Usar um design de solução VMware no Azure de região dupla sem Alcance Global
Este artigo descreve as práticas recomendadas para conectividade, fluxos de tráfego e alta disponibilidade ao implantar a solução VMware no Azure em duas regiões e usar a WAN Virtual do Azure segura com intenção de roteamento. Ele fornece diretrizes sobre como usar esse design sem Alcance Global. Este artigo descreve a WAN Virtual com topologia de intenção de roteamento para nuvens privadas, sites locais e recursos nativos do Azure da solução VMware no Azure. A implementação e a configuração da WAN Virtual segura com intenção de roteamento estão além do escopo deste artigo.
Se você usar uma região que não oferece suporte ao Alcance Global ou se tiver um requisito de segurança para inspecionar o tráfego entre a solução VMware no Azure e o local no firewall do hub, deverá abrir um tíquete de suporte para habilitar a transitividade de ExpressRoute para ExpressRoute. Por padrão, a WAN Virtual não oferece suporte à transitividade de ExpressRoute s ExpressRoute Para obter mais informações, consulte Conectividade de trânsito entre circuitos do ExpressRoute com intenção de roteamento.
Usar um design de WAN Virtual segura de região dupla sem Alcance Global
Apenas o SKU padrão da WAN Virtual oferece suporte à WAN Virtual segura com intenção de roteamento. Use a WAN Virtual segura com intenção de roteamento para enviar todo o tráfego da Internet e o tráfego de rede privada (RFC 1918) para uma solução de segurança, como o Firewall do Azure, uma NVA (solução de virtualização de rede) que não seja da Microsoft ou uma solução SaaS (software como serviço).
O hub deste cenário tem a seguinte configuração:
A rede de região dupla tem uma instância WAN Virtual e dois hubs. Cada região tem um hub.
Cada hub tem sua própria instância do Firewall do Azure implantada, o que os torna hubs de WAN Virtual seguros.
Os hubs seguros da WAN Virtual têm a intenção de roteamento habilitada.
Esse cenário também tem os seguintes componentes:
Cada região tem sua própria nuvem privada da solução VMware no Azure e uma rede virtual do Azure.
Um site local se conecta a ambas as regiões.
Observação
Se você usar prefixos não RFC 1918 em seus recursos locais conectados, redes virtuais ou solução VMware no Azure, especifique esses prefixos no campo Prefixos de tráfego privado do recurso de intenção de roteamento. Insira rotas resumidas no campo Prefixos de tráfego privado para cobrir seu intervalo. Não insira o intervalo exato que anuncia a WAN Virtual, pois essa especificação pode levar a problemas de roteamento. Por exemplo, se o circuito do Azure ExpressRoute anunciar 192.0.2.0/24 do local, insira um intervalo CIDR (Roteamento entre Domínios Sem Classificação) /23 ou maior, por exemplo, 192.0.2.0/23. Para obter mais informações, consulte Configurar a intenção e as políticas de roteamento por meio do portal da WAN Virtual.
Observação
Ao configurar a solução VMware no Azure com hubs de WAN Virtual seguros, defina a opção de preferência de roteamento do hub como Caminho AS para garantir os resultados de roteamento ideais no hub. Para obter mais informações, consulte Preferências de roteamento do hub virtual.
O diagrama abaixo mostra um exemplo desse cenário.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Conexão | Descrição |
|---|---|
| D | Conexão de nuvem privada da solução VMware no Azure com seu hub regional local |
| E | Conectividade local por meio do ExpressRoute para os dois hubs regionais |
| Interhub | Conexão lógica interhub entre dois hubs implantados na mesma WAN Virtual |
Fluxos de tráfego de WAN Virtual segura de região dupla
As seções a seguir descrevem os fluxos de tráfego e a conectividade para a solução VMware no Azure, locais, redes virtuais do Azure e Internet.
