Usar um design de solução VMware no Azure de região única sem Alcance Global
Este artigo descreve as práticas recomendadas da solução VMware no Azure em uma região única ao usar a WAN Virtual do Azure segura com intenção de roteamento. Ele oferece recomendações de conectividade e fluxo de tráfego para WAN Virtual segura com intenção de roteamento. Este artigo descreve a topologia para designs em nuvens privadas, sites locais e recursos nativos do Azure da solução VMware no Azure ao usar o Alcance Global do Azure ExpressRoute. A implementação e a configuração da WAN Virtual segura com intenção de roteamento estão além do escopo deste artigo.
Se você usar uma região que não oferece suporte ao Alcance Global ou se tiver um requisito de segurança para inspecionar o tráfego entre a solução VMware no Azure e o local no firewall do hub, deverá abrir um tíquete de suporte para habilitar a transitividade de ExpressRoute para ExpressRoute. Por padrão, a WAN Virtual não oferece suporte à transitividade de ExpressRoute s ExpressRoute Para obter mais informações, consulte Conectividade de trânsito entre circuitos do ExpressRoute com intenção de roteamento.
Usar a WAN Virtual segura sem Alcance Global
Apenas o SKU padrão da WAN Virtual oferece suporte à WAN Virtual segura com intenção de roteamento. Use a WAN Virtual segura com intenção de roteamento para enviar todo o tráfego da Internet e o tráfego de rede privada (RFC 1918) para uma solução de segurança, como o Firewall do Azure, uma NVA (solução de virtualização de rede) que não seja da Microsoft ou uma solução SaaS (software como serviço).
O hub deste cenário tem a seguinte configuração:
A rede de região única tem uma instância de WAN Virtual e um hub.
O hub tem uma instância do Firewall do Azure implantada, tornando um hub de WAN Virtual seguro.
O hub seguro da WAN Virtual tem a intenção de roteamento habilitada.
Esse cenário também tem os seguintes componentes:
Uma região única tem sua própria nuvem privada da solução VMware no Azure e uma rede virtual do Azure.
Um site local se conecta de volta ao hub.
Observação
Se você usar prefixos não RFC 1918 em seus recursos locais conectados, redes virtuais ou solução VMware no Azure, especifique esses prefixos no campo Prefixos de tráfego privado do recurso de intenção de roteamento. Insira rotas resumidas no campo Prefixos de tráfego privado para cobrir seu intervalo. Não insira o intervalo exato que anuncia a WAN Virtual, pois essa especificação pode levar a problemas de roteamento. Por exemplo, se o circuito do ExpressRoute anunciar 192.0.2.0/24 do local, insira um intervalo CIDR (Roteamento entre Domínios Sem Classificação) /23 ou maior, por exemplo, 192.0.2.0/23. Para obter mais informações, consulte Configurar a intenção e as políticas de roteamento por meio do portal da WAN Virtual.
Observação
Ao configurar a solução VMware no Azure com hubs de WAN Virtual seguros, defina a opção de preferência de roteamento do hub como Caminho AS para garantir os resultados de roteamento ideais no hub. Para obter mais informações, consulte Preferências de roteamento do hub virtual.
O diagrama abaixo mostra um exemplo desse cenário.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Conexão | Descrição |
|---|---|
| D | Conexão do ExpressRoute gerenciada em nuvem privada da solução VMware no Azure com o hub |
| E | Conexão ExpressRoute local com o hub |
Fluxos de tráfego para WAN Virtual de região única sem Alcance Global
As seções a seguir descrevem os fluxos de tráfego e a conectividade para a solução VMware no Azure, locais, redes virtuais do Azure e Internet.
Conectividade de nuvem privada e fluxos de tráfego da solução VMware no Azure
O diagrama abaixo mostra os fluxos de tráfego para uma nuvem privada da solução VMware no Azure.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Nuvem da solução VMware no Azure | Rede virtual | Sim |
| 2 | Nuvem da solução VMware no Azure | No local | Sim |
A nuvem privada da solução VMware no Azure tem uma conexão do ExpressRoute com o hub (conexão D).
Quando você habilita a transitividade de ExpressRoute para ExpressRoute no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) para a solução VMware no Azure pela conexão D. Além dos endereços RFC 1918 padrão, a solução VMware no Azure aprende rotas mais específicas de redes virtuais e redes de filial do Azure, como VPN S2S, VPN P2S e SD-WAN, que se conectam ao hub. A solução VMware no Azure não aprende rotas específicas de redes locais. Para rotear o tráfego de volta para redes locais, a solução VMware no Azure usa os endereços RFC 1918 padrão que aprende com a conexão D. Esse tráfego transita pelo firewall do hub. O firewall do hub usa as rotas específicas para redes locais para rotear o tráfego em direção aos destinos pela conexão E. O tráfego que vai da solução VMware no Azure para redes virtuais transita pelo firewall do hub.
Fluxo de tráfego e conectividade local
O diagrama abaixo mostra os fluxos de tráfego para conectividade local.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 3 | No local | Nuvem da solução VMware no Azure | Sim |
| 4 | No local | Rede virtual | Sim |
O site local se conecta ao hub através da conexão E do ExpressRoute.
