Compartilhar via

Arquiteturas de exemplo para soluções VMware do Azure

  • Artigo

Para estabelecer uma zona de destino da Solução VMware no Azure, primeiro, você precisa projetar e implementar funcionalidades de rede. Os produtos e os serviços de rede do Azure dão suporte a uma ampla variedade de cenários de rede. Escolha uma arquitetura e um plano apropriados para estruturar os serviços para suas necessidades avaliando as cargas de trabalho, a governança e os requisitos da sua organização.

Revise as considerações a seguir e os principais requisitos antes de tomar sua decisão de implantação da Solução VMware no Azure.

  • Requisitos de entrada de Internet HTTP/S ou não HTTP/S em aplicativos da Solução VMware no Azure
  • Considerações sobre o caminho de saída da Internet
  • Extensão L2 para migrações
  • Uso de NVA na arquitetura atual
  • Conectividade da Solução VMware no Azure com uma rede virtual hub padrão ou um hub da WAN Virtual
  • Conectividade do ExpressRoute privado de datacenters locais para a Solução VMware no Azure (e se você deve habilitar o Alcance Global do ExpressRoute)
  • Requisitos de inspeção de tráfego para:
    • Entrada na Internet em aplicativos da Solução VMware no Azure
    • Acesso de saída da Solução VMware no Azure à Internet
    • Acesso da Solução VMware no Azure a datacenters locais
    • Acesso da Solução VMware no Azure à Rede Virtual do Microsoft Azure
    • Tráfego dentro da nuvem privada da Solução VMware no Azure

A tabela a seguir usa os requisitos de inspeção de tráfego da solução VMware para fornecer recomendações e considerações para os cenários de rede mais comuns.

Cenário Requisitos de inspeção de tráfego Design de solução recomendado Considerações
1 - Entrada na Internet
- Egresso da Internet		 Use um hub protegido da WAN Virtual com a propagação de gateway padrão.

Para tráfego HTTP/S, use o Gateway de Aplicativo do Azure. Para o tráfego não HTTP/S, use o Firewall do Azure.

Implante um hub de WAN Virtual seguro e habilite o IP público na Solução VMware do Azure.		 Essa solução não funciona para filtragem local. O Alcance Global ignora os hubs da WAN Virtual.
2 - Entrada na Internet
- Egresso da Internet
- Para datacenter local
- Para a Rede Virtual do Azure		 Use soluções NVA de firewall de terceiros na rede virtual hub com o Servidor de Rota do Azure.

Desative o Alcance Global.

Para tráfego HTTP/S, use o Gateway de Aplicativo do Azure. Para o tráfego não HTTP/S, use uma NVA de firewall de terceiros no Azure.		 Escolha essa opção se quiser usar a NVA existente e centralizar toda a inspeção de tráfego na rede virtual hub.
3 - Entrada na Internet
- Egresso da Internet
- Para datacenter local
- Para a Rede Virtual do Azure
Na solução VMware do Azure
Use o Data Center NSX-T ou um firewall NVA de terceiros na Solução VMware do Azure.

Use o Gateway de Aplicativo para HTTPs ou o Firewall do Azure para tráfego não HTTPs.

Implante o hub de WAN Virtual protegido e habilite o IP público na Solução VMware do Azure.		 Escolha essa opção se precisar inspecionar o tráfego de duas ou mais nuvens privadas da Solução VMware no Azure.

Essa opção permite que você use recursos nativos do NSX-T. Você também pode combinar essa opção com NVAs em execução na Solução VMware no Azure entre a L1 e a L0.
4 - Entrada na Internet
- Saída
da Internet - Para datacenter
local - Para a Rede Virtual do Azure
Use soluções de firewall de terceiros em uma rede virtual de hub com o Servidor de Rotas do Azure.

Para tráfego HTTP & HTTPS, use o Gateway de Aplicativo do Azure. Para tráfego não-HTTP/HTTPS, use um NVA de firewall de terceiros no Azure.

Use um NVA de firewall de terceiros local.

Implante soluções de firewall de terceiros em uma rede virtual de hub com o Servidor de Rotas do Azure.		 Escolha essa opção para anunciar a rota 0.0.0.0/0 de uma NVA na rede virtual hub do Azure para uma Solução VMware no Azure.

