Usare una progettazione a singola area soluzione Azure VMware che non dispone di Copertura globale
Questo articolo descrive le procedure consigliate per soluzione Azure VMware in una singola area quando si usa rete WAN virtuale di Azure sicuro con finalità di routing. Fornisce raccomandazioni sulla connettività e sul flusso di traffico per rete WAN virtuale sicure con finalità di routing. Questo articolo descrive la topologia per le progettazioni in soluzione Azure VMware cloud privati, siti locali e risorse native di Azure quando non si usa Copertura globale di Azure ExpressRoute. L'implementazione e la configurazione di rete WAN virtuale sicure con finalità di routing non rientrano nell'ambito di questo articolo.
Se si usa un'area che non supporta Copertura globale o se si ha un requisito di sicurezza per controllare il traffico tra soluzione Azure VMware e locale nel firewall dell'hub, è necessario aprire un ticket di supporto per abilitare la transitività da ExpressRoute a ExpressRoute. rete WAN virtuale non supporta la transitività da ExpressRoute a ExpressRoute per impostazione predefinita. Per altre informazioni, vedere Connettività di transito tra circuiti ExpressRoute con finalità di routing.
Usare rete WAN virtuale sicure senza Copertura globale
Solo lo SKU standard rete WAN virtuale supporta rete WAN virtuale sicure con finalità di routing. Usare rete WAN virtuale sicure con finalità di routing per inviare tutto il traffico Internet e il traffico di rete privato (RFC 1918) a una soluzione di sicurezza, ad esempio Firewall di Azure, un'appliance virtuale di rete (NVA) non Microsoft o una soluzione SaaS (Software as a Service).
L'hub di questo scenario ha la configurazione seguente:
La rete a singola area ha un'istanza di rete WAN virtuale e un hub.
L'hub ha un'istanza di Firewall di Azure distribuita, che lo rende un hub rete WAN virtuale sicuro.
L'hub di rete WAN virtuale sicuro ha la finalità di routing abilitata.
Questo scenario include anche questi componenti:
Una singola area ha un proprio cloud privato soluzione Azure VMware e una rete virtuale di Azure.
Un sito locale si connette di nuovo all'hub.
Nota
Se si usano prefissi non RFC 1918 nelle risorse locali connesse, nelle reti virtuali o soluzione Azure VMware, specificare tali prefissi nel campo Prefissi traffico privato della funzionalità di routing. Immettere le route riepilogate nel campo Prefissi traffico privato per coprire l'intervallo. Non immettere l'intervallo esatto che annuncia di rete WAN virtuale perché questa specifica può causare problemi di routing. Ad esempio, se il circuito ExpressRoute annuncia 192.0.2.0/24 dall'ambiente locale, immettere un intervallo /23 Classless Inter-Domain Routing (CIDR) o superiore, ad esempio 192.0.2.0/23. Per altre informazioni, vedere Configurare la finalità e i criteri di routing tramite il portale di rete WAN virtuale.
Nota
Quando si configura soluzione Azure VMware con hub rete WAN virtuale sicuri, impostare l'opzione di preferenza di routing dell'hub su Percorso as per garantire risultati ottimali del routing nell'hub. Per altre informazioni, vedere Preferenze di routing dell'hub virtuale.
Il diagramma seguente illustra un esempio di questo scenario.
Nella tabella seguente viene descritta la connettività della topologia nel diagramma precedente.
| Connessione | Descrizione |
|---|---|
| D | soluzione Azure VMware connessione ExpressRoute gestita dal cloud privato all'hub |
| E | Connessione ExpressRoute locale all'hub |
Flussi di traffico per rete WAN virtuale a singola area senza Copertura globale
Le sezioni seguenti descrivono i flussi di traffico e la connettività per soluzione Azure VMware, locali, reti virtuali di Azure e Internet.
soluzione Azure VMware la connettività del cloud privato e i flussi di traffico
Il diagramma seguente illustra i flussi di traffico per un cloud privato soluzione Azure VMware.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 1 | soluzione Azure VMware cloud | Rete virtuale | Sì |
| 2 | soluzione Azure VMware cloud | Locale | Sì |
Il cloud privato soluzione Azure VMware ha una connessione ExpressRoute all'hub (connessione D).
