Delen via

Connectiviteit vanuit Azure VMware Solution inschakelen

  • Artikel

Introductie

In dit ontwerppatroon heeft verkeer een toegewezen pad over de Microsoft-backbone van het on-premises datacenter naar de AVS-privécloud (Azure VMware Solution). Deze verbinding vindt plaats via Expressroute Global Reach, een mechanisme dat een direct pad levert tussen de door de klant beheerde systemen die vervolgens verbinding kunnen maken met de AVS-toegewezen Expressroute-circuits. De privécloud heeft ook een afzonderlijke, geïsoleerde break-out van de NSX Edge naar internet, zodat dit verkeer niet via de Expressroute loopt.

Azure VMware Solution met Global Reach naar on-premises en een aparte breakout voor het internet met openbare AVS-IP

Belangrijk

Als u zich momenteel in een regio bevindt waar Global Reach niet wordt ondersteund, is de overdracht van on-premises naar de AVS-privécloud mogelijk door een Expressroute-gateway in Azure te implementeren. Om de transitiviteit end-to-end te leveren, is een virtueel apparaat in het Hub Virtual Network (VNET) nodig. Zie de sectie Verkeersinspectie & Advertentie van standaardroute.

Klantprofiel

Deze architectuur is ideaal voor:

  • Vanuit de Azure VMware Solution SDDC (softwaregedefinieerde datacenters) systeemeigen uitgaande verbinding met lage latentie naar het internet.
  • Verkeer van on-premises rechtstreeks naar Azure sturen via Expressroute of VPN.
  • Inkomende L4/L7-services voor workloads in de SDDC, zoals HTTPS

Het verkeer, dat door de AVS NSX-routers loopt, die in dit ontwerp wordt behandeld, omvat:

  • Azure VMware Solution naar systeemeigen virtuele Azure-netwerken
  • Azure VMware Solution met het internet
  • Azure VMware Solution voor gebruik met on-premises datacenters

Architectuuronderdelen

Implementeer dit scenario met:

  • Een NSX Geavanceerde Load Balancer
  • Openbaar IP-adres voor internettoegang vanuit Azure VMware Solution voor zowel bron- als doeladresvertaling (SNAT/DNAT)

Notitie

Hoewel NSX Advanced load balancer (Avi) binnenkomende mogelijkheden rechtstreeks binnen NSX biedt, is deze functionaliteit ook mogelijk met WAF of App Gateway v2 in Azure.

Belangrijke beslissing

Dit document gaat ervan uit en beveelt aan om standaardroute-advertenties van on-premises of AVS te gebruiken. Als u de standaardroute nodig hebt die afkomstig is van Azure, raadpleegt u de sectie Traffic Inspection & Default Route Advertisement.

Overwegingen

  • Schakel openbaar IP-adres in op de NSX Edge in Azure Portal. Hierdoor kunnen directe verbindingen met lage latentie met Azure VMware Solution worden gemaakt en kan het aantal uitgaande verbindingen worden geschaald.
  • Pas de toepassing van het aanmaken van regels voor de NSX-firewall toe.
  • Gebruik de NSX Advanced load balancer om verkeer gelijkmatig te verdelen over workloads.
  • Schakel Overstromingsbescherming (Gedistribueerd en gateway) in.

Afvoer van gegevens uit AVS via NSX-T of NVA

Dekking van verkeersinspectie Aanbevolen oplossingsontwerp Overwegingen Internetonderbreking
- Inkomend verkeer via internet
- Uitgaand internetverkeer
- Verkeer naar on-premises datacenter
- Verkeer naar Azure Virtual Network
- Verkeer binnen Azure VMware Solution
Gebruik NSX-T of een NVA-firewall van derden in Azure VMware Solution.

Gebruik NSX-T Advanced Load Balancer voor HTTPs of NSX-T Firewall voor niet-HTTP/S-verkeer.

openbare IP-adressen voor internetuitbraak van Azure VMware Solution, SNAT en DNAT.		 Kies deze optie om de 0.0.0.0/0 route te adverteren vanuit de Azure VMware Solution-privécloud.

