Korzystanie z projektu rozwiązania Azure VMware Solution z jednym regionem, który nie ma zasięgu globalnego
W tym artykule opisano najlepsze rozwiązania dotyczące rozwiązania Azure VMware Solution w jednym regionie, gdy używasz bezpiecznej usługi Azure Virtual WAN z intencją routingu. Zapewnia on zalecenia dotyczące łączności i przepływu ruchu dla bezpiecznej usługi Virtual WAN z intencją routingu. W tym artykule opisano topologię projektów w chmurach prywatnych usługi Azure VMware Solution, lokacjach lokalnych i zasobach natywnych dla platformy Azure, gdy nie używasz usługi Azure ExpressRoute Global Reach. Implementacja i konfiguracja bezpiecznej usługi Virtual WAN z intencją routingu wykraczają poza zakres tego artykułu.
Jeśli używasz regionu, który nie obsługuje usługi Global Reach lub jeśli masz wymóg zabezpieczeń inspekcji ruchu między usługą Azure VMware Solution i lokalnie w zaporze koncentratora, musisz otworzyć bilet pomocy technicznej, aby włączyć tranzyt usługi ExpressRoute-to-ExpressRoute. Usługa Virtual WAN domyślnie nie obsługuje przechodniości usługi ExpressRoute-to-ExpressRoute. Aby uzyskać więcej informacji, zobacz Tranzyt łączności między obwodami usługi ExpressRoute z intencją routingu.
Korzystanie z bezpiecznej usługi Virtual WAN bez globalnego zasięgu
Tylko jednostka SKU usługi Virtual WAN w warstwie Standardowa obsługuje bezpieczną usługę Virtual WAN z intencją routingu. Użyj bezpiecznej wirtualnej sieci WAN z intencją routingu, aby wysyłać cały ruch internetowy i ruch sieciowy prywatny (RFC 1918) do rozwiązania zabezpieczeń, takiego jak usługa Azure Firewall, wirtualne urządzenie sieciowe innej firmy niż Microsoft lub rozwiązanie oprogramowania jako usługi (SaaS).
Centrum tego scenariusza ma następującą konfigurację:
Sieć z jednym regionem ma wystąpienie usługi Virtual WAN i jedno centrum.
Centrum ma wdrożone wystąpienie usługi Azure Firewall, co sprawia, że jest bezpiecznym koncentratorem usługi Virtual WAN.
Bezpieczne centrum usługi Virtual WAN ma włączoną intencję routingu.
Ten scenariusz ma również następujące składniki:
Pojedynczy region ma własną chmurę prywatną usługi Azure VMware Solution i sieć wirtualną platformy Azure.
Lokacja lokalna łączy się z centrum.
Uwaga
Jeśli używasz prefiksów innych niż RFC 1918 w połączonych zasobach lokalnych, sieciach wirtualnych lub rozwiązaniu Azure VMware Solution, określ te prefiksy w polu Prefiksy ruchu prywatnego funkcji intencji routingu. Wprowadź podsumowane trasy w polu Prefiksy ruchu prywatnego, aby pokryć zakres. Nie wprowadzaj dokładnego zakresu anonsowania do usługi Virtual WAN, ponieważ ta specyfikacja może prowadzić do problemów z routingiem. Jeśli na przykład obwód usługi ExpressRoute anonsuje zakres 192.0.2.0/24 ze środowiska lokalnego, wprowadź zakres /23 Classless Inter-Domain Routing (CIDR) lub większy, na przykład 192.0.2.0/23. Aby uzyskać więcej informacji, zobacz Konfigurowanie intencji routingu i zasad za pośrednictwem portalu usługi Virtual WAN.
Uwaga
Podczas konfigurowania rozwiązania Azure VMware Solution z bezpiecznymi koncentratorami usługi Virtual WAN ustaw opcję preferencji routingu koncentratora na ścieżkę AS, aby zapewnić optymalne wyniki routingu w centrum. Aby uzyskać więcej informacji, zobacz Preferencje routingu koncentratora wirtualnego.
