WAN Virtual segura para Solução VMware no Azure em uma única região ou em duas regiões
Este artigo analisa as topologias de design de rede da solução VMware no Azure e as considerações para cenários de região única e região dupla que usam a WAN Virtual do Azure segura com intenção de roteamento. Ele descreve como a intenção de roteamento direciona o tráfego através de uma solução de segurança centralizada. Esse método aumenta a segurança e simplifica o gerenciamento de rede. Este artigo fornece considerações de design para implantações com e sem o Alcance Global do Azure ExpressRoute. Ele destaca os benefícios e desafios de cada cenário.
Você pode implementar uma solução de segurança no hub da WAN Virtual para converter o hub em um hub seguro da WAN Virtual. Para configurar a intenção de roteamento, você deve ter um hub de WAN Virtual seguro. A intenção de roteamento direciona todo o tráfego privado e o tráfego da Internet para a solução de segurança do hub, o que simplifica o roteamento seguro do hub e o design de segurança. A intenção de roteamento melhora a amplitude de segurança e executa uma inspeção de tráfego em todo o tráfego que passa pelo hub seguro, incluindo o tráfego da solução VMware no Azure.
Este artigo pressupõe que você tenha um conhecimento básico da WAN Virtual e da WAN Virtual segura com intenção de roteamento.
Para saber mais, consulte os recursos a seguir:
- O que é a WAN virtual?
- O que é um hub virtual seguro?
- Configurar intenção de roteamento e políticas de roteamento do hub WAN Virtual
- Alcance Global do ExpressRoute
Implementar WAN Virtual segura para designs de solução VMware no Azure
Use a WAN Virtual segura com intenção de roteamento e envie todo o tráfego da Internet e o tráfego de rede privada (RFC 1918) para uma solução de segurança, como o Firewall do Azure, uma NVA (solução de virtualização de rede) que não seja da Microsoft ou uma solução SaaS (software como serviço). Para oferecer suporte a designs de região única e região dupla, use a solução VMware no Azure junto com a WAN Virtual segura e a intenção de roteamento.
Design de região única
Use o design de região única para inspecionar o tráfego de rede na solução de segurança do hub virtual que vai de e para a solução VMware no Azure. Essa abordagem simplifica o gerenciamento de rede e aprimora sua postura de segurança geral. Esse design também prepara você se quiser implantar outra nuvem privada da solução VMware no Azure em uma região diferente que tenha um design de região dupla. Habilite a intenção de roteamento em um hub de região única para ajudar a dimensionar para um design de região de hub duplo posteriormente. Este design suporta configurações com ou sem Alcance Global.
Design de região dupla ou hub duplo
Use um design de região dupla para inspecionar o tráfego de rede em duas soluções de segurança de hub virtual. Inspecione o tráfego de e para a solução VMware no Azure e inspecione o tráfego entre nuvens privadas da solução VMware no Azure que estão em regiões diferentes. Habilite a intenção de roteamento em ambos os hubs regionais para que o tráfego possa passar pelas duas soluções de segurança do hub. Um design de região dupla com intenção de roteamento melhora a segurança e simplifica o gerenciamento de rede entre regiões. Este design suporta configurações com ou sem Alcance Global.
Opções de implantação de Alcance Global
Use o Alcance Global para conectar a solução VMware no Azure a nuvens privadas locais ou regionais da solução VMware no Azure. O Alcance Global estabelece um link lógico direto por meio do backbone da Microsoft.
Implantação com alcance global
Quando você implanta o Alcance Global, o tráfego entre os sites do Alcance Global ignora o firewall seguro do hub da WAN Virtual. O firewall seguro do hub da WAN Virtual não inspeciona o tráfego de Alcance Global que vai entre a solução VMware no Azure e o local ou entre nuvens privadas da solução VMware no Azure em diferentes regiões.
Por exemplo, o diagrama abaixo mostra como o tráfego entre a solução VMware no Azure e o local usa a conexão de Alcance Global rotulada como A para se comunicar. Esse tráfego não transita pelo firewall do hub devido à conexão A do Alcance Global. Para obter a segurança ideal entre sites de Alcance Global, o NSX-T do ambiente da solução VMware no Azure ou um firewall local precisa inspecionar o tráfego.
