Korzystanie z projektu rozwiązania Azure VMware Solution z dwoma regionami z usługą Virtual WAN i Global Reach
W tym artykule opisano najlepsze rozwiązania dotyczące łączności, przepływów ruchu i wysokiej dostępności podczas wdrażania rozwiązania Azure VMware Solution w dwóch regionach. Zawiera ona wskazówki dotyczące zabezpieczania usługi Azure Virtual WAN z intencją routingu i usługą Azure ExpressRoute Global Reach. W tym artykule opisano usługę Virtual WAN z topologią intencji routingu dla chmur prywatnych usługi Azure VMware Solution, lokacji lokalnych i zasobów natywnych dla platformy Azure.
Implementacja i konfiguracja bezpiecznej usługi Virtual WAN z intencją routingu wykraczają poza zakres tego artykułu. W tym artykule założono, że masz podstawową wiedzę na temat usługi Virtual WAN i bezpiecznej wirtualnej sieci WAN z intencją routingu.
Używanie bezpiecznej usługi Virtual WAN i global Reach w dwóch regionach
Tylko jednostka SKU usługi Virtual WAN w warstwie Standardowa obsługuje bezpieczną usługę Virtual WAN z intencją routingu. Użyj bezpiecznej wirtualnej sieci WAN z intencją routingu, aby wysyłać cały ruch internetowy i ruch prywatny do rozwiązania zabezpieczeń, takiego jak usługa Azure Firewall, wirtualne urządzenie sieciowe innej firmy niż Microsoft lub rozwiązanie typu oprogramowanie jako usługa (SaaS). Jeśli używasz intencji routingu, musisz mieć bezpieczne centrum usługi Virtual WAN.
Centrum tego scenariusza ma następującą konfigurację:
Sieć z dwoma regionami ma jedną usługę Virtual WAN i dwa koncentratory. Każdy region ma jedno centrum.
Każde centrum ma wdrożone własne wystąpienie usługi Azure Firewall, co czyni je bezpiecznymi koncentratorami usługi Virtual WAN.
Bezpieczne koncentratory usługi Virtual WAN mają włączoną intencję routingu.
Ten scenariusz ma również następujące składniki:
Każdy region ma własną chmurę prywatną rozwiązania Azure VMware Solution i sieć wirtualną platformy Azure.
Lokacja lokalna łączy się z obydwoma regionami.
Środowisko ma łączność Global Reach.
Usługa Global Reach ustanawia bezpośredni link logiczny za pośrednictwem sieci szkieletowej firmy Microsoft, która łączy rozwiązanie Azure VMware Solution z chmurami lokalnymi lub regionalnymi chmurami prywatnymi usługi Azure VMware Solution.
Połączenia Global Reach nie są przesyłane przez zapory koncentratora. W związku z tym ruch Global Reach między lokacjami nie jest sprawdzany.
Uwaga
Aby zwiększyć bezpieczeństwo między lokacjami usługi Global Reach, rozważ sprawdzenie ruchu w środowisku NSX-T rozwiązania Azure VMware Lub zapory lokalnej.
Na poniższym diagramie przedstawiono przykład tego scenariusza.
W poniższej tabeli opisano łączność topologii na powyższym diagramie.
| Connection | opis |
|---|---|
| A | Połączenie Global Reach z regionem 1 rozwiązania Azure VMware Solution z powrotem do środowiska lokalnego |
| B | Połączenie Global Reach z regionem 2 usługi Azure VMware Solution z powrotem do środowiska lokalnego |
| C | Połączenie Global Reach rozwiązania Azure VMware Solution między obwodami zarządzanymi dwóch chmur prywatnych |
| D | Połączenie chmury prywatnej usługi Azure VMware Solution z lokalnym koncentratorem regionalnym |
| E | Łączność lokalna za pośrednictwem usługi ExpressRoute z obydwoma centrami regionalnymi |
| Interhub | Połączenie logiczne między usługami Interhub między dwoma koncentratorami wdrożonym w ramach tej samej usługi Virtual WAN |
Uwaga
Podczas konfigurowania rozwiązania Azure VMware Solution z bezpiecznymi koncentratorami usługi Virtual WAN ustaw opcję preferencji routingu koncentratora na ścieżkę AS, aby zapewnić optymalne wyniki routingu w centrum. Aby uzyskać więcej informacji, zobacz Preferencje routingu koncentratora wirtualnego.