Conectividade de nuvem privada e fluxos de tráfego da solução VMware no Azure
O diagrama abaixo mostra os fluxos de tráfego para ambas as nuvens privadas da solução VMware no Azure.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Região 1 de nuvem da solução VMware no Azure | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 2 | Região 1 de nuvem da solução VMware no Azure | No local | Sim, através do firewall do hub 1 |
| 3 | Região 1 de nuvem da solução VMware no Azure | Rede virtual 2 | Sim, através do firewall do hub 1 e, em seguida, através do firewall do hub 2 |
| 4 | Região 1 de nuvem da solução VMware no Azure | Região 2 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 1 e, em seguida, através do firewall do hub 2 |
| 5 | Região 2 de nuvem da solução VMware no Azure | Rede virtual 1 | Sim, através do firewall do hub 2 e, em seguida, através do firewall do hub 1 |
| 6 | Região 2 de nuvem da solução VMware no Azure | Rede virtual 2 | Sim, através do firewall do hub 2 |
| 7 | Região 2 de nuvem da solução VMware no Azure | No local | Sim, através do firewall do hub 2 |
Cada nuvem privada da solução VMware no Azure se conecta ao hub através da conexão D do ExpressRoute.
Quando você habilita a transitividade de ExpressRoute para ExpressRoute no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) para a solução VMware no Azure pela conexão D. Além dos endereços RFC 1918 padrão, a solução VMware no Azure aprende rotas mais específicas de redes virtuais e redes de filial do Azure, como VPN S2S, VPN P2S e SD-WAN, que se conectam aos dois hubs. As duas nuvens privadas da solução VMware no Azure não aprendem rotas específicas de redes locais.
Para rotear o tráfego de volta para redes locais, a solução VMware no Azure usa os endereços RFC 1918 padrão que aprende através da conexão D de seu hub regional local. Esse tráfego transita pelo firewall do hub regional local. O firewall do hub usa as rotas específicas para redes locais para rotear o tráfego em direção aos destinos pela conexão E. O tráfego que vai da nuvem privada da solução VMware no Azure para redes virtuais transita pelo firewall do hub.
Fluxo de tráfego e conectividade local
O diagrama abaixo mostra os fluxos de tráfego para conectividade local.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 2 | No local | Região 1 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 1 |
| 7 | No local | Região 2 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 2 |
| 8 | No local | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 9 | No local | Rede virtual 2 | Sim, através do firewall do hub 2 |
O site local se conecta aos dois hubs através da conexão E do ExpressRoute.
Quando você habilita a transitividade de ExpressRoute para ExpressRoute nos dois hubs seguros e habilita a intenção de roteamento, cada hub seguro envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) para o local por meio da conexão E. Além dos endereços RFC 1918 padrão, o local aprende rotas mais específicas de redes virtuais e redes de filial do Azure, como VPN S2S, VPN P2S e SD-WAN, que se conectam aos dois hubs.
O local não aprende as rotas específicas para nuvens privadas da solução VMware no Azure. O local aprende os endereços RFC 1918 padrão dos dois hubs através da conexão E. Rotas locais para as duas nuvens privadas da solução VMware no Azure através dos endereços RFC 1918 padrão que ele aprende na conexão E.
Observação
Você precisa adicionar rotas específicas nos dois hubs. Se você não adicionar rotas específicas nos hubs, poderá introduzir o roteamento abaixo do ideal, pois o local usa o roteamento ECMP (vários caminhos de mesmo custo) entre as conexões E para o tráfego que vai para uma nuvem privada da solução VMware no Azure. Como resultado, o tráfego entre o local e uma nuvem privada da solução VMware no Azure pode ter latência, problemas de desempenho ou quedas de pacotes.
Anuncie uma rota mais específica para o local especificando esses prefixos no campo Prefixos de tráfego privado do recurso de intenção de roteamento. Para obter mais informações, consulte Configurar a intenção e as políticas de roteamento por meio do portal da WAN Virtual. Você precisa adicionar uma rota resumida que inclua o bloco /22 da solução VMware no Azure e as sub-redes da solução VMware no Azure. Se você adicionar o mesmo prefixo exato ou outro prefixo mais específico em vez de uma rota de resumo, introduzirá problemas de roteamento no ambiente do Azure. Inclua somente rotas resumidas no campo Prefixos de tráfego privado.
Conforme ilustrado no diagrama, a nuvem privada 1 da solução VMware no Azure inclui sub-redes de carga de trabalho de 10.10.0.0/24 a 10.10.7.0/24. No hub 1, a rota de resumo 10.10.0.0/21 é adicionada aos Prefixos de tráfego privado porque inclui as oito sub-redes. Além disso, no hub 1, a rota de resumo 10.150.0.0/22 é adicionada aos Prefixos de tráfego privado para cobrir o bloco de gerenciamento da solução VMware no Azure. As rotas de resumo 10.10.0.0/21 e 10.150.0.0/22 são anunciadas para o local através da conexão E para que o local tenha uma rota mais específica em vez de 10.0.0.0/8.