O Alcance Global simplifica o design, pois fornece uma conexão lógica direta entre a solução VMware no Azure e as nuvens privadas locais ou regionais da solução VMware no Azure. Use o Alcance Global para ajudar a solucionar problemas de tráfego entre sites de Alcance Global e eliminar as limitações de taxa de transferência na WAN Virtual segura. Uma desvantagem é que o Alcance Global impede que a solução de segurança de hub virtual seguro inspecione o tráfego entre nuvens privadas regionais da solução VMware no Azure e locais, e também dentro das próprias nuvens privadas da solução VMware no Azure. Dessa forma, a solução de segurança do hub virtual seguro não pode inspecionar o tráfego que flui diretamente entre essas entidades.
Implantação sem alcance global
Recomendamos que você use o Alcance Global de forma consistente, a menos que haja requisitos específicos. Quando você não usa o Alcance Global, pode inspecionar todo o tráfego na solução de segurança segura do hub da WAN Virtual entre a solução VMware no Azure e as nuvens privadas locais ou regionais da solução VMware no Azure. Porém, essa abordagem aumenta a complexidade do design. Além disso, considere as limitações de taxa de transferência no hub seguro da WAN Virtual. Use o Alcance Global, a menos que você tenha uma das limitações a seguir.
Você deve inspecionar o tráfego no hub da WAN Virtual entre a solução VMware no Azure e o local e também nas nuvens privadas da solução VMware no Azure. Você não poderá usar o Alcance Global se tiver um requisito de segurança para inspecionar o tráfego entre a solução VMware no Azure e o local ou entre nuvens privadas regionais da solução VMware no Azure no firewall do hub virtual.
Uma região não é compatível com o Alcance Global. Se uma região não oferecer suporte ao Alcance Global, você poderá usar a intenção de roteamento para estabelecer a conectividade entre conexões do ExpressRoute, seja entre a solução VMware no Azure e o local ou entre nuvens privadas regionais da solução VMware no Azure. Por padrão, os hubs virtuais não oferecem suporte à transitividade do ExpressRoute para o ExpressRoute. Para habilitar essa transitividade, você precisa iniciar um tíquete de suporte. Para obter mais informações, consulte Disponibilidade do Alcance Global do ExpressRoute.
Sua instância do ExpressRoute local usa o SKU Local do ExpressRoute. O SKU Local do ExpressRoute não oferece suporte ao Alcance Global. Se você usar o SKU Local, poderá usar a intenção de roteamento para estabelecer a conectividade entre a solução VMware no Azure e sua rede local.
O diagrama abaixo mostra um exemplo que não usa o Alcance Global.
Considere as opções de Alcance Global para uma região única ou para regiões duplas
Use as diretrizes a seguir para determinar se você deve habilitar o Alcance Global para seu cenário.
Design de região única com Alcance Global
Quando você usa o Alcance Global em uma região única, o hub seguro roteia todo o tráfego privado e o tráfego da Internet por meio de uma solução de segurança, como o Firewall do Azure, uma NVA que não seja da Microsoft ou uma solução SaaS. No diagrama abaixo, a intenção de roteamento inspeciona o tráfego, mas o tráfego de Alcance Global entre a solução VMware no Azure e o local ignora o firewall do hub (conexão A). Sendo assim, você precisa inspecionar esse tráfego de Alcance Global com o NSX-T na solução VMware no Azure ou em um firewall local para obter melhor segurança em sites de Alcance Global.