Na poniższym diagramie przedstawiono przykład tego scenariusza.
W poniższej tabeli opisano łączność topologii na powyższym diagramie.
| Connection | opis |
|---|---|
| D | Prywatne połączenie usługi ExpressRoute zarządzane przez usługę Azure VMware Solution z koncentratorem |
| E | Lokalne połączenie usługi ExpressRoute z koncentratorem |
Przepływy ruchu dla wirtualnej sieci WAN z jednym regionem bez globalnego zasięgu
W poniższych sekcjach opisano przepływy ruchu i łączność dla usługi Azure VMware Solution, lokalnych, sieci wirtualnych platformy Azure i Internetu.
Łączność i przepływy ruchu w chmurze prywatnej usługi Azure VMware Solution
Na poniższym diagramie przedstawiono przepływy ruchu dla chmury prywatnej usługi Azure VMware Solution.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 1 | Chmura usługi Azure VMware Solution | Sieć wirtualna | Tak |
| 2 | Chmura usługi Azure VMware Solution | Lokalne | Tak |
Chmura prywatna usługi Azure VMware Solution ma połączenie usługi ExpressRoute z koncentratorem (połączenie D).
Po włączeniu przechodniości usługi ExpressRoute-to-ExpressRoute w bezpiecznym centrum i włączeniu intencji routingu, bezpieczne centrum wysyła domyślne adresy RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) do usługi Azure VMware Solution za pośrednictwem połączenia D. Oprócz domyślnych adresów RFC 1918 rozwiązanie Azure VMware Solution uczy się bardziej szczegółowych tras z sieci wirtualnych i sieci oddziałów platformy Azure, takich jak S2S VPN, P2S VPN i SD-WAN, które łączą się z koncentratorem. Rozwiązanie Azure VMware Solution nie uczy się określonych tras z sieci lokalnych. Aby kierować ruch z powrotem do sieci lokalnych, rozwiązanie Azure VMware Solution używa domyślnych adresów RFC 1918, które uczy się z połączenia D. Ten ruch jest przesyłany przez zaporę koncentratora. Zapora piasty używa określonych tras dla sieci lokalnych do kierowania ruchu do miejsc docelowych za pośrednictwem połączenia E. Ruch przesyłany z rozwiązania Azure VMware Solution do sieci wirtualnych przesyłany przez zaporę koncentratora.
Łączność lokalna i przepływ ruchu
Na poniższym diagramie przedstawiono przepływy ruchu dla łączności lokalnej.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 3 | Lokalne | Chmura usługi Azure VMware Solution | Tak |
| 100 | Lokalne | Sieć wirtualna | Tak |
Lokacja lokalna łączy się z koncentratorem za pośrednictwem połączenia usługi ExpressRoute E.
Po włączeniu tranzytowej usługi ExpressRoute do usługi ExpressRoute w bezpiecznym centrum i włączeniu intencji routingu bezpieczny koncentrator wysyła domyślne adresy RFC 1918 do środowiska lokalnego za pośrednictwem połączenia E. Oprócz domyślnych adresów RFC 1918 środowisko lokalne uczy się bardziej szczegółowych tras z sieci wirtualnych platformy Azure i sieci oddziałów łączących się z koncentratorem. Środowisko lokalne nie uczy się określonych tras z sieci usługi Azure VMware Solution. Aby kierować ruch z powrotem do sieci usługi Azure VMware Solution, usługa Azure VMware Solution używa domyślnych adresów RFC 1918, które uczy się z połączenia E. Ten ruch jest przesyłany przez zaporę koncentratora. Zapora piasty używa określonych tras dla sieci usługi Azure VMware Solution do kierowania ruchu do miejsc docelowych za pośrednictwem połączenia D. Ruch, który przechodzi ze środowiska lokalnego do sieci wirtualnych, tranzytuje zaporę piasty.
