Usar um design de solução VMware do Azure de região única que não tenha alcance global
Este artigo descreve as práticas recomendadas para a Solução VMware do Azure em uma única região quando você usa a WAN Virtual do Azure segura com intenção de roteamento. Ele fornece recomendações de conectividade e fluxo de tráfego para WAN Virtual segura com intenção de roteamento. Este artigo descreve a topologia para designs em nuvens privadas da Solução VMware do Azure, sites locais e recursos nativos do Azure quando você não usa o Azure ExpressRoute Global Reach. A implementação e configuração de WAN virtual segura com intenção de roteamento estão além do escopo deste artigo.
Se você usar uma região que não ofereça suporte ao Alcance Global ou se tiver um requisito de segurança para inspecionar o tráfego entre a Solução VMware do Azure e o local no firewall do hub, deverá abrir um tíquete de suporte para habilitar a transitividade da Rota Expressa para a Rota Expressa. A WAN Virtual não oferece suporte à transitividade de Rota Expressa para Rota Expressa por padrão. Para obter mais informações, consulte Conectividade de trânsito entre circuitos de Rota Expressa com intenção de roteamento.
Use WAN virtual segura sem alcance global
Somente a SKU padrão da WAN Virtual suporta WAN virtual segura com intenção de roteamento. Use a WAN Virtual segura com intenção de roteamento para enviar todo o tráfego da Internet e tráfego de rede privada (RFC 1918) para uma solução de segurança, como o Firewall do Azure, um dispositivo virtual de rede (NVA) que não seja da Microsoft ou uma solução de software como serviço (SaaS).
O hub deste cenário tem a seguinte configuração:
A rede de região única tem uma instância de WAN virtual e um hub.
O hub tem uma instância do Firewall do Azure implantada, o que o torna um hub WAN Virtual seguro.
O hub WAN virtual seguro tem a intenção de roteamento habilitada.
Este cenário também tem estes componentes:
Uma única região tem sua própria nuvem privada Azure VMware Solution e uma rede virtual do Azure.
Um site local se conecta novamente ao hub.
Nota
Se você usar prefixos não RFC 1918 em seus recursos locais conectados, redes virtuais ou Solução VMware do Azure, especifique esses prefixos no campo Prefixos de tráfego privado do recurso de intenção de roteamento. Insira rotas resumidas no campo Prefixos de tráfego privado para cobrir seu intervalo. Não insira o intervalo exato que anuncia para a WAN Virtual porque essa especificação pode levar a problemas de roteamento. Por exemplo, se o circuito ExpressRoute anunciar 192.0.2.0/24 localmente, insira um intervalo /23 Classless Inter-Domain Routing (CIDR) ou maior, por exemplo 192.0.2.0/23. Para obter mais informações, consulte Configurar a intenção de roteamento e as políticas por meio do portal da WAN Virtual.
Nota
Ao configurar a Solução VMware do Azure com hubs WAN virtuais seguros, defina a opção de preferência de roteamento de hub como Caminho AS para garantir resultados de roteamento ideais no hub. Para obter mais informações, consulte Preferências de roteamento de hub virtual.
O diagrama a seguir mostra um exemplo desse cenário.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Connection | Description |
|---|---|
| D | Conexão ExpressRoute gerenciada pela nuvem privada da Solução VMware do Azure com o hub |
| E | Conexão de Rota Expressa local com o hub |
Fluxos de tráfego para WAN virtual de região única sem alcance global
As seções a seguir descrevem os fluxos de tráfego e a conectividade para a Solução VMware do Azure, no local, nas redes virtuais do Azure e na Internet.
Conectividade de nuvem privada e fluxos de tráfego da Solução VMware do Azure
O diagrama a seguir mostra fluxos de tráfego para uma nuvem privada do Azure VMware Solution.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Azure VMware Solution nuvem | Rede virtual | Sim |
| 2 | Azure VMware Solution nuvem | No local | Sim |
A nuvem privada da Solução VMware do Azure tem uma conexão ExpressRoute com o hub (conexão D).
Quando você habilita a transitividade da Rota Expressa para a Rota Expressa no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) para a Solução VMware do Azure pela conexão D. Além dos endereços RFC 1918 padrão, a Solução VMware do Azure aprende rotas mais específicas de redes virtuais e redes de filiais do Azure, como VPN S2S, VPN P2S e SD-WAN, que se conectam ao hub. A Solução VMware do Azure não aprende rotas específicas de redes locais. Para rotear o tráfego de volta para redes locais, a Solução VMware do Azure usa os endereços RFC 1918 padrão que ele aprende com a conexão D. Esse tráfego transita pelo firewall do hub. O firewall do hub usa as rotas específicas para redes locais para rotear o tráfego para os destinos pela conexão E. O tráfego que vai da Solução VMware do Azure para redes virtuais transita pelo firewall do hub.
Conectividade local e fluxo de tráfego
O diagrama a seguir mostra os fluxos de tráfego para conectividade local.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 3 | No local | Azure VMware Solution nuvem | Sim |
| 4 | No local | Rede virtual | Sim |
O site local se conecta ao hub por meio da conexão E da Rota Expressa.
