Virtual WAN beveiligen voor Azure VMware Solution in één regio of in twee regio's
In dit artikel worden de azure VMware Solution-netwerkontwerptopologieën en overwegingen voor scenario's met één regio en twee regio's verkend die gebruikmaken van beveiligde Azure Virtual WAN met routeringsintentie. Hierin wordt beschreven hoe de routeringsintentie verkeer leidt via een gecentraliseerde beveiligingsoplossing. Deze methode verbetert de beveiliging en stroomlijnt netwerkbeheer. Dit artikel bevat ontwerpoverwegingen voor implementaties met en zonder Azure ExpressRoute Global Reach. Hierin worden de voordelen en uitdagingen van elk scenario benadrukt.
U kunt een beveiligingsoplossing implementeren in de Virtual WAN-hub om de hub te converteren naar een beveiligde Virtual WAN-hub. Als u de intentie voor routering wilt configureren, moet u een beveiligde Virtual WAN-hub hebben. Routeringsintentie zorgt ervoor dat al het privéverkeer en internetverkeer naar de hubbeveiligingsoplossing worden gestuurd, waardoor het routerings- en beveiligingsontwerp van uw beveiligde hub wordt gestroomlijnd. Routeringsintentie verbetert de breedte van de beveiliging en voert een verkeersinspectie uit voor al het verkeer dat via de beveiligde hub gaat, inclusief Azure VMware Solution-verkeer.
In dit artikel wordt ervan uitgegaan dat u basiskennis hebt van Virtual WAN en virtual WAN beveiligt met routeringsintentie.
Voor meer informatie raadpleegt u de volgende bronnen:
- Wat is Virtual WAN?
- Wat is een beveiligde virtuele hub?
- Routeringsintentie en routeringsbeleid voor Virtual WAN-hubs configureren
- ExpressRoute Global Reach
Veilige Virtual WAN implementeren voor Azure VMware Solution-ontwerpen
Gebruik secure Virtual WAN met routeringsintentie om al het internetverkeer en het privénetwerkverkeer (RFC 1918) te verzenden naar een beveiligingsoplossing, zoals Azure Firewall, een niet-Microsoft-netwerk virtueel apparaat (NVA) of een SaaS-oplossing (Software as a Service). Gebruik Azure VMware Solution samen met beveiligde Virtual WAN en routeringsintenties om zowel ontwerpen met één regio als twee regio's te ondersteunen.
Ontwerp met één regio
Gebruik het ontwerp voor één regio om netwerkverkeer binnen de beveiligingsoplossing voor virtuele hubs te inspecteren die naar en van Azure VMware Solution gaat. Deze aanpak vereenvoudigt het netwerkbeheer en verbetert uw algehele beveiligingspostuur. Dit ontwerp bereidt u ook voor als u een andere Azure VMware Solution-privécloud wilt implementeren in een andere regio met een ontwerp met twee regio's. Schakel routeringsintentie in één regiohub in om later te kunnen schalen naar een ontwerp voor twee hubregio's. Dit ontwerp ondersteunt configuraties met of zonder Global Reach.
Ontwerp voor twee regio's of twee hubs
Gebruik een ontwerp voor twee regio's om netwerkverkeer op twee virtuele hubbeveiligingsoplossingen te inspecteren. Inspecteer verkeer van en naar Azure VMware Solution en inspecteer verkeer in privéclouds van Azure VMware Solution die zich in verschillende regio's bevinden. Schakel routeringsintentie in op beide regionale hubs, zodat verkeer via beide hubbeveiligingsoplossingen kan worden doorgegeven. Een ontwerp met twee regio's met routeringsintentie verbetert de beveiliging en vereenvoudigt netwerkbeheer tussen regio's. Dit ontwerp ondersteunt configuraties met of zonder Global Reach.
Implementatieopties voor Global Reach
Gebruik Global Reach om Azure VMware Solution te verbinden met on-premises of regionale Azure VMware Solution-privéclouds. Global Reach brengt een directe logische koppeling tot stand via de Microsoft-backbone.
Implementatie met Global Reach
Wanneer u Global Reach implementeert, wordt het verkeer tussen de Global Reach-sites omzeild door de beveiligde Firewall van de Virtual WAN-hub. De beveiligde Firewall van de Virtual WAN-hub inspecteert geen Global Reach-verkeer dat tussen Azure VMware Solution en on-premises of tussen Azure VMware Solution-privéclouds in verschillende regio's gaat.