Bezpieczne przepływy ruchu usługi Virtual WAN w dwóch regionach
W poniższych sekcjach opisano przepływy ruchu i łączność dla usługi Azure VMware Solution, lokalnych, sieci wirtualnych platformy Azure i Internetu podczas korzystania z usługi Global Reach.
Łączność między regionami i przepływy ruchu w chmurze prywatnej rozwiązania Azure VMware Solution
Na poniższym diagramie przedstawiono przepływy ruchu dla dwóch chmur prywatnych usługi Azure VMware Solution w dwóch regionach.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 1 | Region chmury usługi Azure VMware Solution 1 | Sieć wirtualna 1 | Tak, za pośrednictwem zapory koncentratora 1 |
| 2 | Region chmury usługi Azure VMware Solution 1 | Lokalne | Nie, ruch pomija zaporę i tranzytuje połączenie Global Reach A |
| 3 | Region chmury usługi Azure VMware Solution 1 | Sieć wirtualna 2 | Tak, za pośrednictwem zapory koncentratora 2 |
| 100 | Region chmury usługi Azure VMware Solution 1 | Region chmury usługi Azure VMware Solution 2 | Nie, ruch pomija zaporę i tranzytuje połączenie Global Reach C |
| 5 | Region chmury usługi Azure VMware Solution 2 | Sieć wirtualna 1 | Tak, za pośrednictwem zapory koncentratora 1 |
| 6 | Region chmury usługi Azure VMware Solution 2 | Sieć wirtualna 2 | Tak, za pośrednictwem zapory koncentratora 2 |
| 7 | Region chmury usługi Azure VMware Solution 2 | Lokalne | Nie, ruch pomija zaporę i tranzytuje połączenie Global Reach B |
Każda chmura prywatna usługi Azure VMware Solution łączy się z lokalnym koncentratorem regionalnym za pośrednictwem połączenia usługi ExpressRoute D.
Każdy region chmury usługi Azure VMware Solution łączy się z powrotem z siecią lokalną za pośrednictwem usługi ExpressRoute Global Reach. Każdy region chmury usługi Azure VMware Solution ma własne połączenie Global Reach (połączenie A i B). Chmury prywatne usługi Azure VMware Solution łączą się bezpośrednio ze sobą za pośrednictwem połączenia Global Reach C. Ruch Global Reach nigdy nie tranzytuje żadnych zapór koncentratora.
Skonfiguruj wszystkie trzy połączenia Global Reach. Należy wykonać ten krok, aby zapobiec problemom z łącznością między lokacjami usługi Global Reach.
Łączność lokalna i przepływ ruchu
Na poniższym diagramie przedstawiono przepływy ruchu dla lokacji lokalnej.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 2 | Lokalne | Region chmury usługi Azure VMware Solution 1 | Nie, ruch pomija zaporę i tranzytuje połączenie Global Reach A |
| 7 | Lokalne | Region chmury usługi Azure VMware Solution 2 | Nie, ruch pomija zaporę i tranzytuje połączenie Global Reach B |
| 8 | Lokalne | Sieć wirtualna 1 | Tak, za pośrednictwem zapory koncentratora 1 |
| 9 | Lokalne | Sieć wirtualna 2 | Tak, za pośrednictwem zapory koncentratora 2 |
Lokacja lokalna łączy się zarówno z regionami 1, jak i 2 koncentratorami za pośrednictwem połączenia usługi ExpressRoute E.
Systemy lokalne mogą komunikować się z regionem chmury usługi Azure VMware Solution 1 za pośrednictwem połączenia Global Reach A i z regionem chmury usługi Azure VMware Solution 2 za pośrednictwem połączenia Global Reach B.
Skonfiguruj wszystkie trzy połączenia Global Reach. Należy wykonać ten krok, aby zapobiec problemom z łącznością między lokacjami usługi Global Reach.
