Usar um design da solução VMware no Azure de região dupla com WAN Virtual e Alcance Global
Este artigo descreve as práticas recomendadas para conectividade, fluxos de tráfego e alta disponibilidade ao implantar a solução VMware no Azure em duas regiões. Ele oferece diretrizes para proteger a WAN Virtual do Azure com intenção de roteamento e o Alcance Global do Azure ExpressRoute. Este artigo descreve a WAN Virtual com topologia de intenção de roteamento para nuvens privadas, sites locais e recursos nativos do Azure da solução VMware no Azure.
A implementação e a configuração da WAN Virtual segura com intenção de roteamento estão além do escopo deste artigo. Este artigo pressupõe que você tenha um conhecimento básico da WAN Virtual e da WAN Virtual segura com intenção de roteamento.
Usar WAN Virtual segura e Alcance Global em duas regiões
Apenas o SKU padrão da WAN Virtual oferece suporte à WAN Virtual segura com intenção de roteamento. Use a WAN Virtual segura com intenção de roteamento e envie todo o tráfego da Internet e o tráfego de rede privada para uma solução de segurança, como o Firewall do Azure, uma NVA (solução de virtualização de rede) que não seja da Microsoft ou uma solução SaaS (software como serviço). Você deverá ter um hub de WAN Virtual seguro se usar a intenção de roteamento.
O hub deste cenário tem a seguinte configuração:
A rede de região dupla tem uma WAN Virtual e dois hubs. Cada região tem um hub.
Cada hub tem sua própria instância do Firewall do Azure implantada, o que os torna hubs de WAN Virtual seguros.
Os hubs seguros da WAN Virtual têm a intenção de roteamento habilitada.
Esse cenário também tem os seguintes componentes:
Cada região tem sua própria nuvem privada da solução VMware no Azure e uma rede virtual do Azure.
Um site local se conecta a ambas as regiões.
O ambiente tem conectividade de Alcance Global.
O Alcance Global estabelece um link lógico direto através do backbone da Microsoft, que conecta a solução VMware no Azure a nuvens privadas locais ou regionais da solução VMware no Azure.
As conexões de Alcance Global não transitam pelos firewalls do hub. Sendo assim, o tráfego de Alcance Global entre sites não é inspecionado.
Observação
Para aprimorar a segurança entre sites de Alcance Global, considere inspecionar o tráfego no NSX-T do ambiente da solução VMware no Azure ou em um firewall local.
O diagrama abaixo mostra um exemplo desse cenário.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Conexão | Descrição |
|---|---|
| Um | Conexão de Alcance Global da região 1 da solução VMware no Azure de volta ao local |
| B | Conexão de Alcance Global da região 2 da solução VMware no Azure de volta ao local |
| C | Conexão de Alcance Global da solução VMware no Azure entre os circuitos gerenciados das duas nuvens privadas |
| D | Conexão de nuvem privada da solução VMware no Azure com seu hub regional local |
| E | Conectividade local por meio do ExpressRoute para os dois hubs regionais |
| Interhub | Conexão lógica interhub entre dois hubs implantados na mesma WAN Virtual |
Observação
Ao configurar a solução VMware no Azure com hubs de WAN Virtual seguros, defina a opção de preferência de roteamento do hub como Caminho AS para garantir os resultados de roteamento ideais no hub. Para obter mais informações, consulte Preferências de roteamento do hub virtual.
Fluxos de tráfego de WAN Virtual segura de região dupla
As seções a seguir descrevem os fluxos de tráfego e a conectividade para a solução VMware no Azure, locais, redes virtuais do Azure e Internet ao usar o Alcance Global.
Fluxos de tráfego e conectividade entre regiões da nuvem privada da solução VMware no Azure
O diagrama abaixo mostra os fluxos de tráfego para duas nuvens privadas da solução VMware no Azure em duas regiões.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Região 1 de nuvem da solução VMware no Azure | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 2 | Região 1 de nuvem da solução VMware no Azure | No local | Não, o tráfego ignora o firewall e transita pela conexão A de Alcance Global |
| 3 | Região 1 de nuvem da solução VMware no Azure | Rede virtual 2 | Sim, através do firewall do hub 2 |
| 4 | Região 1 de nuvem da solução VMware no Azure | Região 2 de nuvem da solução VMware no Azure | Não, o tráfego ignora o firewall e transita pela conexão C de Alcance Global |
| 5 | Região 2 de nuvem da solução VMware no Azure | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 6 | Região 2 de nuvem da solução VMware no Azure | Rede virtual 2 | Sim, através do firewall do hub 2 |
| 7 | Região 2 de nuvem da solução VMware no Azure | No local | Não, o tráfego ignora o firewall e transita pela conexão B de Alcance Global |
Cada nuvem privada da solução VMware no Azure se conecta ao hub regional local através da conexão D de ExpressRoute.
