Een Azure VMware Solution-ontwerp met één regio gebruiken met Virtual WAN en Global Reach
In dit artikel worden aanbevolen procedures voor Azure VMware Solution in één regio beschreven wanneer u beveiligde Azure Virtual WAN gebruikt met routeringsintenties. Het biedt aanbevelingen voor connectiviteit en verkeersstromen voor het beveiligen van Virtual WAN met routeringsintentie en Azure ExpressRoute Global Reach. In dit artikel worden de topologie voor ontwerpen in privéclouds van Azure VMware Solution, on-premises sites en azure-eigen resources beschreven. De implementatie en configuratie van secure Virtual WAN met routeringsintentie vallen buiten het bereik van dit artikel.
Secure Virtual WAN in één regio gebruiken
Alleen de Virtual WAN Standard-SKU ondersteunt beveiligde Virtual WAN met routeringsintentie. Gebruik beveiligd Virtual WAN met routeringsintentie om al het internetverkeer en privénetwerkverkeer te verzenden naar een beveiligingsoplossing, zoals Azure Firewall, een niet-Microsoft-netwerk virtueel apparaat (NVA) of een SaaS-oplossing (Software as a Service). U moet een beveiligde Virtual WAN-hub hebben als u de routeringsintentie gebruikt.
Notitie
Wanneer u Azure VMware Solution configureert met beveiligde Virtual WAN-hubs, stelt u de voorkeursoptie voor hubroutering in op AS-pad om optimale routeringsresultaten op de hub te garanderen. Zie routeringsvoorkeuren voor virtuele hubs voor meer informatie.
De hub van dit scenario heeft de volgende configuratie:
Het netwerk met één regio heeft een Virtual WAN-exemplaar en één hub.
De hub heeft een Azure Firewall-exemplaar geïmplementeerd, waardoor het een beveiligde Virtual WAN-hub is.
Voor de beveiligde Virtual WAN-hub is routeringsintentie ingeschakeld.
Dit scenario bevat ook de volgende onderdelen:
Eén regio heeft een eigen Azure VMware Solution-privécloud en een virtueel Azure-netwerk.
Een on-premises site maakt verbinding met de hub.
De omgeving heeft Global Reach-connectiviteit.
Global Reach brengt een directe logische koppeling tot stand via de Microsoft-backbone, die Azure VMware Solution verbindt met on-premises.
Global Reach-verbindingen worden niet door de hubfirewall verzonden. Global Reach-verkeer dat beide manieren tussen on-premises en Azure VMware Solution gaat, wordt dus niet geïnspecteerd.
Notitie
Als u de beveiliging tussen Global Reach-sites wilt verbeteren, kunt u overwegen om verkeer binnen de NSX-T van de Azure VMware Solution-omgeving of een on-premises firewall te inspecteren.
In het volgende diagram ziet u een voorbeeld van dit scenario.
In de volgende tabel wordt de topologieconnectiviteit in het voorgaande diagram beschreven.
| Connection | Beschrijving |
|---|---|
| D | Azure VMware Solution-privécloud-beheerde ExpressRoute-verbinding met de hub |
| A | Azure VMware Solution Global Reach-verbinding met on-premises |
| E | On-premises ExpressRoute-verbinding met de hub |
Virtuele WAN-verkeersstromen met één regio beveiligen
In de volgende secties worden verkeersstromen en connectiviteit beschreven voor Azure VMware Solution, on-premises, virtuele Azure-netwerken en internet.
Azure VMware Solution-privécloudconnectiviteit en verkeersstromen
In het volgende diagram ziet u de verkeersstromen voor de azure VMware Solution-privécloud.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 1 | Azure VMware Solution-cloud | Virtueel netwerk | Ja |
| 2 | Azure VMware Solution-cloud | On-premises | Nee |
De Azure VMware Solution-privécloud maakt verbinding met de hub via ExpressRoute-verbinding D. De Azure VMware Solution-cloudregio brengt een verbinding tot stand met on-premises via ExpressRoute Global Reach-verbinding A. Verkeer dat via Global Reach wordt verzonden, gaat niet door de hubfirewall.
Configureer Global Reach voor uw scenario om verbindingsproblemen tussen on-premises en Azure VMware Solution te voorkomen.
On-premises connectiviteit en verkeersstroom
In het volgende diagram ziet u dat de on-premises site de hub heeft verbonden via ExpressRoute-verbinding E. On-premises systemen kunnen communiceren met Azure VMware Solution via de Global Reach-verbinding A.
