Voorbeeldarchitecturen voor Azure VMware Solution

Wanneer u een Azure VMware Solution-landingszone tot stand brengt, moet u eerst netwerkmogelijkheden ontwerpen en implementeren. Azure-netwerkproducten en -services ondersteunen verschillende netwerkscenario's. In dit artikel worden de vier meest voorkomende netwerkscenario's beschreven.

• scenario 1: een beveiligde Virtual WAN-hub met routeringsintentie
• scenario 2: een virtueel netwerkapparaat (NVA) in Azure Virtual Network inspecteert al het netwerkverkeer
• scenario 3: uitgaand verkeer van Azure VMware Solution met of zonder NSX-T of NVA's
• scenario 4: niet-Microsoft-firewalloplossingen in een virtueel hubnetwerk met Azure Route Server

Als u een geschikte architectuur wilt kiezen en uw services wilt structuren, evalueert u de workloads, governance en vereisten van uw organisatie.

Scenariooverwegingen

Bekijk de volgende overwegingen en belangrijke vereisten voordat u uw Azure VMware Solution-implementatiescenario kiest.

• Vereisten voor internetverkeer dat Azure VMware Solution-toepassingen binnenkomt

• Padoverwegingen voor internetverkeer dat Azure VMware Solution-toepassingen verlaat

• Netwerk L2-extensie voor migraties

• NVA-gebruik in de huidige architectuur

• Azure VMware Solution-connectiviteit met een standaard hub virtueel netwerk of Azure Virtual WAN-hub

• Azure ExpressRoute-connectiviteit van on-premises datacenters naar Azure VMware Solution

• Gebruik van ExpressRoute Global Reach

• Vereisten voor verkeersinspectie voor:

  • Internettoegang tot Azure VMware Solution-toepassingen
  • Azure VMware Solution-toegang tot internet
  • Azure VMware Solution toegang tot lokale datacenters
  • Azure VMware Solution-toegang tot Virtual Network
  • Verkeer binnen de privécloud van Azure VMware Solution

In de volgende tabel worden aanbevelingen en overwegingen beschreven op basis van de vereisten voor verkeersinspectie van Azure VMware Solution voor elk scenario.

Scenario	Vereisten voor verkeersinspectie	Aanbevolen oplossingsontwerp	Overwegingen
1	- Van internet - Naar internet	Gebruik een beveiligde Virtual WAN-hub met propagatie van de standaardgateway. Gebruik Azure Application Gateway voor HTTP- of HTTPS-verkeer. Gebruik Azure Firewall voor niet-HTTP- of HTTPS-verkeer. Implementeer een beveiligde Virtual WAN-hub met routeringsintentie.	Deze optie maakt gebruik van Global Reach, wat niet effectief is voor on-premises filtering, omdat hiermee de Virtual WAN-hubs worden overgeslagen.
2	- Van internet - Naar internet - Naar het on-premises datacenter - Naar virtueel netwerk	Gebruik niet-Microsoft Firewall NVA-oplossingen in het virtuele hubnetwerk met Route Server. Gebruik Global Reach niet. Gebruik Application Gateway voor HTTP- of HTTPS-verkeer. Gebruik een NIET-Microsoft Firewall NVA in Azure voor niet-HTTP- of HTTPS-verkeer.	Kies deze optie als u uw bestaande NVA wilt gebruiken en alle verkeersinspecties in uw virtuele hubnetwerk wilt centraliseren.
3	- Van internet - Naar internet - Naar het on-premises datacenter - Naar virtueel netwerk - Binnen de Azure VMware Solution	Gebruik NSX-T Datacenter of een niet-Microsoft NVA-firewall in Azure VMware Solution. Gebruik Application Gateway voor HTTPS-verkeer. Gebruik Azure Firewall voor niet-HTTPS-verkeer. Implementeer de beveiligde Virtual WAN-hub en schakel een openbaar IP-adres in azure VMware Solution in.	Kies deze optie als u verkeer van twee of meer Azure VMware Solution-privéclouds wilt inspecteren. Gebruik deze optie om te profiteren van NSX-T-systeemeigen functies. U kunt deze optie ook combineren met NVA's die worden uitgevoerd in Azure VMware Solution.
4	- Van internet - Naar internet - Naar het on-premises datacenter - Naar virtueel netwerk	Gebruik niet-Microsoft-firewalloplossingen in een virtueel hubnetwerk met Route Server. Gebruik Application Gateway voor HTTP- of HTTPS-verkeer. Gebruik een NIET-Microsoft Firewall NVA in Azure voor niet-HTTP- of HTTPS-verkeer. Gebruik een on-premises niet-Microsoft firewall NVA. Implementeer niet-Microsoft-firewalloplossingen in een virtueel hubnetwerk met Route Server.	Kies deze optie om de 0.0.0.0/0 route van een NVA in uw virtuele Azure Hub-netwerk naar Azure VMware Solution te adverteren.