Principais pontos sobre os cenários de rede:

  • Todos os cenários têm padrões de entrada semelhantes por meio do Gateway de Aplicativo e do Firewall do Azure.
  • Você pode usar NVAs do balanceador de carga L4-L7 na Solução VMware no Azure.
  • Você pode usar o NSX-T Data Center Firewall para qualquer um desses cenários.

As seções a seguir descrevem padrões de arquitetura para nuvens privadas do Azure VMware Solution. Esta lista não é exaustiva. Para obter mais informações, consulte Conceitos de rede e interconectividade da Solução VMware do Azure.

Hub WAN virtual seguro com propagação de rota padrão

Este cenário envolve o perfil de cliente, os componentes de arquitetura e as considerações a seguir.

Perfil do cliente

Este cenário é ideal se:

  • Você não precisa de inspeção de tráfego entre a Solução VMware no Azure e a Rede Virtual do Microsoft Azure.
  • Você não precisa de inspeção de tráfego entre a Solução VMware no Azure e datacenters locais.
  • Você precisa da inspeção de tráfego entre as cargas de trabalho da Solução VMware no Azure e a Internet.

Nesse cenário, use a Solução VMware no Azure como uma oferta de PaaS (plataforma como serviço). Nesse cenário, você não é o proprietário dos endereços IP públicos. Adicione serviços de entrada L4 e L7 voltados ao público, se necessário. Você pode ou não ter conectividade ExpressRoute entre os datacenters locais e o Azure.

Visão geral de alto nível

O diagrama a seguir fornece uma visão geral de alto nível do cenário.

Diagrama de visão geral do cenário 1 com hub de WAN Virtual protegido com propagação de rota padrão.

Componentes de arquitetura

Implemente este cenário com:

  • Firewall do Azure em um hub protegido da WAN Virtual para firewalls
  • Gateway de Aplicativo para balanceamento de carga L7
  • DNAT (conversão de endereços de rede de destino) L4 com o Firewall do Azure para converter e filtrar o tráfego de entrada de rede
  • Internet de saída por meio do Firewall do Azure no hub da WAN Virtual
  • EXR, VPN ou SD-WAN para conectividade entre datacenters locais e a Solução VMware no Azure

Diagrama do cenário 1 com o hub protegido da WAN Virtual e a propagação de rota padrão.

Considerações

Se você não quiser receber o anúncio 0.0.0.0/0 da rota padrão da Solução VMware no Azure porque ele entra em conflito com o ambiente existente, precisará executar outras ações.

O Firewall do Azure em um hub protegido da WAN Virtual anuncia a rota 0.0.0.0/0 para a Solução VMware no Azure. Essa rota também é anunciada localmente por meio do Alcance Global. Implemente um filtro de rota local para impedir o aprendizado da rota 0.0.0.0/0. Evite esse problema usando o SD-WAN ou a VPN.

Se, atualmente, você se conecta a uma topologia hub-spoke baseada em rede virtual por meio de um gateway do ExpressRoute em vez de diretamente, a rota 0.0.0.0/0 padrão do hub da WAN Virtual se propaga para esse gateway e tem precedência sobre a rota do sistema de Internet inserida na rede virtual. Evite esse problema implementando uma 0.0.0.0/0 rota definida pelo usuário em sua rede virtual para substituir a rota padrão aprendida.

As conexões de VPN, do ExpressRoute ou de rede virtual estabelecidas com um hub protegido da WAN Virtual que não exigem o anúncio de 0.0.0.0/0 ainda assim recebem o anúncio. Para evitar isso, você pode:

  • Filtrar a rota 0.0.0.0/0 com um dispositivo de borda local.
  • Desabilitar a propagação de 0.0.0.0/0 nessas conexões específicas.
    1. Desconectar o ExpressRoute, a VPN ou a rede virtual.
    2. Habilitar a propagação de 0.0.0.0/0.
    3. Desabilitar a propagação de 0.0.0.0/0 nessas conexões específicas.
    4. Refazer essas conexões.

Você pode hospedar o Gateway de Aplicativo em uma rede virtual spoke conectada ao hub ou na rede virtual hub.

