WAN Virtual Segura para a Solução VMware do Azure em uma única região ou em duas regiões
Este artigo explora as topologias e considerações de design de rede da Solução VMware do Azure para cenários de região única e região dupla que usam WAN Virtual do Azure segura com intenção de roteamento. Ele descreve como a intenção de roteamento direciona o tráfego por meio de uma solução de segurança centralizada. Este método aumenta a segurança e simplifica a gestão da rede. Este artigo fornece considerações de design para implantações com e sem o Azure ExpressRoute Global Reach. Destaca os benefícios e desafios de cada cenário.
Você pode implementar uma solução de segurança no hub WAN Virtual para converter o hub em um hub WAN Virtual seguro. Para configurar a intenção de roteamento, você deve ter um hub WAN virtual seguro. A intenção de roteamento direciona todo o tráfego privado e tráfego da Internet para a solução de segurança de hub, o que simplifica o roteamento de hub seguro e o design de segurança. A intenção de roteamento melhora a amplitude da segurança e realiza uma inspeção de tráfego para todo o tráfego que passa pelo hub seguro, incluindo o tráfego da Solução VMware do Azure.
Este artigo pressupõe que você tenha uma compreensão básica da WAN Virtual e da WAN Virtual segura com intenção de roteamento.
Para obter mais informações, consulte os seguintes recursos:
- O que é a WAN Virtual?
- O que é um hub virtual seguro?
- Configurar a intenção de roteamento e as políticas de roteamento do hub WAN Virtual
- Alcance Global do ExpressRoute
Implementar projetos de solução VMware de WAN virtual segura para Azure
Use a WAN Virtual segura com intenção de roteamento para enviar todo o tráfego da Internet e tráfego de rede privada (RFC 1918) para uma solução de segurança, como o Firewall do Azure, um dispositivo virtual de rede (NVA) que não seja da Microsoft ou uma solução de software como serviço (SaaS). Para dar suporte a designs de região única e de região dupla, use a Solução VMware do Azure junto com a WAN Virtual segura e a intenção de roteamento.
Design de região única
Use o design de região única para inspecionar o tráfego de rede dentro da solução de segurança de hub virtual que vai e volta da Solução VMware do Azure. Essa abordagem simplifica o gerenciamento de rede e melhora sua postura geral de segurança. Este design também prepara você se quiser implantar outra nuvem privada da Solução VMware do Azure em uma região diferente que tenha um design de região dupla. Habilite a intenção de roteamento em um único hub de região para ajudar a dimensionar para um design de região de hub duplo mais tarde. Este design suporta configurações com ou sem Global Reach.
Design de região dupla ou hub duplo
Use um design de região dupla para inspecionar o tráfego de rede em duas soluções de segurança de hub virtual. Inspecione o tráfego de e para a Solução VMware do Azure e inspecione o tráfego nas nuvens privadas da Solução VMware do Azure que estão em regiões diferentes. Habilite a intenção de roteamento em ambos os hubs regionais para que o tráfego possa passar por ambas as soluções de segurança de hub. Um design de região dupla com intenção de roteamento melhora a segurança e simplifica o gerenciamento de rede entre regiões. Este design suporta configurações com ou sem Global Reach.
Opções de implantação do Global Reach
Use o Global Reach para conectar a Solução VMware do Azure a nuvens privadas locais ou regionais da Solução VMware do Azure. O Global Reach estabelece uma ligação lógica direta através da espinha dorsal da Microsoft.
Implantação com alcance global
Quando você implanta o Alcance Global, o tráfego entre os sites do Alcance Global ignora o firewall seguro do hub WAN Virtual. O firewall seguro do hub WAN Virtual não inspeciona o tráfego do Global Reach que vai entre a Solução VMware do Azure e as nuvens privadas locais ou entre as nuvens privadas da Solução VMware do Azure em regiões diferentes.
Por exemplo, o diagrama a seguir mostra como o tráfego entre a Solução VMware do Azure e o local usa a conexão Global Reach rotulada como A para se comunicar. Esse tráfego não transita pelo firewall do hub devido à conexão A do Global Reach. Para uma segurança ideal entre sites do Global Reach, o NSX-T do ambiente da Solução VMware do Azure ou um firewall local deve inspecionar o tráfego.
