Zabezpieczanie wirtualnej sieci WAN dla rozwiązania Azure VMware Solution w jednym regionie lub w dwóch regionach
W tym artykule opisano topologie i zagadnienia dotyczące topologii projektowania sieci VMware Solution platformy Azure dla scenariuszy z pojedynczym regionem i dwoma regionami, które korzystają z bezpiecznej usługi Azure Virtual WAN z intencją routingu. W tym artykule opisano sposób kierowania ruchu przez scentralizowane rozwiązanie zabezpieczeń. Ta metoda zwiększa bezpieczeństwo i usprawnia zarządzanie siecią. Ten artykuł zawiera zagadnienia dotyczące projektowania wdrożeń z usługą Azure ExpressRoute Global Reach i bez tej usługi. Wyróżnia korzyści i wyzwania dla każdego scenariusza.
Rozwiązanie zabezpieczeń można zaimplementować w koncentratorze usługi Virtual WAN, aby przekonwertować koncentrator na bezpieczny koncentrator usługi Virtual WAN. Aby skonfigurować intencję routingu, musisz mieć bezpieczne koncentrator usługi Virtual WAN. Intencja routingu napędza cały ruch prywatny i ruch internetowy do rozwiązania zabezpieczeń centrum, które usprawnia routing i projektowanie zabezpieczeń bezpiecznego koncentratora. Intencja routingu zwiększa szerokość zabezpieczeń i przeprowadza inspekcję ruchu dla całego ruchu przechodzącego przez bezpieczne centrum, w tym ruch usługi Azure VMware Solution.
W tym artykule założono, że masz podstawową wiedzę na temat usługi Virtual WAN i bezpiecznej wirtualnej sieci WAN z intencją routingu.
Aby uzyskać więcej informacji, zobacz następujące zasoby:
- Co to jest usługa Virtual WAN?
- Co to jest bezpieczne koncentrator wirtualny?
- Konfigurowanie intencji routingu i zasad routingu koncentratora usługi Virtual WAN
- ExpressRoute Global Reach
Implementowanie bezpiecznej usługi Virtual WAN dla projektów rozwiązań VMware Platformy Azure
Użyj bezpiecznej wirtualnej sieci WAN z intencją routingu, aby wysyłać cały ruch internetowy i ruch sieciowy prywatny (RFC 1918) do rozwiązania zabezpieczeń, takiego jak usługa Azure Firewall, wirtualne urządzenie sieciowe innej firmy niż Microsoft (NVA) lub rozwiązanie oprogramowania jako usługi (SaaS). Aby obsługiwać zarówno projekty z jednym regionem, jak i z dwoma regionami, należy użyć rozwiązania Azure VMware Solution wraz z bezpieczną usługą Virtual WAN i intencją routingu.
Projekt z jednym regionem
Użyj projektu z jednym regionem, aby sprawdzić ruch sieciowy w ramach rozwiązania zabezpieczeń koncentratora wirtualnego, które przechodzi do i z usługi Azure VMware Solution. Takie podejście upraszcza zarządzanie siecią i zwiększa ogólny poziom zabezpieczeń. Ten projekt przygotowuje się również do wdrożenia innej chmury prywatnej usługi Azure VMware Solution w innym regionie, który ma projekt z dwoma regionami. Włącz intencję routingu w jednym centrum regionów, aby ułatwić późniejsze skalowanie do projektu regionu z dwoma koncentratorami. Ten projekt obsługuje konfiguracje z usługą Global Reach lub bez tego rozwiązania.
Projekt dwóch regionów lub dwóch koncentratorów
Użyj projektu z dwoma regionami, aby sprawdzić ruch sieciowy w dwóch rozwiązaniach zabezpieczeń koncentratora wirtualnego. Sprawdź ruch do i z rozwiązania Azure VMware Solution i sprawdź ruch w chmurach prywatnych usługi Azure VMware Solution, które znajdują się w różnych regionach. Włącz intencję routingu w obu centrach regionalnych, aby ruch mógł przechodzić przez oba rozwiązania zabezpieczeń koncentratora. Projekt z dwoma regionami z intencją routingu zwiększa bezpieczeństwo i upraszcza zarządzanie siecią w różnych regionach. Ten projekt obsługuje konfiguracje z usługą Global Reach lub bez tego rozwiązania.