Po włączeniu przechodniości usługi ExpressRoute-to-ExpressRoute w centrum wysyła domyślne adresy RFC 1918 do sieci lokalnej. Dlatego nie należy anonsować dokładnych prefiksów RFC 1918 z powrotem na platformę Azure. Anonsowanie tych samych dokładnych tras powoduje problemy z routingiem na platformie Azure. Zamiast tego należy anonsować bardziej szczegółowe trasy z powrotem na platformę Azure dla sieci lokalnych.
Uwaga
Jeśli anonsujesz domyślne adresy RFC 1918 ze środowiska lokalnego na platformę Azure i chcesz kontynuować tę praktykę, musisz podzielić każdy zakres RFC 1918 na dwa równe podrangi i anonsować te podranges z powrotem na platformę Azure. Podranges to 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 i 192.168.128.0/17.
Łączność sieci wirtualnej platformy Azure i przepływ ruchu
Na poniższym diagramie przedstawiono przepływy ruchu dla łączności sieci wirtualnej platformy Azure.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 5 | Sieć wirtualna | Chmura usługi Azure VMware Solution | Tak |
| 6 | Sieć wirtualna | Lokalne | Tak |
W tym scenariuszu komunikacja równorzędna sieci wirtualnych bezpośrednio z koncentratorem. Na diagramie przedstawiono sposób, w jaki zasoby natywne dla platformy Azure w sieci wirtualnej uczą się swoich tras. Bezpieczne centrum z włączoną intencją routingu wysyła domyślne adresy RFC 1918 do równorzędnych sieci wirtualnych. Zasoby natywne dla platformy Azure w sieci wirtualnej nie uczą się określonych tras spoza sieci wirtualnej. Po włączeniu intencji routingu wszystkie zasoby w sieci wirtualnej mają domyślny adres RFC 1918 i używają zapory koncentratora jako następnego przeskoku. Cały ruch, który przechodzi i zamyka sieci wirtualne, tranzytuje zaporę koncentratora.
Łączność z Internetem
W tej sekcji opisano sposób zapewniania łączności z Internetem dla zasobów natywnych dla platformy Azure w sieciach wirtualnych i chmurach prywatnych usługi Azure VMware Solution w jednym regionie. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące projektowania łączności internetowej. Poniższe opcje umożliwiają zapewnienie łączności z Internetem z usługą Azure VMware Solution.
- Opcja 1. Usługa internetowa hostowana na platformie Azure
- Opcja 2. Translacja adresów sieciowych zarządzanych przez rozwiązanie Azure VMware Solution (SNAT)
- Opcja 3. Publiczny adres IPv4 platformy Azure do krawędzi centrum danych NSX-T
Bezpieczny projekt usługi Virtual WAN z jednym regionem, który ma intencję routingu, obsługuje wszystkie opcje, ale zalecamy opcję 1. Scenariusz w dalszej części tego artykułu używa opcji 1 do zapewnienia łączności z Internetem. Opcja 1 działa najlepiej z bezpiecznym wirtualnym siecią WAN, ponieważ łatwo jest sprawdzać, wdrażać i zarządzać.
Po włączeniu intencji routingu w bezpiecznym centrum anonsuje dokument RFC 1918 do wszystkich równorzędnych sieci wirtualnych. Można jednak również anonsować trasę domyślną 0.0.0.0/0 na potrzeby łączności internetowej z zasobami podrzędnym. Gdy używasz intencji routingu, możesz wygenerować trasę domyślną z zapory koncentratora. Ta trasa domyślna anonsuje się do sieci wirtualnej i do usługi Azure VMware Solution.
