Используйте двухрегиональное Решение Azure VMware проектирование с Виртуальная глобальная сеть и global Reach
В этой статье описаны рекомендации по подключению, потокам трафика и высокой доступности при развертывании Решение Azure VMware в двух регионах. Он предоставляет рекомендации по защите Azure Виртуальная глобальная сеть с намерением маршрутизации и Azure ExpressRoute Global Reach. В этой статье описывается Виртуальная глобальная сеть топология намерений маршрутизации для Решение Azure VMware частных облаков, локальных сайтов и собственных ресурсов Azure.
Реализация и настройка безопасных Виртуальная глобальная сеть с намерением маршрутизации выходит за рамки этой статьи. В этой статье предполагается, что у вас есть базовое представление о Виртуальная глобальная сеть и безопасном Виртуальная глобальная сеть с намерением маршрутизации.
Использование безопасных Виртуальная глобальная сеть и Global Reach в двух регионах
Только номер SKU уровня "стандартный" Виртуальная глобальная сеть поддерживает безопасные Виртуальная глобальная сеть с намерением маршрутизации. Используйте безопасные Виртуальная глобальная сеть с намерением маршрутизации для отправки всего интернет-трафика и частного сетевого трафика в решение безопасности, например Брандмауэр Azure, виртуального устройства, отличного от Майкрософт (NVA), или программного обеспечения как услуги (SaaS). Если вы используете намерение маршрутизации, необходимо иметь безопасный центр Виртуальная глобальная сеть.
Центр этого сценария имеет следующую конфигурацию:
Сеть с двумя регионами имеет один Виртуальная глобальная сеть и два концентратора. Каждый регион имеет один концентратор.
Каждый концентратор имеет собственный экземпляр Брандмауэр Azure, что делает их безопасными Виртуальная глобальная сеть концентраторов.
Безопасные Виртуальная глобальная сеть концентраторы имеют намерение маршрутизации.
Этот сценарий также содержит следующие компоненты:
Каждый регион имеет собственный Решение Azure VMware частное облако и виртуальную сеть Azure.
Локальный сайт подключается к обоим регионам.
Среда имеет подключение Global Reach.
Global Reach устанавливает прямую логическую связь через магистраль Майкрософт, которая подключает Решение Azure VMware к локальным или региональным Решение Azure VMware частным облакам.
Глобальные подключения Reach не переносит брандмауэры концентратора. Поэтому глобальный трафик Reach между сайтами не проверяется.
Примечание.
Чтобы повысить безопасность между сайтами Global Reach, рассмотрите возможность проверки трафика в Решение Azure VMware среде NSX-T или локального брандмауэра.
На следующей схеме показан пример этого сценария.
В следующей таблице описывается подключение топологии на предыдущей схеме.
| Connection | Description |
|---|---|
| а | Решение Azure VMware регионе 1 Global Reach подключение обратно к локальной среде |
| Б | подключение Решение Azure VMware регионе 2 Global Reach обратно к локальной среде |
| C | Решение Azure VMware подключение Global Reach между двумя управляемыми каналами частных облаков |
| D | Решение Azure VMware подключение частного облака к локальному региональному концентратору |
| E | Локальное подключение через ExpressRoute к обоим региональным центрам |
| Interhub | Логическое подключение между двумя центрами, развернутыми в одном Виртуальная глобальная сеть |
Примечание.
При настройке Решение Azure VMware с безопасными центрами Виртуальная глобальная сеть задайте параметр предпочтения маршрутизации концентратора в качестве пути AS, чтобы обеспечить оптимальные результаты маршрутизации в концентраторе. Дополнительные сведения см. в разделе "Параметры маршрутизации виртуального концентратора".
Потоки трафика с двумя регионами, защищенными Виртуальная глобальная сеть
В следующих разделах описаны потоки трафика и подключение для Решение Azure VMware, локальных, виртуальных сетей Azure и Интернета при использовании Global Reach.
Решение Azure VMware подключений между регионами и потоками трафика частного облака
На следующей схеме показаны потоки трафика для двух Решение Azure VMware частных облаков в двух регионах.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 1 | Решение Azure VMware облачном регионе 1 | Виртуальная сеть 1 | Да, через брандмауэр концентратора 1 |
| 2 | Решение Azure VMware облачном регионе 1 | Локально | Нет, трафик проходит брандмауэр и передает подключение Global Reach A |
| 3 | Решение Azure VMware облачном регионе 1 | Виртуальная сеть 2 | Да, через брандмауэр концентратора 2 |
| 4 | Решение Azure VMware облачном регионе 1 | Решение Azure VMware облачный регион 2 | Нет, трафик проходит брандмауэр и передает подключение Global Reach C |
| 5 | Решение Azure VMware облачный регион 2 | Виртуальная сеть 1 | Да, через брандмауэр концентратора 1 |
| 6 | Решение Azure VMware облачный регион 2 | Виртуальная сеть 2 | Да, через брандмауэр концентратора 2 |
| 7 | Решение Azure VMware облачный регион 2 | Локально | Нет, трафик проходит брандмауэр и передает подключение Global Reach B |
Каждое Решение Azure VMware частное облако подключается к локальному региональному концентратору через подключение ExpressRoute D.
