Korzystanie z projektu rozwiązania Azure VMware Solution z jednym regionem z usługą Virtual WAN i Global Reach
W tym artykule opisano najlepsze rozwiązania dotyczące rozwiązania Azure VMware Solution w jednym regionie, gdy używasz bezpiecznej usługi Azure Virtual WAN z intencją routingu. Zapewnia on zalecenia dotyczące łączności i przepływu ruchu dla bezpiecznej usługi Virtual WAN z intencją routingu i usługą Azure ExpressRoute Global Reach. W tym artykule opisano topologię projektów w chmurach prywatnych usługi Azure VMware Solution, lokacjach lokalnych i zasobach natywnych dla platformy Azure. Implementacja i konfiguracja bezpiecznej usługi Virtual WAN z intencją routingu wykraczają poza zakres tego artykułu.
Używanie bezpiecznej usługi Virtual WAN w jednym regionie
Tylko jednostka SKU usługi Virtual WAN w warstwie Standardowa obsługuje bezpieczną usługę Virtual WAN z intencją routingu. Użyj bezpiecznej wirtualnej sieci WAN z intencją routingu, aby wysyłać cały ruch internetowy i ruch prywatny do rozwiązania zabezpieczeń, takiego jak usługa Azure Firewall, wirtualne urządzenie sieciowe innej firmy niż Microsoft lub rozwiązanie typu oprogramowanie jako usługa (SaaS). Jeśli używasz intencji routingu, musisz mieć bezpieczne centrum usługi Virtual WAN.
Uwaga
Podczas konfigurowania rozwiązania Azure VMware Solution z bezpiecznymi koncentratorami usługi Virtual WAN ustaw opcję preferencji routingu koncentratora na ścieżkę AS, aby zapewnić optymalne wyniki routingu w centrum. Aby uzyskać więcej informacji, zobacz Preferencje routingu koncentratora wirtualnego.
Centrum tego scenariusza ma następującą konfigurację:
Sieć z jednym regionem ma wystąpienie usługi Virtual WAN i jedno centrum.
Centrum ma wdrożone wystąpienie usługi Azure Firewall, co sprawia, że jest bezpiecznym koncentratorem usługi Virtual WAN.
Bezpieczne centrum usługi Virtual WAN ma włączoną intencję routingu.
Ten scenariusz ma również następujące składniki:
Pojedynczy region ma własną chmurę prywatną usługi Azure VMware Solution i sieć wirtualną platformy Azure.
Lokacja lokalna łączy się z centrum.
Środowisko ma łączność Global Reach.
Usługa Global Reach ustanawia bezpośredni link logiczny za pośrednictwem sieci szkieletowej firmy Microsoft, która łączy rozwiązanie Azure VMware Solution ze środowiskiem lokalnym.
Połączenia Global Reach nie są przesyłane przez zaporę koncentratora. W związku z tym ruch Global Reach, który przechodzi między środowiskiem lokalnym i rozwiązaniem Azure VMware Solution, nie jest sprawdzany.
Uwaga
Aby zwiększyć bezpieczeństwo między lokacjami usługi Global Reach, rozważ sprawdzenie ruchu w środowisku NSX-T rozwiązania Azure VMware Lub zapory lokalnej.
Na poniższym diagramie przedstawiono przykład tego scenariusza.
W poniższej tabeli opisano łączność topologii na powyższym diagramie.
| Connection | opis |
|---|---|
| D | Prywatne połączenie usługi ExpressRoute zarządzane przez usługę Azure VMware Solution z koncentratorem |
| A | Połączenie Global Reach rozwiązania Azure VMware Solution z środowiskiem lokalnym |
| E | Lokalne połączenie usługi ExpressRoute z koncentratorem |
Bezpieczne przepływy ruchu usługi Virtual WAN w jednym regionie
W poniższych sekcjach opisano przepływy ruchu i łączność dla usługi Azure VMware Solution, lokalnych, sieci wirtualnych platformy Azure i Internetu.
Łączność i przepływy ruchu w chmurze prywatnej usługi Azure VMware Solution
Na poniższym diagramie przedstawiono przepływy ruchu dla chmury prywatnej usługi Azure VMware Solution.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 1 | Chmura usługi Azure VMware Solution | Sieć wirtualna | Tak |
| 2 | Chmura usługi Azure VMware Solution | Lokalne | Nie. |
Chmura prywatna usługi Azure VMware Solution łączy się z centrum za pośrednictwem połączenia usługi ExpressRoute D. Region chmury usługi Azure VMware Solution ustanawia połączenie z środowiskiem lokalnym za pośrednictwem połączenia ExpressRoute Global Reach A. Ruch, który podróżuje za pośrednictwem usługi Global Reach, nie tranzytuje zapory koncentratora.
W twoim scenariuszu skonfiguruj usługę Global Reach, aby zapobiec problemom z łącznością między środowiskiem lokalnym i rozwiązaniem Azure VMware Solution.
