Arquiteturas de exemplo para a Solução VMware no Azure
Ao estabelecer uma zona de destino da Solução VMware no Azure, primeiro você deve projetar e implementar recursos de rede. Os produtos e serviços de rede do Azure dão suporte a vários cenários de rede. Este artigo descreve os quatro cenários de rede mais comuns.
- Cenário 1: um hub de WAN Virtual seguro com intenção de roteamento
- Cenário 2: uma NVA (solução de virtualização de rede) na Rede Virtual do Azure inspeciona todo o tráfego de rede
- Cenário 3: tráfego de saída da Solução VMware no Azure com ou sem NSX-T ou NVAs
- Cenário 4: soluções de firewall que não são da Microsoft em uma rede virtual de hub com o Servidor de Rota do Azure
Para escolher uma arquitetura e um plano apropriados para estruturar seus serviços, avalie as cargas de trabalho, a governança e os requisitos da sua organização.
Considerações de cenário
Examine as considerações a seguir e os principais requisitos antes de escolher o cenário de implantação da Solução VMware no Azure.
Requisitos para o tráfego da Internet que insere aplicativos da Solução VMware no Azure
Considerações de caminho para o tráfego da Internet que sai de aplicativos da Solução VMware no Azure
Extensão L2 de rede para migrações
Uso de NVA na arquitetura atual
Conectividade da Solução VMware no Azure com uma rede virtual de hub padrão ou hub de WAN Virtual do Azure
Conectividade do Azure ExpressRoute de datacenters locais para solução VMware no Azure
Uso do Alcance Global do ExpressRoute
Requisitos de inspeção de tráfego para:
- Acesso à Internet para aplicativos da Solução VMware no Azure
- Acesso da Solução VMware no Azure à Internet
- Acesso à Solução VMware no Azure para datacenters locais
- Acesso da Solução VMware no Azure à Rede Virtual
- Tráfego na nuvem privada da Solução VMware no Azure
A tabela a seguir descreve recomendações e considerações com base nos requisitos de inspeção de tráfego da Solução VMware no Azure para cada cenário.
| Cenário | Requisitos de inspeção de tráfego | Design de solução recomendado | Considerações |
|---|---|---|---|
| 1 | – Da Internet – Para a Internet |
Use um hub protegido de WAN Virtual que tenha propagação de gateway padrão. Use o Gateway de Aplicativo do Azure para tráfego HTTP ou HTTPS. Use o Firewall do Azure para tráfego não HTTP ou HTTPS. Implante um hub de WAN Virtual protegido que tenha a intenção de roteamento. |
Essa opção usa o Alcance Global, que não é eficaz para filtragem local porque ignora os hubs de WAN Virtual. |
| 2 | – Da Internet – Para a Internet - Para o datacenter local – Para a rede virtual |
Use soluções NVA de firewall que não sejam da Microsoft na rede virtual do hub que possui o Servidor de Roteamento. Não use o Alcance Global. Use o Gateway de Aplicativo para tráfego HTTP ou HTTPS. Utilize uma NVA de firewall não Microsoft no Azure para tráfego que não seja HTTP ou HTTPS. |
Escolha essa opção se quiser usar a NVA existente e centralizar toda a inspeção de tráfego na rede virtual do hub. |
| 3 | – Da Internet – Para a Internet - Para o datacenter local Conectar-se à rede virtual - Na Solução VMware no Azure |
Use o Centro de Dados NSX-T ou um firewall NVA não Microsoft na solução VMware no Azure. Use o Gateway de Aplicativo para tráfego HTTPS. Use o Firewall do Azure para tráfego não HTTPS. Implante o hub de WAN Virtual protegido e habilite um endereço IP público na Solução VMware no Azure. |
Escolha essa opção se precisar inspecionar o tráfego de duas ou mais nuvens privadas da Solução VMware no Azure. Use essa opção para aproveitar os recursos nativos do NSX-T. Você também pode combinar essa opção com NVAs executadas na Solução Azure VMware. |
| 4 | – Da Internet – Para a Internet - Para o datacenter local – Para a rede virtual |
Use soluções de firewall que não sejam da Microsoft em uma rede virtual de hub que tenha o Servidor de Rota. Use o Gateway de Aplicativo para tráfego HTTP ou HTTPS. Utilize uma NVA de firewall que não seja da Microsoft no Azure para tráfego que não seja HTTP ou HTTPS. Use uma NVA de firewall local que não seja da Microsoft. Implante soluções de firewall que não sejam da Microsoft em uma rede virtual de hub que tenha o Servidor de Rota. |
Escolha essa opção para anunciar a rota 0.0.0.0/0 de uma NVA na rede virtual hub do Azure para a Solução VMware no Azure. |
Considere estes pontos-chave sobre os cenários de rede:
Todos os cenários têm padrões de entrada semelhantes por meio do Gateway de Aplicativo e do Firewall do Azure.