In het volgende diagram ziet u bijvoorbeeld hoe verkeer tussen Azure VMware Solution en on-premises gebruikmaakt van de Global Reach-verbinding die is gelabeld als A om te communiceren. Dit verkeer gaat niet door naar de hubfirewall vanwege Global Reach-verbinding A. Voor optimale beveiliging tussen Global Reach-sites moet de NSX-T van de Azure VMware Solution-omgeving of een on-premises firewall verkeer inspecteren.
Global Reach vereenvoudigt het ontwerp omdat het een directe logische verbinding biedt tussen Azure VMware Solution en on-premises of regionale Azure VMware Solution-privéclouds. Gebruik Global Reach om problemen met verkeer tussen Global Reach-sites op te lossen en doorvoerbeperkingen op het beveiligde Virtual WAN te elimineren. Een nadeel is dat Global Reach voorkomt dat de beveiligde beveiligingsoplossing voor virtuele hubs verkeer inspecteert tussen regionale Azure VMware Solution-privéclouds en on-premises, en ook binnen azure VMware Solution-privéclouds zelf. De beveiligingsoplossing van de beveiligde virtuele hub kan dus het verkeer dat rechtstreeks tussen deze entiteiten stroomt, niet inspecteren.
Implementatie zonder Global Reach
We raden u aan Global Reach consistent te gebruiken, tenzij u specifieke vereisten hebt. Wanneer u Global Reach niet gebruikt, kunt u al het verkeer op de beveiligde Virtual WAN-hubbeveiligingsoplossing controleren tussen Azure VMware Solution en de on-premises of regionale Azure VMware Solution-privéclouds. Maar deze benadering verhoogt de complexiteit van het ontwerp. Houd ook rekening met de doorvoerbeperkingen op de beveiligde Virtual WAN-hub. Gebruik Global Reach, tenzij u een van de volgende beperkingen hebt.
U moet verkeer controleren op de Virtual WAN-hub tussen Azure VMware Solution en on-premises, en ook in privéclouds van Azure VMware Solution. U kunt Global Reach niet gebruiken als u een beveiligingsvereiste hebt om verkeer tussen Azure VMware Solution en on-premises te inspecteren, of tussen regionale Azure VMware Solution-privéclouds op de firewall van de virtuele hub.
Een regio biedt geen ondersteuning voor Global Reach. Als een regio global Reach niet ondersteunt, kunt u routeringsintenties gebruiken om connectiviteit tot stand te brengen tussen ExpressRoute-verbindingen, ongeacht of deze zich bevinden tussen Azure VMware Solution en on-premises of tussen regionale Azure VMware Solution-privéclouds. Virtuele hubs bieden standaard geen ondersteuning voor ExpressRoute naar ExpressRoute-transitiviteit. Als u deze transitiviteit wilt inschakelen, moet u een ondersteuningsticket initiëren. Zie de beschikbaarheid van ExpressRoute Global Reach voor meer informatie.
Uw on-premises ExpressRoute-exemplaar maakt gebruik van de lokale ExpressRoute-SKU. De lokale ExpressRoute-SKU biedt geen ondersteuning voor Global Reach. Als u de lokale SKU gebruikt, kunt u de routeringsintentie gebruiken om connectiviteit tot stand te brengen tussen de Azure VMware Solution en uw on-premises netwerk.
In het volgende diagram ziet u een voorbeeld waarin Global Reach niet wordt gebruikt.
Globale bereikopties voor één regio of voor dubbele regio's overwegen
Gebruik de volgende richtlijnen om te bepalen of u Global Reach moet inschakelen voor uw scenario.
Ontwerp met één regio met Global Reach
Wanneer u Global Reach in één regio gebruikt, routeert de beveiligde hub al het privéverkeer en internetverkeer via een beveiligingsoplossing, zoals Azure Firewall, een niet-Microsoft NVA of een SaaS-oplossing. In het volgende diagram inspecteert de routeringsintentie verkeer, maar Global Reach-verkeer tussen Azure VMware Solution en on-premises omzeilt de hubfirewall (verbinding A). U moet dit Global Reach-verkeer dus inspecteren met NSX-T in Azure VMware Solution of een on-premises firewall voor betere beveiliging op global Reach-sites.