Quando si abilita la transitività da ExpressRoute a ExpressRoute nell'hub protetto e si abilita la finalità di routing, l'hub protetto invia gli indirizzi RFC 1918 predefiniti (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) per soluzione Azure VMware tramite la connessione D. Oltre agli indirizzi RFC 1918 predefiniti, soluzione Azure VMware apprende le route più specifiche da reti virtuali e reti di succursali di Azure, ad esempio VPN da sito a sito, VPN da punto a sito e SD-WAN, che si connettono all'hub. soluzione Azure VMware non apprende route specifiche dalle reti locali. Per instradare il traffico alle reti locali, soluzione Azure VMware usa gli indirizzi RFC 1918 predefiniti appresi dalla connessione D. Questo traffico transita attraverso il firewall hub. Il firewall hub usa le route specifiche per le reti locali per instradare il traffico verso le destinazioni tramite la connessione E. Il traffico che passa da soluzione Azure VMware alle reti virtuali transita dal firewall dell'hub.
Connettività locale e flusso di traffico
Il diagramma seguente illustra i flussi di traffico per la connettività locale.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 3 | Locale | soluzione Azure VMware cloud | Sì |
| 4 | Locale | Rete virtuale | Sì |
Il sito locale si connette all'hub tramite la connessione ExpressRoute E.
Quando si abilita la transitività expressRoute per ExpressRoute nell'hub protetto e si abilita la finalità di routing, l'hub sicuro invia gli indirizzi RFC 1918 predefiniti all'ambiente locale tramite connessione E. Oltre agli indirizzi RFC 1918 predefiniti, l'ambiente locale apprende route più specifiche dalle reti virtuali di Azure e dalle reti di succursali che si connettono all'hub. In locale non vengono apprese route specifiche dalle reti soluzione Azure VMware. Per instradare il traffico alle reti soluzione Azure VMware, soluzione Azure VMware usa gli indirizzi RFC 1918 predefiniti appresi dalla connessione E. Questo traffico transita attraverso il firewall hub. Il firewall dell'hub usa le route specifiche per soluzione Azure VMware reti per instradare il traffico verso le destinazioni tramite la connessione D. Il traffico che passa dall'ambiente locale alle reti virtuali transita dal firewall dell'hub.
Quando si abilita la transitività da ExpressRoute a ExpressRoute nell'hub, invia gli indirizzi RFC 1918 predefiniti alla rete locale. Non è quindi consigliabile annunciare i prefissi RFC 1918 esatti in Azure. La pubblicità delle stesse route crea problemi di routing all'interno di Azure. È invece consigliabile annunciare route più specifiche ad Azure per le reti locali.
Nota
Se si annunciano gli indirizzi RFC 1918 predefiniti da locale ad Azure e si vuole continuare questa procedura, è necessario suddividere ogni intervallo RFC 1918 in due intervalli secondari uguali e annunciare questi intervalli secondari in Azure. Gli intervalli secondari sono 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 e 192.168.128.0/17.
Connettività e flusso del traffico della rete virtuale di Azure
Il diagramma seguente illustra i flussi di traffico per la connettività di rete virtuale di Azure.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 5 | Rete virtuale | soluzione Azure VMware cloud | Sì |
| 6 | Rete virtuale | Locale | Sì |
In questo scenario, la rete virtuale esegue il peering direttamente all'hub. Il diagramma mostra come le risorse native di Azure nella rete virtuale apprendono le route. Un hub sicuro con finalità di routing abilitato invia gli indirizzi RFC 1918 predefiniti alle reti virtuali con peering. Le risorse native di Azure nella rete virtuale non imparano route specifiche dall'esterno della rete virtuale. Quando si abilita la finalità di routing, tutte le risorse nella rete virtuale possiedono l'indirizzo RFC 1918 predefinito e usano il firewall hub come hop successivo. Tutto il traffico che entra e esce dalle reti virtuali transita nel firewall dell'hub.