Houd rekening met deze belangrijke punten over de netwerkscenario's:

• Alle scenario's hebben vergelijkbare toegangsbeheerpatronen via Application Gateway en Azure Firewall.

• U kunt L4-naar-L7-load balancer-oplossingen gebruiken in Azure VMware Solution.

• U kunt de NSX-T gedistribueerde firewall gebruiken voor een van deze scenario's.

In de volgende secties vindt u een overzicht van architectuurpatronen voor privéclouds van Azure VMware Solution. Zie Azure VMware Solution-netwerk- en interconnectiviteitsconceptenvoor meer informatie.

Scenario 1: Een beveiligde Virtual WAN-hub met routeringsintentie

Dit scenario omvat de volgende architectuuronderdelen en overwegingen.

Wanneer gebruikt u dit scenario?

Gebruik dit scenario als:

• U hebt geen verkeersinspectie tussen Azure VMware Solution en on-premises datacenters nodig.

• U hebt verkeersinspectie tussen Azure VMware Solution-workloads en internet nodig.

• U moet openbaar inkomend verkeer naar Azure VMware Solution-workloads beveiligen.

Houd ook rekening met deze andere factoren:

• In dit scenario kunt u eigenaar zijn van de openbare IP-adressen. Zie aangepast IP-adresvoorvoegselvoor meer informatie.

• U kunt indien nodig openbare L4- of L7-binnenkomende services toevoegen.

• Mogelijk hebt u al dan niet al ExpressRoute-connectiviteit tussen on-premises datacenters en Azure.

Overzicht

Het volgende diagram biedt een algemeen overzicht van scenario 1.

een PowerPoint-bestand downloaden van deze architectuur.

Onderdelen

Dit scenario bestaat uit de volgende onderdelen:

• Azure Firewall in een beveiligde Virtual WAN-hub voor firewalls

• Application Gateway voor L7-taakverdeling en Azure Web Application Firewall

• L4-doelnetwerkadresomzetting (DNAT) met Azure Firewall om inkomend netwerkverkeer te vertalen en filteren

• Uitgaand internet via Azure Firewall in uw Virtual WAN-hub

• EXR, VPN of SD-WAN voor connectiviteit tussen on-premises datacenters en Azure VMware Solution

Download een Visio-bestand van deze architectuur.

Overwegingen

• Azure Firewall in een beveiligde Virtual WAN-hub kondigt de 0.0.0.0/0 route aan naar Azure VMware Solution. Deze route wordt ook on-premises geadverteerd via Global Reach. U kunt SD-WAN of VPN gebruiken om een on-premises routefilter te implementeren om 0.0.0.0/0 route learning te voorkomen.

• Opgezette VPN-, ExpressRoute- of virtuele netwerkverbindingen met een beveiligde Virtual WAN-hub ontvangen toch de 0.0.0.0/0-advertentie, zelfs als deze niet vereist is. Als u deze actie wilt voorkomen, kunt u het volgende doen:

  • Gebruik een on-premises edge-apparaat om de 0.0.0.0/0 route uit te filteren.

  • Schakel 0.0.0.0/0-doorgifte op specifieke verbindingen uit.

    1. Koppel de ExpressRoute-, VPN- of virtuele netwerkverbindingen los.
    2. Schakel 0.0.0.0/0 doorgifte in.
    3. Schakel 0.0.0.0/0-doorgifte op deze specifieke verbindingen uit.
    4. Maak opnieuw verbinding met deze verbindingen.

• U kunt Application Gateway hosten in een virtueel spoke-netwerk dat verbinding maakt met uw Virtual WAN-hub.

Azure VMware Solution inschakelen om on-premises verkeer te inspecteren via Azure Firewall

Voer de volgende stappen uit om Azure VMware Solution in staat te stellen on-premises verkeer te inspecteren via Azure Firewall:

1. Verwijder de Global Reach-verbinding tussen Azure VMware Solution en on-premises.
2. Open een ondersteuningsaanvraag met Microsoft Ondersteuning om ExpressRoute-naar-ExpressRoute-transitconnectiviteit mogelijk te maken via een Azure Firewall-apparaat in de hub die is geconfigureerd met beleid voor privéroutering.