O Global Reach simplifica o design porque fornece uma conexão lógica direta entre a Solução VMware do Azure e as nuvens privadas locais ou regionais da Solução VMware do Azure. Use o Global Reach para ajudar a solucionar problemas de tráfego entre sites do Global Reach e eliminar as limitações de taxa de transferência na WAN Virtual segura. Uma desvantagem é que o Global Reach impede que a solução de segurança de hub virtual seguro inspecione o tráfego entre as nuvens privadas regionais da Solução VMware do Azure e no local, e também dentro das próprias nuvens privadas da Solução VMware do Azure. Portanto, a solução de segurança do hub virtual seguro não pode inspecionar o tráfego que flui diretamente entre essas entidades.
Implantação sem alcance global
Recomendamos que você use consistentemente o Global Reach, a menos que tenha requisitos específicos. Quando não utiliza o Global Reach, pode inspecionar todo o tráfego na solução de segurança segura do hub WAN Virtual entre a Solução VMware do Azure e as nuvens privadas locais ou regionais da Solução VMware do Azure. Mas essa abordagem aumenta a complexidade do design. Considere também as limitações de taxa de transferência no hub WAN virtual seguro. Use o Global Reach, a menos que você tenha uma das seguintes limitações.
Você deve inspecionar o tráfego no hub de WAN Virtual entre a Solução VMware do Azure e local, e também nas nuvens privadas da Solução VMware do Azure. Não pode utilizar o Global Reach se tiver um requisito de segurança para inspecionar o tráfego entre a Solução VMware do Azure e o local ou entre nuvens privadas regionais da Solução VMware do Azure na firewall do hub virtual.
Uma região não suporta o Alcance Global. Se uma região não oferecer suporte ao Alcance Global, você poderá usar a intenção de roteamento para estabelecer conectividade entre conexões de Rota Expressa, seja entre a Solução VMware do Azure e no local ou entre nuvens privadas regionais da Solução VMware do Azure. Por padrão, os hubs virtuais não oferecem suporte à transitividade da Rota Expressa para a Rota Expressa. Para habilitar essa transitividade, você deve iniciar um tíquete de suporte. Para obter mais informações, consulte Disponibilidade do ExpressRoute Global Reach.
Sua instância de Rota Expressa local usa a SKU Local de Rota Expressa. O SKU Local da Rota Expressa não suporta o Alcance Global. Se você usar a SKU Local, poderá usar a intenção de roteamento para estabelecer conectividade entre a Solução VMware do Azure e sua rede local.
O diagrama a seguir mostra um exemplo que não usa o Alcance Global.
Considere as opções de alcance global para uma única região ou para duas regiões
Use as diretrizes a seguir para determinar se você precisa habilitar o Alcance Global para seu cenário.
Design de região única com alcance global
Quando você usa o Global Reach em uma única região, o hub seguro roteia todo o tráfego privado e tráfego da Internet por meio de uma solução de segurança, como o Firewall do Azure, um NVA que não seja da Microsoft ou uma solução SaaS. No diagrama a seguir, a intenção de roteamento inspeciona o tráfego, mas o tráfego de alcance global entre a Solução VMware do Azure e o local ignora o firewall do hub (conexão A). Portanto, você precisa inspecionar esse tráfego do Global Reach com o NSX-T na Solução VMware do Azure ou um firewall local para obter melhor segurança em todos os sites do Global Reach.
A tabela a seguir mostra o fluxo de tráfego de e para a Solução VMware do Azure.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Redes virtuais | Sim |
| Azure VMware Solution | → ← |
A Internet | Sim |
| Azure VMware Solution | → ← |
No local | Não |
A tabela a seguir mostra o fluxo de tráfego de e para redes virtuais.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Redes virtuais | → ← |
No local | Sim |
| Redes virtuais | → ← |
A Internet | Sim |
| Redes virtuais | → ← |
Redes virtuais | Sim |
Design de região única que não tem alcance global
Quando você não usa o Global Reach em uma única região, o hub seguro roteia todo o tráfego privado e tráfego da Internet por meio de uma solução de segurança. A intenção de roteamento inspeciona o tráfego. Com esse design, o tráfego entre a Solução VMware do Azure e o local transita pelo firewall do hub para inspeção. Os hubs virtuais não suportam a transitividade da Rota Expressa para a Rota Expressa por padrão. Para habilitar essa transitividade, você deve iniciar um tíquete de suporte. Depois que o tíquete de suporte é atendido, o hub seguro anuncia os endereços RFC 1918 padrão para a Solução VMware do Azure e para o local. Quando você usa a intenção de roteamento local, não pode anunciar os prefixos de endereço RFC 1918 padrão exatos (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) de volta ao Azure. Em vez disso, você deve sempre anunciar rotas mais específicas.