Opcje wdrożenia usługi Global Reach
Użyj rozwiązania Global Reach, aby połączyć rozwiązanie Azure VMware Solution z chmurami prywatnymi usługi Azure VMware Solution w środowisku lokalnym lub regionalnym. Usługa Global Reach ustanawia bezpośredni link logiczny za pośrednictwem sieci szkieletowej firmy Microsoft.
Wdrażanie za pomocą usługi Global Reach
Podczas wdrażania usługi Global Reach ruch między lokacjami Global Reach pomija bezpieczną zaporę koncentratora usługi Virtual WAN. Bezpieczna zapora koncentratora usługi Virtual WAN nie sprawdza ruchu Global Reach między usługą Azure VMware Solution i lokalnie lub między chmurami prywatnymi usługi Azure VMware Solution w różnych regionach.
Na przykład na poniższym diagramie pokazano, jak ruch między usługą Azure VMware Solution i środowiskiem lokalnym używa połączenia Global Reach oznaczonego jako A do komunikacji. Ten ruch nie jest przesyłany przez zaporę koncentratora z powodu połączenia Global Reach A. Aby uzyskać optymalne zabezpieczenia między lokacjami usługi Global Reach, środowisko rozwiązania Azure VMware Solution NSX-T lub zapora lokalna musi sprawdzać ruch.
Usługa Global Reach upraszcza projektowanie, ponieważ zapewnia bezpośrednie połączenie logiczne między usługą Azure VMware Solution a lokalnymi lub regionalnymi chmurami prywatnymi rozwiązania Azure VMware Solution. Użyj usługi Global Reach, aby ułatwić rozwiązywanie problemów z ruchem między lokacjami usługi Global Reach i eliminowanie ograniczeń przepływności w bezpiecznej usłudze Virtual WAN. Wadą jest to, że usługa Global Reach uniemożliwia bezpieczne rozwiązanie zabezpieczeń koncentratora wirtualnego inspekcji ruchu między regionalnymi chmurami prywatnymi i lokalnymi rozwiązania Azure VMware Solution, a także samymi chmurami prywatnymi usługi Azure VMware Solution. W związku z tym bezpieczne rozwiązanie zabezpieczeń koncentratora wirtualnego nie może sprawdzić ruchu, który przepływa bezpośrednio między tymi jednostkami.
Wdrażanie bez zasięgu globalnego
Zalecamy spójne korzystanie z usługi Global Reach, chyba że masz określone wymagania. Jeśli nie używasz usługi Global Reach, możesz sprawdzić cały ruch w bezpiecznym rozwiązaniu zabezpieczeń koncentratora usługi Virtual WAN między rozwiązaniem Azure VMware Solution a lokalnymi lub regionalnymi chmurami prywatnymi usługi Azure VMware Solution. Jednak takie podejście zwiększa złożoność projektu. Należy również wziąć pod uwagę ograniczenia przepływności w bezpiecznym koncentratorze usługi Virtual WAN. Użyj usługi Global Reach, chyba że masz jedno z następujących ograniczeń.
Należy sprawdzić ruch w koncentratorze usługi Virtual WAN między rozwiązaniem Azure VMware Solution i środowiskiem lokalnym, a także w chmurach prywatnych usługi Azure VMware Solution. Nie można użyć usługi Global Reach, jeśli masz wymóg zabezpieczeń do inspekcji ruchu między usługą Azure VMware Solution i lokalną lub między regionalnymi chmurami prywatnymi usługi Azure VMware Solution w zaporze koncentratora wirtualnego.
Region nie obsługuje globalnego zasięgu. Jeśli region nie obsługuje usługi Global Reach, możesz użyć intencji routingu do ustanowienia łączności między połączeniami usługi ExpressRoute, niezależnie od tego, czy między usługą Azure VMware Solution i lokalną, czy między regionalnymi chmurami prywatnymi usługi Azure VMware Solution. Domyślnie koncentratory wirtualne nie obsługują usługi ExpressRoute do przechodniości usługi ExpressRoute. Aby włączyć tę przechodniość, musisz zainicjować bilet pomocy technicznej. Aby uzyskać więcej informacji, zobacz Dostępność globalnego zasięgu usługi ExpressRoute.
