft, che connette soluzione Azure VMware a locale.
Le connessioni Copertura globale non transitino nel firewall dell'hub. Di conseguenza, il traffico Copertura globale passa in entrambi i modi tra l'ambiente locale e soluzione Azure VMware non viene controllato.
Nota
Per migliorare la sicurezza tra i siti Copertura globale, è consigliabile esaminare il traffico all'interno del NSX-T dell'ambiente soluzione Azure VMware o un firewall locale.
Il diagramma seguente illustra un esempio di questo scenario.
Nella tabella seguente viene descritta la connettività della topologia nel diagramma precedente.
| Connessione | Descrizione |
|---|---|
| D | soluzione Azure VMware connessione ExpressRoute gestita dal cloud privato all'hub |
| Un | soluzione Azure VMware connessione Copertura globale a locale |
| E | Connessione ExpressRoute locale all'hub |
Flussi di traffico sicuri a singola area rete WAN virtuale
Le sezioni seguenti descrivono i flussi di traffico e la connettività per soluzione Azure VMware, locali, reti virtuali di Azure e Internet.
soluzione Azure VMware la connettività del cloud privato e i flussi di traffico
Il diagramma seguente illustra i flussi di traffico per il cloud privato soluzione Azure VMware.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 1 | soluzione Azure VMware cloud | Rete virtuale | Sì |
| 2 | soluzione Azure VMware cloud | Locale | No |
Il cloud privato soluzione Azure VMware si connette al proprio hub tramite la connessione ExpressRoute D. L'area cloud soluzione Azure VMware stabilisce una connessione all'ambiente locale tramite la connessione Copertura globale expressRoute A. Il traffico che viaggia tramite Copertura globale non transita dal firewall dell'hub.
Per lo scenario, configurare Copertura globale per evitare problemi di connettività tra l'ambiente locale e soluzione Azure VMware.
Connettività locale e flusso di traffico
Il diagramma seguente illustra il sito locale connesso all'hub tramite la connessione ExpressRoute E. I sistemi locali possono comunicare con soluzione Azure VMware tramite la connessione Copertura globale A.
Per lo scenario, configurare Copertura globale per evitare problemi di connettività tra l'ambiente locale e soluzione Azure VMware.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 3 | Locale | soluzione Azure VMware cloud | No |
| 4 | Locale | Rete virtuale | Sì |
Connettività e flusso del traffico della rete virtuale di Azure
Un hub sicuro con finalità di routing abilitato invia gli indirizzi RFC 1918 predefiniti (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) alle reti virtuali con peering, insieme a qualsiasi altro prefisso aggiunto come prefissi del traffico privato. Per altre informazioni, vedere Routing intent private address prefixes (Prefissi di indirizzo privato della finalità di routing). Questo scenario ha la finalità di routing abilitata, quindi tutte le risorse nella rete virtuale possiedono gli indirizzi RFC 1918 predefiniti e usano il firewall hub come hop successivo. Tutto il traffico che entra e esce dalla rete virtuale transita il firewall dell'hub.
Il diagramma seguente illustra il modo in cui il peer di rete virtuale viene eseguito direttamente all'hub.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 5 | Rete virtuale | soluzione Azure VMware cloud | Sì |
| 6 | Rete virtuale | soluzione Azure VMware cloud | Sì |
Connettività Internet
Questa sezione descrive come fornire connettività Internet alle risorse native di Azure in una rete virtuale e in un cloud privato soluzione Azure VMware. Per altre informazioni, vedere Considerazioni sulla progettazione della connettività Internet. È possibile usare le opzioni seguenti per fornire la connettività Internet a soluzione Azure VMware.
- Opzione 1: servizio Internet ospitato in Azure
- Opzione 2: SNAT (Source Address Translation) gestito da soluzione Azure VMware
- Opzione 3: indirizzo IPv4 pubblico di Azure per il data center NSX-T
Una progettazione sicura a singola area rete WAN virtuale con finalità di routing supporta tutte le opzioni, ma è consigliabile scegliere 1. Lo scenario più avanti in questo articolo usa l'opzione 1 per fornire la connettività Internet. L'opzione 1 funziona meglio con i rete WAN virtuale sicuri perché è facile esaminare, distribuire e gestire.
Quando si usa la finalità di routing, è possibile generare una route predefinita dal firewall hub. Questa route predefinita annuncia alla rete virtuale e di soluzione Azure VMware.
soluzione Azure VMware e connettività Internet della rete virtuale
Quando si abilita la finalità di routing per il traffico Internet, per impostazione predefinita, l'hub rete WAN virtuale sicuro non annuncia la route predefinita tra circuiti ExpressRoute. Per garantire che la route predefinita venga propagata alle soluzione Azure VMware da rete WAN virtuale, è necessario abilitare la propagazione della route predefinita nei circuiti ExpressRoute soluzione Azure VMware. Per altre informazioni, vedere Annunciare la route predefinita 0.0.0.0/0 agli endpoint.
Dopo aver abilitato la propagazione della route predefinita, la connessione D annuncia la route predefinita 0.0.0.0/0 dall'hub. Non abilitare questa impostazione per i circuiti ExpressRoute locali. La connessione D annuncia la route predefinita 0.0.0.0/0 a soluzione Azure VMware, ma copertura globale (connessione A) annuncia anche la route predefinita a locale. Di conseguenza, è consigliabile implementare un filtro BGP (Border Gateway Protocol) sulle apparecchiature locali in modo che non impari la route predefinita. Questo passaggio consente di assicurarsi che la configurazione non influisca sulla connettività Internet locale.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 7 | soluzione Azure VMware cloud | Internet | Sì |
| 8 | Rete virtuale | Internet | Sì |
Quando si abilita la finalità di routing per l'accesso a Internet, la route predefinita generata dall'hub di rete WAN virtuale sicuro annuncia automaticamente le connessioni di rete virtuale con peering hub. Si noti che nelle schede di interfaccia di rete delle macchine virtuali nella rete virtuale l'hop successivo 0.0.0.0/0 è il firewall dell'hub. Per trovare l'hop successivo, selezionare Route valide nella scheda di interfaccia di rete.