In de volgende tabel ziet u de verkeersstroom van en naar Azure VMware Solution.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Virtuele netwerken | Ja |
| Azure VMware Solution | → ← |
Het internet | Ja |
| Azure VMware Solution | → ← |
On-premises | Nee |
In de volgende tabel ziet u de verkeersstroom van en naar virtuele netwerken.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Virtuele netwerken | → ← |
On-premises | Ja |
| Virtuele netwerken | → ← |
Het internet | Ja |
| Virtuele netwerken | → ← |
Virtuele netwerken | Ja |
Ontwerp met één regio die geen Global Reach heeft
Wanneer u Global Reach niet in één regio gebruikt, routeert de beveiligde hub al het privéverkeer en internetverkeer via een beveiligingsoplossing. Met de routeringsintentie wordt verkeer gecontroleerd. Met dit ontwerp wordt verkeer tussen Azure VMware Solution en on-premises de hubfirewall voor inspectie overgedragen. Virtuele hubs bieden standaard geen ondersteuning voor ExpressRoute naar ExpressRoute-transitiviteit. Als u deze transitiviteit wilt inschakelen, moet u een ondersteuningsticket initiëren. Nadat het ondersteuningsticket is voltooid, adverteert de beveiligde hub de standaard RFC 1918-adressen naar Azure VMware Solution en on-premises. Wanneer u de routeringsintentie van on-premises gebruikt, kunt u niet de exacte standaardADRESvoorvoegsels van RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) terug naar Azure adverteren. In plaats daarvan moet u altijd specifiekere routes adverteren.
In de volgende tabel ziet u de verkeersstroom van en naar Azure VMware Solution.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Azure VMware Solution | → ← |
On-premises | Ja |
| Azure VMware Solution | → ← |
Het internet | Ja |
| Azure VMware Solution | → ← |
Virtuele netwerken | Ja |
In de volgende tabel ziet u de verkeersstroom van en naar virtuele netwerken.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Virtuele netwerken | → ← |
On-premises | Ja |
| Virtuele netwerken | → ← |
Het internet | Ja |
| Virtuele netwerken | → ← |
Virtuele netwerken | Ja |
Ontwerp voor twee regio's met Global Reach
Wanneer u Global Reach in twee regio's gebruikt, implementeert u twee beveiligde hubs in verschillende regio's binnen uw Virtual WAN. U stelt ook twee Azure VMware Solution-privéclouds in afzonderlijke regio's in.
In het volgende diagram ziet u een voorbeeld van deze configuratie. Elke regionale Azure VMware Solution-privécloud maakt rechtstreeks verbinding met de lokale regionale hub (verbinding D). On-premises maakt verbinding met elke regionale hub (verbinding E). Al het RFC 1918-verkeer en internetverkeer routeert via een beveiligingsoplossing op beide beveiligde hubs via routeringsintentie. De privéclouds van Azure VMware Solution hebben weer verbinding met on-premises via Global Reach (verbindingen A en B). Azure VMware Solution-clouds maken verbinding met elkaar via Global Reach (verbinding C). Global Reach-verkeer tussen de privéclouds van Azure VMware Solution of tussen de privéclouds van Azure VMware Solution en on-premises omzeilt de twee hubfirewalls (verbindingen A, B en C). Gebruik NSX-T in Azure VMware Solution of een on-premises firewall om dit verkeer te controleren voor verbeterde beveiliging op global Reach-sites.
In de volgende tabel ziet u de verkeersstroom van en naar azure VMware Solution-privécloudregio 1.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Azure VMware Solution-privécloudregio 1 | → ← |
Virtueel netwerk 1 | Ja, via de hub 1-firewall |
| Azure VMware Solution-privécloudregio 1 | → ← |
Virtueel netwerk 2 | Ja, via de hub 1- en hub 2-firewalls |
| Azure VMware Solution-privécloudregio 1 | → ← |
Het internet | Ja, via de hub 1-firewall |
| Azure VMware Solution-privécloudregio 1 | → ← |
On-premises | Nee |
In de volgende tabel ziet u de verkeersstroom van en naar azure VMware Solution-privécloudregio 2.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Azure VMware Solution-privécloudregio 2 | → ← |
Virtueel netwerk 1 | Ja, via de hub 1- en hub 2-firewalls |
| Azure VMware Solution-privécloudregio 2 | → ← |
Virtueel netwerk 2 | Ja, via de hub 2-firewall |
| Azure VMware Solution-privécloudregio 2 | → ← |
Het internet | Ja, via de hub 2-firewall |
| Azure VMware Solution-privécloudregio 2 | → ← |
On-premises | Nee |
In de volgende tabel ziet u de verkeersstroom van en naar azure VMware Solution-privécloudregio 1 en regio 2.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Azure VMware Solution-privécloudregio 1 | → ← |
Azure VMware Solution-privécloudregio 2 | Nee |
In de volgende tabel ziet u de verkeersstroom van en naar virtuele netwerken.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Virtueel netwerk 1 | → ← |
On-premises | Ja, via de hub 1-firewall |
| Virtueel netwerk 1 | → ← |
Het internet | Ja, via de hub 1-firewall |
| Virtueel netwerk 1 | → ← |
Virtueel netwerk 2 | Ja, via de hub 1- en hub 2-firewalls |
| Virtueel netwerk 2 | → ← |
On-premises | Ja, via de hub 2-firewall |
| Virtueel netwerk 2 | → ← |
Het internet | Ja, via de hub 2-firewall |
Ontwerp voor twee regio's dat niet over Global Reach beschikt
Wanneer u Global Reach in twee regio's gebruikt, implementeert u twee beveiligde hubs in verschillende regio's binnen uw Virtual WAN. U stelt ook twee Azure VMware Solution-privéclouds in afzonderlijke regio's in.