A nuvem privada 2 da solução VMware no Azure inclui sub-redes de carga de trabalho de 10.20.0.0/24 a 10.20.7.0/24. No hub 2, a rota de resumo 10.20.0.0/21 é adicionada aos Prefixos de tráfego privado porque inclui as oito sub-redes. Além disso, no hub 2, a rota de resumo 10.250.0.0/22 é adicionada aos Prefixos de tráfego privado para cobrir o bloco de gerenciamento da solução VMware no Azure. As rotas de resumo 10.20.0.0/21 e 10.250.0.0/22 anunciam para o local através da conexão E para que o local tenha uma rota mais específica em vez de 10.0.0.0/8.
Você pode adicionar o bloco /22 de gerenciamento da solução VMware no Azure completo no campo Prefixos de tráfego privado, pois a solução VMware no Azure não anuncia o bloco /22 exato de volta ao Azure. A solução VMware no Azure anuncia rotas mais específicas.
Quando você habilita a transitividade de ExpressRoute para ExpressRoute no hub, ele envia os endereços RFC 1918 padrão para sua rede local. Não anuncie os prefixos RFC 1918 exatos de volta para o Azure. As mesmas rotas exatas podem criar problemas de roteamento no Azure. Em vez disso, você deve anunciar rotas mais específicas de volta ao Azure para suas redes locais.
Observação
Se você anunciar os endereços RFC 1918 padrão do local para o Azure e quiser continuar essa prática, deverá dividir cada intervalo RFC 1918 em dois subintervalos iguais e anunciar esses subintervalos de volta para o Azure. Os subintervalos são 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 e 192.168.128.0/17.
Fluxo de tráfego e conectividade de rede virtual do Azure
O diagrama a seguir exibe os fluxos de tráfego para as redes virtuais do Azure.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Rede virtual 1 | Região 1 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 1 |
| 3 | Rede virtual 2 | Região 1 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 2 e, em seguida, do firewall do hub 1 |
| 5 | Rede virtual 1 | Região 2 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 1 e do firewall do hub 2 |
| 6 | Rede virtual 2 | Região 2 de nuvem da solução VMware no Azure | Sim, através do firewall do hub 2 |
| 8 | Rede virtual 1 | No local | Sim, através do firewall do hub 1 |
| 9 | Rede virtual 2 | No local | Sim, através do firewall do hub 2 |
| 10 | Rede virtual 1 | Rede virtual 2 | Sim, através do firewall do hub 1 e, em seguida, do firewall do hub 2 |
| 10 | Rede virtual 2 | Rede virtual 1 | Sim, através do firewall do hub 2 e, em seguida, do firewall do hub 1 |
Cada rede virtual é emparelhada diretamente com seu hub regional.
O diagrama mostra como todos os recursos nativos do Azure nas duas redes virtuais aprendem suas rotas efetivas. Quando você habilita a intenção de roteamento, o hub 1 e o hub 2 enviam os endereços RFC 1918 padrão para suas redes virtuais emparelhadas. Os recursos nativos do Azure na redes virtuais não aprendem rotas específicas de fora de sua rede virtual.
Quando você habilita a intenção de roteamento, todos os recursos na rede virtual aprendem o endereço RFC 1918 padrão e usam seu firewall do hub regional como o próximo salto. As nuvens privadas da solução VMware no Azure se comunicam entre si através da conexão D pelo firewall do hub regional local. A partir daí, atravessam o interhub da WAN Virtual e passam por inspeção no firewall do hub inter-regional. As nuvens privadas da solução VMware no Azure também se comunicam com o local através da conexão D pelo firewall do hub regional local. Todo o tráfego que entra e sai das redes virtuais transita pelos firewalls do hub regional.
Conectividade com a Internet
Esta seção descreve como fornecer conectividade com a Internet para recursos nativos do Azure em redes virtuais e nuvens privadas da solução VMware no Azure nas duas regiões. Para obter mais informações, consulte Considerações de design de conectividade com a Internet. Você pode usar as opções abaixo para oferecer conectividade com a Internet à solução VMware no Azure.
- Opção 1: serviço de Internet hospedado no Azure
- Opção 2: SNAT (conversão de endereços de rede de origem) gerenciada pela solução VMware no Azure
- Opção 3: endereço IPv4 público do Azure para a borda do NSX-T Data Center
Um design de WAN Virtual de região dupla com intenção de roteamento oferece suporte a todas as opções, mas recomendamos a opção 1. O cenário mais adiante neste artigo usa a opção 1 para oferecer conectividade com a Internet. A opção 1 funciona melhor com a WAN Virtual segura, pois é fácil de inspecionar, implantar e gerenciar.
