Een Azure VMware Solution-ontwerp met twee regio's gebruiken met Virtual WAN en Global Reach
In dit artikel vindt u een overzicht van aanbevolen procedures voor connectiviteit, verkeersstromen en hoge beschikbaarheid wanneer u Azure VMware Solution in twee regio's implementeert. Het biedt richtlijnen voor het beveiligen van Azure Virtual WAN met routeringsintentie en Azure ExpressRoute Global Reach. In dit artikel wordt de Virtual WAN beschreven met de topologie van routeringsintenties voor privéclouds van Azure VMware Solution, on-premises sites en azure-eigen resources.
De implementatie en configuratie van secure Virtual WAN met routeringsintentie vallen buiten het bereik van dit artikel. In dit artikel wordt ervan uitgegaan dat u basiskennis hebt van Virtual WAN en virtual WAN beveiligt met routeringsintentie.
Secure Virtual WAN en Global Reach gebruiken in twee regio's
Alleen de Virtual WAN Standard-SKU ondersteunt beveiligde Virtual WAN met routeringsintentie. Gebruik beveiligd Virtual WAN met routeringsintentie om al het internetverkeer en privénetwerkverkeer te verzenden naar een beveiligingsoplossing, zoals Azure Firewall, een niet-Microsoft-netwerk virtueel apparaat (NVA) of een SaaS-oplossing (Software as a Service). U moet een beveiligde Virtual WAN-hub hebben als u de routeringsintentie gebruikt.
De hub van dit scenario heeft de volgende configuratie:
Het netwerk met twee regio's heeft één Virtual WAN en twee hubs. Elke regio heeft één hub.
Elke hub heeft een eigen Azure Firewall-exemplaar geïmplementeerd, waardoor ze beveiligde Virtual WAN-hubs zijn.
Voor de beveiligde Virtual WAN-hubs is routeringsintentie ingeschakeld.
Dit scenario bevat ook de volgende onderdelen:
Elke regio heeft een eigen Azure VMware Solution-privécloud en een virtueel Azure-netwerk.
Een on-premises site maakt verbinding met beide regio's.
De omgeving heeft Global Reach-connectiviteit.
Global Reach brengt een directe logische koppeling tot stand via de Microsoft-backbone, die Azure VMware Solution verbindt met on-premises of met regionale Azure VMware Solution-privéclouds.
Global Reach-verbindingen worden niet door de hubfirewalls verzonden. Global Reach-verkeer tussen sites wordt dus niet geïnspecteerd.
Notitie
Als u de beveiliging tussen Global Reach-sites wilt verbeteren, kunt u overwegen om verkeer binnen de NSX-T van de Azure VMware Solution-omgeving of een on-premises firewall te inspecteren.
In het volgende diagram ziet u een voorbeeld van dit scenario.
In de volgende tabel wordt de topologieconnectiviteit in het voorgaande diagram beschreven.
| Connection | Beschrijving |
|---|---|
| A | Azure VMware Solution-regio 1 Global Reach-verbinding terug naar on-premises |
| B | Azure VMware Solution-regio 2 Global Reach-verbinding terug naar on-premises |
| E | Azure VMware Solution Global Reach-verbinding tussen de beheerde circuits van de twee privéclouds |
| D | Azure VMware Solution-privécloudverbinding met de lokale regionale hub |
| E | On-premises connectiviteit via ExpressRoute met beide regionale hubs |
| Interhub | Logische interhub-verbinding tussen twee hubs die zijn geïmplementeerd onder hetzelfde Virtual WAN |
Notitie
Wanneer u Azure VMware Solution configureert met beveiligde Virtual WAN-hubs, stelt u de voorkeursoptie voor hubroutering in op AS-pad om optimale routeringsresultaten op de hub te garanderen. Zie routeringsvoorkeuren voor virtuele hubs voor meer informatie.
Virtuele WAN-verkeersstromen met twee regio's beveiligen
In de volgende secties worden verkeersstromen en connectiviteit beschreven voor Azure VMware Solution, on-premises, virtuele Azure-netwerken en internet wanneer u Global Reach gebruikt.
Connectiviteit tussen regio's en verkeersstromen in de privécloud van Azure VMware Solution
In het volgende diagram ziet u verkeersstromen voor twee Azure VMware Solution-privéclouds in twee regio's.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 1 | Azure VMware Solution-cloudregio 1 | Virtueel netwerk 1 | Ja, via de hub 1-firewall |
| 2 | Azure VMware Solution-cloudregio 1 | On-premises | Nee, verkeer omzeilt de firewall en transiteert Global Reach-verbinding A |
| 3 | Azure VMware Solution-cloudregio 1 | Virtueel netwerk 2 | Ja, via de hub 2-firewall |
| 4 | Azure VMware Solution-cloudregio 1 | Azure VMware Solution-cloudregio 2 | Nee, verkeer omzeilt de firewall en transits Global Reach-verbinding C |
| 5 | Azure VMware Solution-cloudregio 2 | Virtueel netwerk 1 | Ja, via de hub 1-firewall |
| 6 | Azure VMware Solution-cloudregio 2 | Virtueel netwerk 2 | Ja, via de hub 2-firewall |
| 7 | Azure VMware Solution-cloudregio 2 | On-premises | Nee, verkeer omzeilt de firewall en transits Global Reach-verbinding B |
Elke Azure VMware Solution-privécloud maakt verbinding met de lokale regionale hub via ExpressRoute-verbinding D.