Usługa Azure VMware Solution i łączność z internetem sieci wirtualnej
Po włączeniu intencji routingu dla ruchu internetowego domyślnie bezpieczne centrum usługi Virtual WAN nie anonsuje trasy domyślnej między obwodami usługi ExpressRoute. Aby zapewnić, że trasa domyślna jest propagowana do usługi Azure VMware Solution z wirtualnej sieci WAN, należy włączyć propagację tras domyślnych w obwodach usługi ExpressRoute rozwiązania VMware Solution. Aby uzyskać więcej informacji, zobacz Anonsuj trasę domyślną 0.0.0.0/0 do punktów końcowych.
Na poniższym diagramie przedstawiono przepływy ruchu dla sieci wirtualnej i łączności internetowej usługi Azure VMware Solution.
W poniższej tabeli opisano przepływ ruchu na powyższym diagramie.
| Numer przepływu ruchu | Element źródłowy | Element docelowy | Czy bezpieczna zapora koncentratora usługi Virtual WAN sprawdza ten ruch? |
|---|---|---|---|
| 7 | Sieć wirtualna | Internet | Tak |
| 8 | Chmura usługi Azure VMware Solution | Internet | Tak |
Po włączeniu propagacji trasy domyślnej połączenie D anonsuje trasę domyślną 0.0.0.0/0 z centrum. Nie włączaj tego ustawienia dla lokalnych obwodów usługi ExpressRoute. Zalecamy zaimplementowanie filtru BGP (Border Gateway Protocol) na sprzęcie lokalnym. Filtr protokołu BGP uniemożliwia niezamierzone uczenie się trasy domyślnej zasobów, dodaje dodatkową warstwę środków ostrożności i pomaga zapewnić, że konfiguracja nie ma wpływu na lokalną łączność z Internetem.
Po włączeniu intencji routingu dla dostępu do Internetu domyślna trasa generowana z bezpiecznego koncentratora usługi Virtual WAN automatycznie anonsuje się do połączeń sieci wirtualnej równorzędnej koncentratora. Należy pamiętać, że w kartach sieciowych maszyn wirtualnych w sieci wirtualnej następny przeskok 0.0.0.0/0 jest zaporą koncentratora. Aby znaleźć następny przeskok, wybierz pozycję Obowiązujące trasy w karcie sieciowej.
Korzystanie z sieci VMware HCX Mobility Optimized Networking (MON) bez zasięgu globalnego
Możesz włączyć funkcję HCX Mobility Optimized Networking (MON) podczas korzystania z rozszerzenia sieciowego HCX. Baza danych MON zapewnia optymalny routing ruchu w niektórych scenariuszach, aby zapobiec nakładaniu się sieci lub pętli między zasobami opartymi na środowisku lokalnym i w chmurze w sieciach rozszerzonych.
Ruch wychodzący z rozwiązania Azure VMware Solution
Po włączeniu mon dla określonej sieci rozszerzonej i maszyny wirtualnej przepływ ruchu zmienia się. Po zaimplementowaniu bazy danych MON ruch wychodzący z maszyny wirtualnej nie będzie pętli z powrotem do środowiska lokalnego. Zamiast tego pomija tunel IPSec rozszerzenia sieci. Ruch maszyny wirtualnej kończy się z bramy usługi Azure VMware Solution NSX-T Tier-1, przechodzi do bramy NSX-T Tier-0, a następnie przechodzi do wirtualnej sieci WAN.
Ruch przychodzący do rozwiązania Azure VMware Solution
Po włączeniu mon dla określonej sieci rozszerzonej i maszyny wirtualnej należy wprowadzić następujące zmiany. Z usługi Azure VMware Solution NSX-T mon wprowadza trasę hosta /32 z powrotem do wirtualnej sieci WAN. Usługa Virtual WAN anonsuje tę trasę /32 z powrotem do sieci lokalnych, sieci wirtualnych i sieci oddziałów. Ta trasa hosta /32 gwarantuje, że ruch z sieci lokalnych, sieci wirtualnych i sieci oddziałów nie korzysta z tunelu IPSec rozszerzenia sieci, gdy ruch przechodzi do maszyny wirtualnej z obsługą mon. Ruch z sieci źródłowych przechodzi bezpośrednio do maszyny wirtualnej z obsługą mon, ponieważ uczy się trasy /32.