Lokalne wystąpienie usługi ExpressRoute używa lokalnej jednostki SKU usługi ExpressRoute. Jednostka SKU lokalna usługi ExpressRoute nie obsługuje usługi Global Reach. Jeśli używasz lokalnej jednostki SKU, możesz użyć intencji routingu do ustanowienia łączności między rozwiązaniem Azure VMware Solution i siecią lokalną.
Na poniższym diagramie przedstawiono przykład, który nie korzysta z usługi Global Reach.
Rozważ opcje globalnego zasięgu dla jednego regionu lub dla regionów podwójnych
Skorzystaj z poniższych wskazówek, aby określić, czy chcesz włączyć usługę Global Reach dla danego scenariusza.
Projekt z jednym regionem, który ma globalny zasięg
W przypadku korzystania z usługi Global Reach w jednym regionie bezpieczny koncentrator kieruje cały ruch prywatny i ruch internetowy za pośrednictwem rozwiązania zabezpieczeń, takiego jak usługa Azure Firewall, urządzenie WUS firmy innej niż Microsoft lub rozwiązanie SaaS. Na poniższym diagramie intencja routingu sprawdza ruch, ale ruch Global Reach między rozwiązaniem Azure VMware Solution i lokalnym pomija zaporę koncentratora (połączenie A). Dlatego należy sprawdzić ten ruch Global Reach za pomocą rozwiązania NSX-T w rozwiązaniu Azure VMware Solution lub zaporze lokalnej, aby uzyskać lepsze zabezpieczenia w witrynach Global Reach.
W poniższej tabeli przedstawiono przepływ ruchu do i z usługi Azure VMware Solution.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Rozwiązanie Azure VMware | → ← |
Sieci wirtualne | Tak |
| Rozwiązanie Azure VMware | → ← |
Internet | Tak |
| Rozwiązanie Azure VMware | → ← |
Lokalne | Nie. |
W poniższej tabeli przedstawiono przepływ ruchu do i z sieci wirtualnych.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Sieci wirtualne | → ← |
Lokalne | Tak |
| Sieci wirtualne | → ← |
Internet | Tak |
| Sieci wirtualne | → ← |
Sieci wirtualne | Tak |
Projekt z jednym regionem, który nie ma globalnego zasięgu
Jeśli nie używasz usługi Global Reach w jednym regionie, bezpieczne centrum kieruje cały ruch prywatny i ruch internetowy za pośrednictwem rozwiązania zabezpieczeń. Intencja routingu sprawdza ruch. W tym projekcie ruch między rozwiązaniem Azure VMware Solution i lokalnym tranzytem zapory koncentratora do inspekcji. Koncentratory wirtualne domyślnie nie obsługują usługi ExpressRoute do usługi ExpressRoute. Aby włączyć tę przechodniość, musisz zainicjować bilet pomocy technicznej. Po spełnieniu biletu pomocy technicznej bezpieczny koncentrator anonsuje domyślne adresy RFC 1918 do rozwiązania Azure VMware Solution i lokalnego. W przypadku używania intencji routingu ze środowiska lokalnego nie można anonsować dokładnych domyślnych prefiksów adresów RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) z powrotem na platformę Azure. Zamiast tego należy zawsze anonsować bardziej szczegółowe trasy.
W poniższej tabeli przedstawiono przepływ ruchu do i z usługi Azure VMware Solution.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Rozwiązanie Azure VMware | → ← |
Lokalne | Tak |
| Rozwiązanie Azure VMware | → ← |
Internet | Tak |
| Rozwiązanie Azure VMware | → ← |
Sieci wirtualne | Tak |
W poniższej tabeli przedstawiono przepływ ruchu do i z sieci wirtualnych.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Sieci wirtualne | → ← |
Lokalne | Tak |
| Sieci wirtualne | → ← |
Internet | Tak |
| Sieci wirtualne | → ← |
Sieci wirtualne | Tak |
Projekt z dwoma regionami, który ma zasięg globalny
W przypadku korzystania z usługi Global Reach w dwóch regionach wdrażasz dwa bezpieczne koncentratory w różnych regionach w usłudze Virtual WAN. Skonfigurujesz również dwie chmury prywatne usługi Azure VMware Solution w oddzielnych regionach.