Publiek IP-adres inschakelen tot aan de NSX Edge in Azure Portal. Met deze optie kunt u verbindingen met lage latentie naar Azure uitvoeren en het aantal uitgaande verbindingen schalen.		 Azure VMware Solution

Uitgaand verkeer van Azure VMware Solution via de 0.0.0.0/0-advertentie vanuit de on-premises infrastructuur

Dekking van verkeersinspectie Aanbevolen oplossingsontwerp Overwegingen Internetonderbreking
- Inkomend verkeer via internet
- Uitgaand internetverkeer
- Naar een on-premises datacenter		 Gebruik een on-premises virtueel apparaat

. Voor HTTP/S-verkeer, gebruik NSX Advanced Load Balancer of Application Gateway in Azure. Gebruik de NSX Distributed Firewall voor niet-HTTP/S-verkeer.

openbare IP inschakelen in Azure VMware Solution.		 Kies deze optie om de 0.0.0.0/0 route vanuit on-premises datacenters te adverteren. On-premises

Belangrijk

Sommige traditionele VMware-apparaten gebruiken service-invoeging om apparaten op de laag-0-router te plaatsen. De tier-0-routers worden ingericht en beheerd door Microsoft en kunnen niet worden gebruikt door eindgebruikers. Alle netwerkapparaten en load balancers moeten op laag-1 worden geplaatst. In de volgende sectie wordt de standaarddoorgifte van routes van een apparaat van derden in AVS besproken.

NVA-integratie van derden in AVS

Integratie met apparaten van derden is mogelijk met zorgvuldige overwegingen. In dit ontwerp bevinden de NVA('s) van derden zich achter een of meer T-1-randrouters.

Het is de verantwoordelijkheid van de gebruikers om een licentie te gebruiken en alle mogelijkheden voor hoge beschikbaarheid te implementeren die systeemeigen zijn voor het apparaat.

Houd rekening met de limieten bij het kiezen van deze implementatie. Er is bijvoorbeeld een limiet van maximaal acht virtuele netwerkinterfacekaarten (NIC's) op een virtuele machine. Zie voor meer informatie over het plaatsen van NVA's in AVS: NSX-T firewall-patronen

Notitie

Microsoft biedt geen ondersteuning voor het gebruik van geoptimaliseerde netwerken van Mobility wanneer NVA's van derden worden gebruikt.

Overwegingen voor landingszones

In deze sectie wordt verwezen naar aanbevolen procedures voor het integreren van AVS met uw Azure Landing Zone.

Azure Route Server

Azure Route Server (ARS) wordt gebruikt om geleerde routes van AVS dynamisch door te geven en Branch-to-Branch-connectiviteit met VPN Gateways te leveren. VNET's die zijn gekoppeld aan het VNET waar ARS zich bevindt, leren ook dynamisch de routes, zodat u routes van AVS naar Hub and Spoke-omgevingen in Azure kunt leren. Gebruiksvoorbeelden voor Azure Route Server zijn:

Dynamische routedoorgifte:

  • Leer specifieke routes van AVS naar lokale VNET's via BGP (Border Gateway Protocol). De gekoppelde VNET's kunnen vervolgens ook de routes leren.
  • NVA-integratie van derden
    • Peer ARS met NVA's, zodat u geen UDR's nodig hebt voor elk AVS-segment om verkeer te filteren.
    • Retourverkeer van gekoppelde VNET's heeft een UDR (door de gebruiker gedefinieerde routes) nodig naar de lokale interface van de firewall
  • Transitmechanisme van Expressroute naar VPN Gateways
  • De VPN-gateway moet van het type site-to-site zijn en in Active-Active geconfigureerd zijn.

Als u Azure Route Server wilt gebruiken, moet u het volgende doen:

  • Vertakking naar vertakking inschakelen

  • Gebruik routesamenvatting voor > 1000 routes of gebruik de NO_ADVERTISE BGP communities vlag in de veelgestelde vragen over Azure Route Server

  • Peer NVA met specifieke, niet-Azure ASNs. Omdat ARS bijvoorbeeld 65515 gebruikt, kan geen ander apparaat in het VNET dat ASN (Autonoom systeemnummer) gebruiken.

  • Geen ondersteuning voor IPV6

Integratie met Azure NetApp Files

Azure NetApp Files (ANF) biedt u een gegevensarchief met netwerkkoppeling via het NFS-protocol. ANF bevindt zich in een Azure-VNET en maakt verbinding met workloads in AVS. Door NFS-gegevensarchieven te gebruiken die worden ondersteund door Azure NetApp Files, kunt u uw opslag uitbreiden in plaats van de clusters te schalen.

  • Azure NetApp Files-volumes maken met behulp van Standard-netwerkfuncties om geoptimaliseerde connectiviteit vanuit uw AVS-privécloud mogelijk te maken via ExpressRoute FastPath
  • ANF implementeren in een gedelegeerd subnet
  • Hub & Spoke-implementatie ondersteunt ER GW-SKU van maximaal 10 Gbps
  • Ultra & ErGw3AZ-SKU is vereist voor het omzeilen van de poortsnelheidslimieten van de gateway
  • Leesverkeer komt binnen en schrijfverkeer gaat naar buiten via de Expressroute. Uitgaand verkeer via Expressroute-circuits omzeilt de gateway en gaat rechtstreeks naar de randrouter
  • Kosten voor inkomend/uitgaand verkeer worden onderdrukt door AVS, maar er worden kosten voor uitgaand verkeer in rekening gebracht als gegevens via gekoppelde VNET's worden verzonden.
  • Gebruik een toegewezen ExpressRoute-gateway voor Azure Netapp Files en gebruik geen gedeelde/gecentraliseerde ExpressRoute-gateway.
  • Plaats geen firewall of NVA in het gegevenspad tussen Azure NetApp Files en Azure VMware Solution.
  • Momenteel wordt alleen NFS v3 ondersteund.

