Een Azure VMware Solution-ontwerp met één regio gebruiken dat niet over Global Reach beschikt
In dit artikel worden aanbevolen procedures voor Azure VMware Solution in één regio beschreven wanneer u beveiligde Azure Virtual WAN gebruikt met routeringsintenties. Het biedt aanbevelingen voor connectiviteit en verkeersstroom voor het beveiligen van Virtual WAN met routeringsintentie. In dit artikel wordt de topologie beschreven voor ontwerpen in privéclouds van Azure VMware Solution, on-premises sites en azure-eigen resources wanneer u Azure ExpressRoute Global Reach niet gebruikt. De implementatie en configuratie van secure Virtual WAN met routeringsintentie vallen buiten het bereik van dit artikel.
Als u een regio gebruikt die Global Reach niet ondersteunt of als u een beveiligingsvereiste hebt om verkeer tussen Azure VMware Solution en on-premises in de hubfirewall te inspecteren, moet u een ondersteuningsticket openen om transitiviteit van ExpressRoute naar ExpressRoute mogelijk te maken. Virtual WAN biedt standaard geen ondersteuning voor ExpressRoute-naar-ExpressRoute-transitiviteit. Zie Transitconnectiviteit tussen ExpressRoute-circuits met routeringsintentie voor meer informatie.
Secure Virtual WAN gebruiken zonder Global Reach
Alleen de Virtual WAN Standard-SKU ondersteunt beveiligde Virtual WAN met routeringsintentie. Gebruik secure Virtual WAN met routeringsintentie om al het internetverkeer en het privénetwerkverkeer (RFC 1918) te verzenden naar een beveiligingsoplossing, zoals Azure Firewall, een niet-Microsoft-netwerk virtueel apparaat (NVA) of een SaaS-oplossing (Software as a Service).
De hub van dit scenario heeft de volgende configuratie:
Het netwerk met één regio heeft een Virtual WAN-exemplaar en één hub.
De hub heeft een Azure Firewall-exemplaar geïmplementeerd, waardoor het een beveiligde Virtual WAN-hub is.
Voor de beveiligde Virtual WAN-hub is routeringsintentie ingeschakeld.
Dit scenario bevat ook de volgende onderdelen:
Eén regio heeft een eigen Azure VMware Solution-privécloud en een virtueel Azure-netwerk.
Een on-premises site maakt verbinding met de hub.
Notitie
Als u niet-RFC 1918-voorvoegsels gebruikt in uw verbonden on-premises resources, virtuele netwerken of Azure VMware Solution, geeft u deze voorvoegsels op in het veld Voorvoegsels voor privéverkeer van de functie voor routeringsintentie. Voer samengevatte routes in het veld Voorvoegsels voor privéverkeer in om uw bereik te dekken. Voer niet het exacte bereik in dat naar Virtual WAN wordt geadverteerd, omdat deze specificatie kan leiden tot routeringsproblemen. Als het ExpressRoute-circuit bijvoorbeeld 192.0.2.0/24 van on-premises adverteert, voert u een CIDR-bereik (Classless Inter-Domain Routing) of groter in, bijvoorbeeld 192.0.2.0/23. Zie Routeringsintentie en beleid configureren via de Virtual WAN-portal voor meer informatie.
Notitie
Wanneer u Azure VMware Solution configureert met beveiligde Virtual WAN-hubs, stelt u de voorkeursoptie voor hubroutering in op AS-pad om optimale routeringsresultaten op de hub te garanderen. Zie routeringsvoorkeuren voor virtuele hubs voor meer informatie.
In het volgende diagram ziet u een voorbeeld van dit scenario.
In de volgende tabel wordt de topologieconnectiviteit in het voorgaande diagram beschreven.
| Connection | Beschrijving |
|---|---|
| D | Azure VMware Solution-privécloud-beheerde ExpressRoute-verbinding met de hub |
| E | On-premises ExpressRoute-verbinding met de hub |
Verkeersstromen voor Virtual WAN met één regio zonder Global Reach
In de volgende secties worden verkeersstromen en connectiviteit beschreven voor Azure VMware Solution, on-premises, virtuele Azure-netwerken en internet.
Azure VMware Solution-privécloudconnectiviteit en verkeersstromen
In het volgende diagram ziet u verkeersstromen voor een Azure VMware Solution-privécloud.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 1 | Azure VMware Solution-cloud | Virtueel netwerk | Ja |
| 2 | Azure VMware Solution-cloud | On-premises | Ja |
De privécloud van Azure VMware Solution heeft een ExpressRoute-verbinding met de hub (verbinding D).