Elke Azure VMware Solution-cloudregio maakt verbinding met een on-premises netwerk via ExpressRoute Global Reach. Elke Azure VMware Solution-cloudregio heeft een eigen Global Reach-verbinding (verbinding A en B). En de privéclouds van Azure VMware Solution maken rechtstreeks verbinding met elkaar via Global Reach-verbinding C. Global Reach-verkeer verzendt nooit hubfirewalls.
Configureer alle drie de Global Reach-verbindingen. U moet deze stap uitvoeren om verbindingsproblemen tussen Global Reach-sites te voorkomen.
On-premises connectiviteit en verkeersstroom
In het volgende diagram ziet u verkeersstromen voor de on-premises site.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 2 | On-premises | Azure VMware Solution-cloudregio 1 | Nee, verkeer omzeilt de firewall en transiteert Global Reach-verbinding A |
| 7 | On-premises | Azure VMware Solution-cloudregio 2 | Nee, verkeer omzeilt de firewall en transits Global Reach-verbinding B |
| 8 | On-premises | Virtueel netwerk 1 | Ja, via de hub 1-firewall |
| 9 | On-premises | Virtueel netwerk 2 | Ja, via de hub 2-firewall |
De on-premises site maakt verbinding met zowel regio 1- als regio 2-hubs via ExpressRoute-verbinding E.
On-premises systemen kunnen communiceren met Azure VMware Solution-cloudregio 1 via Global Reach-verbinding A en met Azure VMware Solution-cloudregio 2 via Global Reach-verbinding B.
Configureer alle drie de Global Reach-verbindingen. U moet deze stap uitvoeren om verbindingsproblemen tussen Global Reach-sites te voorkomen.
Virtuele Azure-netwerkconnectiviteit en verkeersstroom
In het volgende diagram ziet u verkeersstromen voor de virtuele netwerken.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 1 | Virtueel netwerk 1 | Azure VMware Solution-cloudregio 1 | Ja, via de hub 1-firewall |
| 3 | Virtueel netwerk 2 | Azure VMware Solution-cloudregio 1 | Ja, via de hub 2-firewall |
| 5 | Virtueel netwerk 1 | Azure VMware Solution-cloudregio 2 | Ja, via de hub 1-firewall |
| 6 | Virtueel netwerk 2 | Azure VMware Solution-cloudregio 2 | Ja, via de hub 2-firewall |
| 8 | Virtueel netwerk 1 | On-premises | Ja, via de hub 1-firewall |
| 9 | Virtueel netwerk 2 | On-premises | Ja, via de hub 2-firewall |
| 10 | Virtueel netwerk 1 | Virtueel netwerk 2 | Ja, via de hub 1 firewall. Verkeer gaat vervolgens via de interhub-verbinding en wordt geïnspecteerd via de hub 2-firewall. |
Beide virtuele netwerken zijn rechtstreeks gekoppeld aan hun lokale regionale hub.
Een beveiligde hub met routeringsintentie verzendt de standaard RFC 1918-adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) naar gekoppelde virtuele netwerken, samen met eventuele andere voorvoegsels die als voorvoegsels voor privéverkeer worden toegevoegd. Zie voorvoegsels voor privéadressen voor routeringsintenties voor meer informatie.
In dit scenario is routeringsintentie ingeschakeld, dus alle resources in virtueel netwerk 1 en virtueel netwerk 2 hebben de standaard RFC 1918-adressen en gebruiken hun lokale regionale hubfirewall als de volgende hop. Al het verkeer dat de virtuele netwerken binnenkomt en verlaat, gaat door de hubfirewalls.
Verbinding met internet
In deze sectie wordt beschreven hoe u in beide regio's internetconnectiviteit biedt voor systeemeigen Azure-resources in virtuele netwerken en privéclouds van Azure VMware Solution. Zie ontwerpoverwegingen voor internetconnectiviteit voor meer informatie. U kunt de volgende opties gebruiken om internetverbinding te bieden met Azure VMware Solution.
- Optie 1: door Azure gehoste internetservice
- Optie 2: SNAT (VMware Solution-managed Source Network Address Translation)
- Optie 3: Openbaar IPv4-adres van Azure naar de edge van het NSX-T-datacentrum
Een virtual WAN-ontwerp met twee regio's met routeringsintentie ondersteunt alle opties, maar we raden optie 1 aan. In het scenario verderop in dit artikel wordt optie 1 gebruikt om internetverbinding te bieden. Optie 1 werkt het beste met beveiligd Virtual WAN, omdat het eenvoudig is om te controleren, implementeren en beheren.
Wanneer u een routeringsintentie gebruikt, kunt u een standaardroute genereren vanuit de hubfirewall. Deze standaardroute maakt reclame voor uw virtuele netwerken en azure VMware Solution-privéclouds.