Quando você habilita a transitividade de ExpressRoute para ExpressRoute no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão para o local pela conexão E. Além dos endereços RFC 1918 padrão, o local aprende rotas mais específicas de redes virtuais do Azure e redes de branch que se conectam ao hub. O local não aprende rotas específicas das redes da solução VMware no Azure. Para rotear o tráfego de volta para redes da solução VMware no Azure, a solução VMware no Azure usa os endereços RFC 1918 padrão que aprende com a conexão E. Esse tráfego transita pelo firewall do hub. O firewall do hub usa as rotas específicas para redes da solução VMware no Azure para rotear o tráfego em direção aos destinos pela conexão D. O tráfego que vai do local para redes virtuais transita pelo firewall do hub.
Quando você habilita a transitividade de ExpressRoute para ExpressRoute no hub, ele envia os endereços RFC 1918 padrão para sua rede local. Sendo assim, você não deve anunciar os prefixos RFC 1918 exatos de volta para o Azure. Anunciar as mesmas rotas exatas cria problemas de roteamento no Azure. Em vez disso, você deve anunciar rotas mais específicas de volta ao Azure para suas redes locais.
Observação
Se você anunciar os endereços RFC 1918 padrão do local para o Azure e quiser continuar essa prática, deverá dividir cada intervalo RFC 1918 em dois subintervalos iguais e anunciar esses subintervalos de volta para o Azure. Os subintervalos são 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 e 192.168.128.0/17.
Fluxo de tráfego e conectividade de rede virtual do Azure
O diagrama abaixo mostra os fluxos de tráfego para a conectividade de rede virtual do Azure.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 5 | Rede virtual | Nuvem da solução VMware no Azure | Sim |
| 6 | Rede virtual | No local | Sim |
Nesse cenário, a rede virtual se emparelha diretamente com o hub. O diagrama mostra como os recursos nativos do Azure na rede virtual aprendem suas rotas. Um hub seguro com a intenção de roteamento habilitada envia os endereços RFC 1918 padrão para redes virtuais emparelhadas. Os recursos nativos do Azure na rede virtual não aprendem rotas específicas de fora de sua rede virtual. Quando você habilita a intenção de roteamento, todos os recursos na rede virtual possuem o endereço RFC 1918 padrão e usam o firewall do hub como o próximo salto. Todo o tráfego que entra e sai das redes virtuais transita pelo firewall do hub.
Conectividade com a Internet
Esta seção descreve como fornecer conectividade com a Internet para recursos nativos do Azure em redes virtuais e nuvens privadas da solução VMware no Azure em uma região única. Para obter mais informações, consulte Considerações de design de conectividade com a Internet. Você pode usar as opções abaixo para oferecer conectividade com a Internet à solução VMware no Azure.
- Opção 1: serviço de Internet hospedado no Azure
- Opção 2: SNAT (conversão de endereços de rede de origem) gerenciada pela solução VMware no Azure
- Opção 3: endereço IPv4 público do Azure para a borda do NSX-T Data Center
Um design de WAN Virtual segura de região única com intenção de roteamento oferece suporte a todas as opções, mas recomendamos a opção 1. O cenário mais adiante neste artigo usa a opção 1 para oferecer conectividade com a Internet. A opção 1 funciona melhor com a WAN Virtual segura, pois é fácil de inspecionar, implantar e gerenciar.
Quando você habilita a intenção de roteamento no hub seguro, ele anuncia o RFC 1918 para todas as redes virtuais emparelhadas. Mas você também pode anunciar uma rota padrão 0.0.0.0/0 para conectividade com a Internet para recursos downstream. Ao usar a intenção de roteamento, você pode gerar uma rota padrão do firewall do hub. Essa rota padrão anuncia para sua rede virtual e para a solução VMware no Azure.
Solução VMware no Azure e conectividade com a Internet de rede virtual
Quando você habilita a intenção de roteamento para o tráfego da Internet, por padrão, o hub seguro da WAN Virtual não anuncia a rota padrão entre circuitos do ExpressRoute. Para ajudar a garantir que a rota padrão se propague para a solução VMware no Azure da WAN Virtual, você precisa habilitar a propagação de rota padrão em seus circuitos do ExpressRoute da solução VMware no Azure. Para obter mais informações, consulte Anunciar a rota padrão 0.0.0.0/0 para pontos de extremidade.
O diagrama abaixo mostra os fluxos de tráfego para a rede virtual e a conectividade com a Internet da solução VMware no Azure.
A tabela abaixo descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub da WAN Virtual inspeciona esse tráfego? |
|---|---|---|---|
| 7 | Rede virtual | A Internet | Sim |
| 8 | Nuvem da solução VMware no Azure | A Internet | Sim |
Depois de habilitar a propagação de rota padrão, a conexão D anuncia a rota padrão 0.0.0.0/0 do hub. Não habilite essa configuração para circuitos locais do ExpressRoute. Recomendamos que você implemente um filtro BGP (Border Gateway Protocol) em seu equipamento local. Um filtro BGP impede que os recursos aprendam inadvertidamente a rota padrão, adiciona uma camada extra de precaução e ajuda a garantir que sua configuração não afete a conectividade com a Internet local.