Dispositivo Virtual de Rede na Rede Virtual do Azure para inspecionar todo o tráfego de rede

Este cenário envolve o perfil de cliente, os componentes de arquitetura e as considerações a seguir.

Perfil do cliente

Este cenário é ideal se:

  • Você precisa usar as NVAs de firewall de terceiros em uma rede virtual hub para inspecionar todo o tráfego e não pode usar o Alcance Global por motivos geopolíticos ou outros.
    • Você está entre os datacenters locais e a Solução VMware no Azure.
    • Você está entre a Rede Virtual do Azure e a Solução VMware no Azure.
    • Você precisa da entrada da Internet por meio da Solução VMware no Azure.
    • Você precisa da saída da Internet para a Solução VMware no Azure.
  • Você precisa ter um controle refinado sobre os firewalls fora da nuvem privada da Solução VMware no Azure.
  • Você precisa ter vários endereços IP públicos para os serviços de entrada e um bloco de endereços IP predefinidos no Azure. Nesse cenário, você não é o proprietário dos endereços IP públicos.

Este cenário pressupõe que você já tenha a conectividade do ExpressRoute entre os datacenters locais e o Azure.

Visão geral de alto nível

O diagrama a seguir fornece uma visão geral de alto nível do cenário.

Diagrama de visão geral do cenário 2 com NVA de terceiros no hub Rede Virtual do Azure inspecionando todo o tráfego de rede.

Componentes de arquitetura

Implemente este cenário com:

  • NVAs de firewall de terceiros hospedadas em uma rede virtual para inspeção de tráfego e outras funções de rede.
  • Servidor de Rota do Azure para rotear o tráfego entre a Solução VMware no Azure, os datacenters locais e as redes virtuais.
  • Gateway de Aplicativo para fornecer o balanceamento de carga HTTP/S L7.

Você precisa desabilitar o Alcance Global do ExpressRoute neste cenário. As NVAs de terceiros são responsáveis por fornecer a Internet de saída para a Solução VMware no Azure.

Diagrama do cenário 2 com NVA de terceiros no hub Rede Virtual do Azure inspecionando todo o tráfego de rede.

Considerações

  • Nunca configure o Alcance Global do ExpressRoute para esse cenário, pois ele permite que o tráfego da Solução VMware no Azure flua diretamente entre os roteadores do ExpressRoute do MSEE (Microsoft Enterprise Edge), ignorando a rede virtual hub.
  • O Servidor de Rota do Azure precisa ser implantado na VNet hub e emparelhado com o BGP com as NVAs na VNet de trânsito. Configure o Servidor de Rota do Azure para permitir a conectividade branch a branch.
  • As tabelas de rotas personalizadas e as rotas definidas pelo usuário são usadas para rotear o tráfego de/para a Solução VMware do Azure para o balanceador de carga dos NVAs de firewall de terceiros. Todos os modos de HA (ativo/ativo e ativo/em espera) são compatíveis, com a simetria de roteamento garantida.
  • Se você precisar de alta disponibilidade para NVAs, consulte a documentação do fornecedor da NVA e implante NVAs altamente disponíveis.

Saída da Solução VMware do Azure com ou sem NSX-T ou NVA

Este cenário envolve o perfil de cliente, os componentes de arquitetura e as considerações a seguir.

Perfil do cliente

Este cenário é ideal se:

  • Você deve usar a plataforma nativa NSX-T Data Center, portanto, precisa de uma implantação de PaaS para a Solução VMware do Azure.
  • Você precisa ter uma NVA BYOL (Traga sua própria licença) na Solução VMware no Azure para inspeção de tráfego.
  • Você pode ou não ter conectividade ExpressRoute entre os datacenters locais e o Azure.
  • Você precisa de serviços L4 ou HTTP/S de entrada.

Todo o tráfego da Solução VMware do Azure para a Rede Virtual do Azure, da Solução VMware do Azure para a Internet e da Solução VMware do Azure para data centers locais é canalizado pelos gateways NSX-T Data Center Tier-0/Tier-1 ou pelos NVAs.

Visão geral de alto nível

O diagrama a seguir fornece uma visão geral de alto nível do cenário.

Diagrama de visão geral do cenário 3 com saída da Solução VMware do Azure com ou sem NSX-T Data Center ou NVA.