Connettività Internet
Questa sezione descrive come fornire connettività Internet per le risorse native di Azure nelle reti virtuali e soluzione Azure VMware cloud privati in una singola area. Per altre informazioni, vedere Considerazioni sulla progettazione della connettività Internet. È possibile usare le opzioni seguenti per fornire la connettività Internet a soluzione Azure VMware.
- Opzione 1: servizio Internet ospitato in Azure
- Opzione 2: SNAT (Source Address Translation) gestito da soluzione Azure VMware
- Opzione 3: indirizzo IPv4 pubblico di Azure per il data center NSX-T
Una progettazione sicura a singola area rete WAN virtuale con finalità di routing supporta tutte le opzioni, ma è consigliabile scegliere 1. Lo scenario più avanti in questo articolo usa l'opzione 1 per fornire la connettività Internet. L'opzione 1 funziona meglio con i rete WAN virtuale sicuri perché è facile esaminare, distribuire e gestire.
Quando si abilita la finalità di routing nell'hub protetto, viene annunciato RFC 1918 a tutte le reti virtuali con peering. Ma è anche possibile annunciare una route predefinita 0.0.0.0/0 per la connettività Internet alle risorse downstream. Quando si usa la finalità di routing, è possibile generare una route predefinita dal firewall hub. Questa route predefinita annuncia alla rete virtuale e di soluzione Azure VMware.
soluzione Azure VMware e connettività Internet della rete virtuale
Quando si abilita la finalità di routing per il traffico Internet, per impostazione predefinita, l'hub rete WAN virtuale sicuro non annuncia la route predefinita tra circuiti ExpressRoute. Per garantire che la route predefinita venga propagata alle soluzione Azure VMware da rete WAN virtuale, è necessario abilitare la propagazione della route predefinita nei circuiti ExpressRoute soluzione Azure VMware. Per altre informazioni, vedere Annunciare la route predefinita 0.0.0.0/0 agli endpoint.
Il diagramma seguente illustra i flussi di traffico per la rete virtuale e la connettività Internet soluzione Azure VMware.
Nella tabella seguente viene descritto il flusso del traffico nel diagramma precedente.
| Numero di flusso del traffico | Source (Sorgente) | Destination | Il firewall dell'hub rete WAN virtuale sicuro controlla questo traffico? |
|---|---|---|---|
| 7 | Rete virtuale | Internet | Sì |
| 8 | soluzione Azure VMware cloud | Internet | Sì |
Dopo aver abilitato la propagazione della route predefinita, la connessione D annuncia la route predefinita 0.0.0.0/0 dall'hub. Non abilitare questa impostazione per i circuiti ExpressRoute locali. È consigliabile implementare un filtro BGP (Border Gateway Protocol) sulle apparecchiature locali. Un filtro BGP impedisce alle risorse di apprendere inavvertitamente la route predefinita, aggiunge un ulteriore livello di precauzione e consente di garantire che la configurazione non influisca sulla connettività Internet locale.
Quando si abilita la finalità di routing per l'accesso a Internet, la route predefinita generata dall'hub di rete WAN virtuale sicuro annuncia automaticamente le connessioni di rete virtuale con peering hub. Si noti che nelle schede di interfaccia di rete delle macchine virtuali nella rete virtuale l'hop successivo 0.0.0.0/0 è il firewall dell'hub. Per trovare l'hop successivo, selezionare Route valide nella scheda di interfaccia di rete.
Usare VMware HCX Mobility Optimized Networking (MON) senza Copertura globale
È possibile abilitare HCX Mobility Optimized Networking (MON) quando si usa l'estensione di rete HCX. MON offre un routing del traffico ottimale in determinati scenari per impedire la sovrapposizione o il ciclo delle reti tra le risorse basate sul cloud e basate sul cloud in reti estese.
Traffico in uscita da soluzione Azure VMware
Quando si abilita MON per una rete estesa specifica e una macchina virtuale, il flusso del traffico cambia. Dopo l'implementazione di MON, il traffico in uscita dalla macchina virtuale non torna in locale. Ignora invece il tunnel IPSec dell'estensione di rete. Il traffico per la macchina virtuale esce dal gateway di soluzione Azure VMware NSX-T Livello 1, passa al gateway NSX-T Tier-0 e quindi passa a rete WAN virtuale.
