Udostępnij za pośrednictwem

Przykładowe architektury dla rozwiązań Azure VMware

  • Artykuł

Aby ustanowić strefę docelową usługi Azure VMware Solution, należy najpierw zaprojektować i wdrożyć możliwości sieciowe. Produkty i usługi sieciowe platformy Azure obsługują szeroką gamę scenariuszy sieciowych. Wybierz odpowiednią architekturę i zaplanuj struktury usług dla Twoich potrzeb, oceniając obciążenia, nadzór i wymagania organizacji.

Przed podjęciem decyzji o wdrożeniu rozwiązania Azure VMware Solution zapoznaj się z poniższymi zagadnieniami i kluczowymi wymaganiami.

  • Wymagania dotyczące ruchu przychodzącego http/S lub innego niż HTTP/S do aplikacji usługi Azure VMware Solution
  • Zagadnienia dotyczące ścieżki ruchu wychodzącego z Internetu
  • Rozszerzenie L2 na potrzeby migracji
  • Użycie urządzenia WUS w bieżącej architekturze
  • Łączność usługi Azure VMware Solution z siecią wirtualną koncentratora standardowego lub koncentratorem usługi Virtual WAN
  • Prywatna łączność usługi ExpressRoute z lokalnych centrów danych do rozwiązania Azure VMware Solution (a jeśli chcesz włączyć usługę ExpressRoute Global Reach lub nie)
  • Wymagania dotyczące inspekcji ruchu dla:
    • Ruch przychodzący z Internetu do aplikacji usługi Azure VMware Solution
    • Dostęp wychodzący usługi Azure VMware Solution do Internetu
    • Dostęp usługi Azure VMware Solution do lokalnych centrów danych
    • Dostęp do usługi Azure VMware Solution do usługi Azure Virtual Network
    • Ruch w chmurze prywatnej usługi Azure VMware Solution

W poniższej tabeli użyto wymagań inspekcji ruchu rozwiązania VMware, aby udostępnić zalecenia i zagadnienia dotyczące najbardziej typowych scenariuszy sieciowych.

Scenariusz Wymagania dotyczące inspekcji ruchu Zalecany projekt rozwiązania Kwestie wymagające rozważenia
1 - Ruch przychodzący z Internetu
- Ruch wychodzący z Internetu		 Użyj koncentratora zabezpieczonego za pomocą wirtualnej sieci WAN z domyślną propagacją bramy.

W przypadku ruchu HTTP/S użyj aplikacja systemu Azure Gateway. W przypadku ruchu innego niż HTTP/S użyj usługi Azure Firewall.

Wdróż zabezpieczone centrum usługi Virtual WAN i włącz publiczny adres IP w rozwiązaniu Azure VMware Solution.		 To rozwiązanie nie działa w przypadku filtrowania lokalnego. Usługa Global Reach pomija koncentratory usługi Virtual WAN.
2 - Ruch przychodzący z Internetu
- Ruch wychodzący z Internetu
- Do lokalnego centrum danych
- Do usługi Azure Virtual Network		 Użyj rozwiązań urządzenia WUS zapory innej firmy w sieci wirtualnej koncentratora z usługą Azure Route Server.

Wyłącz dostęp globalny.

W przypadku ruchu HTTP/S użyj aplikacja systemu Azure Gateway. W przypadku ruchu innego niż HTTP/S należy użyć urządzenia WUS zapory innej firmy na platformie Azure.		 Wybierz tę opcję, jeśli chcesz użyć istniejącego urządzenia WUS i scentralizować całą inspekcję ruchu w sieci wirtualnej koncentratora.
3 - Ruch przychodzący z Internetu
- Ruch wychodzący z Internetu
- Do lokalnego centrum danych
- Do usługi Azure Virtual Network
W ramach rozwiązania Azure VMware
Użyj centrum danych NSX-T lub zapory urządzenia WUS innej firmy w rozwiązaniu Azure VMware Solution.

Użyj usługi Application Gateway dla protokołu HTTPs lub usługi Azure Firewall dla ruchu innego niż HTTPs.

Wdróż zabezpieczone centrum usługi Virtual WAN i włącz publiczny adres IP w rozwiązaniu Azure VMware Solution.		 Wybierz tę opcję, jeśli chcesz sprawdzić ruch z co najmniej dwóch chmur prywatnych usługi Azure VMware Solution.