Componentes de arquitetura

Implemente este cenário com:

  • Um DFW (firewall distribuído) NSX ou uma NVA subjacente à camada 1 na Solução VMware no Azure.
  • Gateway de Aplicativo para fornecer o balanceamento de carga L7.
  • DNAT L4 com o Firewall do Azure.
  • Acesso à Internet na Solução VMware no Azure.

Diagrama do cenário 3 com saída da Solução VMware do Azure com ou sem o Data Center NSX-T ou NVA.

Considerações

Habilite o acesso à Internet no portal do Azure. Neste design, um endereço IP de saída pode mudar e não é determinístico. Os endereços IP públicos residem fora da NVA. A NVA na Solução VMware no Azure ainda tem endereços IP privados e não determina o endereço IP público de saída.

A NVA é BYOL. Cabe a você providenciar a licença e implementar a alta disponibilidade para a NVA.

Confira a documentação do VMware para ver as opções de posicionamento da NVA e obter informações sobre a limitação do VMware de até oito NICs (placas de adaptador de rede virtual) em uma VM. Para obter mais informações, confira Integração de firewall na Solução VMware no Azure.

Soluções de firewall de terceiros em uma rede virtual de hub com o Azure Route Server

Este cenário tem os seguintes perfil de cliente, componentes de arquitetura e considerações:

Perfil do cliente

Este cenário é ideal se:

  • Você deseja ter a saída da Internet da Solução VMware no Azure usando a NVA de terceiros no hub da VNet do Azure e deseja inspecionar o tráfego entre a Solução VMware no Azure e a Rede Virtual do Azure.
  • Você deseja inspecionar o tráfego entre os datacenters locais e o Azure usando a NVA de terceiros local.
  • Você precisa ter vários endereços IP públicos para os serviços de entrada e um bloco de endereços IP predefinidos no Azure. Nesse cenário, você não possui os IPs públicos.
  • Você precisa ter um controle refinado sobre os firewalls fora da nuvem privada da Solução VMware no Azure.

Visão geral de alto nível

O diagrama a seguir fornece uma visão geral de alto nível do cenário.

Diagrama de visão geral do cenário 4 com um N V A de terceiros no hub V Net inspecionando o tráfego entre a Solução VMware do Azure e a Internet e entre a Solução VMware do Azure e a Rede Virtual do Azure.

Componentes de arquitetura

Implemente este cenário com:

  • NVAs de terceiros ativo-ativo ou ativo-em espera hospedadas em uma VNET para firewalls e outras funções de rede.
  • Servidor de Rota do Azure para trocar rotas entre a Solução VMware no Azure, os datacenters locais e as redes virtuais.
  • As NVAs de terceiros no hub da Rede Virtual do Azure para fornecer a Internet de saída para a Solução VMware no Azure.
  • ExpressRoute para conectividade entre datacenters locais e a Solução VMware no Azure.

Diagrama do cenário 4 com um N V A de terceiros no hub V Net inspecionando o tráfego entre a Solução VMware do Azure e a Internet e entre a Solução VMware do Azure e a Rede Virtual do Azure.

Considerações

  • Nesse design, os endereços IP públicos de saída se encontram nas NVAs na VNet do Azure.
  • As NVAs de terceiros no BGP do hub da rede virtual são emparelhadas com o Servidor de Rota do Azure (ECMP) e anunciam a rota padrão) 0.0.0.0/0 para a Solução VMware no Azure.
  • A rota padrão 0.0.0.0/0 também é anunciada localmente por meio do Alcance Global. Implemente um filtro de rota no local para impedir o aprendizado da rota padrão 0.0.0.0/0.
  • O tráfego entre a Solução VMware no Azure e a rede local ocorre no Alcance Global do ExpressRoute, conforme descrito em Emparelhar ambientes locais à Solução VMware no Azure. A inspeção de tráfego entre o local e a Solução VMware no Azure é feita pela NVA de terceiros local, não pelas NVAs de terceiros no hub da Rede Virtual do Azure.
  • Você pode hospedar o Gateway de Aplicativo em uma rede virtual spoke conectada a um hub ou na rede virtual hub.

Próximas etapas