Udostępnij za pośrednictwem

Włączanie łączności z rozwiązania Azure VMware Solution

  • Artykuł

Wprowadzenie

W tym wzorcu projektowym ruch ma dedykowaną ścieżkę w sieci szkieletowej firmy Microsoft z lokalnego centrum danych do chmury prywatnej usługi Azure VMware Solution (AVS). To połączenie odbywa się za pośrednictwem usługi ExpressRoute Global Reach, mechanizmu dostarczającego bezpośrednią ścieżkę między zarządzanym przez klienta, który może następnie łączyć się z dedykowanymi obwodami usługi ExpressRoute avS. Chmura prywatna ma również oddzielny izolowany podział z sieci NSX Edge do Internetu, dzięki czemu ten ruch nie przechodzi przez usługę ExpressRoute.

Rozwiązanie Azure VMware z globalnym zasięgiem do środowiska lokalnego i oddzielne podziały dla Internetu przy użyciu publicznego adresu IP usługi AVS

Ważne

Jeśli obecnie znajdujesz się w regionie, w którym usługa Global Reach nie jest obsługiwana, tranzyt z lokalnego do chmury prywatnej AVS jest możliwy przez wdrożenie bramy usługi ExpressRoute na platformie Azure. Aby zapewnić kompleksową przechodniość, potrzebne jest urządzenie wirtualne w sieci wirtualnej koncentratora. Zobacz sekcję Inspekcja ruchu i domyślne anonsowanie tras.

Profil klienta

Ta architektura jest idealna dla:

  • Małe opóźnienia, ruch wychodzący natywnie z centrum danych SDDC usługi Azure VMware Solution (centrów danych zdefiniowanych programowo) do Internetu.
  • Bezpośrednie kierowanie ruchu ze środowiska lokalnego do platformy Azure za pośrednictwem usługi ExpressRoute lub sieci VPN.
  • Przychodzące usługi L4/L7 dla obciążeń w centrum danych SDDC, takich jak HTTPS

Ruch, który przepływa przez routery AVS NSX, omówiony w tym projekcie:

  • Rozwiązanie Azure VMware Solution do natywnych sieci wirtualnych platformy Azure
  • Usługa Azure VMware Solution do Internetu
  • Usługa Azure VMware Solution do lokalnych centrów danych

Składniki architektury

Zaimplementuj ten scenariusz za pomocą następujących elementów:

  • Zaawansowany moduł równoważenia obciążenia NSX
  • Publiczny adres IP dla internetowego podziału z usługi Azure VMware Solution dla translacji adresów źródłowych i docelowych (SNAT/DNAT)

Uwaga

Chociaż zaawansowany moduł równoważenia obciążenia NSX (Avi) zapewnia możliwości ruchu przychodzącego bezpośrednio w NSX, ta funkcja jest również możliwa w przypadku zapory aplikacji internetowej lub usługi App Gateway w wersji 2 na platformie Azure.

Kluczowa decyzja

W tym dokumencie przyjęto założenie i zaleca się domyślne anonsowanie tras ze środowiska lokalnego lub avS. Jeśli potrzebujesz domyślnej trasy pochodzącej z platformy Azure, zapoznaj się z sekcją Traffic Inspection & Default Route Advertisement (Inspekcja ruchu i domyślna anons trasy).

Kwestie wymagające rozważenia

  • Włącz publiczny adres IP w dół do przeglądarki NSX Edge w witrynie Azure Portal. Pozwala to na bezpośrednie połączenia z usługą Azure VMware Solution z małymi opóźnieniami oraz możliwość skalowania liczby połączeń wychodzących.
  • Zastosuj tworzenie reguł zapory NSX.
  • Użyj zaawansowanego modułu równoważenia obciążenia NSX, aby równomiernie dystrybuować ruch do obciążeń.
  • Włącz ochronę przed powodziami (rozproszone i bramy).