Ta opcja umożliwia korzystanie z funkcji natywnych NSX-T. Możesz również połączyć tę opcję z urządzeniami WUS uruchomionymi w rozwiązaniu Azure VMware Solution między L1 i L0.
100 - Ruch przychodzący z Internetu
— Ruch wychodzący
z Internetu — do lokalnego centrum
danych — Do sieci wirtualnej platformy Azure
Użyj rozwiązań zapory innych firm w sieci wirtualnej koncentratora z usługą Azure Route Server.

W przypadku ruchu HTTP i HTTPS użyj bramy aplikacja systemu Azure. W przypadku ruchu innego niż HTTP/HTTPS użyj urządzenia WUS zapory innej firmy na platformie Azure.

Użyj lokalnego wirtualnego urządzenia sieciowego zapory innej firmy.

Wdrażanie rozwiązań zapory innych firm w sieci wirtualnej koncentratora za pomocą usługi Azure Route Server.		 Wybierz tę opcję, aby anonsować 0.0.0.0/0 trasę z urządzenia WUS w sieci wirtualnej centrum platformy Azure do rozwiązania Azure VMware Solution.

Najważniejsze kwestie dotyczące scenariuszy sieciowych:

  • Wszystkie scenariusze mają podobne wzorce ruchu przychodzącego za pośrednictwem usługi Application Gateway i usługi Azure Firewall.
  • W rozwiązaniu Azure VMware Solution można używać urządzeń WUS modułu równoważenia obciążenia L4-L7.
  • W przypadku dowolnego z tych scenariuszy można użyć zapory NSX-T Data Center.

W poniższych sekcjach opisano wzorce architektury chmur prywatnych usługi Azure VMware Solution. Lista ta nie jest wyczerpująca. Aby uzyskać więcej informacji, zobacz Azure VMware Solution networking and interconnectivity concepts (Pojęcia dotyczące sieci i wzajemnego połączenia w usłudze Azure VMware Solution).

Zabezpieczone koncentrator wirtualnej sieci WAN z domyślną propagacją trasy

Ten scenariusz obejmuje następujący profil klienta, składniki architektury i zagadnienia.

Profil klienta

Ten scenariusz jest idealny, jeśli:

  • Nie potrzebujesz inspekcji ruchu między usługą Azure VMware Solution i usługą Azure Virtual Network.
  • Nie potrzebujesz inspekcji ruchu między usługą Azure VMware Solution i lokalnymi centrami danych.
  • Potrzebujesz inspekcji ruchu między obciążeniami usługi Azure VMware Solution i Internetem.

W tym scenariuszu należy korzystać z rozwiązania Azure VMware Solution, takiego jak oferta typu "platforma jako usługa" (PaaS). W tym scenariuszu nie jesteś właścicielem publicznych adresów IP. W razie potrzeby dodaj publiczne usługi L4 i L7 dla ruchu przychodzącego. Być może nie masz jeszcze łączności usługi ExpressRoute między lokalnymi centrami danych a platformą Azure.

Omówienie wysokiego poziomu

Na poniższym diagramie przedstawiono ogólny przegląd scenariusza.

Diagram przedstawiający omówienie scenariusza 1 z zabezpieczonym koncentratorem usługi Virtual WAN z domyślną propagacją trasy.

Składniki architektury

Zaimplementuj ten scenariusz za pomocą następujących elementów:

  • Usługa Azure Firewall w zabezpieczonym koncentratorze usługi Virtual WAN dla zapór
  • Usługa Application Gateway dla równoważenia obciążenia L7
  • Tłumaczenie docelowych adresów sieciowych (DNAT) za pomocą usługi Azure Firewall w celu tłumaczenia i filtrowania ruchu przychodzącego sieci
  • Wychodzący Internet za pośrednictwem usługi Azure Firewall w koncentratorze usługi Virtual WAN
  • EXR, VPN lub SD-WAN na potrzeby łączności między lokalnymi centrami danych i rozwiązaniem Azure VMware Solution

Diagram scenariusza 1 z zabezpieczonym koncentratorem usługi Virtual WAN z domyślną propagacją trasy.