Azure VMware Solution en internetconnectiviteit voor virtuele netwerken
In het volgende diagram ziet u de internetverbinding voor Azure VMware Solution-exemplaren en virtuele netwerken.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? | De internetonderbreking |
|---|---|---|---|---|
| 11 | Azure VMware Solution-cloudregio 1 | Het internet | Ja, via de hub 1-firewall | Via de hub 1 firewall |
| 12 | Azure VMware Solution-cloudregio 2 | Het internet | Ja, via de hub 2-firewall | Via de hub 2-firewall |
| 15 | Virtueel netwerk 1 | Het internet | Ja, via de hub 1-firewall | Via de hub 1 firewall |
| 16 | Virtueel netwerk 2 | Het internet | Ja, via de hub 2-firewall | Via de hub 2-firewall |
De volgende verkeersstromen zijn alleen actief als u een storing hebt die van invloed is op een lokale regionale hub. Als de lokale regionale hub van Azure VMware Solution bijvoorbeeld een storing ondervindt, wordt internetverkeer omgeleid naar de regionale hub voor internetverbinding.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? | De internetonderbreking |
|---|---|---|---|---|
| 13 | Azure VMware Solution-cloudregio 1 | Het internet | Ja, verkeer wordt verzonden via Global Reach-verbinding C en de hub 2-firewall inspecteert deze. | Via de hub 2-firewall |
| 14 | Azure VMware Solution-cloudregio 2 | Het internet | Ja, verkeer wordt verzonden via Global Reach-verbinding C en de hub 1-firewall inspecteert deze. | Via de hub 1 firewall |
De privécloud van Azure VMware Solution leert de standaardroute voor internetverbinding van zowel de lokale regionale hub als de cross-regional hub, zodat u redundantie van internetconnectiviteit kunt bereiken. De azure VMware Solution-privécloud geeft prioriteit aan de lokale regionale hub voor primaire connectiviteit met internettoegang. De hub tussen regio's fungeert als een internetback-up als de lokale regionale hub uitvalt. Deze instelling biedt alleen redundantie voor internettoegang voor uitgaand verkeer. Voor inkomend internetverkeer naar Azure VMware Solution-workloads kunt u Overwegen Om Azure Front Door of Azure Traffic Manager te gebruiken voor regionale hoge beschikbaarheid.
De privécloud van Azure VMware Solution ontvangt de voorkeursroute ∞ 0.0.0.0/0 via verbinding D van de lokale regionale hub. En de privécloud van Azure VMware Solution ontvangt een standaardroute voor back-ups △ 0.0.0.0/0, die afkomstig is van de cross-regional hub en adverteert via Global Reach-verbinding C. Maar als u het doorgeven van standaardroute op uw on-premises ExpressRoute-verbindingen E inschakelt, leidt cross-regionaal internetverkeer ook via dit pad.
Zo wordt cross-regional internetverkeer dat van Azure VMware-privécloud 1 naar hub 2 gaat, gedistribueerd via ECMP-routering (Equal Cost MultiPath) via Global Reach-verbinding C naar verbinding D en via Global Reach-verbinding A naar verbinding E. Op dezelfde manier retourneert u verkeer dat van hub 2 naar privécloudregio 1 gaat via dezelfde paden via ECMP. Configureer alle drie de Global Reach-verbindingen. U moet deze stap uitvoeren om verbindingsproblemen tussen Global Reach-sites te voorkomen.
Wanneer u routeringsintentie inschakelt voor internetverkeer, wordt de beveiligde Virtual WAN-hub standaard niet geadverteerd met de standaardroute tussen ExpressRoute-circuits. Om ervoor te zorgen dat de standaardroute wordt doorgegeven aan Azure VMware Solution vanuit Virtual WAN, moet u het doorgeven van standaardroute inschakelen op uw Azure VMware Solution ExpressRoute-circuits. Zie Standaardroute 0.0.0.0.0/0 adverteren naar eindpunten voor meer informatie.
Schakel deze instelling niet in voor on-premises ExpressRoute-circuits. Connection D adverteert de standaardroute '∞ 0.0.0.0/0' naar de privéclouds van Azure VMware Solution, maar de standaardroute kondigt ook on-premises aan via Global Reach-verbinding A en Global Reach-verbinding B. Daarom raden we u aan om een BGP-filter (Border Gateway Protocol) op uw on-premises apparatuur te implementeren om het leren van de standaardroute uit te sluiten. Deze stap helpt ervoor te zorgen dat uw configuratie geen invloed heeft op de on-premises internetverbinding.
Elk virtueel netwerk gaat via de lokale regionale hubfirewall naar internet. Wanneer u de routeringsintentie voor internettoegang inschakelt, wordt de standaardroute die door de beveiligde Virtual WAN-hub wordt gegenereerd, automatisch geadverteerd naar de hub-peers van virtuele netwerkverbindingen. Maar deze standaardroute maakt geen reclame voor regionale hubs via de interhub-koppeling. Virtuele netwerken maken dus gebruik van hun lokale regionale hub voor internettoegang en hebben geen back-upverbinding met de regionale hub.