Quando você habilita a transitividade da Rota Expressa para a Rota Expressa no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão para o local pela conexão E. Além dos endereços RFC 1918 padrão, o local aprende rotas mais específicas de redes virtuais do Azure e redes de filiais que se conectam ao hub. O local não aprende rotas específicas das redes da Solução VMware do Azure. Para rotear o tráfego de volta para as redes da Solução VMware do Azure, a Solução VMware do Azure usa os endereços RFC 1918 padrão que ele aprende com a conexão E. Esse tráfego transita pelo firewall do hub. O firewall do hub usa as rotas específicas para redes VMware Solution do Azure para rotear o tráfego para os destinos pela conexão D. O tráfego que passa de redes locais para redes virtuais transita pelo firewall do hub.
Quando você habilita a transitividade de Rota Expressa para Rota Expressa no hub, ele envia os endereços RFC 1918 padrão para sua rede local. Portanto, você não deve anunciar os prefixos RFC 1918 exatos de volta ao Azure. Anunciar as mesmas rotas exatas cria problemas de roteamento no Azure. Em vez disso, você deve anunciar rotas mais específicas de volta ao Azure para suas redes locais.
Nota
Se você anunciar os endereços RFC 1918 padrão do local para o Azure e quiser continuar essa prática, precisará dividir cada intervalo RFC 1918 em dois subintervalos iguais e anunciar esses subintervalos de volta para o Azure. Os subintervalos são 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 e 192.168.128.0/17.
Conectividade de rede virtual do Azure e fluxo de tráfego
O diagrama a seguir mostra fluxos de tráfego para a conectividade de rede virtual do Azure.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 5 | Rede virtual | Azure VMware Solution nuvem | Sim |
| 6 | Rede virtual | No local | Sim |
Nesse cenário, a rede virtual emparelha diretamente para o hub. O diagrama mostra como os recursos nativos do Azure na rede virtual aprendem suas rotas. Um hub seguro com intenção de roteamento habilitada envia os endereços RFC 1918 padrão para redes virtuais emparelhadas. Os recursos nativos do Azure na rede virtual não aprendem rotas específicas de fora da rede virtual. Quando você habilita a intenção de roteamento, todos os recursos na rede virtual possuem o endereço RFC 1918 padrão e usam o firewall do hub como o próximo salto. Todo o tráfego que entra e sai das redes virtuais transita pelo firewall do hub.
Ligação à Internet
Esta seção descreve como fornecer conectividade com a Internet para recursos nativos do Azure em redes virtuais e nuvens privadas da Solução VMware do Azure em uma única região. Para obter mais informações, consulte Considerações sobre design de conectividade com a Internet. Você pode usar as seguintes opções para fornecer conectividade com a Internet para a Solução VMware do Azure.
- Opção 1: Serviço de Internet hospedado no Azure
- Opção 2: SNAT (Tradução de Endereço de Rede de Origem) gerenciada pela Solução VMware do Azure.
- Opção 3: Endereço IPv4 público do Azure para a borda do Data Center NSX-T
Um design de WAN virtual seguro de região única com intenção de roteamento suporta todas as opções, mas recomendamos a opção 1. O cenário mais adiante neste artigo usa a opção 1 para fornecer conectividade com a Internet. A opção 1 funciona melhor com a WAN Virtual segura porque é fácil de inspecionar, implantar e gerenciar.
Quando você habilita a intenção de roteamento no hub seguro, ele anuncia o RFC 1918 para todas as redes virtuais emparelhadas. Mas você também pode anunciar uma rota padrão 0.0.0.0/0 para conectividade com a Internet para recursos a jusante. Ao usar a intenção de roteamento, você pode gerar uma rota padrão a partir do firewall do hub. Essa rota padrão anuncia para sua rede virtual e para a Solução VMware do Azure.
Solução VMware do Azure e conectividade de rede virtual com a Internet
Quando você habilita a intenção de roteamento para o tráfego da Internet, por padrão, o hub WAN virtual seguro não anuncia a rota padrão nos circuitos da Rota Expressa. Para ajudar a garantir que a rota padrão se propague para a Solução VMware do Azure a partir da WAN Virtual, você deve habilitar a propagação de rota padrão em seus circuitos de Rota Expressa da Solução VMware do Azure. Para obter mais informações, consulte Anunciar rota padrão 0.0.0.0/0 para pontos de extremidade.
O diagrama a seguir mostra os fluxos de tráfego para a rede virtual e a conectividade com a Internet da Solução VMware do Azure.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 7 | Rede virtual | A Internet | Sim |
| 8 | Azure VMware Solution nuvem | A Internet | Sim |
Depois de habilitar a propagação de rota padrão, a conexão D anuncia a rota padrão 0.0.0.0/0 do hub. Não habilite essa configuração para circuitos de Rota Expressa locais. Recomendamos que você implemente um filtro BGP (Border Gateway Protocol) em seu equipamento local. Um filtro BGP impede que os recursos aprendam inadvertidamente a rota padrão, adiciona uma camada extra de precaução e ajuda a garantir que sua configuração não afete a conectividade local com a Internet.