Ruch wychodzący z usługi AVS przy użyciu serwera NSX-T lub urządzenia WUS

Pokrycie inspekcji ruchu Zalecany projekt rozwiązania Kwestie wymagające rozważenia Internet Breakout
- Ruch przychodzący z Internetu
- Ruch wychodzący z Internetu
- Ruch do lokalnego centrum danych
— Ruch do usługi Azure Virtual Network
— Ruch w rozwiązaniu Azure VMware
Użyj zapory NSX-T lub innej firmy WUS w rozwiązaniu Azure VMware Solution.

Użyj zaawansowanego modułu równoważenia obciążenia NSX-T dla protokołu HTTPs lub zapory NSX-T dla ruchu innego niż HTTP/S.

Publiczny adres IP dla internetowego podziału z usługi Azure VMware Solution, SNAT i DNAT.		 Wybierz tę opcję, aby anonsować 0.0.0.0/0 trasę z chmury prywatnej usługi Azure VMware Solution.

Włącz publiczny adres IP w dół do przeglądarki NSX Edge w witrynie Azure Portal. Ta opcja umożliwia nawiązywanie połączeń o małych opóźnieniach z platformą Azure oraz skalowanie liczby połączeń wychodzących.		 Rozwiązanie Azure VMware

Ruch wychodzący z usługi Azure VMware Solution do anonsu 0.0.0.0/0 ze środowiska lokalnego

Pokrycie inspekcji ruchu Zalecany projekt rozwiązania Kwestie wymagające rozważenia Internet Breakout
- Ruch przychodzący z Internetu
- Ruch wychodzący z Internetu
- Do lokalnego centrum danych		 Użyj lokalnego urządzenia

wirtualnego dla ruchu HTTP/S, użyj zaawansowanego modułu równoważenia obciążenia NSX lub usługi Application Gateway na platformie Azure. W przypadku ruchu innego niż HTTP/S użyj rozproszonej zapory NSX.

Włącz publiczny adres IP w rozwiązaniu Azure VMware Solution.		 Wybierz tę opcję, aby anonsować 0.0.0.0/0 trasę z lokalnych centrów danych. Lokalne

Ważne

Niektóre tradycyjne urządzenia VMware używają wstawiania usług do umieszczania urządzeń w routerze warstwy 0. Routery warstwy 0 są aprowizowane i zarządzane przez firmę Microsoft i nie są eksploatacyjne przez użytkowników końcowych. Wszystkie urządzenia sieciowe i moduły równoważenia obciążenia muszą być umieszczone w warstwie 1. W następnej sekcji omówiono propagację trasy domyślnej z urządzenia testowego w usłudze AVS.

Integracja urządzenia WUS innej firmy w usłudze AVS

Integracja z urządzeniami innych firm jest możliwa z ostrożnym uwzględnieniem. W tym projekcie urządzenia WUS innych firm znajdują się za co najmniej jednym routerem brzegowym T-1.

Jest to odpowiedzialność użytkowników za wprowadzenie licencji i zaimplementowanie wszelkich funkcji wysokiej dostępności natywnych dla urządzenia.

Należy pamiętać o limitach podczas wybierania tej implementacji. Istnieje na przykład limit do ośmiu wirtualnych kart sieciowych na maszynie wirtualnej. Aby uzyskać więcej informacji na temat umieszczenia urządzeń WUS w usłudze AVS, zobacz: Wzorce zapory NSX-T

Uwaga

Firma Microsoft nie obsługuje korzystania z sieci zoptymalizowanej pod kątem mobilności, gdy są używane urządzenia WUS innych firm.

Zagadnienia dotyczące strefy docelowej

Ta sekcja zawiera najlepsze rozwiązania dotyczące integrowania usługi AVS ze strefą docelową platformy Azure.

