Use um design de solução VMware do Azure de região dupla que tenha WAN Virtual e alcance global
Este artigo descreve as práticas recomendadas para conectividade, fluxos de tráfego e alta disponibilidade ao implantar a Solução VMware do Azure em duas regiões. Ele fornece orientação para WAN Virtual do Azure segura com intenção de roteamento e Alcance Global do Azure ExpressRoute. Este artigo descreve a WAN Virtual com topologia de intenção de roteamento para nuvens privadas da Solução VMware do Azure, sites locais e recursos nativos do Azure.
A implementação e configuração de WAN virtual segura com intenção de roteamento estão além do escopo deste artigo. Este artigo pressupõe que você tenha uma compreensão básica da WAN Virtual e da WAN Virtual segura com intenção de roteamento.
Use WAN virtual segura e alcance global em duas regiões
Somente a SKU padrão da WAN Virtual suporta WAN virtual segura com intenção de roteamento. Use a WAN Virtual segura com intenção de roteamento para enviar todo o tráfego da Internet e o tráfego da rede privada para uma solução de segurança, como o Firewall do Azure, um dispositivo virtual de rede (NVA) que não seja da Microsoft ou uma solução de software como serviço (SaaS). Você deve ter um hub WAN virtual seguro se usar a intenção de roteamento.
O hub deste cenário tem a seguinte configuração:
A rede de duas regiões tem uma WAN virtual e dois hubs. Cada região tem um hub.
Cada hub tem sua própria instância do Firewall do Azure implantada, o que os torna hubs WAN virtuais seguros.
Os hubs WAN virtuais seguros têm a intenção de roteamento habilitada.
Este cenário também tem estes componentes:
Cada região tem sua própria nuvem privada Azure VMware Solution e uma rede virtual do Azure.
Um site local se conecta a ambas as regiões.
O ambiente tem conectividade de alcance global.
O Global Reach estabelece uma ligação lógica direta através do backbone da Microsoft, que liga a Solução VMware do Azure a nuvens privadas locais ou regionais da Solução VMware do Azure.
As conexões do Global Reach não transitam pelos firewalls do hub. Assim, o tráfego do Global Reach entre sites não é inspecionado.
Nota
Para melhorar a segurança entre sites do Global Reach, considere inspecionar o tráfego no NSX-T do ambiente da Solução VMware do Azure ou em um firewall local.
O diagrama a seguir mostra um exemplo desse cenário.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Connection | Description |
|---|---|
| A | Conexão Global Reach da Solução VMware do Azure 1 de volta ao local |
| N | Conexão Global Reach da Solução VMware do Azure 2 de volta ao local |
| C | Conexão Global Reach da Solução VMware do Azure entre os circuitos gerenciados das duas nuvens privadas |
| D | Conexão de nuvem privada da Solução VMware do Azure com seu hub regional local |
| E | Conectividade local via ExpressRoute para ambos os hubs regionais |
| Interhub | Conexão lógica interhub entre dois hubs implantados na mesma WAN Virtual |
Nota
Ao configurar a Solução VMware do Azure com hubs WAN virtuais seguros, defina a opção de preferência de roteamento de hub como Caminho AS para garantir resultados de roteamento ideais no hub. Para obter mais informações, consulte Preferências de roteamento de hub virtual.
Fluxos de tráfego de WAN virtual seguros em duas regiões
As seções a seguir descrevem os fluxos de tráfego e a conectividade para a Solução VMware do Azure, no local, as redes virtuais do Azure e a Internet quando você usa o Global Reach.
Nuvem privada VMware Solution do Azure, conectividade entre regiões e fluxos de tráfego
O diagrama a seguir mostra fluxos de tráfego para duas nuvens privadas da Solução VMware do Azure em duas regiões.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Azure VMware Solution região de nuvem 1 | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 2 | Azure VMware Solution região de nuvem 1 | No local | Não, o tráfego ignora o firewall e transita pela conexão A do Global Reach |
| 3 | Azure VMware Solution região de nuvem 1 | Rede virtual 2 | Sim, através do firewall do hub 2 |
| 4 | Azure VMware Solution região de nuvem 1 | Azure VMware Solution região de nuvem 2 | Não, o tráfego ignora o firewall e transita pela conexão C do Global Reach |
| 5 | Azure VMware Solution região de nuvem 2 | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 6 | Azure VMware Solution região de nuvem 2 | Rede virtual 2 | Sim, através do firewall do hub 2 |
| 7 | Azure VMware Solution região de nuvem 2 | No local | Não, o tráfego ignora o firewall e transita pela conexão B do Global Reach |
Cada nuvem privada da Solução VMware do Azure se conecta ao seu hub regional local por meio da conexão D da Rota Expressa.
Cada região de nuvem da Solução VMware do Azure se conecta novamente a uma rede local por meio do ExpressRoute Global Reach. Cada região de nuvem da Solução VMware do Azure tem sua própria conexão de alcance global (conexão A e B). E as nuvens privadas da Solução VMware do Azure ligam-se diretamente umas às outras através da ligação C do Global Reach. O tráfego do Global Reach nunca transita por nenhum firewall de hub.
Configure todas as três conexões de alcance global. Você deve executar esta etapa para evitar problemas de conectividade entre sites do Global Reach.
Conectividade local e fluxo de tráfego
O diagrama a seguir mostra os fluxos de tráfego para o site local.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 2 | No local | Azure VMware Solution região de nuvem 1 | Não, o tráfego ignora o firewall e transita pela conexão A do Global Reach |
| 7 | No local | Azure VMware Solution região de nuvem 2 | Não, o tráfego ignora o firewall e transita pela conexão B do Global Reach |
| 8 | No local | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 9 | No local | Rede virtual 2 | Sim, através do firewall do hub 2 |
O site local se conecta aos hubs da região 1 e da região 2 por meio da conexão E da Rota Expressa.
Os sistemas locais podem comunicar com a região de nuvem 1 da Solução VMware do Azure através da ligação A do Global Reach e com a região de nuvem 2 da Solução VMware do Azure através da ligação B do Global Reach.
Configure todas as três conexões de alcance global. Você deve executar esta etapa para evitar problemas de conectividade entre sites do Global Reach.
Conectividade de rede virtual do Azure e fluxo de tráfego
O diagrama a seguir mostra os fluxos de tráfego para as redes virtuais.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Rede virtual 1 | Azure VMware Solution região de nuvem 1 | Sim, através do firewall do hub 1 |
| 3 | Rede virtual 2 | Azure VMware Solution região de nuvem 1 | Sim, através do firewall do hub 2 |
| 5 | Rede virtual 1 | Azure VMware Solution região de nuvem 2 | Sim, através do firewall do hub 1 |
| 6 | Rede virtual 2 | Azure VMware Solution região de nuvem 2 | Sim, através do firewall do hub 2 |
| 8 | Rede virtual 1 | No local | Sim, através do firewall do hub 1 |
| 9 | Rede virtual 2 | No local | Sim, através do firewall do hub 2 |
| 10 | Rede virtual 1 | Rede virtual 2 | Sim, através do firewall do hub 1. Em seguida, o tráfego passa pela conexão interhub e é inspecionado através do firewall do hub 2. |
Ambas as redes virtuais estão diretamente ligadas ao seu centro regional local.
Um hub seguro com intenção de roteamento envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) para redes virtuais emparelhadas, juntamente com quaisquer outros prefixos adicionados como prefixos de tráfego privado. Para obter mais informações, consulte Prefixos de endereço privado de intenção de roteamento.
Esse cenário tem a intenção de roteamento habilitada, portanto, todos os recursos na rede virtual 1 e na rede virtual 2 possuem os endereços RFC 1918 padrão e usam seu firewall de hub regional local como o próximo salto. Todo o tráfego que entra e sai das redes virtuais transita pelos firewalls do hub.
Ligação à Internet
Esta seção descreve como fornecer conectividade com a Internet para recursos nativos do Azure em redes virtuais e nuvens privadas da Solução VMware do Azure em ambas as regiões. Para obter mais informações, consulte Considerações sobre design de conectividade com a Internet. Você pode usar as seguintes opções para fornecer conectividade com a Internet para a Solução VMware do Azure.
- Opção 1: Serviço de Internet hospedado no Azure
- Opção 2: SNAT (Source Network Address Translation, tradução de endereços de rede) gerenciada pela solução VMware
- Opção 3: Endereço IPv4 público do Azure para a borda do Data Center NSX-T
Um design de WAN virtual de região dupla com intenção de roteamento suporta todas as opções, mas recomendamos a opção 1. O cenário mais adiante neste artigo usa a opção 1 para fornecer conectividade com a Internet. A opção 1 funciona melhor com a WAN Virtual segura porque é fácil de inspecionar, implantar e gerenciar.
Ao usar a intenção de roteamento, você pode gerar uma rota padrão a partir do firewall do hub. Essa rota padrão anuncia para suas redes virtuais e nuvens privadas da Solução VMware do Azure.