A tabela abaixo mostra o fluxo de tráfego de e para a solução VMware no Azure.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Solução VMware no Azure | → ← |
Redes virtuais | Sim |
| Solução VMware no Azure | → ← |
A Internet | Sim |
| Solução VMware no Azure | → ← |
Local | Não |
A tabela abaixo mostra o fluxo de tráfego de e para redes virtuais.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Redes virtuais | → ← |
Local | Sim |
| Redes virtuais | → ← |
A Internet | Sim |
| Redes virtuais | → ← |
Redes virtuais | Sim |
Design de região única que não tem Alcance Global
Quando você não usa o Alcance Global em uma região única, o hub seguro roteia todo o tráfego privado e o tráfego da Internet por meio de uma solução de segurança. A intenção de roteamento inspeciona o tráfego. Com esse design, o tráfego entre a solução VMware no Azure e o local transita pelo firewall do hub para inspeção. Por padrão, os hubs virtuais não dão suporte à transitividade do ExpressRoute para o ExpressRoute. Para habilitar essa transitividade, você precisa iniciar um tíquete de suporte. Depois que o tíquete de suporte é atendido, o hub seguro anuncia os endereços RFC 1918 padrão para a solução VMware no Azure e para o local. Ao usar a intenção de roteamento local, você não pode anunciar os prefixos de endereço RFC 1918 padrão exatos (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) de volta para o Azure. Em vez disso, você precisa sempre anunciar rotas mais específicas.
A tabela abaixo mostra o fluxo de tráfego de e para a solução VMware no Azure.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Solução VMware no Azure | → ← |
Local | Sim |
| Solução VMware no Azure | → ← |
A Internet | Sim |
| Solução VMware no Azure | → ← |
Redes virtuais | Sim |
A tabela abaixo mostra o fluxo de tráfego de e para redes virtuais.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Redes virtuais | → ← |
Local | Sim |
| Redes virtuais | → ← |
A Internet | Sim |
| Redes virtuais | → ← |
Redes virtuais | Sim |
Design de região dupla com Alcance Global
Ao usar o Alcance Global em duas regiões, você implanta dois hubs seguros em diferentes regiões em sua WAN Virtual. Além disso, você configura duas nuvens privadas da solução VMware no Azure em regiões separadas.
O diagrama a seguir mostra um exemplo dessa configuração. Cada nuvem privada regional da solução VMware no Azure se conecta diretamente ao hub regional local (conexão D). O local se conecta a cada hub regional (conexão E). Todo o tráfego RFC 1918 e o tráfego da Internet são roteados por meio de uma solução de segurança nos dois hubs seguros através da intenção de roteamento. As nuvens privadas da solução VMware no Azure têm conectividade de volta ao local por meio do Alcance Global (conexões A e B). As nuvens da solução VMware no Azure se conectam entre si por meio do Alcance Global (conexão C). O tráfego de Alcance Global entre as nuvens privadas da solução VMware no Azure ou entre as nuvens privadas da solução VMware no Azure e o local ignora os dois firewalls de hub (conexões A, B e C). Para obter segurança avançada em sites de Alcance Global, use o NSX-T na solução VMware no Azure ou um firewall local para inspecionar esse tráfego.
A tabela a seguir mostra o fluxo de tráfego de e para a Região 1 da nuvem privada da solução VMware no Azure.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
Rede virtual 1 | Sim, através do firewall do hub 1 |
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
Rede virtual 2 | Sim, através dos firewalls do hub 1 e do hub 2 |
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
A Internet | Sim, através do firewall do hub 1 |
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
Local | Não |
A tabela a seguir mostra o fluxo de tráfego de e para a Região 2 da nuvem privada da solução VMware no Azure.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Região 2 da nuvem privada da solução VMware no Azure | → ← |
Rede virtual 1 | Sim, através dos firewalls do hub 1 e do hub 2 |
| Região 2 da nuvem privada da solução VMware no Azure | → ← |
Rede virtual 2 | Sim, através do firewall do hub 2 |
| Região 2 da nuvem privada da solução VMware no Azure | → ← |
A Internet | Sim, através do firewall do hub 2 |
| Região 2 da nuvem privada da solução VMware no Azure | → ← |
Local | Não |
A tabela a seguir mostra o fluxo de tráfego de e para a Região 1 e região 2 da nuvem privada da solução VMware no Azure.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
Região 2 da nuvem privada da solução VMware no Azure | Não |
A tabela abaixo mostra o fluxo de tráfego de e para redes virtuais.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Rede virtual 1 | → ← |
Local | Sim, através do firewall do hub 1 |
| Rede virtual 1 | → ← |
A Internet | Sim, através do firewall do hub 1 |
| Rede virtual 1 | → ← |
Rede virtual 2 | Sim, através dos firewalls do hub 1 e do hub 2 |
| Rede virtual 2 | → ← |
Local | Sim, através do firewall do hub 2 |
| Rede virtual 2 | → ← |
A Internet | Sim, através do firewall do hub 2 |
Design de região dupla que não tem Alcance Global
Ao usar o Alcance Global em duas regiões, você implanta dois hubs seguros em diferentes regiões em sua WAN Virtual. Além disso, você configura duas nuvens privadas da solução VMware no Azure em regiões separadas.
