Usar um design da solução VMware no Azure de região única com WAN Virtual e Alcance Global
Este artigo descreve as práticas recomendadas da solução VMware no Azure em uma região única ao usar a WAN Virtual do Azure segura com intenção de roteamento. Ele oferece recomendações de conectividade e fluxo de tráfego para WAN Virtual segura com intenção de roteamento e Alcance Global do Azure ExpressRoute. Este artigo descreve a topologia para designs em nuvens privadas da solução VMware no Azure, sites locais e recursos nativos do Azure. A implementação e a configuração da WAN Virtual segura com intenção de roteamento estão além do escopo deste artigo.
Usar a WAN Virtual segura em uma região única
Apenas o SKU padrão da WAN Virtual oferece suporte à WAN Virtual segura com intenção de roteamento. Use a WAN Virtual segura com intenção de roteamento e envie todo o tráfego da Internet e o tráfego de rede privada para uma solução de segurança, como o Firewall do Azure, uma NVA (solução de virtualização de rede) que não seja da Microsoft ou uma solução SaaS (software como serviço). Você deverá ter um hub de WAN Virtual seguro se usar a intenção de roteamento.
Observação
Ao configurar a solução VMware no Azure com hubs de WAN Virtual seguros, defina a opção de preferência de roteamento do hub como Caminho AS para garantir os resultados de roteamento ideais no hub. Para obter mais informações, consulte Preferências de roteamento do hub virtual.
O hub deste cenário tem a seguinte configuração:
A rede de região única tem uma instância de WAN Virtual e um hub.
O hub tem uma instância do Firewall do Azure implantada, tornando um hub de WAN Virtual seguro.
O hub seguro da WAN Virtual tem a intenção de roteamento habilitada.
Esse cenário também tem os seguintes componentes:
Uma região única tem sua própria nuvem privada da solução VMware no Azure e uma rede virtual do Azure.
Um site local se conecta de volta ao hub.
O ambiente tem conectividade de Alcance Global.
O Alcance Global define um link lógico direto através do backbone da Microsoft, que conecta a solução VMware no Azure ao local.
As conexões de Alcance Global não transitam pelo firewall do hub. Sendo assim, o tráfego de Alcance Global que vai nos dois sentidos entre o local e a solução VMware no Azure não é inspecionado.
Observação
Para aprimorar a segurança entre sites de Alcance Global, considere inspecionar o tráfego no NSX-T do ambiente da solução VMware no Azure ou em um firewall local.
O diagrama abaixo mostra um exemplo desse cenário.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Conexão | Descrição |
|---|---|
| D | Conexão do ExpressRoute gerenciada em nuvem privada da solução VMware no Azure com o hub |
| Um | Conexão de Alcance Global da solução VMware no Azure com o local |
| E | Conexão ExpressRoute local com o hub |
Fluxos de tráfego de WAN Virtual segura de região única
As seções a seguir descrevem os fluxos de tráfego e a conectividade para a solução VMware no Azure, locais, redes virtuais do Azure e Internet.
Conectividade de nuvem privada e fluxos de tráfego da solução VMware no Azure
O diagrama a seguir mostra os fluxos de tráfego para a nuvem privada da solução VMware no Azure.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Nuvem da solução VMware no Azure | Rede virtual | Sim |
| 2 | Nuvem da solução VMware no Azure | No local | Não |
A nuvem privada da solução VMware no Azure se conecta ao hub através da conexão D do ExpressRoute. A região de nuvem da solução VMware no Azure estabelece uma conexão com o local através da conexão A do Alcance Global do ExpressRoute. O tráfego que viaja através do Alcance Global não transita pelo firewall do hub.
Para seu cenário, configure o Alcance Global e evite problemas de conectividade entre o local e a solução VMware no Azure.
Fluxo de tráfego e conectividade local
O diagrama a seguir mostra o site local conectado ao hub através da conexão E do ExpressRoute. Os sistemas locais podem se comunicar com a solução VMware no Azure através da conexão A do Alcance Global.