Scenario 2: Een NVA in virtueel netwerk inspecteert al het netwerkverkeer

Dit scenario omvat de volgende architectuuronderdelen en overwegingen.

Wanneer gebruikt u dit scenario?

Gebruik dit scenario als:

• U moet uw niet-Microsoft Firewall NVA's in een virtueel hubnetwerk gebruiken om al het verkeer te inspecteren en u kunt Global Reach niet gebruiken om geopolitieke redenen of andere redenen.

  • U hebt connectiviteit tussen on-premises datacenters en Azure VMware Solution.
  • U hebt connectiviteit tussen virtual network en Azure VMware Solution.
  • U hebt internettoegang nodig vanuit Azure VMware Solution.
  • U hebt internettoegang nodig tot Azure VMware Solution.

• U hebt gedetailleerde controle nodig over firewalls die zich buiten de privécloud van Azure VMware Solution bevinden.

• U hebt meerdere openbare IP-adressen voor binnenkomende services nodig en u hebt een blok met vooraf gedefinieerde IP-adressen in Azure nodig. In dit scenario bent u geen eigenaar van openbare IP-adressen.

In dit scenario wordt ervan uitgegaan dat u expressRoute-connectiviteit hebt tussen on-premises datacenters en Azure.

Overzicht

Het volgende diagram biedt een algemeen overzicht van scenario 2.

Download een Visio-bestand van deze architectuur.

Onderdelen

Dit scenario bestaat uit de volgende onderdelen:

• Firewall NVA's van andere leveranciers dan Microsoft, die worden gehost in een virtueel netwerk voor verkeersinspectie en andere netwerkfuncties.

• Route Server om verkeer te routeren tussen Azure VMware Solution, on-premises datacenters en virtuele netwerken.

• Application Gateway voor L7 HTTP- of HTTPS-taakverdeling.

In dit scenario moet u ExpressRoute Global Reach uitschakelen. De niet-Microsoft NVA's bieden uitgaande internettoegang tot Azure VMware Solution.

Download een Visio-bestand van deze architectuur.

Overwegingen

• Configureer ExpressRoute Global Reach niet voor dit scenario omdat verkeer van Azure VMware Solution rechtstreeks tussen ExpressRoute-routers (Microsoft Enterprise Edge) (MSEE) stroomt. Het verkeer slaat het virtuele hubnetwerk over.

• Implementeer routeserver in uw virtuele hubnetwerk. De routeserver moet een BGP-peerverbinding (Border Gateway Protocol) aangaan met de NVA's in het virtuele transitnetwerk. Configureer routeserver om -connectiviteit van vertakking naar vertakking toe te staan.

• Gebruik aangepaste routetabellen en door de gebruiker gedefinieerde routes om verkeer te routeren in beide richtingen tussen Azure VMware Solution en de load balancer van de niet-Microsoft-firewall-NVA's. Deze installatie ondersteunt alle modi voor hoge beschikbaarheid, waaronder actief/actief en actief/stand-by, en zorgt voor routeringssymmetrie.

• Als u hoge beschikbaarheid voor NVA's nodig hebt, raadpleegt u de documentatie van de NVA-leverancier en u maximaal beschikbare NVA's implementeert.

Scenario 3: Uitgaand verkeer van Azure VMware Solution met of zonder NSX-T of NVAs

Dit scenario omvat de volgende architectuuronderdelen en overwegingen.

Wanneer gebruikt u dit scenario?

Gebruik dit scenario als:

• U gebruikt het systeemeigen NSX-T Data Center-platform, dus u hebt een PaaS-implementatie (Platform as a Service) nodig voor Azure VMware Solution.

• U hebt een BYOL-NVA (Bring Your Own License) nodig in Azure VMware Solution voor verkeersinspectie.

• U hebt binnenkomende HTTP-, HTTPS- of L4-services nodig.

Mogelijk hebt u al dan niet al ExpressRoute-connectiviteit tussen on-premises datacenters en Azure. Al het verkeer van Azure VMware Solution naar virtual network, van Azure VMware Solution naar internet en van Azure VMware Solution naar on-premises datacenters wordt doorgestuurd via de NSX-T Data Center Tier-0- of Tier-1-gateways of de NVA's.

Overzicht

Het volgende diagram biedt een algemeen overzicht van scenario 3.

Download een Visio-bestand van deze architectuur.