Каждый Решение Azure VMware облачный регион подключается к локальной сети через ExpressRoute Global Reach. Каждый Решение Azure VMware облачный регион имеет собственное подключение Global Reach (подключение A и B). И Решение Azure VMware частные облака подключаются напрямую друг к другу через подключение Global Reach C. Глобальный трафик Reach никогда не передает брандмауэры концентратора.
Настройте все три подключения Global Reach. Это необходимо сделать, чтобы предотвратить проблемы с подключением между сайтами Global Reach.
Локальный поток подключения и трафика
На следующей схеме показаны потоки трафика для локального сайта.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 2 | Локально | Решение Azure VMware облачном регионе 1 | Нет, трафик проходит брандмауэр и передает подключение Global Reach A |
| 7 | Локально | Решение Azure VMware облачный регион 2 | Нет, трафик проходит брандмауэр и передает подключение Global Reach B |
| 8 | Локально | Виртуальная сеть 1 | Да, через брандмауэр концентратора 1 |
| 9 | Локально | Виртуальная сеть 2 | Да, через брандмауэр концентратора 2 |
Локальный сайт подключается как к регионам 1, так и к концентраторам региона 2 через подключение ExpressRoute E.
Локальные системы могут взаимодействовать с Решение Azure VMware облачным регионом 1 через подключение A global Reach и с Решение Azure VMware облачным регионом 2 через подключение Global Reach B.
Настройте все три подключения Global Reach. Это необходимо сделать, чтобы предотвратить проблемы с подключением между сайтами Global Reach.
Подключение к виртуальной сети Azure и поток трафика
На следующей схеме показаны потоки трафика для виртуальных сетей.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 1 | Виртуальная сеть 1 | Решение Azure VMware облачном регионе 1 | Да, через брандмауэр концентратора 1 |
| 3 | Виртуальная сеть 2 | Решение Azure VMware облачном регионе 1 | Да, через брандмауэр концентратора 2 |
| 5 | Виртуальная сеть 1 | Решение Azure VMware облачный регион 2 | Да, через брандмауэр концентратора 1 |
| 6 | Виртуальная сеть 2 | Решение Azure VMware облачный регион 2 | Да, через брандмауэр концентратора 2 |
| 8 | Виртуальная сеть 1 | Локально | Да, через брандмауэр концентратора 1 |
| 9 | Виртуальная сеть 2 | Локально | Да, через брандмауэр концентратора 2 |
| 10 | Виртуальная сеть 1 | Виртуальная сеть 2 | Да, через брандмауэр концентратора 1. Затем трафик проходит через подключение между узлами и проверяется через брандмауэр концентратора 2. |
Обе виртуальные сети напрямую выполняют одноранговый доступ к локальному региональному концентратору.
Безопасный концентратор с намерением маршрутизации отправляет адреса RFC 1918 по умолчанию (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) в пиринговые виртуальные сети, а также любые другие префиксы, которые добавляются в качестве префиксов частного трафика. Дополнительные сведения см. в разделе "Префиксы намерения маршрутизации с частным адресом".
Этот сценарий включает намерение маршрутизации, поэтому все ресурсы в виртуальной сети 1 и виртуальной сети 2 имеют адреса RFC 1918 по умолчанию и используют свой локальный региональный концентратор брандмауэр в качестве следующего прыжка. Весь трафик, который входит и выходит из виртуальных сетей, передает брандмауэры концентратора.
Подключение к Интернету
В этом разделе описывается, как обеспечить подключение к Интернету для собственных ресурсов Azure в виртуальных сетях и Решение Azure VMware частных облаках в обоих регионах. Дополнительные сведения см . в рекомендациях по проектированию подключения к Интернету. Вы можете использовать следующие параметры для подключения к Интернету Решение Azure VMware.
- Вариант 1. Размещенная в Azure служба Интернета
- Вариант 2. Преобразование сетевых адресов под управлением решения VMware (SNAT)
- Вариант 3. Общедоступный IPv4-адрес Azure к пограничному центру обработки данных NSX-T
Двухрегиональное Виртуальная глобальная сеть проектирование, которое имеет намерение маршрутизации, поддерживает все варианты, но мы рекомендуем вариант 1. В следующем примере в этой статье используется вариант 1 для предоставления подключения к Интернету. Вариант 1 лучше всего работает с безопасными Виртуальная глобальная сеть, так как легко проверять, развертывать и управлять ими.
При использовании намерения маршрутизации можно создать маршрут по умолчанию из брандмауэра концентратора. Этот маршрут по умолчанию объявляет виртуальные сети и Решение Azure VMware частные облака.