Łączność sieci wirtualnej platformy Azure i przepływ ruchu
Na poniższym diagramie przedstawiono przepływy ruchu dla sieci wirtualnych.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 1 | Sieć wirtualna 1 | Region chmury usługi Azure VMware Solution 1 | Tak, za pośrednictwem zapory koncentratora 1 |
| 3 | Sieć wirtualna 2 | Region chmury usługi Azure VMware Solution 1 | Tak, za pośrednictwem zapory koncentratora 2 |
| 5 | Sieć wirtualna 1 | Region chmury usługi Azure VMware Solution 2 | Tak, za pośrednictwem zapory koncentratora 1 |
| 6 | Sieć wirtualna 2 | Region chmury usługi Azure VMware Solution 2 | Tak, za pośrednictwem zapory koncentratora 2 |
| 8 | Sieć wirtualna 1 | Lokalne | Tak, za pośrednictwem zapory koncentratora 1 |
| 9 | Sieć wirtualna 2 | Lokalne | Tak, za pośrednictwem zapory koncentratora 2 |
| 10 | Sieć wirtualna 1 | Sieć wirtualna 2 | Tak, za pośrednictwem zapory koncentratora 1. Ruch następnie przechodzi przez połączenie międzyhub i jest sprawdzany za pośrednictwem zapory koncentratora 2. |
Obie sieci wirtualne są bezpośrednio równorzędne do lokalnego centrum regionalnego.
Bezpieczne centrum z intencją routingu wysyła domyślne adresy RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) do równorzędnych sieci wirtualnych, wraz z innymi prefiksami, które są dodawane jako prefiksy ruchu prywatnego. Aby uzyskać więcej informacji, zobacz Routing intent private-address prefixes (Routing intent private-address prefixes).
Ten scenariusz ma włączoną intencję routingu, więc wszystkie zasoby w sieci wirtualnej 1 i sieci wirtualnej 2 mają domyślne adresy RFC 1918 i używają lokalnej zapory centrum regionalnego jako następnego przeskoku. Cały ruch, który przechodzi i wychodzi z sieci wirtualnych, tranzytuje zapory koncentratora.
Łączność z Internetem
W tej sekcji opisano sposób zapewniania łączności z Internetem dla zasobów natywnych dla platformy Azure w sieciach wirtualnych i chmurach prywatnych usługi Azure VMware Solution w obu regionach. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące projektowania łączności internetowej. Poniższe opcje umożliwiają zapewnienie łączności z Internetem z usługą Azure VMware Solution.
- Opcja 1. Usługa internetowa hostowana na platformie Azure
- Opcja 2. Translacja adresów sieciowych zarządzanych przez rozwiązanie VMware Solution (SNAT)
- Opcja 3. Publiczny adres IPv4 platformy Azure do krawędzi centrum danych NSX-T
Projekt wirtualnej sieci WAN z dwoma regionami, który ma intencję routingu, obsługuje wszystkie opcje, ale zalecamy opcję 1. Scenariusz w dalszej części tego artykułu używa opcji 1 do zapewnienia łączności z Internetem. Opcja 1 działa najlepiej z bezpiecznym wirtualnym siecią WAN, ponieważ łatwo jest sprawdzać, wdrażać i zarządzać.
Gdy używasz intencji routingu, możesz wygenerować trasę domyślną z zapory koncentratora. Ta trasa domyślna anonsuje się do sieci wirtualnych i chmur prywatnych usługi Azure VMware Solution.
Usługa Azure VMware Solution i łączność z internetem sieci wirtualnej
Na poniższym diagramie przedstawiono łączność z Internetem dla wystąpień i sieci wirtualnych usługi Azure VMware Solution.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? | Przerwa w Internecie |
|---|---|---|---|---|
| 11 | Region chmury usługi Azure VMware Solution 1 | Internet | Tak, za pośrednictwem zapory koncentratora 1 | Za pośrednictwem zapory koncentratora 1 |
| 12 | Region chmury usługi Azure VMware Solution 2 | Internet | Tak, za pośrednictwem zapory koncentratora 2 | Za pośrednictwem zapory koncentratora 2 |
| 15 | Sieć wirtualna 1 | Internet | Tak, za pośrednictwem zapory koncentratora 1 | Za pośrednictwem zapory koncentratora 1 |
| 16 | Sieć wirtualna 2 | Internet | Tak, za pośrednictwem zapory koncentratora 2 | Za pośrednictwem zapory koncentratora 2 |
Następujące przepływy ruchu są aktywne tylko wtedy, gdy wystąpi awaria, która ma wpływ na lokalne centrum regionalne. Jeśli na przykład lokalne regionalne centrum usługi Azure VMware Solution wystąpi awaria, ruch internetowy przekierowuje do centrum między regionami na potrzeby łączności z Internetem.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? | Przerwa w Internecie |
|---|---|---|---|---|
| 13 | Region chmury usługi Azure VMware Solution 1 | Internet | Tak, ruch jest przesyłany za pośrednictwem połączenia Global Reach C, a zapora koncentratora 2 sprawdza je. | Za pośrednictwem zapory koncentratora 2 |
| 14 | Region chmury usługi Azure VMware Solution 2 | Internet | Tak, ruch jest przesyłany za pośrednictwem połączenia Global Reach C, a zapora koncentratora 1 sprawdza je. | Za pośrednictwem zapory koncentratora 1 |
Chmura prywatna rozwiązania Azure VMware Solution uczy się domyślnej trasy łączności internetowej zarówno z lokalnego centrum regionalnego, jak i między regionami, dzięki czemu można uzyskać nadmiarowość łączności internetowej. Chmura prywatna rozwiązania Azure VMware Solution określa priorytety lokalnego centrum regionalnego na potrzeby podstawowej łączności z dostępem do Internetu. Koncentrator między regionami służy jako kopia zapasowa internetowa, jeśli lokalne centrum regionalne ulegnie awarii. Ta konfiguracja zapewnia nadmiarowość dostępu do Internetu tylko dla ruchu wychodzącego. W przypadku przychodzącego ruchu internetowego do obciążeń usługi Azure VMware Solution rozważ użycie usługi Azure Front Door lub Azure Traffic Manager w celu zapewnienia regionalnej wysokiej dostępności.