Onderdelen

Dit scenario bestaat uit de volgende onderdelen:

• Een gedistribueerde NSX-firewall of een NVA achter laag 1 in Azure VMware Solution.
• Application Gateway om L7-taakverdeling te bieden.
• L4 DNAT via Azure Firewall.
• Internetonderbreking van Azure VMware Solution.

Download een Visio-bestand van deze architectuur.

Overwegingen

• Schakel internettoegang in azure Portal in. Voor dit scenario kan een uitgaand IP-adres worden gewijzigd en is dit niet deterministisch. Openbare IP-adressen bevinden zich buiten de NVA. De NVA in Azure VMware Solution heeft nog steeds privé-IP-adressen en bepaalt niet het uitgaande openbare IP-adres.

• De NVA is BYOL, wat betekent dat u een licentie meeneemt en hoge beschikbaarheid implementeert voor de NVA.

• Zie VMware-documentatie voor OPTIES voor NVA-plaatsing en informatie over de VMware-limiet van acht virtuele netwerkinterfacekaarten op een virtuele machine. Zie Firewall-integratie in Azure VMware Solutionvoor meer informatie.

Scenario 4: Niet-Microsoft-firewalloplossingen in een virtueel hubnetwerk met routeserver

Dit scenario omvat de volgende architectuuronderdelen en overwegingen.

Wanneer gebruikt u dit scenario?

Gebruik dit scenario als:

• U wilt internetuitgangen van Azure VMware Solution inschakelen via uw niet-Microsoft NVA in een virtuele Azure-netwerkhub. En u wilt verkeer tussen Azure VMware Solution en Virtual Network inspecteren.

• U wilt het verkeer tussen lokale datacenters en Azure inspecteren via uw lokale, niet-Microsoft NVA.

• U hebt meerdere openbare IP-adressen voor binnenkomende services nodig en u hebt een blok met vooraf gedefinieerde IP-adressen in Azure nodig. In dit scenario bent u geen eigenaar van openbare IP-adressen.

• U hebt nauwkeurige controle nodig over firewalls buiten de privécloud van Azure VMware Solution.

Overzicht

Het volgende diagram biedt een algemeen overzicht van scenario 4.

Download een Visio-bestand van deze architectuur.

Onderdelen

Dit scenario bestaat uit de volgende onderdelen:

• Niet-Microsoft NVA's, geconfigureerd in de actieve/actieve of actieve/stand-bymodus, die worden gehost in een virtueel netwerk om firewall- en andere netwerkfuncties uit te voeren.

• Route Server om routes uit te wisselen tussen Azure VMware Solution, on-premises datacenters en virtuele netwerken.

• Niet-Microsoft NVA's in uw virtuele Azure-netwerkhub om internettoegang naar buiten voor Azure VMware Solution te bieden.

• ExpressRoute voor connectiviteit tussen on-premises datacenters en Azure VMware Solution.

Download een Visio-bestand van deze architectuur.

Overwegingen

• Voor dit scenario worden uitgaande openbare IP-adressen toegewezen aan NVA's in het virtuele Azure-netwerk.

• Niet-Microsoft NVA's in de virtuele netwerkhub zijn geconfigureerd voor peering met de routeservice via BGP en Equal-Cost ECMP--routering. Deze NVA's adverteren de standaardroute0.0.0.0/0 naar Azure VMware Solution.

• De standaardroute 0.0.0.0/0 wordt ook on-premises geadverteerd via Global Reach. Implementeer een routefilter op locatie om te voorkomen dat de standaardroute 0.0.0.0/0 wordt geleerd.

• Verkeer tussen Azure VMware Solution en uw on-premises netwerk stroomt via ExpressRoute Global Reach. Voor meer informatie, zie On-premises omgevingen koppelen aan Azure VMware Solution. De on-premises niet-Microsoft NVA voert verkeersinspectie uit tussen on-premises en Azure VMware Solution, in plaats van de niet-Microsoft NVA's die zich in de Azure virtuele netwerkhub bevinden.

• U kunt Application Gateway hosten in een virtueel spoke-netwerk dat verbinding maakt met een hub of dat zich in het virtuele hubnetwerk bevindt.

Volgende stappen

• Azure VMware Solution integreren in een hub-and-spoke-architectuur

• NSX-netwerkonderdelen configureren met behulp van Azure VMware Solution

• Zie het volgende artikel in deze reeks voor meer informatie over architectuurprincipes voor landingszones op ondernemingsniveau van Cloud Adoption Framework, verschillende ontwerpoverwegingen en best practices voor Azure VMware Solution:

  Beveiliging, governance en naleving voor Azure VMware Solution