A tabela a seguir mostra o fluxo de tráfego de e para a Solução VMware do Azure.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Azure VMware Solution | → ← |
No local | Sim |
| Azure VMware Solution | → ← |
A Internet | Sim |
| Azure VMware Solution | → ← |
Redes virtuais | Sim |
A tabela a seguir mostra o fluxo de tráfego de e para redes virtuais.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Redes virtuais | → ← |
No local | Sim |
| Redes virtuais | → ← |
A Internet | Sim |
| Redes virtuais | → ← |
Redes virtuais | Sim |
Design de região dupla com alcance global
Ao usar o Alcance Global em duas regiões, você implanta dois hubs seguros em regiões diferentes dentro da WAN Virtual. Você também configura duas nuvens privadas do Azure VMware Solution em regiões separadas.
O diagrama a seguir mostra um exemplo dessa configuração. Cada nuvem privada regional da Solução VMware do Azure se conecta diretamente ao seu hub regional local (conexão D). O local se conecta a cada hub regional (conexão E). Todo o tráfego RFC 1918 e rotas de tráfego da Internet através de uma solução de segurança em ambos os hubs seguros via intenção de roteamento. As nuvens privadas da Solução VMware do Azure têm conectividade de volta ao local por meio do Global Reach (conexões A e B). As nuvens da Solução VMware do Azure ligam-se umas às outras através do Global Reach (ligação C). O tráfego de alcance global entre as nuvens privadas da Solução VMware do Azure ou entre as nuvens privadas da Solução VMware do Azure e no local ignora os dois firewalls de hub (conexões A, B e C). Para maior segurança em sites do Global Reach, use o NSX-T na Solução VMware do Azure ou um firewall local para inspecionar esse tráfego.
A tabela a seguir mostra o fluxo de tráfego de e para a região de nuvem privada 1 do Azure VMware Solution.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Azure VMware Solution região de nuvem privada 1 | → ← |
Rede virtual 1 | Sim, através do firewall do hub 1 |
| Azure VMware Solution região de nuvem privada 1 | → ← |
Rede virtual 2 | Sim, através dos firewalls hub 1 e hub 2 |
| Azure VMware Solution região de nuvem privada 1 | → ← |
A Internet | Sim, através do firewall do hub 1 |
| Azure VMware Solution região de nuvem privada 1 | → ← |
No local | Não |
A tabela a seguir mostra o fluxo de tráfego de e para a região de nuvem privada 2 do Azure VMware Solution.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Azure VMware Solution região de nuvem privada 2 | → ← |
Rede virtual 1 | Sim, através dos firewalls hub 1 e hub 2 |
| Azure VMware Solution região de nuvem privada 2 | → ← |
Rede virtual 2 | Sim, através do firewall do hub 2 |
| Azure VMware Solution região de nuvem privada 2 | → ← |
A Internet | Sim, através do firewall do hub 2 |
| Azure VMware Solution região de nuvem privada 2 | → ← |
No local | Não |
A tabela a seguir mostra o fluxo de tráfego de e para a região 1 e a região 2 da nuvem privada do Azure VMware Solution.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Azure VMware Solution região de nuvem privada 1 | → ← |
Azure VMware Solution região de nuvem privada 2 | Não |
A tabela a seguir mostra o fluxo de tráfego de e para redes virtuais.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Rede virtual 1 | → ← |
No local | Sim, através do firewall do hub 1 |
| Rede virtual 1 | → ← |
A Internet | Sim, através do firewall do hub 1 |
| Rede virtual 1 | → ← |
Rede virtual 2 | Sim, através dos firewalls hub 1 e hub 2 |
| Rede virtual 2 | → ← |
No local | Sim, através do firewall do hub 2 |
| Rede virtual 2 | → ← |
A Internet | Sim, através do firewall do hub 2 |
Design de região dupla que não tem alcance global
Ao usar o Alcance Global em duas regiões, você implanta dois hubs seguros em regiões diferentes dentro da WAN Virtual. Você também configura duas nuvens privadas do Azure VMware Solution em regiões separadas.