Configureer Global Reach voor uw scenario om verbindingsproblemen tussen on-premises en Azure VMware Solution te voorkomen.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 3 | On-premises | Azure VMware Solution-cloud | Nee |
| 4 | On-premises | Virtueel netwerk | Ja |
Virtuele Azure-netwerkconnectiviteit en verkeersstroom
Een beveiligde hub waarvoor routeringsintentie is ingeschakeld, verzendt de standaard RFC 1918-adressen (10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16) naar gekoppelde virtuele netwerken, samen met eventuele andere voorvoegsels die als voorvoegsels voor privéverkeer worden toegevoegd. Zie voorvoegsels voor privéadressen voor routeringsintenties voor meer informatie. In dit scenario is routeringsintentie ingeschakeld, dus alle resources in het virtuele netwerk beschikken over de standaard RFC 1918-adressen en gebruiken de hubfirewall als de volgende hop. Al het verkeer dat het virtuele netwerk binnenkomt en verlaat, gaat door de hubfirewall.
In het volgende diagram ziet u hoe het virtuele netwerk rechtstreeks naar de hub peert.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 5 | Virtueel netwerk | Azure VMware Solution-cloud | Ja |
| 6 | Virtueel netwerk | Azure VMware Solution-cloud | Ja |
Verbinding met internet
In deze sectie wordt beschreven hoe u internetverbinding biedt met systeemeigen Azure-resources in een virtueel netwerk en in een azure VMware Solution-privécloud. Zie ontwerpoverwegingen voor internetconnectiviteit voor meer informatie. U kunt de volgende opties gebruiken om internetverbinding te bieden met Azure VMware Solution.
- Optie 1: door Azure gehoste internetservice
- Optie 2: Azure VMware Solution-managed Source Network Address Translation (SNAT)
- Optie 3: Openbaar IPv4-adres van Azure naar de edge van het NSX-T-datacentrum
Een beveiligd Virtual WAN-ontwerp met één regio dat routeringsintentie ondersteunt alle opties, maar we raden optie 1 aan. In het scenario verderop in dit artikel wordt optie 1 gebruikt om internetverbinding te bieden. Optie 1 werkt het beste met beveiligd Virtual WAN, omdat het eenvoudig is om te controleren, implementeren en beheren.
Wanneer u een routeringsintentie gebruikt, kunt u een standaardroute genereren vanuit de hubfirewall. Deze standaardroute adverteert naar uw virtuele netwerk en naar Azure VMware Solution.
Azure VMware Solution en internetconnectiviteit voor virtuele netwerken
Wanneer u routeringsintentie inschakelt voor internetverkeer, wordt de beveiligde Virtual WAN-hub standaard niet geadverteerd met de standaardroute tussen ExpressRoute-circuits. Om ervoor te zorgen dat de standaardroute wordt doorgegeven aan Azure VMware Solution vanuit Virtual WAN, moet u het doorgeven van standaardroute inschakelen op uw Azure VMware Solution ExpressRoute-circuits. Zie Standaardroute 0.0.0.0.0/0 adverteren naar eindpunten voor meer informatie.
Nadat u het doorgeven van standaardroute hebt ingeschakeld, adverteert verbinding D de standaardroute 0.0.0.0/0 vanaf de hub. Schakel deze instelling niet in voor on-premises ExpressRoute-circuits. Connection D adverteert de standaardroute 0.0.0.0/0 naar Azure VMware Solution, maar Global Reach (verbinding A) adverteert ook de standaardroute naar on-premises. Als gevolg hiervan raden we u aan om een BGP-filter (Border Gateway Protocol) te implementeren op uw on-premises apparatuur, zodat de standaardroute niet wordt geleerd. Deze stap helpt ervoor te zorgen dat uw configuratie geen invloed heeft op de on-premises internetverbinding.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 7 | Azure VMware Solution-cloud | Het internet | Ja |
| 8 | Virtueel netwerk | Het internet | Ja |
Wanneer u de routeringsintentie voor internettoegang inschakelt, wordt de standaardroute die wordt gegenereerd vanuit de beveiligde Virtual WAN-hub automatisch geadverteerd naar de hub-peering van virtuele netwerkverbindingen. Houd er rekening mee dat in de netwerkinterfacekaarten (NIC's) van de virtuele machines in het virtuele netwerk de volgende hop 0.0.0.0/0 de hubfirewall is. Als u de volgende hop wilt vinden, selecteert u Effectieve routes in de NIC.