Na poniższym diagramie przedstawiono przykład tej konfiguracji. Każda regionalna chmura prywatna usługi Azure VMware Solution łączy się bezpośrednio z lokalnym centrum regionalnym (połączenie D). Lokalne łączy się z każdym koncentratorem regionalnym (połączenie E). Cały ruch RFC 1918 i ruch internetowy przez rozwiązanie zabezpieczeń w obu bezpiecznych centrach za pośrednictwem intencji routingu. Chmury prywatne rozwiązania Azure VMware Solution mają łączność z powrotem do środowiska lokalnego za pośrednictwem usługi Global Reach (połączenia A i B). Chmury usługi Azure VMware Solution łączą się ze sobą za pośrednictwem usługi Global Reach (połączenie C). Ruch globalny zasięgu między chmurami prywatnymi rozwiązania Azure VMware Solution lub między chmurami prywatnymi rozwiązania Azure VMware Solution i lokalnym pomija dwie zapory koncentratora (połączenia A, B i C). W celu zapewnienia zwiększonych zabezpieczeń w witrynach Global Reach użyj rozwiązania NSX-T w rozwiązaniu Azure VMware Solution lub zaporze lokalnej, aby sprawdzić ten ruch.
W poniższej tabeli przedstawiono przepływ ruchu do i z regionu chmury prywatnej usługi Azure VMware Solution 1.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Sieć wirtualna 1 | Tak, za pośrednictwem zapory koncentratora 1 |
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Sieć wirtualna 2 | Tak, za pośrednictwem zapór koncentratora 1 i koncentratora 2 |
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Internet | Tak, za pośrednictwem zapory koncentratora 1 |
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Lokalne | Nie. |
W poniższej tabeli przedstawiono przepływ ruchu do i z regionu chmury prywatnej usługi Azure VMware Solution 2.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Region chmury prywatnej usługi Azure VMware Solution 2 | → ← |
Sieć wirtualna 1 | Tak, za pośrednictwem zapór koncentratora 1 i koncentratora 2 |
| Region chmury prywatnej usługi Azure VMware Solution 2 | → ← |
Sieć wirtualna 2 | Tak, za pośrednictwem zapory koncentratora 2 |
| Region chmury prywatnej usługi Azure VMware Solution 2 | → ← |
Internet | Tak, za pośrednictwem zapory koncentratora 2 |
| Region chmury prywatnej usługi Azure VMware Solution 2 | → ← |
Lokalne | Nie. |
W poniższej tabeli przedstawiono przepływ ruchu do i z regionu chmury prywatnej usługi Azure VMware Solution 1 i regionu 2.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Region chmury prywatnej usługi Azure VMware Solution 2 | Nie. |
W poniższej tabeli przedstawiono przepływ ruchu do i z sieci wirtualnych.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Sieć wirtualna 1 | → ← |
Lokalne | Tak, za pośrednictwem zapory koncentratora 1 |
| Sieć wirtualna 1 | → ← |
Internet | Tak, za pośrednictwem zapory koncentratora 1 |
| Sieć wirtualna 1 | → ← |
Sieć wirtualna 2 | Tak, za pośrednictwem zapór koncentratora 1 i koncentratora 2 |
| Sieć wirtualna 2 | → ← |
Lokalne | Tak, za pośrednictwem zapory koncentratora 2 |
| Sieć wirtualna 2 | → ← |
Internet | Tak, za pośrednictwem zapory koncentratora 2 |
Projekt z dwoma regionami, który nie ma globalnego zasięgu
W przypadku korzystania z usługi Global Reach w dwóch regionach wdrażasz dwa bezpieczne koncentratory w różnych regionach w usłudze Virtual WAN. Skonfigurujesz również dwie chmury prywatne usługi Azure VMware Solution w oddzielnych regionach.
Na poniższym diagramie przedstawiono przykład tej konfiguracji. Każda regionalna chmura prywatna usługi Azure VMware Solution łączy się bezpośrednio z lokalnym centrum regionalnym (połączenie D). Lokalne łączy się z każdym koncentratorem regionalnym (połączenie E). Cały ruch RFC 1918 i ruch internetowy przez rozwiązanie zabezpieczeń w obu bezpiecznych centrach za pośrednictwem intencji routingu.