Cada região de nuvem da solução VMware no Azure se conecta novamente a uma rede local através do Alcance Global do ExpressRoute. Cada região de nuvem da solução VMware no Azure tem sua própria conexão de Alcance Global (conexão A e B). E as nuvens privadas da solução VMware no Azure se conectam diretamente entre si através da conexão C do Alcance Global. O tráfego de Alcance Global nunca transita por firewalls de hub.
Configure as três conexões de Alcance Global. Você deve executar esta etapa para evitar problemas de conectividade entre sites de Alcance Global.
Fluxo de tráfego e conectividade local
O diagrama a seguir mostra os fluxos de tráfego para o site local.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 2 | No local | Região 1 de nuvem da solução VMware no Azure | Não, o tráfego ignora o firewall e transita pela conexão A de Alcance Global |
| 7 | No local | Região 2 de nuvem da solução VMware no Azure | Não, o tráfego ignora o firewall e transita pela conexão B de Alcance Global |
| 8 | No local | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 9 | No local | Rede virtual 2 | Sim, através do firewall do hub 2 |
O site local se conecta aos hubs da região 1 e da região 2 através da conexão E do ExpressRoute.
Os sistemas locais podem se comunicar com a região 1 de nuvem da solução VMware no Azure através da conexão A de Alcance Global e com a região 2 de nuvem da solução VMware no Azure através da conexão B de Alcance Global.
Configure as três conexões de Alcance Global. Você deve executar esta etapa para evitar problemas de conectividade entre sites de Alcance Global.
Fluxo de tráfego e conectividade de rede virtual do Azure
O diagrama abaixo mostra os fluxos de tráfego para as redes virtuais.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Rede virtual 1 | Região 1 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 1 |
| 3 | Rede virtual 2 | Região 1 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 2 |
| 5 | Rede virtual 1 | Região 2 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 1 |
| 6 | Rede virtual 2 | Região 2 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 2 |
| 8 | Rede virtual 1 | No local | Sim, através do firewall do hub 1 |
| 9 | Rede virtual 2 | No local | Sim, através do firewall do hub 2 |
| 10 | Rede virtual 1 | Rede virtual 2 | Sim, através do firewall do hub 1. Depois, o tráfego passa pela conexão interhub e é inspecionado através do firewall do hub 2. |
As duas redes virtuais se emparelham diretamente com seu hub regional local.
Um hub seguro com intenção de roteamento envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) para redes virtuais emparelhadas, juntamente com quaisquer outros prefixos adicionados como prefixos de tráfego privado. Para obter mais informações, consulte Prefixos de endereço privado de intenção de roteamento.
Esse cenário tem a intenção de roteamento habilitada. Sendo assim, todos os recursos na rede virtual 1 e na rede virtual 2 têm os endereços RFC 1918 padrão e usam o firewall do hub regional local como o próximo salto. Todo o tráfego que entra e sai das redes virtuais transita pelos firewalls do hub.
Conectividade com a Internet
Esta seção descreve como fornecer conectividade com a Internet para recursos nativos do Azure em redes virtuais e nuvens privadas da solução VMware no Azure nas duas regiões. Para obter mais informações, consulte Considerações de design de conectividade com a Internet. Você pode usar as opções abaixo para oferecer conectividade com a Internet à solução VMware no Azure.
- Opção 1: serviço de Internet hospedado no Azure
- Opção 2: SNAT (conversão de endereços de rede de origem) gerenciada pela solução VMware
- Opção 3: endereço IPv4 público do Azure para a borda do NSX-T Data Center
Um design de WAN Virtual de região dupla com intenção de roteamento oferece suporte a todas as opções, mas recomendamos a opção 1. O cenário mais adiante neste artigo usa a opção 1 para oferecer conectividade com a Internet. A opção 1 funciona melhor com a WAN Virtual segura, pois é fácil de inspecionar, implantar e gerenciar.
Ao usar a intenção de roteamento, você pode gerar uma rota padrão do firewall do hub. Essa rota padrão anuncia para suas redes virtuais e nuvens privadas da solução VMware no Azure.