Ograniczenie mon rozwiązania HCX dla bezpiecznej wirtualnej sieci WAN bez globalnego zasięgu
Po włączeniu przechodniości usługi ExpressRoute-to-ExpressRoute w bezpiecznym centrum i włączeniu intencji routingu bezpieczny koncentrator wysyła domyślne adresy RFC 1918 zarówno do lokalnego, jak i rozwiązania Azure VMware Solution. Oprócz domyślnych adresów RFC 1918 zarówno lokalnych, jak i usługi Azure VMware Solution, poznaj bardziej szczegółowe trasy z sieci wirtualnych platformy Azure i sieci oddziałów łączących się z koncentratorem.
Jednak sieci lokalne nie uczą się określonych tras z usługi Azure VMware Solution, a rozwiązanie Azure VMware Solution nie uczy się określonych tras z sieci lokalnych. Zamiast tego oba środowiska bazują na domyślnych adresach RFC 1918, aby ułatwić routing z powrotem do siebie za pośrednictwem zapory koncentratora. W związku z tym bardziej szczegółowe trasy, takie jak trasy hosta MON, nie anonsują się z usługi ExpressRoute usługi Azure VMware Solution do obwodu usługi ExpressRoute opartego na środowisku lokalnym. Dotyczy to również odwrotnej sytuacji. Niezdolność do uczenia się określonych tras wprowadza asymetryczne przepływy ruchu. Ruch wychodzący z rozwiązania Azure VMware Solution za pośrednictwem bramy NSX-T Tier-0, ale zwraca ruch ze środowiska lokalnego zwracany przez tunel IPSec rozszerzenia sieci.
Poprawianie asymetrii ruchu
Aby poprawić asymetrię ruchu, należy dostosować trasy zasad MON. Trasy zasad MON określają, który ruch wraca do bramy lokalnej za pośrednictwem rozszerzenia L2. Decydują również, który ruch przechodzi przez bramę NSX rozwiązania Azure VMware Solution w warstwie 0.
Jeśli docelowy adres IP jest zgodny z ustawieniami dozwolonymi w konfiguracji zasad MON, zostaną wykonane dwie akcje. Najpierw system identyfikuje pakiet. Po drugie system wysyła pakiet do bramy lokalnej za pośrednictwem urządzenia rozszerzenia sieciowego.
Jeśli docelowy adres IP nie jest zgodny lub ustawiono go na odmowę w zasadach MON, system wysyła pakiet do bramy usługi Azure VMware Solution Tier-0 na potrzeby routingu.
W poniższej tabeli opisano trasy zasad HCX.
| Sieć | Przekierowywanie do elementu równorzędnego | Uwaga |
|---|---|---|
| Przestrzeń adresowa sieci wirtualnej platformy Azure | Zablokuj | Jawnie uwzględnij zakresy adresów dla wszystkich sieci wirtualnych. Ruch przeznaczony dla platformy Azure kieruje ruch wychodzący za pośrednictwem usługi Azure VMware Solution i nie wraca do sieci lokalnej. |
| Domyślne przestrzenie adresowe RFC 1918 | Zezwalaj | Dodaj domyślne adresy RFC 1918. Ta konfiguracja gwarantuje, że każdy ruch, który nie spełnia powyższych kryteriów, przekierowuje z powrotem do sieci lokalnej. Jeśli konfiguracja lokalna używa adresów, które nie są częścią RFC 1918, należy jawnie uwzględnić te zakresy. |
| 0.0.0.0/0 przestrzeń adresowa | Zablokuj | Adresy, które RFC 1918 nie obejmują, takich jak adresy IP routingu internetowego lub ruch, który nie jest zgodny z określonymi wpisami, wyjdź bezpośrednio za pośrednictwem rozwiązania Azure VMware Solution i nie przekierowuje z powrotem do sieci lokalnej. |