O diagrama a seguir mostra um exemplo dessa configuração. Cada nuvem privada regional da solução VMware no Azure se conecta diretamente ao hub regional local (conexão D). O local se conecta a cada hub regional (conexão E). Todo o tráfego RFC 1918 e o tráfego da Internet são roteados por meio de uma solução de segurança nos dois hubs seguros através da intenção de roteamento.
Por padrão, os hubs virtuais não dão suporte à transitividade do ExpressRoute para o ExpressRoute. Para habilitar essa transitividade, você precisa iniciar um tíquete de suporte. Depois que o tíquete de suporte é atendido, os hubs seguros anunciam os endereços RFC 1918 padrão para a solução VMware no Azure e para o local. Faça referência aos dois hubs regionais ao abrir o ticket. Use a transitividade do ExpressRoute para o ExpressRoute para que as nuvens privadas da solução VMware no Azure possam se comunicar entre si pelo interhub da WAN Virtual e a nuvem da solução VMware no Azure possa se comunicar com o local.
Os endereços RFC 1918 são anunciados para o local. Você não pode anunciar os prefixos de endereço RFC 1918 padrão exatos (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) de volta para o Azure. Em vez disso, você precisa sempre anunciar rotas mais específicas.
A tabela a seguir mostra o fluxo de tráfego de e para a Região 1 da nuvem privada da solução VMware no Azure.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
Rede virtual 1 | Sim, através do firewall do hub 1 |
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
Rede virtual 2 | Sim, através dos firewalls do hub 1 e do hub 2 |
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
A Internet | Sim, através do firewall do hub 1 |
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
Local | Sim, através do firewall do hub 1 |
A tabela a seguir mostra o fluxo de tráfego de e para a Região 2 da nuvem privada da solução VMware no Azure.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Região 2 da nuvem privada da solução VMware no Azure | → ← |
Rede virtual 1 | Sim, através do firewall do hub 2 |
| Região 2 da nuvem privada da solução VMware no Azure | → ← |
Rede virtual 2 | Sim, através dos firewalls do hub 1 e do hub 2 |
| Região 2 da nuvem privada da solução VMware no Azure | → ← |
A Internet | Sim, através do firewall do hub 2 |
| Região 2 da nuvem privada da solução VMware no Azure | → ← |
Local | Sim, através do firewall do hub 2 |
A tabela a seguir mostra o fluxo de tráfego de e para a Região 1 e região 2 da nuvem privada da solução VMware no Azure.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Região 1 da nuvem privada da solução VMware no Azure | → ← |
Região 2 da nuvem privada da solução VMware no Azure | Sim, através dos firewalls do hub 1 e do hub 2 |
A tabela abaixo mostra o fluxo de tráfego de e para redes virtuais.
| Local 1 | Direção | Local 2 | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| Rede virtual 1 | → ← |
Local | Sim, através do firewall do hub 1 |
| Rede virtual 1 | → ← |
A Internet | Sim, através do firewall do hub 1 |
| Rede virtual 1 | → ← |
Rede virtual 2 | Sim, através dos firewalls do hub 1 e do hub 2 |
| Rede virtual 2 | → ← |
Local | Sim, através do firewall do hub 2 |
| Rede virtual 2 | → ← |
A Internet | Sim, através do firewall do hub 2 |
Recursos relacionados
- Design da solução VMware no Azure de região única com WAN Virtual e Alcance Global
- Design de solução VMware no Azure de região única sem Alcance Global
- Design da solução VMware no Azure de região dupla com WAN Virtual e Alcance Global
- Design de solução VMware no Azure de região dupla sem Alcance Global