Para seu cenário, configure o Alcance Global e evite problemas de conectividade entre o local e a solução VMware no Azure.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 3 | No local | Nuvem da solução VMware no Azure | Não |
| 4 | No local | Rede virtual | Sim |
Fluxo de tráfego e conectividade de rede virtual do Azure
Um hub seguro com intenção de roteamento habilitada envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) para redes virtuais emparelhadas, juntamente com quaisquer outros prefixos adicionados como prefixos de tráfego privado. Para obter mais informações, consulte Prefixos de endereço privado de intenção de roteamento. Esse cenário tem a intenção de roteamento habilitada. Sendo assim, todos os recursos na rede virtual têm os endereços RFC 1918 padrão e usam o firewall do hub como o próximo salto. Todo o tráfego que entra e sai da rede virtual transita pelo firewall do hub.
O diagrama abaixo mostra como a rede virtual é emparelhada diretamente com o hub.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 5 | Rede virtual | Nuvem da solução VMware no Azure | Sim |
| 6 | Rede virtual | Nuvem da solução VMware no Azure | Sim |
Conectividade com a Internet
Esta seção descreve como oferecer conectividade com a Internet a recursos nativos do Azure em uma rede virtual e em uma nuvem privada da solução VMware no Azure. Para obter mais informações, consulte Considerações de design de conectividade com a Internet. Você pode usar as opções abaixo para oferecer conectividade com a Internet à solução VMware no Azure.
- Opção 1: serviço de Internet hospedado no Azure
- Opção 2: SNAT (conversão de endereços de rede de origem) gerenciada pela solução VMware no Azure
- Opção 3: endereço IPv4 público do Azure para a borda do NSX-T Data Center
Um design de WAN Virtual segura de região única com intenção de roteamento oferece suporte a todas as opções, mas recomendamos a opção 1. O cenário mais adiante neste artigo usa a opção 1 para oferecer conectividade com a Internet. A opção 1 funciona melhor com a WAN Virtual segura, pois é fácil de inspecionar, implantar e gerenciar.
Ao usar a intenção de roteamento, você pode gerar uma rota padrão do firewall do hub. Essa rota padrão anuncia para sua rede virtual e para a solução VMware no Azure.
Solução VMware no Azure e conectividade com a Internet de rede virtual
Quando você habilita a intenção de roteamento para o tráfego da Internet, por padrão, o hub seguro da WAN Virtual não anuncia a rota padrão entre circuitos do ExpressRoute. Para ajudar a garantir que a rota padrão se propague para a solução VMware no Azure da WAN Virtual, você precisa habilitar a propagação de rota padrão em seus circuitos do ExpressRoute da solução VMware no Azure. Para obter mais informações, consulte Anunciar a rota padrão 0.0.0.0/0 para pontos de extremidade.
Depois de habilitar a propagação de rota padrão, a conexão D anuncia a rota padrão 0.0.0.0/0 do hub. Não habilite essa configuração para circuitos locais do ExpressRoute. A conexão D anuncia a rota padrão 0.0.0.0/0 para a solução VMware no Azure, mas o Alcance Global (conexão A) também anuncia a rota padrão para o local. Consequentemente, recomendamos que você implemente um filtro BGP (Border Gateway Protocol) em seu equipamento local para que ele não aprenda a rota padrão. Esta etapa ajuda a garantir que sua configuração não afete a conectividade com a Internet local.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 7 | Nuvem da solução VMware no Azure | A Internet | Sim |
| 8 | Rede virtual | A Internet | Sim |
Quando você habilita a intenção de roteamento para acesso à Internet, a rota padrão gerada do hub seguro da WAN Virtual anuncia automaticamente as conexões de rede virtual emparelhadas pelo hub. Observe que, nas NICs (placas de adaptador de rede) das máquinas virtuais na rede virtual, o próximo salto 0.0.0.0/0 é o firewall do hub. Para localizar o próximo salto, selecione Rotas efetivas na NIC.