Você pode usar soluções de balanceador de carga L4 a L7 na Solução VMware no Azure.
Você pode usar o firewall distribuído NSX-T para qualquer um desses cenários.
As seções a seguir descrevem padrões de arquitetura para nuvens privadas da Solução VMware no Azure. Para obter mais informações, consulte conceitos de rede e interconectividade da Solução VMware no Azure.
Cenário 1: um hub de WAN Virtual protegido que tem a intenção de roteamento
Esse cenário envolve os seguintes componentes e considerações de arquitetura.
Quando usar esse cenário
Use este cenário se:
Você não precisa de inspeção de tráfego entre a Solução VMware no Azure e datacenters locais.
Você precisa de inspeção de tráfego entre as cargas de trabalho da Solução VMware no Azure e a Internet.
Você precisa proteger o tráfego de entrada pública para cargas de trabalho da Solução VMware no Azure.
Considere também estes outros fatores:
Nesse cenário, você pode ser proprietário dos endereços IP públicos. Para obter mais informações, consulte prefixo de endereço IP personalizado.
Você pode adicionar serviços de entrada L4 ou L7 voltados para o público, se necessário.
Talvez você ainda não tenha conectividade com o ExpressRoute entre datacenters locais e o Azure.
Visão geral
O diagrama a seguir fornece uma visão geral de alto nível do cenário 1.
Baixe um arquivo PowerPoint dessa arquitetura.
Componentes
Esse cenário consiste nos seguintes componentes:
Firewall do Azure em um hub de WAN Virtual protegido para firewalls
Gateway de Aplicações para balanceamento de carga na camada 7 e Firewall de Aplicações Web do Azure
Conversão de endereço de rede de destino L4 (DNAT) com o Firewall do Azure para traduzir e filtrar o tráfego de entrada de rede
Internet de saída por meio do Firewall do Azure em seu hub de WAN Virtual
EXR, VPN ou SD-WAN para conectividade entre datacenters locais e solução VMware no Azure
Baixe um Arquivo Visio dessa arquitetura.
Considerações
O Firewall do Azure em um hub protegido da WAN Virtual anuncia a rota
0.0.0.0/0para a Solução VMware no Azure. Essa rota também é anunciada localmente por meio do Alcance Global. Você pode usar SD-WAN ou VPN para implementar um filtro de rota local para impedir o aprendizado de rota0.0.0.0/0.As conexões de VPN, do ExpressRoute ou de rede virtual estabelecidas com um hub protegido da WAN Virtual que não exigem o anúncio de
0.0.0.0/0ainda assim recebem o anúncio. Para impedir essa ação, você pode:Utilize um dispositivo de borda local para filtrar a rota
0.0.0.0/0.Desabilitar a propagação de
0.0.0.0/0nessas conexões específicas.- Desconecte as conexões de rede virtual, VPN ou ExpressRoute.
- Habilitar a propagação de
0.0.0.0/0. - Desabilite a propagação de
0.0.0.0/0em conexões específicas. - Reconecte essas conexões.
Você pode hospedar o Gateway de Aplicativo em uma rede virtual spoke que se conecta ao hub de WAN Virtual.
Habilitar a Solução VMware no Azure para inspecionar o tráfego local por meio do Firewall do Azure
Para habilitar a Solução VMware no Azure a inspecionar o tráfego local por meio do Firewall do Azure, execute as seguintes etapas:
- Remova a conexão de Alcance Global entre a Solução VMware no Azure e o local.