Kwestie wymagające rozważenia

Jeśli nie chcesz otrzymywać domyślnego anonsu trasy 0.0.0.0/0 z usługi Azure VMware Solution, ponieważ powoduje konflikt z istniejącym środowiskiem, musisz wykonać dodatkową pracę.

Usługa Azure Firewall w zabezpieczonym koncentratorze usługi Virtual WAN anonsuje 0.0.0.0/0 trasę do usługi Azure VMware Solution. Ta trasa jest również anonsowana lokalnie za pośrednictwem usługi Global Reach. Zaimplementuj lokalny filtr tras, aby zapobiec 0.0.0.0/0 uczeniu się tras. Unikaj tego problemu przy użyciu sieci SD-WAN lub sieci VPN.

Jeśli obecnie łączysz się z topologią piasty i szprych opartą na sieci wirtualnej za pośrednictwem bramy usługi ExpressRoute zamiast łączyć się bezpośrednio, trasa domyślna 0.0.0.0/0 z koncentratora usługi Virtual WAN jest propagowana do tej bramy i ma pierwszeństwo przed trasą systemu internetowego wbudowaną w sieć wirtualną. Unikaj tego problemu, implementując trasę zdefiniowaną 0.0.0.0/0 przez użytkownika w sieci wirtualnej, aby zastąpić poznaną trasę domyślną.

Nawiązane połączenia sieci VPN, usługi ExpressRoute lub sieci wirtualnej z bezpiecznym koncentratorem usługi Virtual WAN, które nie wymagają 0.0.0.0/0 mimo to otrzymywania anonsów. Aby temu zapobiec, możesz wykonać następujące czynności:

  • Odfiltruj 0.0.0.0/0 trasę za pomocą lokalnego urządzenia brzegowego.
  • Wyłącz 0.0.0.0/0 propagację określonych połączeń.
    1. Odłącz usługę ExpressRoute, sieć VPN lub sieć wirtualną.
    2. Włącz 0.0.0.0/0 propagację.
    3. Wyłącz 0.0.0.0/0 propagację dla tych określonych połączeń.
    4. Połącz ponownie te połączenia.

Usługę Application Gateway można hostować w sieci wirtualnej będącej szprychą połączoną z koncentratorem lub w sieci wirtualnej piasty.

Wirtualne urządzenie sieciowe w usłudze Azure Virtual Network w celu sprawdzenia całego ruchu sieciowego

Ten scenariusz obejmuje następujący profil klienta, składniki architektury i zagadnienia.

Profil klienta

Ten scenariusz jest idealny, jeśli:

  • Aby sprawdzić cały ruch, musisz użyć wirtualnych urządzeń WUS zapory innej firmy w sieci wirtualnej koncentratora i nie możesz używać funkcji Global Reach z przyczyn geopolitycznych ani innych.
    • Jesteś między lokalnymi centrami danych i rozwiązaniem Azure VMware Solution.
    • Jesteś między usługą Azure Virtual Network i rozwiązaniem Azure VMware Solution.
    • Potrzebujesz ruchu przychodzącego z Internetu z usługi Azure VMware Solution.
    • Potrzebujesz ruchu wychodzącego z Internetu do usługi Azure VMware Solution.
  • Potrzebujesz szczegółowej kontroli nad zaporami spoza chmury prywatnej usługi Azure VMware Solution.
  • Potrzebujesz wielu publicznych adresów IP dla usług przychodzących i potrzebujesz bloku wstępnie zdefiniowanych adresów IP na platformie Azure. W tym scenariuszu nie jesteś właścicielem publicznych adresów IP.

W tym scenariuszu założono, że masz łączność usługi ExpressRoute między lokalnymi centrami danych i platformą Azure.

Omówienie wysokiego poziomu

Na poniższym diagramie przedstawiono ogólny przegląd scenariusza.

Diagram przedstawiający przegląd scenariusza 2 z urządzeniem WUS innej firmy w koncentratorze usługi Azure Virtual Network sprawdzającym cały ruch sieciowy.

Składniki architektury

Zaimplementuj ten scenariusz za pomocą następujących elementów:

  • Urządzenia WUS zapory innych firm hostowane w sieci wirtualnej na potrzeby inspekcji ruchu i innych funkcji sieciowych.
  • Usługa Azure Route Server umożliwia kierowanie ruchu między usługą Azure VMware Solution, lokalnymi centrami danych i sieciami wirtualnymi.
  • Usługa Application Gateway umożliwia równoważenie obciążenia HTTP/S L7.