Azure Route Server

Usługa Azure Route Server (ARS) służy do dynamicznego propagowania tras poznanych z usługi AVS i dostarczania łączności między oddziałami a bramami sieci VPN. Sieci wirtualne połączone za pomocą komunikacji równorzędnej z siecią wirtualną, w której mieszka usługa ARS, również dynamicznie uczą się tras, dzięki czemu można uczyć się tras z usług AVS do środowisk piasty i szprych na platformie Azure. Przypadki użycia usługi Azure Route Server obejmują:

Propagacja tras dynamicznych:

  • Poznaj konkretne trasy z usługi AVS do lokalnych sieci wirtualnych za pośrednictwem protokołu BGP (Border Gateway Protocol). Równorzędne sieci wirtualne mogą następnie poznać trasy.
  • Integracja urządzenia WUS innej firmy
    • Równorzędne usługi ARS z urządzeniami WUS, dzięki czemu nie potrzebujesz tras zdefiniowanych przez użytkownika dla każdego segmentu usługi AVS w celu filtrowania ruchu.
    • Ruch powrotny z równorzędnych sieci wirtualnych wymaga trasy zdefiniowanej przez użytkownika z powrotem do interfejsu lokalnego zapory
  • Mechanizm tranzytowy z usługi ExpressRoute do bram sieci VPN
  • Brama sieci VPN musi być typu lokacja-lokacja i skonfigurowana w aktywne-aktywne

Aby korzystać z usługi Azure Route Server, musisz:

  • Włączanie gałęzi do gałęzi

  • Użyj podsumowania tras dla > 1000 tras lub użyj NO_ADVERTISE BGP communities flagi refenced w usłudze Azure Route Server — często zadawane pytania

  • Równorzędne urządzenie WUS z określonymi sieciami ASN spoza platformy Azure. Na przykład ponieważ usługa ARS używa wartości 65515, żadne inne urządzenie w sieci wirtualnej nie może używać tej nazwy ASN (numer systemu autonomicznego).

  • Brak obsługi protokołu IPV6

Integracja z usługą Azure NetApp Files

Usługa Azure NetApp Files (ANF) udostępnia magazyn danych dołączony do sieci za pośrednictwem protokołu NFS. Usługa ANF znajduje się w sieci wirtualnej platformy Azure i łączy się z obciążeniami w usłudze AVS. Korzystając z magazynów danych NFS wspieranych przez usługę Azure NetApp Files, możesz rozszerzyć magazyn zamiast skalować klastry.

  • Tworzenie woluminów usługi Azure NetApp Files przy użyciu funkcji sieci w warstwie Standardowa w celu włączenia zoptymalizowanej łączności z chmury prywatnej AVS za pośrednictwem usługi ExpressRoute FastPath
  • Wdrażanie usługi ANF w delegowanej podsieci
  • Wdrożenie piasty i szprych obsługuje jednostkę SKU bramy ER o rozmiarze do 10 Gb/s
  • Jednostka SKU Ultra &ErGw3AZ jest wymagana do pomijania limitów szybkości portów bramy
  • Odczyt ruchu przychodzącego i zapisu jest wychodzący przez usługę ExpressRoute. Ruch wychodzący przez obwody usługi ExpressRoute pomija bramę i przechodzi bezpośrednio do routera brzegowego
  • Opłaty za ruch przychodzący/wychodzący są pomijane z usługi AVS, jednak w przypadku danych przechodzących przez równorzędne sieci wirtualne są naliczane opłaty za ruch wychodzący.
  • Obecnie obsługiwany jest tylko system plików NFS w wersji 3.

Jeśli widzisz nieoczekiwane opóźnienie, upewnij się, że chmura prywatna AVS i wdrożenie usługi ANF są przypięte do tego samego modułu AZ (Azure Strefy dostępności). Aby uzyskać wysoką dostępność, utwórz woluminy ANF w oddzielnych strefach AZ i włącz Cross Zone Replication

Ważne

Firma Microsoft nie obsługuje funkcji Fastpath dla zabezpieczonego koncentratora VWAN platformy Azure, gdzie maksymalna możliwa szybkość portu to 20 Gb/s. Rozważ użycie sieci wirtualnej piasty i szprych, jeśli wymagana jest większa przepływność. Zobacz, jak dołączać magazyny danych usługi Azure Netapp Files do hostów usługi Azure VMware Solution tutaj

Łączność sieci VPN ze środowiska lokalnego

Chociaż zalecany jest obwód usługi ExpressRoute, nawiązywanie połączenia z usługą AVS ze środowiska lokalnego przy użyciu protokołu IPSEC przy użyciu sieci wirtualnej koncentratora tranzytowego na platformie Azure jest również możliwe. Ten scenariusz wymaga bramy sieci VPN i usługi Azure Route Server. Jak wspomniano wcześniej, usługa Azure Route Server umożliwia przechodniość między bramą sieci VPN a bramą usługi ExpressRoute AVS.