Solução VMware no Azure e conectividade com a Internet de rede virtual
O diagrama abaixo mostra a conectividade com a Internet para instâncias e redes virtuais da solução VMware no Azure.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? | Acesso à internet |
|---|---|---|---|---|
| 11 | Região 1 de nuvem da solução VMware no Azure | A Internet | Sim, através do firewall do hub 1 | Através do firewall do hub 1 |
| 12 | Região 2 de nuvem da solução VMware no Azure | A Internet | Sim, através do firewall do hub 2 | Através do firewall do hub 2 |
| 15 | Rede virtual 1 | A Internet | Sim, através do firewall do hub 1 | Através do firewall do hub 1 |
| 16 | Rede virtual 2 | A Internet | Sim, através do firewall do hub 2 | Através do firewall do hub 2 |
Os fluxos de tráfego a seguir só estarão ativos se você tiver uma interrupção que afete um hub regional local. Por exemplo, se o hub regional local da solução VMware no Azure sofrer uma interrupção, o tráfego da Internet será redirecionado para o hub inter-regional para conectividade com a Internet.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? | Acesso à internet |
|---|---|---|---|---|
| 13 | Região 1 de nuvem da solução VMware no Azure | A Internet | Sim, o tráfego transita através da conexão C do Alcance Global e o firewall do hub 2 o inspeciona. | Através do firewall do hub 2 |
| 14 | Região 2 de nuvem da solução VMware no Azure | A Internet | Sim, o tráfego transita através da conexão C do Alcance Global e o firewall do hub 1 o inspeciona. | Através do firewall do hub 1 |
A nuvem privada da solução VMware no Azure aprende a rota de conectividade com a Internet padrão de seu hub regional local e de seu hub inter-regional, para que você possa obter redundância de conectividade com a Internet. A nuvem privada da solução VMware no Azure prioriza o hub regional local para conectividade primária de acesso à Internet. O hub inter-regional serve como um backup da Internet se o hub regional local falhar. Essa configuração oferece redundância de acesso à Internet apenas para tráfego de saída. Para tráfego de entrada da Internet para cargas de trabalho da solução VMware no Azure, considere usar o Azure Front Door ou o Gerenciador de Tráfego do Azure para alta disponibilidade regional.
A nuvem privada da solução VMware no Azure recebe a rota padrão preferencial ∞ 0.0.0.0/0 através da conexão D de seu hub regional local. E a nuvem privada da solução VMware no Azure recebe uma rota padrão de backup △ 0.0.0.0/0, que se origina no hub inter-regional e anuncia na conexão C do Alcance Global. Mas se você habilitar a propagação de rota padrão em suas conexões E locais do ExpressRoute, o tráfego da Internet entre regiões também será direcionado por esse caminho.
Por exemplo, o tráfego da Internet entre regiões que vai da nuvem privada 1 do VMware no Azure para o hub 2 é distribuído através do roteamento ECMP (vários caminhos de custo igual) pela conexão C do Alcance Global para a conexão D e pela conexão A do Alcance Global para a conexão E. Da mesma forma, o tráfego de retorno que vai do hub 2 para a região de nuvem privada 1 percorre os mesmos caminhos através do ECMP. Configure as três conexões de Alcance Global. Você deve executar esta etapa para evitar problemas de conectividade entre sites de Alcance Global.
Quando você habilita a intenção de roteamento para o tráfego da Internet, por padrão, o hub seguro da WAN Virtual não anuncia a rota padrão entre circuitos do ExpressRoute. Para ajudar a garantir que a rota padrão se propague para a solução VMware no Azure da WAN Virtual, você precisa habilitar a propagação de rota padrão em seus circuitos do ExpressRoute da solução VMware no Azure. Para obter mais informações, consulte Anunciar a rota padrão 0.0.0.0/0 para pontos de extremidade.
Não habilite essa configuração para circuitos locais do ExpressRoute. A conexão D anuncia a rota padrão "∞ 0.0.0.0/0" para as nuvens privadas da solução VMware no Azure, mas a rota padrão também anuncia para o local através da conexão A de Alcance Global e da conexão B de Alcance Global. Como resultado, recomendamos que você implemente um filtro BGP (Border Gateway Protocol) em seu equipamento local para excluir o aprendizado da rota padrão. Esta etapa ajuda a garantir que sua configuração não afete a conectividade com a Internet local.
Cada rede virtual sai para a Internet através de seu firewall de hub regional local. Quando você habilita a intenção de roteamento para acesso à Internet, a rota padrão gerada pelo hub seguro da WAN Virtual anuncia automaticamente as conexões de rede virtual emparelhadas pelo hub. No entanto, essa rota padrão não anuncia entre hubs regionais pelo link interhub. Sendo assim, as redes virtuais usam seu hub regional local para acesso à Internet e não têm conectividade de backup com a Internet para o hub inter-regional.