Решение Azure VMware и подключение к Интернету виртуальной сети
На следующей схеме показана возможность подключения к Интернету для Решение Azure VMware экземпляров и виртуальных сетей.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? | Интернет-прорыв |
|---|---|---|---|---|
| 11 | Решение Azure VMware облачном регионе 1 | Интернету; | Да, через брандмауэр концентратора 1 | Через брандмауэр концентратора 1 |
| 12 | Решение Azure VMware облачный регион 2 | Интернету; | Да, через брандмауэр концентратора 2 | Через брандмауэр концентратора 2 |
| 15 | Виртуальная сеть 1 | Интернету; | Да, через брандмауэр концентратора 1 | Через брандмауэр концентратора 1 |
| 16 | Виртуальная сеть 2 | Интернету; | Да, через брандмауэр концентратора 2 | Через брандмауэр концентратора 2 |
Следующие потоки трафика активны только в том случае, если у вас есть сбой, влияющий на локальный региональный концентратор. Например, если локальный региональный центр Решение Azure VMware испытывает сбой, трафик интернета перенаправляется в межрегиональная сеть для подключения к Интернету.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? | Интернет-прорыв |
|---|---|---|---|---|
| 13 | Решение Azure VMware облачном регионе 1 | Интернету; | Да, трафик передается через подключение Global Reach C, а брандмауэр концентратора 2 проверяет его. | Через брандмауэр концентратора 2 |
| 14 | Решение Azure VMware облачный регион 2 | Интернету; | Да, трафик передается через подключение Global Reach C, а брандмауэр концентратора 1 проверяет его. | Через брандмауэр концентратора 1 |
Решение Azure VMware частному облаку по умолчанию используется маршрут подключения к Интернету как из локального регионального концентратора, так и между регионами, чтобы обеспечить избыточность подключения к Интернету. В Решение Azure VMware частном облаке приоритеты локального регионального концентратора для основного подключения к Интернету. Межрегиональная система выступает в качестве резервного копирования в Интернете, если локальный региональный концентратор завершается сбоем. Эта настройка обеспечивает избыточность доступа к Интернету только для исходящего трафика. Для входящего интернет-трафика для Решение Azure VMware рабочих нагрузок рекомендуется использовать Azure Front Door или Диспетчер трафика Azure для обеспечения высокой доступности региона.
Частное облако Решение Azure VMware получает предпочтительный маршрут по умолчанию ∞ 0.0.0.0/0 через подключение D из локального регионального концентратора. И Решение Azure VMware частное облако получает маршрут резервного копирования по умолчанию △ 0.0.0.0/0, который происходит на межрегиональная сеть и объявляется через глобальное подключение C. Но если вы включите распространение маршрутов по умолчанию в локальных подключениях ExpressRoute E, трафик через межрегиональная интернет-сеть также направляется через этот путь.
Например, межрегионный интернет-трафик, который передается из частного облака Azure VMware 1 в концентратор 2, распределяется через маршрутизацию с равными затратами (ECMP) через подключение Global Reach C к подключению D и через подключение Global Reach A к подключению E. Аналогичным образом возврат трафика, который переходит из концентратора 2 в регион частного облака 1 проходит по тем же путям через ECMP. Настройте все три подключения Global Reach. Это необходимо сделать, чтобы предотвратить проблемы с подключением между сайтами Global Reach.
При включении намерения маршрутизации для интернет-трафика по умолчанию безопасный Виртуальная глобальная сеть концентратор не объявляет маршрут по умолчанию через каналы ExpressRoute. Чтобы убедиться, что маршрут по умолчанию распространяется на Решение Azure VMware из Виртуальная глобальная сеть, необходимо включить распространение маршрутов по умолчанию в каналах ExpressRoute Решение Azure VMware. Дополнительные сведения см. в разделе "Объявление маршрута по умолчанию 0.0.0.0/0" к конечным точкам.
Не включите этот параметр для локальных каналов ExpressRoute. Подключение D объявляет маршрут по умолчанию "∞ 0.0.0.0/0" к частным облакам Решение Azure VMware, но маршрут по умолчанию также объявляется локально через подключение Global Reach A и глобальное подключение B. В результате мы рекомендуем реализовать фильтр протокола BGP на локальном оборудовании, чтобы исключить обучение маршрута по умолчанию. Этот шаг помогает убедиться, что конфигурация не влияет на локальное подключение к Интернету.
Каждая виртуальная сеть отправляется в Интернет через брандмауэр локального регионального концентратора. При включении намерения маршрутизации для доступа к Интернету по умолчанию создается безопасный Виртуальная глобальная сеть концентратор автоматически объявляет подключения к одноранговым виртуальным сетям. Но этот маршрут по умолчанию не объявляется через региональные центры по ссылке между узлами. Поэтому виртуальные сети используют свой локальный региональный центр для доступа к Интернету и не имеют резервного подключения к Интернету между регионами.
Следующие шаги
- Параметры виртуального концентратора
- Настройка брандмауэра Azure в концентраторе виртуальной глобальной сети
- Настройка брандмауэра нового поколения Palo Alto Networks Cloud Next Generation в Виртуальная глобальная сеть
- Настройка намерения и политик маршрутизации с помощью портала Виртуальная глобальная сеть