Quando você habilita a intenção de roteamento nos dois hubs seguros, ela anuncia o RFC 1918 para redes virtuais emparelhadas diretamente. Mas você também pode anunciar uma rota padrão 0.0.0.0/0 para conectividade com a Internet para recursos downstream. Ao habilitar a intenção de roteamento, você pode gerar uma rota padrão dos dois firewalls do hub. Essa rota padrão anuncia para suas redes virtuais emparelhadas diretamente e para sua solução VMware no Azure diretamente conectada.
Solução VMware no Azure e conectividade com a Internet de rede virtual
O diagrama abaixo mostra os fluxos de tráfego para nuvens privadas e redes virtuais da solução VMware no Azure.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 11 | Região 1 de nuvem da solução VMware no Azure | A Internet | Sim, através do firewall do hub 1 |
| 12 | Rede virtual 2 | A Internet | Sim, através do firewall do hub 2 |
| 13 | Rede virtual 1 | A Internet | Sim, através do firewall do hub 1 |
| 14 | Região 2 de nuvem da solução VMware no Azure | A Internet | Sim, através do firewall do hub 2 |
Quando você habilita a intenção de roteamento para o tráfego da Internet, por padrão, o hub seguro da WAN Virtual não anuncia a rota padrão entre circuitos do ExpressRoute. Para ajudar a garantir que a rota padrão se propague para a solução VMware no Azure diretamente conectada da WAN Virtual, você precisa habilitar a propagação de rota padrão em seus circuitos do ExpressRoute da solução VMware no Azure. Para obter mais informações, consulte Anunciar a rota padrão 0.0.0.0/0 para pontos de extremidade.
Depois de habilitar a propagação de rota padrão, a conexão D anuncia a rota padrão 0.0.0.0/0 do hub. Não habilite essa configuração para circuitos locais do ExpressRoute. Recomendamos que você implemente um filtro BGP (Border Gateway Protocol) em seu equipamento local e exclua o aprendizado da rota padrão. Um filtro BGP adiciona uma camada extra de proteção, além de ajudar a garantir que sua configuração não afete a conectividade com a Internet local.
Quando você habilita a intenção de roteamento para acesso à Internet, os dois hubs regionais geram uma rota padrão e a anunciam para suas conexões de rede virtual emparelhadas pelo hub. Observe que, nas NICs (placas de adaptador de rede) das máquinas virtuais na rede virtual, o próximo salto 0.0.0.0/0 é o firewall do hub. Para localizar o próximo salto, selecione Rotas efetivas na NIC. A rota padrão não anuncia entre hubs regionais pelo link interhub. Sendo assim, as redes virtuais usam seu hub regional local para acesso à Internet e não têm conectividade de backup com a Internet para o hub inter-regional.
Resiliência de acesso à Internet para a solução VMware no Azure
Quando você não usa o Alcance Global em um design de região dupla, a conectividade de saída com a Internet não tem redundância, pois cada nuvem privada da solução VMware no Azure aprende a rota padrão de seu hub regional local e não está diretamente conectada ao hub inter-regional. Se uma interrupção regional afetar o hub regional local, use uma das configurações manuais a seguir para obter redundância de Internet.
Opção 1
Use essa opção apenas para acesso de saída à Internet. Em uma interrupção regional local, se você precisar de acesso à Internet de saída para sua carga de trabalho da solução VMware no Azure, use o SNAT gerenciado pela solução VMware no Azure. Esta solução oferece acesso simples e rápido. Para obter mais informações, consulte Ativar SNAT gerenciado para cargas de trabalho da solução VMware no Azure.
Opção 2
Use essa opção para acesso de entrada e saída à Internet. Em uma interrupção regional local, se você precisar de acesso à Internet de entrada e saída para sua nuvem da solução VMware no Azure, use o método a seguir.
Remova a conexão que vai da solução VMware no Azure para o hub regional local (conexão D nos diagramas).
No portal do Azure, selecione Solução VMware no Azure e remova a chave de autorização que você criou para a conexão D.
Crie uma nova conexão com o hub inter-regional.
Lide com o tráfego de entrada usando o Azure Front Door ou o Gerenciador de Tráfego do Azure para manter a alta disponibilidade regional.