- Abra um caso de suporte com o Suporte da Microsoft para habilitar a conectividade de trânsito entre ExpressRoute por meio de um dispositivo de Firewall do Azure no hub que está configurado com políticas de roteamento privado.
Cenário 2: uma NVA na Rede Virtual inspeciona todo o tráfego de rede
Esse cenário envolve os seguintes componentes e considerações de arquitetura.
Quando usar esse cenário
Use este cenário se:
Você precisa usar seus NVAs de firewall que não são da Microsoft em uma rede virtual de hub para inspecionar todo o tráfego e não pode usar o Alcance Global por motivos geopolíticos ou outros motivos.
- Você tem conectividade entre datacenters locais e a Solução VMware no Azure.
- Você tem conectividade entre a Rede Virtual e a Solução VMware no Azure.
- Você precisa de acesso à Internet da Solução VMware no Azure.
- Você precisa de acesso à Internet para a Solução VMware no Azure.
Você precisa de controle refinado sobre firewalls que estão fora da nuvem privada da Solução VMware no Azure.
Você precisa de vários endereços IP públicos para serviços de entrada e precisa de um bloco de endereços IP predefinidos no Azure. Nesse cenário, você não possui endereços IP públicos.
Esse cenário pressupõe que você tenha conectividade do ExpressRoute entre datacenters locais e o Azure.
Visão geral
O diagrama a seguir fornece uma visão geral de alto nível do cenário 2.
Baixe um Arquivo Visio dessa arquitetura.
Componentes
Esse cenário consiste nos seguintes componentes:
NVAs de firewall que não são da Microsoft hospedadas em uma rede virtual para fornecer inspeção de tráfego e outras funções de rede.
Servidor de Rota para rotear o tráfego entre a Solução VMware no Azure, datacenters locais e redes virtuais.
Gateway de Aplicativo para fornecer balanceamento de carga na camada L7 para HTTP ou HTTPS.
Você deve desabilitar o Alcance Global do ExpressRoute neste cenário. NVAs que não são da Microsoft fornecem acesso à Internet de saída à Solução VMware no Azure.
Baixe um Arquivo Visio dessa arquitetura.
Considerações
Não configure o Alcance Global do ExpressRoute para esse cenário porque o tráfego da Solução VMware no Azure flui diretamente entre os roteadores do Microsoft Enterprise Edge (MSEE) ExpressRoute. O tráfego ignora a rede virtual do hub.
Implante o Servidor de Rotas na rede virtual do hub. O Servidor de Rota deve ser emparelhado por BGP (Border Gateway Protocol) com NVAs na rede virtual de trânsito. Configure o Servidor de Rota para permitir conectividade de branch a branch.
Use tabelas de rotas personalizadas e rotas definidas pelo usuário para rotear o tráfego em ambas as direções entre a Solução VMware no Azure e o balanceador de carga de NVAs de firewalls não Microsoft. Essa configuração dá suporte a todos os modos de alta disponibilidade, incluindo ativo/ativo e ativo/em espera, e ajuda a garantir a simetria de roteamento.
Se você precisar de alta disponibilidade para NVAs, confira a documentação do fornecedor da NVA e implante NVAs altamente disponíveis.
Cenário 3: Tráfego de saída da Solução VMware no Azure com ou sem NSX-T ou NVAs
Esse cenário envolve os seguintes componentes e considerações de arquitetura.
Quando usar esse cenário
Use este cenário se:
Você usa a plataforma nativa NSX-T Data Center, portanto, precisa de uma implantação de PaaS (plataforma como serviço) para a Solução VMware no Azure.
Você precisa ter uma NVA BYOL (Traga sua própria licença) na Solução VMware no Azure para inspeção de tráfego.
Você precisa de serviços HTTP, HTTPS ou L4 de entrada.
Talvez você ainda não tenha conectividade com o ExpressRoute entre datacenters locais e o Azure. Todo o tráfego da Solução VMware no Azure para a Rede Virtual, da Solução VMware no Azure para a Internet e da Solução VMware no Azure para datacenters locais é canalizado por meio dos gateways da Camada 0 ou 1 do Data Center NSX-T ou de NVAs.
Visão geral
O diagrama a seguir fornece uma visão geral de alto nível do cenário 3.
Baixe um Arquivo Visio dessa arquitetura.
