Рекомендации по сети для развертываний решения Azure VMware с двумя регионами

В этой статье описывается настройка сетевого подключения при развертывании частных облаков решения Azure VMware в двух регионах Azure для обеспечения устойчивости к авариям. Если существуют частичные или полные региональные сбои, топология сети в этой статье позволяет выжившим компонентам (частным облакам, локальным ресурсам Azure и локальным сайтам) поддерживать подключение друг к другу и через Интернет.

Сценарий с двумя регионами

В этой статье рассматривается типичный сценарий с двумя регионами, показанный на следующем рисунке 1.

• В каждом регионе существует сеть концентратора Azure и периферийной сети.
• Развернута конфигурация, устойчивая к авариям для Azure ExpressRoute (два канала в двух разных расположениях пиринга, с каждым каналом, подключенным к виртуальным сетям концентратора в обоих регионах). Инструкции, приведенные в следующих разделах, остаются неизменными в случае настройки резервного VPN-подключения.
• Частное облако решения Azure VMware развернуто в каждом регионе.

рис. 1. Сценарий с двумя регионами, в котором показано, как глобальный пиринг между виртуальными сетями подключает две виртуальные сети в разных регионах

Заметка

В эталонном сценарии на рисунке 1 две региональные основные виртуальные сети подключены через глобальный пиринг VNet. Хотя это не обязательно, так как трафик между виртуальными сетями Azure в двух регионах может направляться через подключения ExpressRoute, настоятельно рекомендуется использовать эту конфигурацию. Перекрестное соединение виртуальных сетей (VNet Peering) минимизирует задержку и увеличивает пропускную способность, устраняя необходимость петлевой маршрутизации трафика через стыковые маршрутизаторы ExpressRoute.

Шаблоны коммуникации между двумя регионами

В следующих разделах описана конфигурация сети для решения Azure VMware, необходимая для обеспечения следующих моделей коммуникации в эталонном сценарии с двумя регионами.

• Для подключения решения Azure VMware к другому решению Azure VMware (описано в разделе межрегионального подключения для решения Azure VMware);
• Решение Azure VMware для локальных сайтов, подключенных через ExpressRoute (описано в разделе гибридное подключение);
• Решение Azure VMware для виртуальной сети Azure (описано в разделе подключение к виртуальной сети Azure);
• Решение Azure VMware для Интернета (в разделе подключение к Интернету).

Подключение решения Azure VMware между регионами

При наличии нескольких частных облаков решения Azure VMware подключение уровня 3 часто требуется для таких задач, как поддержка репликации данных.

Решение Azure VMware изначально поддерживает прямое подключение между двумя частными облаками, развернутыми в разных регионах Azure. Частные облака подключаются к сети Azure в собственном регионе через каналы ExpressRoute, управляемые платформой и завершаемые в специально выделенных точках подключения ExpressRoute. В этой статье такие каналы называются управляемыми каналами в решении Azure VMware. Управляемые каналы решения Azure VMware не следует путать с обычными каналами, которые клиенты развертывают для подключения локальных сайтов к Azure. Обычные каналы, которые развертывают клиенты, — это каналы, управляемые клиентами (см. рис. 2).

Прямое подключение между частными облаками основано на подключений ExpressRoute Global Reach между управляемыми каналами решения Azure VMware, как показано на зеленой строке на следующей схеме. Дополнительные сведения см. в учебном пособии: как связать локальные одноранговые среды с решением Azure VMware. В этой статье описывается процедура подключения управляемого канала Решения Azure VMware с управляемым клиентом каналом. Эта же процедура применяется к подключению двух управляемых каналов решения Azure VMware.

Диаграмма к рисунку 2, на которой показано, что частные облака в решении Azure VMware в разных регионах напрямую соединены друг с другом с помощью соединения Global Reach, установленного через управляемые каналы ExpressRoute частных облаков. В каждом регионе Azure, где доступно решение Azure VMware, имеется сетевая инфраструктура, которая завершает работу на стороне управляемых каналов этого решения. Это называется выделенной точкой обмена ExpressRoute на рисунке.

Рис. 2. В этом справочном сценарии показаны частные облака решения Azure VMware в разных регионах. Подключение Global Reach напрямую соединяет облака через менеджируемые каналы ExpressRoute.

Гибридное подключение

Рекомендуемый вариант подключения частных облаков решения Azure VMware к локальным сайтам — ExpressRoute Global Reach. Подключения Global Reach можно установить между управляемыми клиентом каналами ExpressRoute и управляемыми Azure VMware Solution каналами ExpressRoute. Глобальные подключения Reach не являются транзитивными, поэтому полная сетка (каждый управляемый канал решения Azure VMware, подключенный к каждому управляемому каналу клиента), необходим для обеспечения устойчивости к авариям, как показано на следующем рис. 3 (представлено оранжевыми линиями).