Usar o HCX MON (Mobility Optimized Networking) VMware sem Alcance Global
Você pode habilitar o HCX MON (Mobility Optimized Networking) ao usar a extensão de rede HCX. O MON fornece roteamento de tráfego ideal em determinados cenários para evitar que as redes se sobreponham ou entrem em loop entre os recursos locais e baseados em nuvem em redes estendidas.
Tráfego de saída da solução VMware no Azure
Quando você habilita o MON para uma rede estendida específica e uma máquina virtual, o fluxo de tráfego muda. Após implementar o MON, o tráfego de saída da máquina virtual não retorna para o local. Em vez disso, ele ignora o túnel IPSec da extensão de rede. O tráfego da máquina virtual sai do gateway NSX-T de camada 1 da solução VMware no Azure, vai para o gateway de camada 0 do NSX-T e, em seguida, vai para a WAN Virtual.
Tráfego de entrada para a solução VMware no Azure
Ao habilitar o MON para uma rede estendida específica e uma máquina virtual, você introduz as alterações a seguir. No NSX-T da solução VMware no Azure, o MON injeta uma rota de host /32 de volta para a WAN Virtual. A WAN Virtual anuncia essa rota /32 de volta para redes locais, virtuais e de branch. Essa rota de host /32 garante que o tráfego de redes locais, virtuais e de branch não use o túnel IPSec de extensão de rede quando o tráfego for para a máquina virtual habilitada para MON. O tráfego das redes de origem vai direto para a máquina virtual habilitada para MON, pois ela aprende a rota /32.
Limitação de HCX MON para WAN Virtual segura sem Alcance Global
Quando você habilita a transitividade de ExpressRoute para ExpressRoute no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão para a solução VMware no Azure e local. Além dos endereços RFC 1918 padrão, a solução VMware no Azure e local aprende rotas mais específicas de redes virtuais do Azure e redes de branch que se conectam ao hub.
Mas as redes locais não aprendem rotas específicas da solução VMware no Azure, e a solução VMware no Azure não aprende rotas específicas de redes locais. Em vez disso, os dois ambientes dependem dos endereços RFC 1918 padrão para facilitar o roteamento de volta um para o outro através do firewall do hub. Sendo assim, rotas mais específicas, como rotas de host MON, não anunciam do ExpressRoute da solução VMware no Azure para o circuito do ExpressRoute baseado no local. O contrário também é verdade. A incapacidade de aprender rotas específicas introduz fluxos de tráfego assimétricos. O tráfego sai da solução VMware no Azure através do gateway de Camada 0 do NSX-T, mas retorna o tráfego do local pelo túnel IPSec da extensão de rede.
Corrija a assimetria de tráfego
Para corrigir a assimetria de tráfego, você precisa ajustar as rotas da política MON. As rotas de política MON determinam qual tráfego volta para o gateway local através de uma extensão L2. Além disso, decidem qual tráfego passa pelo gateway de camada 0 do NSX da solução VMware no Azure.
Se um IP de destino corresponder e você configurá-lo como permitir na configuração da política MON, duas ações ocorrerão. Primeiro, o sistema identifica o pacote. Segundo, o sistema envia o pacote para o gateway local por meio do dispositivo de extensão de rede.
Se um IP de destino não corresponder ou você defini-lo como negar na política de MON, o sistema enviará o pacote para o gateway de camada 0 da solução VMware no Azure para roteamento.
A tabela abaixo descreve as rotas de política do HCX.
| Rede | Redirecionar para emparelhamento | Observação |
|---|---|---|
| Espaço de endereço da rede virtual do Azure | Negar | Inclua de forma explícita os intervalos de endereços para todas as suas redes virtuais. O tráfego destinado ao Azure direciona a saída através da solução VMware no Azure e não retorna à rede local. |
| Espaços de endereço RFC 1918 padrão | Allow | Adicione os endereços RFC 1918 padrão. Essa configuração garante que qualquer tráfego que não corresponda aos critérios anteriores seja redirecionado de volta para a rede local. Se a configuração local usar endereços que não fazem parte do RFC 1918, você deverá incluir esses intervalos de forma explícita. |
| Espaço de endereço 0.0.0.0/0 | Negar | Os endereços que o RFC 1918 não cobre, como IPs roteáveis pela Internet ou tráfego que não corresponde às entradas especificadas, saem diretamente por meio da solução VMware no Azure e não redirecionam de volta para a rede local. |