Wanneer u ExpressRoute-naar-ExpressRoute-transitiviteit inschakelt op de beveiligde hub en u routeringsintentie inschakelt, verzendt de beveiligde hub de standaard RFC 1918-adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) naar Azure VMware Solution via verbinding D. Naast de standaard RFC 1918-adressen leert Azure VMware Solution meer specifieke routes van virtuele Azure-netwerken en vertakkingsnetwerken, zoals S2S VPN, P2S VPN en SD-WAN, die verbinding maken met de hub. Azure VMware Solution leert geen specifieke routes van on-premises netwerken. Om verkeer terug te sturen naar on-premises netwerken, gebruikt Azure VMware Solution de standaard RFC 1918-adressen die worden geleerd van verbinding D. Dit verkeer wordt verzonden via de hubfirewall. De hubfirewall gebruikt de specifieke routes voor on-premises netwerken om verkeer naar de bestemmingen via verbinding E te routeren. Verkeer dat van Azure VMware Solution naar virtuele netwerken gaat, gaat via de hubfirewall.
On-premises connectiviteit en verkeersstroom
In het volgende diagram ziet u verkeersstromen voor on-premises connectiviteit.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 3 | On-premises | Azure VMware Solution-cloud | Ja |
| 4 | On-premises | Virtueel netwerk | Ja |
De on-premises site maakt verbinding met de hub via ExpressRoute-verbinding E.
Wanneer u ExpressRoute inschakelt voor ExpressRoute-transitiviteit op de beveiligde hub en u routeringsintentie inschakelt, verzendt de beveiligde hub de standaard RFC 1918-adressen naar on-premises via verbinding E. Naast de standaard RFC 1918-adressen leert on-premises meer specifieke routes van virtuele Azure-netwerken en vertakkingsnetwerken die verbinding maken met de hub. On-premises leert geen specifieke routes van Azure VMware Solution-netwerken. Om verkeer terug te sturen naar Azure VMware Solution-netwerken, gebruikt Azure VMware Solution de standaard RFC 1918-adressen die worden geleerd van verbinding E. Dit verkeer wordt verzonden via de hubfirewall. De hubfirewall gebruikt de specifieke routes voor Azure VMware Solution-netwerken om verkeer naar de bestemmingen via verbinding D te routeren. Verkeer dat van on-premises naar virtuele netwerken gaat, gaat via de hubfirewall.
Wanneer u transitiviteit van ExpressRoute naar ExpressRoute inschakelt op de hub, worden de standaard RFC 1918-adressen naar uw on-premises netwerk verzonden. U moet dus niet de exacte RFC 1918-voorvoegsels weer naar Azure adverteren. Door dezelfde exacte routes te adverteren, ontstaan routeringsproblemen in Azure. In plaats daarvan moet u specifiekere routes naar Azure adverteren voor uw on-premises netwerken.
Notitie
Als u de standaard RFC 1918-adressen van on-premises naar Azure adverteert en deze praktijk wilt voortzetten, moet u elk RFC 1918-bereik splitsen in twee gelijke subbereiken en deze subbereiken weer naar Azure adverteren. De subbereiken zijn 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 en 192.168.128.0/17.
Virtuele Azure-netwerkconnectiviteit en verkeersstroom
In het volgende diagram ziet u verkeersstromen voor de connectiviteit van virtuele Azure-netwerken.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 5 | Virtueel netwerk | Azure VMware Solution-cloud | Ja |
| 6 | Virtueel netwerk | On-premises | Ja |
In dit scenario peert het virtuele netwerk rechtstreeks naar de hub. In het diagram ziet u hoe azure-eigen resources in het virtuele netwerk hun routes leren. Een beveiligde hub waarvoor routeringsintentie is ingeschakeld, verzendt de standaard RFC 1918-adressen naar gekoppelde virtuele netwerken. Systeemeigen Azure-resources in het virtuele netwerk leren geen specifieke routes van buiten hun virtuele netwerk. Wanneer u routeringsintentie inschakelt, beschikken alle resources in het virtuele netwerk over het standaard RFC 1918-adres en gebruikt u de hubfirewall als de volgende hop. Al het verkeer dat de virtuele netwerken binnenkomt en verlaat, gaat door de hubfirewall.