Traffico in ingresso verso soluzione Azure VMware
Quando si abilita MON per una rete estesa specifica e una macchina virtuale, vengono introdotte le modifiche seguenti. Da soluzione Azure VMware NSX-T, MON inserisce una route host /32 a rete WAN virtuale. rete WAN virtuale annuncia questa route /32 alle reti locali, virtuali e di succursali. Questa route host /32 garantisce che il traffico proveniente da reti locali, virtuali e di succursali non usi il tunnel IPSec dell'estensione di rete quando il traffico passa alla macchina virtuale abilitata per MON. Il traffico dalle reti di origine passa direttamente alla macchina virtuale abilitata per MON perché apprende la route /32.
HCX MON limitation for secure rete WAN virtuale without Global Reach (HCX MON limitation for secure rete WAN virtuale without Global Reach)
Quando si abilita la transitività da ExpressRoute a ExpressRoute nell'hub protetto e si abilita la finalità di routing, l'hub sicuro invia gli indirizzi RFC 1918 predefiniti sia all'ambiente locale che al soluzione Azure VMware. Oltre agli indirizzi RFC 1918 predefiniti, sia locali che soluzione Azure VMware ottenere route più specifiche dalle reti virtuali di Azure e dalle reti di succursali che si connettono all'hub.
Tuttavia, le reti locali non imparano route specifiche da soluzione Azure VMware e soluzione Azure VMware non apprende route specifiche dalle reti locali. Entrambi gli ambienti si basano invece sugli indirizzi RFC 1918 predefiniti per facilitare il routing l'uno all'altro tramite il firewall hub. Pertanto, route più specifiche, ad esempio route host MON, non annunciano dalla soluzione Azure VMware ExpressRoute al circuito ExpressRoute basato su locale. È valida anche la procedura inversa. L'impossibilità di apprendere route specifiche introduce flussi di traffico asimmetrici. Il traffico in uscita soluzione Azure VMware tramite il gateway di livello 0 NSX-T, ma il traffico restituito dall'ambiente locale viene restituito tramite il tunnel IPSec dell'estensione di rete.
Correggere l'asimmetria del traffico
Per correggere l'asimmetria del traffico, è necessario modificare le route dei criteri MON. Le route dei criteri MON determinano il traffico che torna al gateway locale tramite un'estensione L2. Decidono anche quale traffico passa attraverso il gateway di livello 0 NSX soluzione Azure VMware.
Se un indirizzo IP di destinazione corrisponde e lo si imposta per consentire nella configurazione dei criteri MON, si verificano due azioni. Innanzitutto, il sistema identifica il pacchetto. In secondo luogo, il sistema invia il pacchetto al gateway locale tramite l'appliance dell'estensione di rete.
Se un indirizzo IP di destinazione non corrisponde o lo si imposta su nega nei criteri MON, il sistema invia il pacchetto al gateway di livello 0 soluzione Azure VMware per il routing.
Nella tabella seguente vengono descritte le route dei criteri HCX.
| Rete | Reindirizzamento al peer | Nota |
|---|---|---|
| Spazio indirizzi della rete virtuale di Azure | Nega | Includere in modo esplicito gli intervalli di indirizzi per tutte le reti virtuali. Il traffico destinato ad Azure indirizza in uscita tramite soluzione Azure VMware e non torna alla rete locale. |
| Spazi indirizzi RFC 1918 predefiniti | Consenti | Aggiungere gli indirizzi RFC 1918 predefiniti. Questa configurazione garantisce che qualsiasi traffico che non corrisponda ai criteri precedenti reindirizza nuovamente alla rete locale. Se l'installazione locale usa indirizzi che non fanno parte di RFC 1918, è necessario includere in modo esplicito tali intervalli. |
| 0.0.0.0/0 spazio indirizzi | Nega | Gli indirizzi che RFC 1918 non coprono, ad esempio indirizzi IP instradabili da Internet o traffico che non corrispondono alle voci specificate, uscire direttamente attraverso il soluzione Azure VMware e non reindirizzare alla rete locale. |