Диаграмма на рисунке 3, на которой показано, что подключения Global Reach можно установить между управляемыми клиентом каналами ExpressRoute и управляемыми в составе Azure VMware Solution каналами ExpressRoute.

рис. 3. В этом эталонном сценарии показаны подключения Global Reach между каналами ExpressRoute, управляемыми клиентом, и каналами ExpressRoute решения Azure VMware.

Подключение к виртуальной сети Azure

Виртуальная сеть Azure может быть подключена к частным облакам решения Azure VMware через подключения между шлюзами ExpressRoute и управляемыми каналами решения Azure VMware. Это подключение точно так же, как виртуальная сеть Azure может быть подключена к локальным сайтам через управляемые клиентом каналы ExpressRoute. Инструкции по настройке см. в статье Подключение к частному облаку вручную.

В сценариях с двумя регионами рекомендуется использовать полную сетку для подключений ExpressRoute между двумя региональными концентраторами виртуальной сети и частными облаками, как показано на рис. 4 (представлено желтыми линиями).

На рисунке 4 показано, что собственные ресурсы Azure в каждом регионе имеют прямое подключение L3 к частным облакам решения Azure VMware в результате подключения шлюза ExpressRoute каждой концентраторной виртуальной сети к каждому управляемому каналу ExpressRoute решения Azure VMware. (Подключение к пирингу глобальной виртуальной сети между двумя концентраторами виртуальных сетей, показанное на предыдущих схемах, было пропущено для ясности.)

рис. 4. В этом эталонном сценарии показаны собственные ресурсы Azure в каждом регионе с прямым подключением L3 к частным облакам решения Azure VMware.

Подключение к Интернету

При развертывании частных облаков решения Azure VMware в нескольких регионах мы рекомендуем использовать собственные варианты подключения к Интернету, такие как управляемая трансляция сетевых адресов (SNAT) или общедоступные IP-адреса, до NSX-T. Любой вариант можно настроить с помощью портала Azure (или с помощью шаблонов PowerShell, CLI или ARM/Bicep) во время развертывания, как показано на следующем рисунке 5.

рис. 5. На этом снимке экрана выделены собственные параметры решения Azure VMware для подключения к Интернету на портале Azure.

Оба варианта, выделенные на рис. 5, предоставляют каждому частному облаку прямое подключение к Интернету в собственном регионе. Следующие рекомендации должны сообщить о том, какой собственный вариант подключения к Интернету следует использовать:

• Управляемый SNAT следует использовать в сценариях с базовыми и исходящими требованиями (низкие объемы исходящих подключений и не требуется детализированный контроль над пулом SNAT).
• Общедоступные IP-адреса до края NSX-T должны быть предпочтительнее в сценариях с большими объемами исходящих подключений или если требуется детальный контроль над IP-адресами NAT. Например, какие виртуальные машины решения Azure VMware используют SNAT и за какими IP-адресами. Общедоступные IP-адреса до узла NSX-T также поддерживают входящие соединения через DNAT. Входящее подключение к Интернету не рассматривается в этой статье.

Изменение конфигурации подключения к Интернету частного облака после первоначального развертывания возможно. Но частное облако теряет подключение к Интернету, виртуальной сети Azure и локальным сайтам во время обновления конфигурации. Если используется один из вариантов подключения к Интернету на предыдущем рисунке 5, дополнительная конфигурация не требуется в сценариях с двумя регионами (топология остается той же, что и на рис. 4). Дополнительные сведения о подключении к Интернету для решения Azure VMware см. в рекомендации по проектированию подключения к Интернету.

Пробная точка интернета в Azure

Если безопасный интернет-пограничный интерфейс был создан в виртуальной сети Azure до внедрения решения Azure VMware, возможно, потребуется использовать его для доступа к Интернету для частных облаков решения Azure VMware. Использование безопасного интернет-периметра таким образом необходимо для централизованного управления политиками безопасности сети, оптимизации затрат и многого другого. Решения для обеспечения безопасности Интернета в виртуальной сети Azure можно реализовать с помощью Azure Firewall или сторонних брандмауэров и виртуальных сетевых устройств прокси-серверов (NVA), которые предлагаются на Azure Marketplace.

Трафик, направленный в Интернет, из виртуальных машин решения Azure VMware может быть привлечён к виртуальной сети Azure путём создания маршрута по умолчанию и его объявления по протоколу BGP в управляемую схему ExpressRoute частного облака. Этот параметр подключения к Интернету можно настроить с помощью портала Azure (или с помощью шаблонов PowerShell, CLI или ARM/Bicep) во время развертывания, как показано на следующем рисунке 6. Дополнительные сведения см. в разделе Отключение доступа к Интернету или включение маршрута по умолчанию.