Quando você habilita a intenção de roteamento para acesso à Internet, a rota padrão gerada a partir do hub WAN virtual seguro anuncia automaticamente para as conexões de rede virtual emparelhadas por hub. Observe que nas NICs das máquinas virtuais na rede virtual, o próximo salto 0.0.0.0/0 é o firewall do hub. Para encontrar o próximo salto, selecione Rotas efetivas na NIC.
Use o VMware HCX Mobility Optimized Networking (MON) sem alcance global
Você pode habilitar o HCX Mobility Optimized Networking (MON) ao usar a HCX Network Extension. O MON fornece roteamento de tráfego ideal em determinados cenários para evitar que as redes se sobreponham ou façam looping entre os recursos locais e baseados na nuvem em redes estendidas.
Tráfego de saída da Solução VMware do Azure
Quando você habilita o MON para uma rede estendida específica e uma máquina virtual, o fluxo de tráfego muda. Depois de implementar o MON, o tráfego de saída da máquina virtual não volta para o local. Em vez disso, ele ignora o túnel IPSec de extensão de rede. O tráfego da máquina virtual sai do gateway de camada 1 do Azure VMware Solution NSX-T, vai para o gateway NSX-T Tier-0 e, em seguida, vai para a WAN Virtual.
Ingressar tráfego na solução VMware do Azure
Ao habilitar o MON para uma rede estendida específica e uma máquina virtual, você introduz as seguintes alterações. A partir do Azure VMware Solution NSX-T, MON injeta uma rota de host /32 de volta para a WAN Virtual. A WAN virtual anuncia essa rota /32 de volta para redes locais, virtuais e filiais. Essa rota de host /32 garante que o tráfego de redes locais, virtuais e de filiais não use o túnel IPSec de extensão de rede quando o tráfego vai para a máquina virtual habilitada para MON. O tráfego das redes de origem vai direto para a máquina virtual habilitada para MON porque ela aprende a rota /32.
Limitação de MON HCX para WAN virtual segura sem alcance global
Quando você habilita a transitividade da Rota Expressa para a Rota Expressa no hub seguro e habilita a intenção de roteamento, o hub seguro envia os endereços RFC 1918 padrão para a Solução VMware local e do Azure. Além dos endereços RFC 1918 padrão, tanto no local quanto na Solução VMware do Azure aprendem rotas mais específicas de redes virtuais do Azure e redes de filiais que se conectam ao hub.
Mas as redes locais não aprendem rotas específicas da Solução VMware do Azure e a Solução VMware do Azure não aprende rotas específicas de redes locais. Em vez disso, ambos os ambientes dependem dos endereços RFC 1918 padrão para facilitar o roteamento de volta um para o outro através do firewall do hub. Portanto, rotas mais específicas, como rotas de host MON, não anunciam da Rota Expressa da Solução VMware do Azure para o circuito de Rota Expressa local. O inverso também é verdade. A incapacidade de aprender rotas específicas introduz fluxos de tráfego assimétricos. O tráfego sai da Solução VMware do Azure por meio do gateway NSX-T Tier-0, mas o tráfego retornado do local retorna pelo túnel IPSec de extensão de rede.
Corrigir a assimetria de tráfego
Para corrigir a assimetria de tráfego, você precisa ajustar as rotas da política MON. As rotas de política MON determinam qual tráfego retorna ao gateway local por meio de uma extensão L2. Eles também decidem qual tráfego passa pelo gateway de nível 0 do Azure VMware Solution NSX.
Se um IP de destino corresponder e você defini-lo para permitir na configuração da diretiva MON, duas ações ocorrerão. Primeiro, o sistema identifica o pacote. Em segundo lugar, o sistema envia o pacote para o gateway local por meio do dispositivo de extensão de rede.
Se um IP de destino não corresponder ou você defini-lo para negar na política MON, o sistema enviará o pacote para o gateway de camada 0 da solução VMware do Azure para roteamento.
A tabela a seguir descreve as rotas de política HCX.
| Rede | Redirecionar para peer | Nota |
|---|---|---|
| Espaço de endereço de rede virtual do Azure | Negar | Inclua explicitamente os intervalos de endereços para todas as suas redes virtuais. O tráfego destinado ao Azure direciona a saída por meio da Solução VMware do Azure e não retorna à rede local. |
| Espaços de endereço RFC 1918 padrão | Permitir | Adicione os endereços RFC 1918 padrão. Essa configuração garante que qualquer tráfego que não corresponda aos critérios anteriores seja redirecionado de volta para a rede local. Se sua configuração local usa endereços que não fazem parte do RFC 1918, você deve incluir explicitamente esses intervalos. |
| 0.0.0.0/0 espaço de endereço | Negar | Os endereços que o RFC 1918 não cobre, como IPs roteáveis pela Internet ou tráfego que não corresponde às entradas especificadas, saem diretamente pela Solução VMware do Azure e não redirecionam de volta para a rede local. |