Łączność lokalna i przepływ ruchu
Na poniższym diagramie przedstawiono lokację lokalną połączoną z koncentratorem za pośrednictwem połączenia usługi ExpressRoute E. Systemy lokalne mogą komunikować się z usługą Azure VMware Solution za pośrednictwem połączenia Global Reach A.
W twoim scenariuszu skonfiguruj usługę Global Reach, aby zapobiec problemom z łącznością między środowiskiem lokalnym i rozwiązaniem Azure VMware Solution.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 3 | Lokalne | Chmura usługi Azure VMware Solution | Nie. |
| 100 | Lokalne | Sieć wirtualna | Tak |
Łączność sieci wirtualnej platformy Azure i przepływ ruchu
Bezpieczny koncentrator z włączoną intencją routingu wysyła domyślne adresy RFC 1918 (10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16) do równorzędnych sieci wirtualnych, wraz z innymi prefiksami, które są dodawane jako prefiksy ruchu prywatnego. Aby uzyskać więcej informacji, zobacz Routing intent private-address prefixes (Routing intent private-address prefixes). Ten scenariusz ma włączoną intencję routingu, więc wszystkie zasoby w sieci wirtualnej mają domyślne adresy RFC 1918 i używają zapory piasty jako następnego przeskoku. Cały ruch, który przechodzi i zamyka sieć wirtualną, przechodzi przez zaporę koncentratora.
Na poniższym diagramie przedstawiono sposób bezpośredniej komunikacji równorzędnej sieci wirtualnych z koncentratorem.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 5 | Sieć wirtualna | Chmura usługi Azure VMware Solution | Tak |
| 6 | Sieć wirtualna | Chmura usługi Azure VMware Solution | Tak |
Łączność z Internetem
W tej sekcji opisano sposób zapewniania łączności internetowej z zasobami natywnymi platformy Azure w sieci wirtualnej i w chmurze prywatnej usługi Azure VMware Solution. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące projektowania łączności internetowej. Poniższe opcje umożliwiają zapewnienie łączności z Internetem z usługą Azure VMware Solution.
- Opcja 1. Usługa internetowa hostowana na platformie Azure
- Opcja 2. Translacja adresów sieciowych zarządzanych przez rozwiązanie Azure VMware Solution (SNAT)
- Opcja 3. Publiczny adres IPv4 platformy Azure do krawędzi centrum danych NSX-T
Bezpieczny projekt usługi Virtual WAN z jednym regionem, który ma intencję routingu, obsługuje wszystkie opcje, ale zalecamy opcję 1. Scenariusz w dalszej części tego artykułu używa opcji 1 do zapewnienia łączności z Internetem. Opcja 1 działa najlepiej z bezpiecznym wirtualnym siecią WAN, ponieważ łatwo jest sprawdzać, wdrażać i zarządzać.
Gdy używasz intencji routingu, możesz wygenerować trasę domyślną z zapory koncentratora. Ta trasa domyślna anonsuje się do sieci wirtualnej i do usługi Azure VMware Solution.
Usługa Azure VMware Solution i łączność z internetem sieci wirtualnej
Po włączeniu intencji routingu dla ruchu internetowego domyślnie bezpieczne centrum usługi Virtual WAN nie anonsuje trasy domyślnej między obwodami usługi ExpressRoute. Aby zapewnić, że trasa domyślna jest propagowana do usługi Azure VMware Solution z wirtualnej sieci WAN, należy włączyć propagację tras domyślnych w obwodach usługi ExpressRoute rozwiązania VMware Solution. Aby uzyskać więcej informacji, zobacz Anonsuj trasę domyślną 0.0.0.0/0 do punktów końcowych.
Po włączeniu propagacji trasy domyślnej połączenie D anonsuje trasę domyślną 0.0.0.0/0 z centrum. Nie włączaj tego ustawienia dla lokalnych obwodów usługi ExpressRoute. Połączenie D anonsuje trasę domyślną 0.0.0.0/0 do usługi Azure VMware Solution, ale usługa Global Reach (połączenie A) również anonsuje trasę domyślną do środowiska lokalnego. W związku z tym zalecamy zaimplementowanie filtru BGP (Border Gateway Protocol) na sprzęcie lokalnym, aby nie poznać trasy domyślnej. Ten krok pomaga upewnić się, że konfiguracja nie ma wpływu na lokalną łączność z Internetem.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 7 | Chmura usługi Azure VMware Solution | Internet | Tak |
| 8 | Sieć wirtualna | Internet | Tak |
Po włączeniu intencji routingu dla dostępu do Internetu domyślna trasa generowana z bezpiecznego koncentratora usługi Virtual WAN automatycznie anonsuje się do połączeń sieci wirtualnej równorzędnej koncentratora. Należy pamiętać, że w kartach interfejsów sieciowych maszyn wirtualnych w sieci wirtualnej następny przeskok 0.0.0.0/0 jest zaporą koncentratora. Aby znaleźć następny przeskok, wybierz pozycję Obowiązujące trasy w karcie sieciowej.