Usługa Azure VMware Solution z tranzytem między usługą ExpressRoute i lokalną bramą sieci VPN

Inspekcja ruchu

Jak widać wcześniej, domyślne anonsowanie tras odbywa się z usługi AVS z publicznym adresem IP w dół do opcji NSX Edge, ale można również kontynuować anonsowanie trasy domyślnej ze środowiska lokalnego. Kompleksowe filtrowanie ruchu z lokalnego do usługi AVS jest możliwe z zaporą umieszczoną w jednym z tych punktów końcowych.

Rozwiązanie Azure VMware Solution z inspekcją ruchu na platformie Azure przy użyciu wirtualnego urządzenia sieciowego innej firmy

Domyślne anonsowanie tras z platformy Azure jest możliwe w przypadku urządzenia WUS innej firmy w sieci wirtualnej koncentratora lub w przypadku korzystania z wirtualnej sieci azure vWAN. W przypadku wdrożenia piasty i szprych usługa Azure Firewall nie jest możliwa, ponieważ nie mówi protokołu BGP, ale można użyć urządzenia obsługującego protokół BGP innej firmy. Ten scenariusz działa w przypadku inspekcji ruchu z:

  • Lokalnie na platformie Azure
  • Azure do Internetu
  • Usługa AVS do Internetu
  • AvS na platformę Azure

Urządzenie WUS innej firmy w sieci wirtualnej koncentratora sprawdza ruch między usługami AVS i Internetem oraz między usługami AVS i Sieciami wirtualnymi platformy Azure

Wymagania dotyczące inspekcji ruchu Zalecany projekt rozwiązania Kwestie wymagające rozważenia Internet Breakout
- Ruch przychodzący z Internetu
— Ruch wychodzący
z Internetu — do lokalnego centrum
danych — Do sieci wirtualnej platformy Azure		 Użyj rozwiązań zapory innych firm w sieci wirtualnej koncentratora z usługą Azure Route Server.

W przypadku ruchu HTTP/S użyj aplikacja systemu Azure Gateway. W przypadku ruchu innego niż HTTP/S należy użyć urządzenia WUS zapory innej firmy na platformie Azure.

Użyj lokalnego wirtualnego urządzenia sieciowego zapory innej firmy.

Wdrażanie rozwiązań zapory innych firm w sieci wirtualnej koncentratora za pomocą usługi Azure Route Server.		 Wybierz tę opcję, aby anonsować 0.0.0.0/0 trasę z urządzenia WUS w sieci wirtualnej centrum platformy Azure do rozwiązania Azure VMware Solution. Azure

Dodatkowe informacje

  • Dostęp do programu vCenter przy użyciu maszyny wirtualnej Bastion + Jumpbox — jeśli uzyskujesz dostęp do programu vCenter ze środowiska lokalnego, upewnij się, że masz trasę z sieci lokalnych do sieci zarządzania /22 AVS. Sprawdź, czy trasa w interfejsie wiersza polecenia jest wpisywana Test-NetConnection x.x.x.2 -port 443
  • Zagadnienia dotyczące systemu DNS — w przypadku korzystania z prywatnych punktów końcowych postępuj zgodnie ze wskazówkami opisanymi tutaj: Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure | Microsoft Learn

Subskrypcja i organizacja grupy zasobów usługi Azure VMware Solution

Następne kroki

Następnie zapoznaj się z innymi wzorcami projektowymi dotyczącymi nawiązywania łączności z rozwiązaniem Azure VMware Solution

Topologia sieci w wielu regionach