Verbinding met internet
In deze sectie wordt beschreven hoe u internetverbinding biedt voor systeemeigen Azure-resources in virtuele netwerken en privéclouds van Azure VMware Solution in één regio. Zie ontwerpoverwegingen voor internetconnectiviteit voor meer informatie. U kunt de volgende opties gebruiken om internetverbinding te bieden met Azure VMware Solution.
- Optie 1: door Azure gehoste internetservice
- Optie 2: Azure VMware Solution-managed Source Network Address Translation (SNAT)
- Optie 3: Openbaar IPv4-adres van Azure naar de edge van het NSX-T-datacentrum
Een beveiligd Virtual WAN-ontwerp met één regio dat routeringsintentie ondersteunt alle opties, maar we raden optie 1 aan. In het scenario verderop in dit artikel wordt optie 1 gebruikt om internetverbinding te bieden. Optie 1 werkt het beste met beveiligd Virtual WAN, omdat het eenvoudig is om te controleren, implementeren en beheren.
Wanneer u routeringsintentie inschakelt op de beveiligde hub, wordt RFC 1918 geadverteerd naar alle gekoppelde virtuele netwerken. Maar u kunt ook een standaardroute 0.0.0.0/0 adverteren voor internetconnectiviteit met downstreambronnen. Wanneer u een routeringsintentie gebruikt, kunt u een standaardroute genereren vanuit de hubfirewall. Deze standaardroute adverteert naar uw virtuele netwerk en naar Azure VMware Solution.
Azure VMware Solution en internetconnectiviteit voor virtuele netwerken
Wanneer u routeringsintentie inschakelt voor internetverkeer, wordt de beveiligde Virtual WAN-hub standaard niet geadverteerd met de standaardroute tussen ExpressRoute-circuits. Om ervoor te zorgen dat de standaardroute wordt doorgegeven aan Azure VMware Solution vanuit Virtual WAN, moet u het doorgeven van standaardroute inschakelen op uw Azure VMware Solution ExpressRoute-circuits. Zie Standaardroute 0.0.0.0.0/0 adverteren naar eindpunten voor meer informatie.
In het volgende diagram ziet u verkeersstromen voor het virtuele netwerk en de internetverbinding van Azure VMware Solution.
In de volgende tabel wordt de verkeersstroom in het voorgaande diagram beschreven.
| Verkeersstroomnummer | Bron | Doel | Inspecteert de beveiligde Firewall van de Virtual WAN-hub dit verkeer? |
|---|---|---|---|
| 7 | Virtueel netwerk | Het internet | Ja |
| 8 | Azure VMware Solution-cloud | Het internet | Ja |
Nadat u het doorgeven van standaardroute hebt ingeschakeld, adverteert verbinding D de standaardroute 0.0.0.0/0 vanaf de hub. Schakel deze instelling niet in voor on-premises ExpressRoute-circuits. U wordt aangeraden een BGP-filter (Border Gateway Protocol) te implementeren op uw on-premises apparatuur. Een BGP-filter voorkomt dat resources per ongeluk de standaardroute leren, een extra voorzorgslaag toevoegen en ervoor zorgen dat uw configuratie geen invloed heeft op de on-premises internetverbinding.
Wanneer u de routeringsintentie voor internettoegang inschakelt, wordt de standaardroute die wordt gegenereerd vanuit de beveiligde Virtual WAN-hub automatisch geadverteerd naar de hub-peering van virtuele netwerkverbindingen. Houd er rekening mee dat in de NIC's van de virtuele machines in het virtuele netwerk de volgende hop 0.0.0.0/0 de hubfirewall is. Als u de volgende hop wilt vinden, selecteert u Effectieve routes in de NIC.
VMware HCX Mobility Optimized Networking (MON) gebruiken zonder Global Reach
U kunt HCX Mobility Optimized Networking (MON) inschakelen wanneer u de HCX-netwerkextensie gebruikt. MON biedt optimale verkeersroutering in bepaalde scenario's om te voorkomen dat netwerken elkaar overlappen of herhalen tussen de on-premises en cloudresources op uitgebreide netwerken.
Uitgaand verkeer van Azure VMware Solution
Wanneer u MON inschakelt voor een specifiek uitgebreid netwerk en een virtuele machine, verandert de verkeersstroom. Nadat u MON hebt geïmplementeerd, wordt uitgaand verkeer van de virtuele machine niet teruggezet naar on-premises. In plaats daarvan wordt de IPSec-tunnel van de netwerkextensie omzeild. Verkeer voor de virtuele machine verlaat de Azure VMware Solution NSX-T Tier-1-gateway, gaat naar de NSX-T Tier-0-gateway en gaat vervolgens naar Virtual WAN.