In het volgende diagram ziet u een voorbeeld van deze configuratie. Elke regionale Azure VMware Solution-privécloud maakt rechtstreeks verbinding met de lokale regionale hub (verbinding D). On-premises maakt verbinding met elke regionale hub (verbinding E). Al het RFC 1918-verkeer en internetverkeer routeert via een beveiligingsoplossing op beide beveiligde hubs via routeringsintentie.
Virtuele hubs bieden standaard geen ondersteuning voor ExpressRoute naar ExpressRoute-transitiviteit. Als u deze transitiviteit wilt inschakelen, moet u een ondersteuningsticket initiëren. Nadat het ondersteuningsticket is voltooid, adverteren de beveiligde hubs de standaard RFC 1918-adressen naar Azure VMware Solution en on-premises. Raadpleeg beide regionale hubs wanneer u het ticket opent. Gebruik ExpressRoute naar ExpressRoute-transitiviteit, zodat privéclouds van Azure VMware Solution met elkaar kunnen communiceren via de Virtual WAN-interhub en de Azure VMware Solution-cloud kan communiceren met on-premises.
RFC 1918-adressen worden geadverteerd naar on-premises. U kunt de exacte standaard RFC 1918-adresvoorvoegsels (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) niet naar Azure adverteren. In plaats daarvan moet u altijd specifiekere routes adverteren.
In de volgende tabel ziet u de verkeersstroom van en naar azure VMware Solution-privécloudregio 1.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Azure VMware Solution-privécloudregio 1 | → ← |
Virtueel netwerk 1 | Ja, via de hub 1-firewall |
| Azure VMware Solution-privécloudregio 1 | → ← |
Virtueel netwerk 2 | Ja, via de hub 1- en hub 2-firewalls |
| Azure VMware Solution-privécloudregio 1 | → ← |
Het internet | Ja, via de hub 1-firewall |
| Azure VMware Solution-privécloudregio 1 | → ← |
On-premises | Ja, via de hub 1-firewall |
In de volgende tabel ziet u de verkeersstroom van en naar azure VMware Solution-privécloudregio 2.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Azure VMware Solution-privécloudregio 2 | → ← |
Virtueel netwerk 1 | Ja, via de hub 2-firewall |
| Azure VMware Solution-privécloudregio 2 | → ← |
Virtueel netwerk 2 | Ja, via de hub 1- en hub 2-firewalls |
| Azure VMware Solution-privécloudregio 2 | → ← |
Het internet | Ja, via de hub 2-firewall |
| Azure VMware Solution-privécloudregio 2 | → ← |
On-premises | Ja, via de hub 2-firewall |
In de volgende tabel ziet u de verkeersstroom van en naar azure VMware Solution-privécloudregio 1 en regio 2.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Azure VMware Solution-privécloudregio 1 | → ← |
Azure VMware Solution-privécloudregio 2 | Ja, via de hub 1- en hub 2-firewalls |
In de volgende tabel ziet u de verkeersstroom van en naar virtuele netwerken.
| Locatie 1 | Richting | Locatie 2 | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| Virtueel netwerk 1 | → ← |
On-premises | Ja, via de hub 1-firewall |
| Virtueel netwerk 1 | → ← |
Het internet | Ja, via de hub 1-firewall |
| Virtueel netwerk 1 | → ← |
Virtueel netwerk 2 | Ja, via de hub 1- en hub 2-firewalls |
| Virtueel netwerk 2 | → ← |
On-premises | Ja, via de hub 2-firewall |
| Virtueel netwerk 2 | → ← |
Het internet | Ja, via de hub 2-firewall |
Verwante resources
- Azure VMware Solution-ontwerp met één regio met Virtual WAN en Global Reach
- Azure VMware Solution-ontwerp met één regio dat geen Global Reach heeft
- Azure VMware Solution-ontwerp met twee regio's met Virtual WAN en Global Reach
- Azure VMware Solution-ontwerp met twee regio's dat geen Global Reach heeft