W tym scenariuszu należy wyłączyć usługę ExpressRoute Global Reach. Urządzenia WUS innych firm są odpowiedzialne za dostarczanie wychodzącego Internetu do usługi Azure VMware Solution.

Diagram scenariusza 2 z urządzeniem WUS innej firmy w koncentratorze usługi Azure Virtual Network sprawdzającym cały ruch sieciowy.

Kwestie wymagające rozważenia

  • Nigdy nie konfiguruj usługi ExpressRoute Global Reach dla tego scenariusza, ponieważ umożliwia ona przepływ ruchu usługi Azure VMware Solution bezpośrednio między routerami usługi ExpressRoute (MSEE) firmy Microsoft Enterprise Edge, pomijając sieć wirtualną koncentratora.
  • Usługa Azure Route Server musi zostać wdrożona w sieci wirtualnej centrum i za pomocą komunikacji równorzędnej BGP z urządzeniami WUS w tranzytowej sieci wirtualnej. Skonfiguruj usługę Azure Route Server, aby zezwolić na łączność między oddziałami .
  • Niestandardowe tabele tras i trasy zdefiniowane przez użytkownika są używane do kierowania ruchu do/z rozwiązania Azure VMware Solution do modułu równoważenia obciążenia urządzenia WUS zapory innej firmy. Obsługiwane są wszystkie tryby wysokiej dostępności (aktywne/aktywne i aktywne/wstrzymanie) z gwarantowaną symetrią routingu.
  • Jeśli potrzebujesz wysokiej dostępności dla urządzeń WUS, zapoznaj się z dokumentacją dostawcy urządzenia WUS i wdróż urządzenia WUS o wysokiej dostępności.

Ruch wychodzący z usługi Azure VMware Solution z rozwiązaniem NSX-T lub NVA lub bez tego rozwiązania

Ten scenariusz obejmuje następujący profil klienta, składniki architektury i zagadnienia.

Profil klienta

Ten scenariusz jest idealny, jeśli:

  • Musisz użyć natywnej platformy centrum danych NSX-T, więc potrzebujesz wdrożenia PaaS dla rozwiązania Azure VMware Solution.
  • Potrzebujesz urządzenia WUS byOL (bring-your own-license) w usłudze Azure VMware Solution na potrzeby inspekcji ruchu.
  • Być może nie masz jeszcze łączności usługi ExpressRoute między lokalnymi centrami danych a platformą Azure.
  • Potrzebujesz przychodzących usług HTTP/S lub L4.

Cały ruch z rozwiązania Azure VMware Solution do usługi Azure Virtual Network, z usługi Azure VMware Solution do Internetu i z usługi Azure VMware Solution do lokalnych centrów danych jest kierowany przez bramy NSX-T Data Center Tier-0/Tier-1 lub urządzenia WUS.

Omówienie wysokiego poziomu

Na poniższym diagramie przedstawiono ogólny przegląd scenariusza.

Diagram przedstawiający omówienie scenariusza 3 z wyjściem z rozwiązania Azure VMware Solution z centrum danych NSX-T lub bez centrum danych NSX-T lub urządzenia WUS.

Składniki architektury

Zaimplementuj ten scenariusz za pomocą następujących elementów:

  • Rozproszona zapora NSX (DFW) lub urządzenie WUS w warstwie 1 w rozwiązaniu Azure VMware Solution.
  • Usługa Application Gateway w celu zapewnienia równoważenia obciążenia L7.
  • L4 DNAT przy użyciu usługi Azure Firewall.
  • Przerwa internetowa z usługi Azure VMware Solution.

Diagram scenariusza 3 z wyjściem z rozwiązania Azure VMware Solution z centrum danych NSX-T lub bez centrum danych NSX-T lub urządzenia WUS.

Kwestie wymagające rozważenia

Włącz dostęp do Internetu w witrynie Azure Portal. W tym projekcie adres IP ruchu wychodzącego może ulec zmianie i nie jest deterministyczny. Publiczne adresy IP znajdują się poza urządzeniem WUS. Urządzenie WUS w rozwiązaniu Azure VMware Solution nadal ma prywatne adresy IP i nie określa wychodzącego publicznego adresu IP.