Componentes
Esse cenário consiste nos seguintes componentes:
- Um firewall distribuído NSX ou um NVA atrás da camada 1 na Solução VMware no Azure.
- Gateway de Aplicativo para fornecer o balanceamento de carga L7.
- DNAT de L4 via Firewall do Azure.
- Acesso à Internet na Solução VMware no Azure.
Baixe um arquivo Visio para esta arquitetura.
Considerações
Habilite o acesso à Internet no portal do Azure. Para esse cenário, um endereço IP de saída pode ser alterado e não é determinístico. Os endereços IP públicos residem fora da NVA. A NVA na Solução VMware no Azure ainda tem endereços IP privados e não determina o endereço IP público de saída.
O NVA é BYOL, o que significa que você traz uma licença e implementa alta disponibilidade para o NVA.
Consulte a documentação do VMware para obter as opções de posicionamento de NVA e informações sobre o limite VMware de oito cartões de interface de rede virtual em uma máquina virtual. Para obter mais informações, confira Integração de firewall na Solução VMware no Azure.
Cenário 4: soluções de firewall que não são da Microsoft em uma rede virtual de hub que tem o Servidor de Rota
Esse cenário envolve os seguintes componentes e considerações de arquitetura.
Quando usar esse cenário
Use este cenário se:
Você quer habilitar o egresso de Internet da solução VMware no Azure por meio do seu NVA não Microsoft em um hub de rede virtual do Azure. E você deseja inspecionar o tráfego entre a Solução VMware no Azure e a Rede Virtual.
Você deseja inspecionar o tráfego entre datacenters locais e o Azure por meio de sua NVA local que não é da Microsoft.
Você precisa de vários endereços IP públicos para serviços de entrada e precisa de um bloco de endereços IP predefinidos no Azure. Nesse cenário, você não possui endereços IP públicos.
Você precisa de controle refinado sobre firewalls fora da nuvem privada da Solução VMware no Azure.
Visão geral
O diagrama a seguir fornece uma visão geral de alto nível do cenário 4.
Baixe um Arquivo Visio dessa arquitetura.
Componentes
Esse cenário consiste nos seguintes componentes:
NVAs não Microsoft, configurados no modo ativo/ativo ou ativo/em espera, hospedados em uma rede virtual para executar firewall e outras funções de rede.
Servidor de Rota para trocar rotas entre a Solução VMware no Azure, datacenters locais e redes virtuais.
NVAs não Microsoft em seu hub de rede virtual do Azure para fornecer acesso à Internet de saída para a Solução VMware no Azure.
ExpressRoute para conectividade entre datacenters locais e solução VMware no Azure.
Baixe um Arquivo Visio dessa arquitetura.
Considerações
Para esse cenário, os endereços IP públicos de saída são atribuídos a NVAs na rede virtual do Azure.
NVAs não Microsoft no hub de rede virtual são configurados para emparelhamento com o Serviço de Roteiros via BGP e roteamento ECMP (múltiplos caminhos de mesmo custo). Esses NVAs anunciam a rota padrão
0.0.0.0/0para a Solução VMware no Azure.A rota padrão
0.0.0.0/0também é anunciada localmente por meio do Alcance Global. Implemente um filtro de rota nas instalações para impedir que a rota padrão0.0.0.0/0seja aprendida.O tráfego entre a Solução VMware no Azure e sua rede local flui por meio do Alcance Global do ExpressRoute. Para obter mais informações, confira Emparelhar ambientes locais à Solução VMware no Azure. O NVA local não Microsoft realiza a inspeção de tráfego entre o ambiente local e a Solução VMware no Azure, em vez de NVAs não Microsoft no hub de rede virtual do Azure.
Você pode hospedar o Gateway de Aplicativo em uma rede virtual spoke que se conecta a um hub ou na rede virtual do hub.
Próximas etapas
Integrar a Solução VMware no Azure em uma arquitetura hub-and-spoke
configurar componentes de rede NSX usando a Solução VMware no Azure
Para saber mais sobre os princípios de arquitetura da zona de destino em escala empresarial do Cloud Adoption Framework, várias considerações de design e práticas recomendadas para a Solução VMware no Azure, consulte o próximo artigo desta série: