Usar um design de solução VMware do Azure de região dupla que não tenha alcance global
Este artigo descreve as práticas recomendadas para conectividade, fluxos de tráfego e alta disponibilidade quando você implanta a Solução VMware do Azure em duas regiões e usa a WAN Virtual do Azure segura com intenção de roteamento. Ele fornece orientação sobre como usar esse design sem alcance global. Este artigo descreve a WAN Virtual com topologia de intenção de roteamento para nuvens privadas da Solução VMware do Azure, sites locais e recursos nativos do Azure. A implementação e configuração de WAN virtual segura com intenção de roteamento estão além do escopo deste artigo.
Se você usar uma região que não ofereça suporte ao Alcance Global ou se tiver um requisito de segurança para inspecionar o tráfego entre a Solução VMware do Azure e o local no firewall do hub, deverá abrir um tíquete de suporte para habilitar a transitividade da Rota Expressa para a Rota Expressa. A WAN Virtual não oferece suporte à transitividade de Rota Expressa para Rota Expressa por padrão. Para obter mais informações, consulte Conectividade de trânsito entre circuitos de Rota Expressa com intenção de roteamento.
Use um design de WAN virtual seguro de duas regiões sem alcance global
Somente a SKU padrão da WAN Virtual suporta WAN virtual segura com intenção de roteamento. Use a WAN Virtual segura com intenção de roteamento para enviar todo o tráfego da Internet e tráfego de rede privada (RFC 1918) para uma solução de segurança, como o Firewall do Azure, um dispositivo virtual de rede (NVA) que não seja da Microsoft ou uma solução de software como serviço (SaaS).
O hub deste cenário tem a seguinte configuração:
A rede de duas regiões tem uma instância de WAN virtual e dois hubs. Cada região tem um hub.
Cada hub tem sua própria instância do Firewall do Azure implantada, o que os torna hubs WAN virtuais seguros.
Os hubs WAN virtuais seguros têm a intenção de roteamento habilitada.
Este cenário também tem estes componentes:
Cada região tem sua própria nuvem privada Azure VMware Solution e uma rede virtual do Azure.
Um site local se conecta a ambas as regiões.
Nota
Se você usar prefixos não RFC 1918 em seus recursos locais conectados, redes virtuais ou Solução VMware do Azure, especifique esses prefixos no campo Prefixos de tráfego privado do recurso de intenção de roteamento. Insira rotas resumidas no campo Prefixos de tráfego privado para cobrir seu intervalo. Não insira o intervalo exato que anuncia para a WAN Virtual porque essa especificação pode levar a problemas de roteamento. Por exemplo, se o circuito do Azure ExpressRoute anunciar 192.0.2.0/24 localmente, insira um intervalo /23 Classless Inter-Domain Routing (CIDR) ou maior, por exemplo, 192.0.2.0/23. Para obter mais informações, consulte Configurar a intenção de roteamento e as políticas por meio do portal da WAN Virtual.
Nota
Ao configurar a Solução VMware do Azure com hubs WAN virtuais seguros, defina a opção de preferência de roteamento de hub como Caminho AS para garantir resultados de roteamento ideais no hub. Para obter mais informações, consulte Preferências de roteamento de hub virtual.
O diagrama a seguir mostra um exemplo desse cenário.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Connection | Description |
|---|---|
| D | Conexão de nuvem privada da Solução VMware do Azure com seu hub regional local |
| E | Conectividade local via ExpressRoute para ambos os hubs regionais |
| Interhub | Conexão lógica interhub entre dois hubs implantados na mesma WAN Virtual |
Fluxos de tráfego de WAN virtual seguros em duas regiões
As seções a seguir descrevem os fluxos de tráfego e a conectividade para a Solução VMware do Azure, no local, nas redes virtuais do Azure e na Internet.
Conectividade de nuvem privada e fluxos de tráfego da Solução VMware do Azure
O diagrama a seguir mostra os fluxos de tráfego para ambas as nuvens privadas da Solução VMware do Azure.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Azure VMware Solution região de nuvem 1 | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 2 | Azure VMware Solution região de nuvem 1 | No local | Sim, através do firewall do hub 1 |
| 3 | Azure VMware Solution região de nuvem 1 | Rede virtual 2 | Sim, através do firewall do hub 1 e, em seguida, através do firewall do hub 2 |
| 4 | Azure VMware Solution região de nuvem 1 | Azure VMware Solution região de nuvem 2 | Sim, através do firewall do hub 1 e, em seguida, através do firewall do hub 2 |
| 5 | Azure VMware Solution região de nuvem 2 | Rede virtual 1 | Sim, através do firewall do hub 2 e, em seguida, através do firewall do hub 1 |
| 6 | Azure VMware Solution região de nuvem 2 | Rede virtual 2 | Sim, através do firewall do hub 2 |
| 7 | Azure VMware Solution região de nuvem 2 | No local | Sim, através do firewall do hub 2 |
Cada nuvem privada da Solução VMware do Azure se conecta ao hub por meio da conexão D da Rota Expressa.
Quando você habilita a transitividade da Rota Expressa para a Rota Expressa no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) para a Solução VMware do Azure pela conexão D. Além dos endereços RFC 1918 padrão, a Solução VMware do Azure aprende rotas mais específicas de redes virtuais e redes de filiais do Azure, como VPN S2S, VPN P2S e SD-WAN, que se conectam a ambos os hubs. Ambas as nuvens privadas da Solução VMware do Azure não aprendem rotas específicas de redes locais.
Para rotear o tráfego de volta para redes locais, a Solução VMware do Azure usa os endereços RFC 1918 padrão que ele aprende por meio da conexão D de seu hub regional local. Esse tráfego transita pelo firewall do hub regional local. O firewall do hub usa as rotas específicas para redes locais para rotear o tráfego para os destinos pela conexão E. O tráfego que vai da nuvem privada do Azure VMware Solution para redes virtuais transita pelo firewall do hub.
Conectividade local e fluxo de tráfego
O diagrama a seguir mostra os fluxos de tráfego para conectividade local.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 2 | No local | Azure VMware Solution região de nuvem 1 | Sim, através do firewall do hub 1 |
| 7 | No local | Azure VMware Solution região de nuvem 2 | Sim, através do firewall do hub 2 |
| 8 | No local | Rede virtual 1 | Sim, através do firewall do hub 1 |
| 9 | No local | Rede virtual 2 | Sim, através do firewall do hub 2 |
O site local se conecta a ambos os hubs por meio da conexão E da Rota Expressa.
Quando você habilita a transitividade de Rota Expressa para Rota Expressa em ambos os hubs seguros e habilita a intenção de roteamento, cada hub seguro envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) para o local pela conexão E. Além dos endereços RFC 1918 padrão, o local aprende rotas mais específicas de redes virtuais e redes de filiais do Azure, como VPN S2S, VPN P2S e SD-WAN, que se conectam a ambos os hubs.
O local não aprende as rotas específicas para as nuvens privadas do Azure VMware Solution. No local aprende os endereços RFC 1918 padrão de ambos os hubs por meio da conexão E. Roteias locais para ambas as nuvens privadas da Solução VMware do Azure por meio dos endereços RFC 1918 padrão que ele aprende na conexão E.
Nota
Você deve adicionar rotas específicas em ambos os hubs. Se você não adicionar rotas específicas nos hubs, poderá introduzir o roteamento subótimo porque o local usa o roteamento ECMP (equal-cost multi-path) entre as conexões E para o tráfego que vai para uma nuvem privada da Solução VMware do Azure. Como resultado, o tráfego entre a nuvem privada local e uma nuvem privada da Solução VMware do Azure pode enfrentar latência, problemas de desempenho ou quedas de pacotes.
Para anunciar uma rota mais específica até o local, especifique esses prefixos no campo Prefixos de tráfego privado do recurso de intenção de roteamento. Para obter mais informações, consulte Configurar a intenção de roteamento e as políticas por meio do portal da WAN Virtual. Você precisa adicionar uma rota resumida que englobe o bloco Azure VMware Solution /22 e as sub-redes da Solução VMware do Azure. Se você adicionar o mesmo prefixo exato ou um prefixo mais específico em vez de uma rota de resumo, introduzirá problemas de roteamento no ambiente do Azure. Inclua apenas rotas resumidas no campo Prefixos de tráfego privado.
Conforme ilustrado no diagrama, a nuvem privada 1 da Solução VMware do Azure inclui sub-redes de carga de trabalho de 10.10.0.0/24 a 10.10.7.0/24. No hub 1, a rota de resumo 10.10.0.0/21 é adicionada aos prefixos de tráfego privado porque engloba todas as oito sub-redes. Além disso, no hub 1, a rota de resumo 10.150.0.0/22 é adicionada aos prefixos de tráfego privado para cobrir o bloco de gerenciamento da Solução VMware do Azure. As rotas de resumo 10.10.0.0/21 e 10.150.0.0/22 são anunciadas para o local através da conexão E , de modo que o local tenha uma rota mais específica em vez de 10.0.0.0/8.
A nuvem privada do Azure VMware Solution 2 inclui sub-redes de carga de trabalho de 10.20.0.0/24 a 10.20.7.0/24. No hub 2, a rota de resumo 10.20.0.0/21 é adicionada aos prefixos de tráfego privado porque engloba todas as oito sub-redes. Além disso, no hub 2, a rota de resumo 10.250.0.0/22 é adicionada aos prefixos de tráfego privado para cobrir o bloco de gerenciamento da Solução VMware do Azure. As rotas de resumo 10.20.0.0/21 e 10.250.0.0/22 anunciam para o local através da conexão E , de modo que o local tenha uma rota mais específica em vez de 10.0.0.0/8.
Você pode adicionar todo o bloco de gerenciamento de solução VMware do Azure /22 no campo Prefixos de tráfego privado porque a Solução VMware do Azure não anuncia o bloco /22 exato de volta ao Azure. A Solução VMware do Azure anuncia rotas mais específicas.
Quando você habilita a transitividade de Rota Expressa para Rota Expressa no hub, ele envia os endereços RFC 1918 padrão para sua rede local. Não anuncie os prefixos RFC 1918 exatos de volta ao Azure. As mesmas rotas exatas podem criar problemas de roteamento no Azure. Em vez disso, você deve anunciar rotas mais específicas de volta ao Azure para suas redes locais.
Nota
Se você anunciar os endereços RFC 1918 padrão do local para o Azure e quiser continuar essa prática, precisará dividir cada intervalo RFC 1918 em dois subintervalos iguais e anunciar esses subintervalos de volta para o Azure. Os subintervalos são 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 e 192.168.128.0/17.
Conectividade de rede virtual do Azure e fluxo de tráfego
O diagrama a seguir mostra fluxos de tráfego para redes virtuais do Azure.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Rede virtual 1 | Azure VMware Solution região de nuvem 1 | Sim, através do firewall do hub 1 |
| 3 | Rede virtual 2 | Azure VMware Solution região de nuvem 1 | Sim, através do firewall do hub 2 e, em seguida, do firewall do hub 1 |
| 5 | Rede virtual 1 | Azure VMware Solution região de nuvem 2 | Sim, através do firewall do hub 1 e depois do firewall do hub 2 |
| 6 | Rede virtual 2 | Azure VMware Solution região de nuvem 2 | Sim, através do firewall do hub 2 |
| 8 | Rede virtual 1 | No local | Sim, através do firewall do hub 1 |
| 9 | Rede virtual 2 | No local | Sim, através do firewall do hub 2 |
| 10 | Rede virtual 1 | Rede virtual 2 | Sim, através do firewall do hub 1 e, em seguida, do firewall do hub 2 |
| 10 | Rede virtual 2 | Rede virtual 1 | Sim, através do firewall do hub 2 e, em seguida, do firewall do hub 1 |
Cada rede virtual faz par direto ao seu hub regional.
O diagrama mostra como todos os recursos nativos do Azure em ambas as redes virtuais aprendem suas rotas efetivas. Quando você habilita a intenção de roteamento, o hub 1 e o hub 2 enviam os endereços RFC 1918 padrão para suas redes virtuais emparelhadas. Os recursos nativos do Azure nas redes virtuais não aprendem rotas específicas de fora de sua rede virtual.
Quando você habilita a intenção de roteamento, todos os recursos na rede virtual aprendem o endereço RFC 1918 padrão e usam seu firewall de hub regional como o próximo salto. As nuvens privadas da Solução VMware do Azure comunicam entre si através da ligação D através da firewall do hub regional local. A partir daí, eles atravessam o interhub da WAN Virtual e passam por inspeção no firewall do hub inter-regional. As nuvens privadas da Solução VMware do Azure também se comunicam com o local por meio da conexão D por meio do firewall do hub regional local. Todo o tráfego que entra e sai das redes virtuais transita por seus firewalls de hub regionais.
Ligação à Internet
Esta seção descreve como fornecer conectividade com a Internet para recursos nativos do Azure em redes virtuais e nuvens privadas da Solução VMware do Azure em ambas as regiões. Para obter mais informações, consulte Considerações sobre design de conectividade com a Internet. Você pode usar as seguintes opções para fornecer conectividade com a Internet para a Solução VMware do Azure.
- Opção 1: Serviço de Internet hospedado no Azure
- Opção 2: SNAT (Tradução de Endereço de Rede de Origem) gerenciada pela Solução VMware do Azure.
- Opção 3: Endereço IPv4 público do Azure para a borda do Data Center NSX-T
Um design de WAN virtual de região dupla com intenção de roteamento suporta todas as opções, mas recomendamos a opção 1. O cenário mais adiante neste artigo usa a opção 1 para fornecer conectividade com a Internet. A opção 1 funciona melhor com a WAN Virtual segura porque é fácil de inspecionar, implantar e gerenciar.
Quando você habilita a intenção de roteamento em ambos os hubs seguros, ele anuncia o RFC 1918 para redes virtuais emparelhadas diretamente. Mas você também pode anunciar uma rota padrão 0.0.0.0/0 para conectividade com a Internet para recursos a jusante. Ao habilitar a intenção de roteamento, você pode gerar uma rota padrão a partir de ambos os firewalls de hub. Essa rota padrão anuncia para suas redes virtuais diretamente emparelhadas e para sua Solução VMware do Azure diretamente conectada.
Solução VMware do Azure e conectividade de rede virtual com a Internet
O diagrama a seguir mostra os fluxos de tráfego para nuvens privadas e redes virtuais da Solução VMware do Azure.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 11 | Azure VMware Solution região de nuvem 1 | A Internet | Sim, através do firewall do hub 1 |
| 12 | Rede virtual 2 | A Internet | Sim, através do firewall do hub 2 |
| 13 | Rede virtual 1 | A Internet | Sim, através do firewall do hub 1 |
| 14 | Azure VMware Solution região de nuvem 2 | A Internet | Sim, através do firewall do hub 2 |
Quando você habilita a intenção de roteamento para o tráfego da Internet, por padrão, o hub WAN virtual seguro não anuncia a rota padrão nos circuitos da Rota Expressa. Para ajudar a garantir que a rota padrão se propague para sua Solução VMware do Azure diretamente conectada a partir da WAN Virtual, você deve habilitar a propagação de rota padrão em seus circuitos de Rota Expressa da Solução VMware do Azure. Para obter mais informações, consulte Anunciar rota padrão 0.0.0.0/0 para pontos de extremidade.
Depois de habilitar a propagação de rota padrão, a conexão D anuncia a rota padrão 0.0.0.0/0 do hub. Não habilite essa configuração para circuitos de Rota Expressa locais. Recomendamos que você implemente um filtro BGP (Border Gateway Protocol) em seu equipamento local para excluir o aprendizado da rota padrão. Um filtro BGP adiciona uma camada extra de proteção e ajuda a garantir que sua configuração não afete a conectividade local com a Internet.
Quando você habilita a intenção de roteamento para acesso à Internet, ambos os hubs regionais geram uma rota padrão e a anunciam para suas conexões de rede virtual emparelhadas por hub. Observe que nas placas de interface de rede (NICs) das máquinas virtuais na rede virtual, o próximo salto 0.0.0.0/0 é o firewall do hub. Para encontrar o próximo salto, selecione Rotas efetivas na NIC. A rota padrão não anuncia em hubs regionais no link interhub. Portanto, as redes virtuais usam seu hub regional local para acesso à Internet e não têm conectividade de backup com a Internet para o hub inter-regional.
Resiliência de acesso à Internet para a solução VMware do Azure
Quando você não usa o Global Reach em um design de região dupla, a conectividade de saída com a Internet não tem redundância porque cada nuvem privada da Solução VMware do Azure aprende a rota padrão de seu hub regional local e não está diretamente conectada ao seu hub inter-regional. Se uma interrupção regional afetar o hub regional local, use uma das seguintes configurações manuais para obter redundância da Internet.
Opção 1
Use esta opção apenas para acesso de saída à Internet. Durante uma interrupção regional local, se você precisar de acesso de saída à Internet para sua carga de trabalho da Solução VMware do Azure, use o SNAT gerenciado pela Solução VMware do Azure. Esta solução proporciona um acesso simples e rápido. Para obter mais informações, consulte Ativar SNAT gerenciado para cargas de trabalho do Azure VMware Solution.
Opção 2
Use esta opção para acesso à Internet de entrada e saída. Durante uma interrupção regional local, se você precisar de acesso à Internet de entrada e saída para sua nuvem do Azure VMware Solution, use o seguinte método.
Remova a conexão que vai da Solução VMware do Azure para seu hub regional local (conexão D nos diagramas).
No portal do Azure, selecione Azure VMware Solution e remova a chave de autorização que você criou para a conexão D.
Crie uma nova conexão com o hub interregional.
Para lidar com o tráfego de entrada, considere usar o Azure Front Door ou o Azure Traffic Manager para manter a alta disponibilidade regional.
Use o VMware HCX Mobility Optimized Networking (MON) sem alcance global
Você pode habilitar o HCX Mobility Optimized Networking (MON) ao usar a HCX Network Extension. O MON fornece roteamento de tráfego ideal em determinados cenários para evitar que as redes se sobreponham ou façam looping entre os recursos locais e baseados na nuvem em redes estendidas.
Tráfego de saída da Solução VMware do Azure
Quando você habilita o MON para uma rede estendida específica e uma máquina virtual, o fluxo de tráfego muda. Depois de implementar o MON, o tráfego de saída da máquina virtual não volta para o local. Em vez disso, ele ignora o túnel IPSec de extensão de rede. O tráfego da máquina virtual sai do gateway de camada 1 do Azure VMware Solution NSX-T, vai para o gateway NSX-T Tier-0 e, em seguida, vai para a WAN Virtual.
Ingressar tráfego na solução VMware do Azure
Ao habilitar o MON para uma rede estendida específica e uma máquina virtual, você introduz as seguintes alterações. A partir do Azure VMware Solution NSX-T, MON injeta uma rota de host /32 de volta para a WAN Virtual. A WAN virtual anuncia essa rota /32 de volta para redes locais, virtuais e filiais. Essa rota de host /32 garante que o tráfego de redes locais, virtuais e de filiais não use o túnel IPSec de extensão de rede quando o tráfego vai para a máquina virtual habilitada para MON. O tráfego das redes de origem vai direto para a máquina virtual habilitada para MON porque ela aprende a rota /32.
Limitação de MON HCX para WAN virtual segura sem alcance global
Quando você habilita a transitividade da Rota Expressa para a Rota Expressa no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão para a Solução VMware local e do Azure. Além dos endereços RFC 1918 padrão, tanto no local quanto na Solução VMware do Azure aprendem rotas mais específicas de redes virtuais do Azure e redes de filiais que se conectam ao hub.
Mas as redes locais não aprendem rotas específicas da Solução VMware do Azure e a Solução VMware do Azure não aprende rotas específicas de redes locais. Em vez disso, ambos os ambientes dependem dos endereços RFC 1918 padrão para facilitar o roteamento de volta um para o outro através do firewall do hub. Portanto, rotas mais específicas, como rotas de host MON, não anunciam da Rota Expressa da Solução VMware do Azure para o circuito de Rota Expressa local. O inverso também é verdade. A incapacidade de aprender rotas específicas introduz fluxos de tráfego assimétricos. O tráfego sai da Solução VMware do Azure por meio do gateway NSX-T Tier-0, mas o tráfego retornado do local retorna pelo túnel IPSec de extensão de rede.
Corrigir a assimetria de tráfego
Para corrigir a assimetria de tráfego, você precisa ajustar as rotas da política MON. As rotas de política MON determinam qual tráfego retorna ao gateway local por meio de uma extensão L2. Eles também decidem qual tráfego passa pelo gateway de nível 0 do Azure VMware Solution NSX.
Se um IP de destino corresponder e você defini-lo para permitir na configuração da diretiva MON, duas ações ocorrerão. Primeiro, o sistema identifica o pacote. Em segundo lugar, o sistema envia o pacote para o gateway local por meio do dispositivo de extensão de rede.
Se um IP de destino não corresponder ou você defini-lo para negar na política MON, o sistema enviará o pacote para o gateway de camada 0 da solução VMware do Azure para roteamento.
A tabela a seguir descreve as rotas de política HCX.
| Rede | Redirecionar para peer | Nota |
|---|---|---|
| Espaço de endereço de rede virtual do Azure | Negar | Inclua explicitamente os intervalos de endereços para todas as suas redes virtuais. O tráfego destinado ao Azure direciona a saída por meio da Solução VMware do Azure e não retorna à rede local. |
| Espaços de endereço RFC 1918 padrão | Permitir | Adicione os endereços RFC 1918 padrão. Essa configuração garante que qualquer tráfego que não corresponda aos critérios anteriores seja redirecionado de volta para a rede local. Se sua configuração local usa endereços que não fazem parte do RFC 1918, você deve incluir explicitamente esses intervalos. |
| 0.0.0.0/0 espaço de endereço | Negar | Os endereços que o RFC 1918 não cobre, como IPs roteáveis pela Internet ou tráfego que não corresponde às entradas especificadas, saem diretamente pela Solução VMware do Azure e não redirecionam de volta para a rede local. |