Chmura prywatna usługi Azure VMware Solution otrzymuje preferowaną trasę domyślną ∞ 0.0.0.0/0 za pośrednictwem połączenia D z lokalnego centrum regionalnego. Chmura prywatna usługi Azure VMware Solution otrzymuje trasę domyślną kopii zapasowej △ 0.0.0.0/0, która pochodzi z centrum między regionami i anonsuje połączenie Global Reach C. Jeśli jednak włączysz propagację trasy domyślnej na lokalnych połączeniach usługi ExpressRoute E, ruch internetowy między regionami będzie również kierowany przez tę ścieżkę.
Na przykład ruch internetowy obejmujący wiele regionów, który przechodzi z chmury prywatnej Azure VMware 1 do koncentratora 2, jest dystrybuowany za pośrednictwem routingu wielościeżkowego (ECMP) między połączeniem Global Reach C z połączeniem D i połączeniem Global Reach A z połączeniem E. Podobnie ruch powrotny z centrum 2 do regionu chmury prywatnej 1 przechodzi przez te same ścieżki za pośrednictwem protokołu ECMP. Skonfiguruj wszystkie trzy połączenia Global Reach. Należy wykonać ten krok, aby zapobiec problemom z łącznością między lokacjami usługi Global Reach.
Po włączeniu intencji routingu dla ruchu internetowego domyślnie bezpieczne centrum usługi Virtual WAN nie anonsuje trasy domyślnej między obwodami usługi ExpressRoute. Aby zapewnić, że trasa domyślna jest propagowana do usługi Azure VMware Solution z wirtualnej sieci WAN, należy włączyć propagację tras domyślnych w obwodach usługi ExpressRoute rozwiązania VMware Solution. Aby uzyskać więcej informacji, zobacz Anonsuj trasę domyślną 0.0.0.0/0 do punktów końcowych.
Nie włączaj tego ustawienia dla lokalnych obwodów usługi ExpressRoute. Połączenie D anonsuje trasę domyślną "∞ 0.0.0.0/0" do chmur prywatnych usługi Azure VMware Solution, ale domyślna trasa również anonsuje się do środowiska lokalnego za pośrednictwem połączenia Global Reach A i połączenia Global Reach B. W związku z tym zalecamy zaimplementowanie filtru BGP (Border Gateway Protocol) na sprzęcie lokalnym w celu wykluczenia uczenia się trasy domyślnej. Ten krok pomaga upewnić się, że konfiguracja nie ma wpływu na lokalną łączność z Internetem.
Każda sieć wirtualna wychodząca do Internetu za pośrednictwem lokalnej zapory koncentratora regionalnego. Po włączeniu intencji routingu dla dostępu do Internetu domyślna trasa generowana przez bezpieczne centrum usługi Virtual WAN automatycznie anonsuje się do połączeń sieci wirtualnych równorzędnych koncentratora. Jednak ta trasa domyślna nie anonsuje się między centrami regionalnymi za pośrednictwem łącza międzyhubowego. Sieci wirtualne używają lokalnego centrum regionalnego do uzyskiwania dostępu do Internetu i nie mają kopii zapasowej łączności internetowej z koncentratorem między regionami.