Koncentratory wirtualne domyślnie nie obsługują usługi ExpressRoute do usługi ExpressRoute. Aby włączyć tę przechodniość, musisz zainicjować bilet pomocy technicznej. Po spełnieniu biletu pomocy technicznej bezpieczne koncentratory anonsują domyślne adresy RFC 1918 do rozwiązania Azure VMware Solution i lokalnego. Odwołuj się do obu centrów regionalnych po otwarciu biletu. Użyj usługi ExpressRoute do przechodniości usługi ExpressRoute, aby chmury prywatne usługi Azure VMware Solution mogły komunikować się ze sobą za pośrednictwem międzyoperacyjności usługi Virtual WAN, a chmura rozwiązania Azure VMware Solution może komunikować się ze sobą lokalnie.
Adresy RFC 1918 są ogłaszane lokalnie, nie można anonsować dokładnych domyślnych prefiksów adresów RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) z powrotem do platformy Azure. Zamiast tego należy zawsze anonsować bardziej szczegółowe trasy.
W poniższej tabeli przedstawiono przepływ ruchu do i z regionu chmury prywatnej usługi Azure VMware Solution 1.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Sieć wirtualna 1 | Tak, za pośrednictwem zapory koncentratora 1 |
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Sieć wirtualna 2 | Tak, za pośrednictwem zapór koncentratora 1 i koncentratora 2 |
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Internet | Tak, za pośrednictwem zapory koncentratora 1 |
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Lokalne | Tak, za pośrednictwem zapory koncentratora 1 |
W poniższej tabeli przedstawiono przepływ ruchu do i z regionu chmury prywatnej usługi Azure VMware Solution 2.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Region chmury prywatnej usługi Azure VMware Solution 2 | → ← |
Sieć wirtualna 1 | Tak, za pośrednictwem zapory koncentratora 2 |
| Region chmury prywatnej usługi Azure VMware Solution 2 | → ← |
Sieć wirtualna 2 | Tak, za pośrednictwem zapór koncentratora 1 i koncentratora 2 |
| Region chmury prywatnej usługi Azure VMware Solution 2 | → ← |
Internet | Tak, za pośrednictwem zapory koncentratora 2 |
| Region chmury prywatnej usługi Azure VMware Solution 2 | → ← |
Lokalne | Tak, za pośrednictwem zapory koncentratora 2 |
W poniższej tabeli przedstawiono przepływ ruchu do i z regionu chmury prywatnej usługi Azure VMware Solution 1 i regionu 2.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Region chmury prywatnej usługi Azure VMware Solution 1 | → ← |
Region chmury prywatnej usługi Azure VMware Solution 2 | Tak, za pośrednictwem zapór koncentratora 1 i koncentratora 2 |
W poniższej tabeli przedstawiono przepływ ruchu do i z sieci wirtualnych.
| Lokalizacja 1 | Kierunek | Lokalizacja 2 | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| Sieć wirtualna 1 | → ← |
Lokalne | Tak, za pośrednictwem zapory koncentratora 1 |
| Sieć wirtualna 1 | → ← |
Internet | Tak, za pośrednictwem zapory koncentratora 1 |
| Sieć wirtualna 1 | → ← |
Sieć wirtualna 2 | Tak, za pośrednictwem zapór koncentratora 1 i koncentratora 2 |
| Sieć wirtualna 2 | → ← |
Lokalne | Tak, za pośrednictwem zapory koncentratora 2 |
| Sieć wirtualna 2 | → ← |
Internet | Tak, za pośrednictwem zapory koncentratora 2 |
Powiązane zasoby
- Projekt rozwiązania Azure VMware Solution w jednym regionie z usługą Virtual WAN i Global Reach
- Projekt rozwiązania Azure VMware Solution z jednym regionem, który nie ma globalnego zasięgu
- Projekt rozwiązania Azure VMware Solution z dwoma regionami z usługą Virtual WAN i Global Reach
- Projekt rozwiązania Azure VMware Solution z dwoma regionami, który nie ma globalnego zasięgu