Als u onverwachte latentie ziet, moet u ervoor zorgen dat uw AVS-privécloud en ANF-implementatie zijn vastgemaakt aan dezelfde AZ (Azure-beschikbaarheidszones). Voor hoge beschikbaarheid maakt u ANF-volumes in afzonderlijke beschikbaarheidszones en schakelt u Cross Zone Replication in.

Belangrijk

Microsoft biedt geen ondersteuning voor Fastpath voor beveiligde Azure VWAN-hub, waarbij de maximale poortsnelheid 20 Gbps is. Overweeg het gebruik van hub & spoke-VNET's als grotere doorvoer is vereist. Zie hier hoe u Azure Netapp Files-gegevensarchieven koppelt aan Azure VMware Solution-hosts

VPN-connectiviteit vanaf on-premises

Hoewel een Expressroute-circuit wordt aanbevolen, is het ook mogelijk om vanuit on-premises verbinding te maken met AVS met IPSEC met behulp van een VNET van de transithub in Azure. Voor dit scenario is een VPN-gateway en Azure Route Server vereist. Zoals eerder is beschreven, maakt Azure Route Server transitiviteit mogelijk tussen de VPN-gateway en de AVS Expressroute-gateway.

Azure VMware Solution met transit tussen Expressroute en on-premises VPN Gateway

Verkeersinspectie

Zoals eerder gezien, vindt standaardroute-advertentie plaats van AVS met het openbare IP-adres naar de NSX Edge-optie, maar het is ook mogelijk om de standaardroute vanaf on-premises te adverteren. End-to-end-verkeer filteren van on-premises naar AVS is mogelijk met de firewall die op een van deze eindpunten is geplaatst.

Azure VMware Solution met verkeersinspectie in Azure met virtueel netwerkapparaat van derden

Standaardroute-aankondiging van Azure is mogelijk met een NVA van derden in een Hub-VNET of bij gebruik van Azure vWAN. In een hub- en spoke-implementatie is Azure Firewall niet mogelijk omdat er geen BGP wordt uitgesproken, maar u kunt een apparaat van derden gebruiken dat geschikt is voor BGP. Dit scenario werkt voor het inspecteren van verkeer vanaf:

  • Van lokaal naar Azure
  • Azure naar internet
  • AVS naar internet
  • AVS naar Azure

Een NVA van derden in het hub-VNet inspecteert verkeer tussen AVS en internet en tussen AVS en Azure VNets

Vereisten voor verkeersinspectie Aanbevolen oplossingsontwerp Overwegingen Internetonderbreking
- Inkomend verkeer via internet
- Uitgaand internetverkeer
- Naar on-premises datacenter
- Naar Azure Virtual Network		 Gebruik firewalloplossingen van derden in een virtueel hubnetwerk met Azure Route Server.

Voor HTTP/S-verkeer gebruikt u Azure Application Gateway. Gebruik een NVA van derden in Azure voor niet-HTTP/S-verkeer.

Gebruik een on-premises NVA-firewall van derden.

firewalloplossingen van derden implementeren in een virtueel hubnetwerk met Azure Route Server.		 Kies deze optie om de 0.0.0.0/0 route te adverteren van een NVA in uw virtuele Azure Hub-netwerk naar een Azure VMware Solution. Azuur

Aanvullende informatie

  • Toegang tot vCenter met behulp van Bastion + Jumpbox-VM: als u vCenter vanaf on-premises opent, moet u een route van uw on-premises netwerken naar het AVS-beheernetwerk /22 hebben. Valideer de route in CLI door Test-NetConnection x.x.x.2 -port 443 te typen.
  • DNS-overwegingen: als u privé-eindpunten gebruikt, volgt u de richtlijnen die hier worden beschreven: DNS-configuratie van Azure-privé-eindpunt | Microsoft Learn

Azure VMware Solution-abonnement en resourcegroeporganisatie

Volgende stappen

Bekijk vervolgens andere ontwerppatronen voor het tot stand brengen van connectiviteit met de Azure VMware Solution

netwerktopologie voor meerdere regio's