Urządzenie WUS to BYOL. Twoim zadaniem jest wprowadzenie licencji i zaimplementowanie wysokiej dostępności urządzenia WUS.

Zapoznaj się z dokumentacją oprogramowania VMware dotyczącą opcji umieszczania urządzenia WUS oraz aby uzyskać informacje o ograniczeniu oprogramowania VMware do ośmiu wirtualnych kart sieciowych na maszynie wirtualnej. Aby uzyskać więcej informacji, zobacz Integracja zapory w usłudze Azure VMware Solution.

Rozwiązania zapory innych firm w sieci wirtualnej koncentratora z usługą Azure Route Server

Ten scenariusz ma następujący profil klienta, składniki architektury i zagadnienia:

Profil klienta

Ten scenariusz jest idealny, jeśli:

  • Chcesz, aby ruch wychodzący z Internetu rozwiązania Azure VMware Solution używał urządzenia WUS innej firmy w koncentratorze sieci wirtualnej platformy Azure i chcesz sprawdzić ruch między usługą Azure VMware Solution i usługą Azure Virtual Network.
  • Chcesz sprawdzić ruch między lokalnymi centrami danych a platformą Azure przy użyciu lokalnego urządzenia WUS innej firmy.
  • Potrzebujesz wielu publicznych adresów IP dla usług przychodzących i potrzebujesz bloku wstępnie zdefiniowanych adresów IP na platformie Azure. W tym scenariuszu nie jesteś właścicielem publicznych adresów IP.
  • Potrzebujesz szczegółowej kontroli nad zaporami spoza chmury prywatnej usługi Azure VMware Solution.

Omówienie wysokiego poziomu

Na poniższym diagramie przedstawiono ogólny przegląd scenariusza.

Diagram przedstawiający przegląd scenariusza 4 z maszyną wirtualną N A innej firmy w koncentratorze V Net inspekcji ruchu między rozwiązaniem Azure VMware Solution a Internetem i między usługą Azure VMware Solution i usługą Azure Virtual Network.

Składniki architektury

Zaimplementuj ten scenariusz za pomocą następujących elementów:

  • Urządzenia WUS innych firm są aktywne-aktywne lub aktywne-rezerwowe hostowane w sieci wirtualnej dla zapór i innych funkcji sieciowych.
  • Usługa Azure Route Server umożliwia wymianę tras między usługą Azure VMware Solution, lokalnymi centrami danych i sieciami wirtualnymi.
  • Urządzenia WUS innych firm w centrum usługi Azure Virtual Network zapewniają wychodzący Internet do rozwiązania Azure VMware Solution.
  • Usługa ExpressRoute na potrzeby łączności między lokalnymi centrami danych i rozwiązaniem Azure VMware Solution.

Diagram scenariusza 4 z innej firmy N V A w koncentratorze V Net inspekcji ruchu między usługą Azure VMware Solution a Internetem i między usługą Azure VMware Solution i Azure Virtual Network.

Kwestie wymagające rozważenia

  • W tym projekcie wychodzące publiczne adresy IP znajdują się z urządzeniami WUS w sieci wirtualnej platformy Azure.
  • Urządzenia WUS innych firm w koncentratorze sieci wirtualnej BGP są równorzędne z usługą Azure Route Server (ECMP) i anonsują trasę domyślną) 0.0.0.0/0 do rozwiązania Azure VMware Solution.
  • Trasa domyślna 0.0.0.0/0 jest również anonsowana lokalnie za pośrednictwem usługi Global Reach. Zaimplementuj lokalny filtr tras, aby zapobiec domyślnemu uczeniu tras 0.0.0.0/0 .
  • Ruch między rozwiązaniem Azure VMware Solution i siecią lokalną przepływa przez usługę ExpressRoute Global Reach, zgodnie z opisem w temacie Peer on-premises environments to Azure VMware Solution (Komunikacja równorzędna między rozwiązaniem Azure VMware Solution). Inspekcja ruchu między lokalnym i rozwiązaniem Azure VMware Solution jest przeprowadzana przez lokalne urządzenie WUS innej firmy, a nie urządzenia WUS innych firm w koncentratorze usługi Azure Virtual Network.
  • Usługę Application Gateway można hostować w sieci wirtualnej będącej szprychą połączoną z koncentratorem lub w sieci wirtualnej piasty.

Następne kroki