Quando você habilita a intenção de roteamento para acesso à Internet, a rota padrão gerada do hub seguro da WAN Virtual anuncia automaticamente as conexões de rede virtual emparelhadas pelo hub. Observe que, nas NICs das máquinas virtuais na rede virtual, o próximo salto 0.0.0.0/0 é o firewall do hub. Para localizar o próximo salto, selecione Rotas efetivas na NIC.
Usar o HCX MON (Mobility Optimized Networking) VMware sem Alcance Global
Você pode habilitar o HCX MON (Mobility Optimized Networking) ao usar a extensão de rede HCX. O MON fornece roteamento de tráfego ideal em determinados cenários para evitar que as redes se sobreponham ou entrem em loop entre os recursos locais e baseados em nuvem em redes estendidas.
Tráfego de saída da solução VMware no Azure
Quando você habilita o MON para uma rede estendida específica e uma máquina virtual, o fluxo de tráfego muda. Após implementar o MON, o tráfego de saída da máquina virtual não retorna para o local. Em vez disso, ele ignora o túnel IPSec da extensão de rede. O tráfego da máquina virtual sai do gateway NSX-T de camada 1 da solução VMware no Azure, vai para o gateway de camada 0 do NSX-T e, em seguida, vai para a WAN Virtual.
Tráfego de entrada para a solução VMware no Azure
Ao habilitar o MON para uma rede estendida específica e uma máquina virtual, você introduz as alterações a seguir. No NSX-T da solução VMware no Azure, o MON injeta uma rota de host /32 de volta para a WAN Virtual. A WAN Virtual anuncia essa rota /32 de volta para redes locais, virtuais e de branch. Essa rota de host /32 garante que o tráfego de redes locais, virtuais e de branch não use o túnel IPSec de extensão de rede quando o tráfego for para a máquina virtual habilitada para MON. O tráfego das redes de origem vai direto para a máquina virtual habilitada para MON, pois ela aprende a rota /32.
Limitação de HCX MON para WAN Virtual segura sem Alcance Global
Quando você habilita a transitividade de ExpressRoute para ExpressRoute no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão para a solução VMware no Azure e local. Além dos endereços RFC 1918 padrão, a solução VMware no Azure e local aprende rotas mais específicas de redes virtuais do Azure e redes de branch que se conectam ao hub.
Mas as redes locais não aprendem rotas específicas da solução VMware no Azure, e a solução VMware no Azure não aprende rotas específicas de redes locais. Em vez disso, os dois ambientes dependem dos endereços RFC 1918 padrão para facilitar o roteamento de volta um para o outro através do firewall do hub. Sendo assim, rotas mais específicas, como rotas de host MON, não anunciam do ExpressRoute da solução VMware no Azure para o circuito do ExpressRoute baseado no local. O contrário também é verdade. A incapacidade de aprender rotas específicas introduz fluxos de tráfego assimétricos. O tráfego sai da solução VMware no Azure através do gateway de Camada 0 do NSX-T, mas retorna o tráfego do local pelo túnel IPSec da extensão de rede.
Corrija a assimetria de tráfego
Para corrigir a assimetria de tráfego, você precisa ajustar as rotas da política MON. As rotas de política MON determinam qual tráfego volta para o gateway local através de uma extensão L2. Além disso, decidem qual tráfego passa pelo gateway de camada 0 do NSX da solução VMware no Azure.
Se um IP de destino corresponder e você configurá-lo como permitir na configuração da política MON, duas ações ocorrerão. Primeiro, o sistema identifica o pacote. Segundo, o sistema envia o pacote para o gateway local por meio do dispositivo de extensão de rede.
Se um IP de destino não corresponder ou você defini-lo como negar na política de MON, o sistema enviará o pacote para o gateway de camada 0 da solução VMware no Azure para roteamento.
A tabela abaixo descreve as rotas de política do HCX.
| Rede | Redirecionar para emparelhamento | Observação |
|---|---|---|
| Espaço de endereço da rede virtual do Azure | Negar | Inclua de forma explícita os intervalos de endereços para todas as suas redes virtuais. O tráfego destinado ao Azure direciona a saída através da solução VMware no Azure e não retorna à rede local. |
| Espaços de endereço RFC 1918 padrão | Allow | Adicione os endereços RFC 1918 padrão. Essa configuração garante que qualquer tráfego que não corresponda aos critérios anteriores seja redirecionado de volta para a rede local. Se a configuração local usar endereços que não fazem parte do RFC 1918, você deverá incluir esses intervalos de forma explícita. |
| Espaço de endereço 0.0.0.0/0 | Negar | Os endereços que o RFC 1918 não cobre, como IPs roteáveis pela Internet ou tráfego que não corresponde às entradas especificadas, saem diretamente por meio da solução VMware no Azure e não redirecionam de volta para a rede local. |