рис. 6. На этом снимке экрана выделена конфигурация Azure VMware, которую необходимо выбрать для включения подключения к Интернету через интернет-шлюзы в виртуальной сети.

Пограничные устройства NVA в интернете могут задавать маршрут по умолчанию, если они поддерживают BGP. В противном случае необходимо развернуть другие NVA, совместимые с BGP. Дополнительные сведения о том, как реализовать исходящий интернет-трафик для решения Azure VMware в одном регионе, см. в разделе реализации подключения к интернету для решения Azure VMware с использованием NVAs Azure. В сценарии с двумя регионами, рассмотренным в этой статье, одна и та же конфигурация должна применяться к обоим регионам.

Ключевым фактором в сценариях с двумя регионами является распространение маршрута по умолчанию в каждом регионе через ExpressRoute только в частное облако решения Azure VMware в одном регионе. Эта настройка позволяет рабочим нагрузкам решения Azure VMware обращаться к Интернету через локальный (в регионе) выход. Однако если вы используете топологию, показанную на рис. 4, каждое частное облако решения Azure VMware также получает маршрут по умолчанию из удаленного региона через межрегиональные подключения ExpressRoute. Красные пунктирные линии представляют это нежелательное распространение маршрута по умолчанию между регионами на рис. 7.

Схема рис. 7, на которой показаны подключения между шлюзами ExpressRoute и каналами ExpressRoute, управляемыми решением Azure VMware, должны быть удалены, чтобы избежать распространения маршрута по умолчанию между регионами.

рис. 7. В этом эталонном сценарии показаны подключения между шлюзами ExpressRoute и каналами ExpressRoute, управляемыми решением Azure VMware, которые необходимо удалить, чтобы предотвратить распространение маршрута по умолчанию между регионами.

Удаление подключений ExpressRoute между регионами решения Azure VMware позволяет добиться цели внедрения в каждом частном облаке маршрута по умолчанию для пересылки сетевых подключений с выходом в интернет на интернет-край Azure в локальном регионе.

Следует отметить, что если подключения ExpressRoute между регионами (красные дефисированные линии на рис. 7) удаляются, распространение маршрута по умолчанию по-прежнему происходит через Global Reach. Однако маршруты, распространяемые через Global Reach, имеют более длинный путь AS, чем локально возникшие, и отбрасываются процессом выбора маршрутов BGP.

Распространение маршрута по умолчанию с меньшим приоритетом в различных регионах через Global Reach обеспечивает устойчивость к сбоям на локальном концовом участке сети. Если интернет-пограничная сеть региона переходит в автономный режим, она перестает исходить маршрут по умолчанию. В этом случае наименее предпочтительный маршрут по умолчанию, полученный из удаленного региона, устанавливается в частном облаке решения Azure VMware, чтобы трафик, связанный с Интернетом, направлялся через выход удаленного региона.

Рекомендуемая топология для развертываний на два региона с интернет-выходами в виртуальной сети Azure показана на рисунке 8 ниже.

Рисунок 8, на котором показана рекомендуемая топология для развертываний решения Azure VMware для двух регионов с исходящим доступом к Интернету через интернет-границы в виртуальной сети Azure. Подключения между шлюзами ExpressRoute и управляемыми каналами решения Azure VMware не должны быть установлены, чтобы предотвратить нежелательное распространение маршрута по умолчанию между регионами.

рис. 8. В этом справочном сценарии показана рекомендуемая топология для развертываний в двух регионах с исходящим доступом к Интернету через интернет-выходы в виртуальной сети Azure.

При создании маршрутов по умолчанию в Azure необходимо обеспечить особое внимание, чтобы избежать распространения на локальные сайты, если только не требуется предоставлять доступ к Интернету локальным сайтам через интернет-пограничный интерфейс в Azure. Устройства, управляемые клиентом, завершающие управляемые клиентом каналы ExpressRoute, должны быть настроены для фильтрации маршрутов по умолчанию, полученных из Azure, как показано на рис. 9. Эта конфигурация необходима, чтобы избежать нарушения доступа к Интернету для локальных сайтов.

рис. 9. В этом справочном сценарии показаны маршрутизаторы Border Gateway Protocol, которые завершают каналы ExpressRoute, управляемые клиентом, и фильтруют стандартные маршруты для виртуальных сетевых устройств Azure.

Дальнейшие действия

• Дополнительные сведения о сетевых функциях решения Azure VMware см. в статье концепции сетей и взаимосоединений решения Azure VMware.

• Дополнительные сведения о подключении к Интернету для решения Azure VMware см. в рекомендации по проектированию подключения к Интернету.

  примеры архитектур для решения Azure VMware