Solução VMware do Azure e conectividade de rede virtual com a Internet
O diagrama a seguir mostra a conectividade com a Internet para instâncias da Solução VMware do Azure e redes virtuais.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? | A fuga da Internet |
|---|---|---|---|---|
| 11 | Azure VMware Solution região de nuvem 1 | A Internet | Sim, através do firewall do hub 1 | Através do firewall do hub 1 |
| 12 | Azure VMware Solution região de nuvem 2 | A Internet | Sim, através do firewall do hub 2 | Através do firewall do hub 2 |
| 15 | Rede virtual 1 | A Internet | Sim, através do firewall do hub 1 | Através do firewall do hub 1 |
| 16 | Rede virtual 2 | A Internet | Sim, através do firewall do hub 2 | Através do firewall do hub 2 |
Os fluxos de tráfego a seguir só estarão ativos se você tiver uma interrupção que afete um hub regional local. Por exemplo, se o hub regional local da Solução VMware do Azure sofrer uma interrupção, o tráfego da Internet será redirecionado para o hub inter-regional para conectividade com a Internet.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? | A fuga da Internet |
|---|---|---|---|---|
| 13 | Azure VMware Solution região de nuvem 1 | A Internet | Sim, o tráfego transita através da conexão C do Global Reach e o firewall do hub 2 o inspeciona. | Através do firewall do hub 2 |
| 14 | Azure VMware Solution região de nuvem 2 | A Internet | Sim, o tráfego transita através da conexão C do Global Reach e o firewall do hub 1 o inspeciona. | Através do firewall do hub 1 |
A nuvem privada da Solução VMware do Azure aprende a rota de conectividade com a Internet padrão a partir de seu hub regional local e de seu hub inter-regional, para que você possa obter redundância de conectividade com a Internet. A nuvem privada da Solução VMware do Azure prioriza o hub regional local para conectividade primária de acesso à Internet. O hub inter-regional serve como um backup da Internet se o hub regional local falhar. Esta configuração fornece redundância de acesso à Internet apenas para tráfego de saída. Para tráfego de entrada da Internet para cargas de trabalho da Solução VMware do Azure, considere usar o Azure Front Door ou o Azure Traffic Manager para alta disponibilidade regional.
A nuvem privada da Solução VMware do Azure recebe a rota padrão preferida ∞ 0.0.0.0/0 por meio da conexão D de seu hub regional local. E a nuvem privada da Solução VMware do Azure recebe uma rota padrão de backup △ 0.0.0.0/0, que se origina no hub interregional e anuncia na conexão C do Global Reach. Mas se você habilitar a propagação de rota padrão em suas conexões E de Rota Expressa local, o tráfego de Internet entre regiões também passará por esse caminho.
Por exemplo, o tráfego de Internet entre regiões que vai da nuvem privada VMware 1 do Azure para o hub 2 é distribuído por meio do roteamento ECMP (multipath de custo igual) na conexão C do Global Reach para a conexão D e na conexão A do Global Reach para a conexão E. Da mesma forma, o tráfego de retorno que vai do hub 2 para a região de nuvem privada 1 percorre os mesmos caminhos via ECMP. Configure todas as três conexões de alcance global. Você deve executar esta etapa para evitar problemas de conectividade entre sites do Global Reach.
Quando você habilita a intenção de roteamento para o tráfego da Internet, por padrão, o hub WAN virtual seguro não anuncia a rota padrão nos circuitos da Rota Expressa. Para ajudar a garantir que a rota padrão se propague para a Solução VMware do Azure a partir da WAN Virtual, você deve habilitar a propagação de rota padrão em seus circuitos de Rota Expressa da Solução VMware do Azure. Para obter mais informações, consulte Anunciar rota padrão 0.0.0.0/0 para pontos de extremidade.
Não habilite essa configuração para circuitos de Rota Expressa locais. A conexão D anuncia a rota padrão "∞ 0.0.0.0/0" para as nuvens privadas da Solução VMware do Azure, mas a rota padrão também anuncia para o local por meio da conexão A do Global Reach e da conexão B do Global Reach. Como resultado, recomendamos que você implemente um filtro BGP (Border Gateway Protocol) em seu equipamento local para excluir o aprendizado da rota padrão. Esta etapa ajuda a garantir que sua configuração não afete a conectividade local com a Internet.
Cada rede virtual sai para a internet através de seu firewall de hub regional local. Quando você habilita a intenção de roteamento para acesso à Internet, a rota padrão que o hub WAN virtual seguro gera anuncia automaticamente para as conexões de rede virtual emparelhadas pelo hub. Mas essa rota padrão não anuncia em hubs regionais no link interhub. Assim, as redes virtuais usam seu hub regional local para acesso à Internet e não têm conectividade de backup com a Internet para o hub inter-regional.