O diagrama a seguir mostra um exemplo dessa configuração. Cada nuvem privada regional da Solução VMware do Azure se conecta diretamente ao seu hub regional local (conexão D). O local se conecta a cada hub regional (conexão E). Todo o tráfego RFC 1918 e rotas de tráfego da Internet através de uma solução de segurança em ambos os hubs seguros via intenção de roteamento.
Os hubs virtuais não suportam a transitividade da Rota Expressa para a Rota Expressa por padrão. Para habilitar essa transitividade, você deve iniciar um tíquete de suporte. Depois que o tíquete de suporte é atendido, os hubs seguros anunciam os endereços RFC 1918 padrão para a Solução VMware do Azure e para o local. Faça referência a ambos os hubs regionais ao abrir o ticket. Use a transitividade do ExpressRoute para ExpressRoute para que as nuvens privadas da Solução VMware do Azure possam se comunicar entre si pelo interhub da WAN Virtual e a nuvem da Solução VMware do Azure possa se comunicar com o local.
Os endereços RFC 1918 são anunciados no local, você não pode anunciar os prefixos de endereço padrão exatos do RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) de volta ao Azure. Em vez disso, você deve sempre anunciar rotas mais específicas.
A tabela a seguir mostra o fluxo de tráfego de e para a região de nuvem privada 1 do Azure VMware Solution.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Azure VMware Solution região de nuvem privada 1 | → ← |
Rede virtual 1 | Sim, através do firewall do hub 1 |
| Azure VMware Solution região de nuvem privada 1 | → ← |
Rede virtual 2 | Sim, através dos firewalls hub 1 e hub 2 |
| Azure VMware Solution região de nuvem privada 1 | → ← |
A Internet | Sim, através do firewall do hub 1 |
| Azure VMware Solution região de nuvem privada 1 | → ← |
No local | Sim, através do firewall do hub 1 |
A tabela a seguir mostra o fluxo de tráfego de e para a região de nuvem privada 2 do Azure VMware Solution.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Azure VMware Solution região de nuvem privada 2 | → ← |
Rede virtual 1 | Sim, através do firewall do hub 2 |
| Azure VMware Solution região de nuvem privada 2 | → ← |
Rede virtual 2 | Sim, através dos firewalls hub 1 e hub 2 |
| Azure VMware Solution região de nuvem privada 2 | → ← |
A Internet | Sim, através do firewall do hub 2 |
| Azure VMware Solution região de nuvem privada 2 | → ← |
No local | Sim, através do firewall do hub 2 |
A tabela a seguir mostra o fluxo de tráfego de e para a região 1 e a região 2 da nuvem privada do Azure VMware Solution.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Azure VMware Solution região de nuvem privada 1 | → ← |
Azure VMware Solution região de nuvem privada 2 | Sim, através dos firewalls hub 1 e hub 2 |
A tabela a seguir mostra o fluxo de tráfego de e para redes virtuais.
| Localização 1 | Direção | Localização 2 | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| Rede virtual 1 | → ← |
No local | Sim, através do firewall do hub 1 |
| Rede virtual 1 | → ← |
A Internet | Sim, através do firewall do hub 1 |
| Rede virtual 1 | → ← |
Rede virtual 2 | Sim, através dos firewalls hub 1 e hub 2 |
| Rede virtual 2 | → ← |
No local | Sim, através do firewall do hub 2 |
| Rede virtual 2 | → ← |
A Internet | Sim, através do firewall do hub 2 |
Recursos relacionados
- Design de solução VMware do Azure de região única com WAN Virtual e alcance global
- Design da solução VMware do Azure de região única que não tem alcance global
- Design de solução VMware do Azure de região dupla com WAN Virtual e alcance global
- Design da solução VMware do Azure de região dupla que não tem alcance global