Inkomend verkeer naar Azure VMware Solution
Wanneer u MON inschakelt voor een specifiek uitgebreid netwerk en een virtuele machine, introduceert u de volgende wijzigingen. Van Azure VMware Solution NSX-T injecteert MON een /32-hostroute terug naar Virtual WAN. Virtual WAN adverteert deze /32-route terug naar on-premises, virtuele netwerken en vertakkingsnetwerken. Deze /32-hostroute zorgt ervoor dat verkeer van on-premises, virtuele netwerken en vertakkingsnetwerken de IPSec-tunnel van de netwerkextensie niet gebruikt wanneer het verkeer naar de virtuele machine met MON-functionaliteit gaat. Verkeer van bronnetwerken gaat rechtstreeks naar de virtuele machine met MON omdat deze de /32-route leert.
HCX MON-beperking voor beveiligde Virtual WAN zonder Global Reach
Wanneer u ExpressRoute-naar-ExpressRoute-transitiviteit inschakelt op de beveiligde hub en u routeringsintentie inschakelt, verzendt de beveiligde hub de standaard RFC 1918-adressen naar zowel on-premises als Azure VMware Solution. Naast de standaard RFC 1918-adressen, leren zowel on-premises als Azure VMware Solution meer specifieke routes van virtuele Azure-netwerken en vertakkingsnetwerken die verbinding maken met de hub.
Maar on-premises netwerken leren geen specifieke routes van Azure VMware Solution en Azure VMware Solution leert geen specifieke routes van on-premises netwerken. In plaats daarvan zijn beide omgevingen afhankelijk van de standaard RFC 1918-adressen om routering naar elkaar te vergemakkelijken via de hubfirewall. Daarom adverteren meer specifieke routes, zoals MON-hostroutes, niet van de Azure VMware Solution ExpressRoute naar het on-premises ExpressRoute-circuit. Het omgekeerde is ook waar. Het onvermogen om specifieke routes te leren introduceert asymmetrische verkeersstromen. Verkeer leidt Azure VMware Solution via de NSX-T Tier-0-gateway, maar retourneert verkeer van on-premises retourneert via de IPSec-tunnel van de netwerkextensie.
De asymmetrie van het verkeer corrigeren
Als u de asymmetrie van verkeer wilt corrigeren, moet u de MON-beleidsroutes aanpassen. Mon-beleidsroutes bepalen welk verkeer via een L2-extensie teruggaat naar de on-premises gateway. Ze bepalen ook welk verkeer via de Azure VMware Solution NSX Tier-0-gateway gaat.
Als een doel-IP overeenkomt en u deze instelt op toestaan in de MON-beleidsconfiguratie, worden er twee acties uitgevoerd. Eerst identificeert het systeem het pakket. Ten tweede verzendt het systeem het pakket naar de on-premises gateway via het netwerkextensieapparaat.
Als een doel-IP niet overeenkomt of als u deze instelt op weigeren in het MON-beleid, verzendt het systeem het pakket naar de Azure VMware Solution Tier-0-gateway voor routering.
In de volgende tabel worden HCX-beleidsroutes beschreven.
| Netwerk | Omleiden naar peer | Notitie |
|---|---|---|
| Adresruimte van virtueel Azure-netwerk | Weigeren | Neem expliciet de adresbereiken op voor al uw virtuele netwerken. Verkeer dat is bedoeld voor Azure, leidt uitgaand via Azure VMware Solution en keert niet terug naar het on-premises netwerk. |
| Standaard RFC 1918-adresruimten | Toestaan | Voeg de standaard RFC 1918-adressen toe. Deze configuratie zorgt ervoor dat verkeer dat niet voldoet aan de voorgaande criteria, wordt teruggeleid naar het on-premises netwerk. Als uw on-premises installatie gebruikmaakt van adressen die geen deel uitmaken van RFC 1918, moet u deze bereiken expliciet opnemen. |
| Adresruimte 0.0.0.0/0 | Weigeren | Adressen die niet door RFC 1918 worden behandeld, zoals internetrouteerbare IP-adressen of verkeer dat niet overeenkomt met de opgegeven vermeldingen, sluit rechtstreeks af via de Azure VMware Solution en leidt niet terug naar het on-premises netwerk. |