Безопасная Виртуальная глобальная сеть для Решение Azure VMware в одном регионе или в двух регионах
В этой статье рассматриваются топологии Решение Azure VMware проектирования сети и рекомендации по сценариям с одним регионом и двумя регионами, которые используют безопасные Виртуальная глобальная сеть Azure с намерением маршрутизации. В нем описывается, как намерение маршрутизации направляет трафик через централизованное решение для обеспечения безопасности. Этот метод повышает безопасность и упрощает управление сетями. В этой статье приводятся рекомендации по проектированию развертываний с azure ExpressRoute Global Reach и без нее. В нем рассматриваются преимущества и проблемы каждого сценария.
Вы можете реализовать решение безопасности в центре Виртуальная глобальная сеть, чтобы преобразовать концентратор в безопасный Виртуальная глобальная сеть концентратор. Чтобы настроить намерение маршрутизации, необходимо иметь безопасный Виртуальная глобальная сеть концентратор. Намерение маршрутизации направляет весь частный трафик и интернет-трафик в решение безопасности концентратора, что упрощает маршрутизацию и безопасность безопасного концентратора. Намерение маршрутизации улучшает ширину безопасности и проводит проверку трафика для всего трафика, который проходит через безопасный концентратор, включая Решение Azure VMware трафик.
В этой статье предполагается, что у вас есть базовое представление о Виртуальная глобальная сеть и безопасном Виртуальная глобальная сеть с намерением маршрутизации.
Дополнительные сведения см. на следующих ресурсах:
- Что такое Виртуальная глобальная сеть?
- Что такое безопасный виртуальный концентратор?
- Настройка намерений маршрутизации и политик маршрутизации центра Виртуальная глобальная сеть
- Global Reach ExpressRoute
Реализация безопасных Виртуальная глобальная сеть для проектов Решение Azure VMware
Используйте безопасные Виртуальная глобальная сеть с намерением маршрутизации для отправки всего интернет-трафика и частного сетевого трафика (RFC 1918) в решение безопасности, например Брандмауэр Azure, виртуальное устройство, отличное от Майкрософт (NVA), или программное обеспечение как услуга (SaaS). Для поддержки проектов с одним регионом и двумя регионами используйте Решение Azure VMware вместе с безопасными Виртуальная глобальная сеть и намерением маршрутизации.
Проектирование в одном регионе
Используйте проект с одним регионом для проверки сетевого трафика в решении безопасности виртуального концентратора, который переходит к Решение Azure VMware и из них. Этот подход упрощает управление сетями и повышает общую безопасность. Эта конструкция также подготавливает вас, если вы хотите развернуть другое Решение Azure VMware частное облако в другом регионе, где имеется проект с двумя регионами. Включите намерение маршрутизации в одном концентраторе регионов, чтобы помочь выполнить масштабирование до двух концентраторов региона позже. Эта конструкция поддерживает конфигурации с global Reach или без нее.
Проектирование с двумя регионами или двумя концентраторами
Используйте структуру с двумя регионами для проверки сетевого трафика на двух решениях безопасности виртуального концентратора. Проверьте трафик в Решение Azure VMware и от них и проверьте трафик в Решение Azure VMware частных облаках, которые находятся в разных регионах. Включите намерение маршрутизации в обоих региональных центрах, чтобы трафик мог проходить через оба решения для обеспечения безопасности концентратора. Проектирование с двумя регионами с намерением маршрутизации повышает безопасность и упрощает управление сетями в разных регионах. Эта конструкция поддерживает конфигурации с global Reach или без нее.
Варианты развертывания Global Reach
Используйте Global Reach для подключения Решение Azure VMware к локальным или региональным Решение Azure VMware частным облакам. Global Reach устанавливает прямую логическую связь через магистраль Майкрософт.
Развертывание с помощью Global Reach
При развертывании Global Reach трафик между сайтами Global Reach проходит безопасный брандмауэр Виртуальная глобальная сеть концентратора. Брандмауэр безопасного Виртуальная глобальная сеть концентратора не проверяет трафик Global Reach, который проходит между Решение Azure VMware и локальной средой или между Решение Azure VMware частными облаками в разных регионах.
Например, на следующей схеме показано, как трафик между Решение Azure VMware и локальной средой использует подключение Global Reach, помеченное как A для обмена данными. Этот трафик не передает брандмауэр концентратора из-за подключения Global Reach A. Для оптимальной безопасности между сайтами Global Reach Решение Azure VMware среде NSX-T или локального брандмауэра необходимо проверить трафик.
Global Reach упрощает проектирование, так как обеспечивает прямое логическое подключение между Решение Azure VMware и локальными или региональными Решение Azure VMware частными облаками. Использование Global Reach для устранения неполадок трафика между сайтами Global Reach и устранения ограничений пропускной способности в безопасном Виртуальная глобальная сеть. Недостаток заключается в том, что Global Reach запрещает безопасному решению безопасности виртуального концентратора проверять трафик между региональными Решение Azure VMware частными облаками и локальными облаками, а также в пределах Решение Azure VMware частных облаков. Поэтому решение безопасности безопасного виртуального концентратора не может проверять трафик, который передается непосредственно между этими сущностями.
Развертывание без глобального охвата
Рекомендуется последовательно использовать Global Reach, если у вас нет конкретных требований. Если вы не используете Global Reach, вы можете проверить весь трафик в безопасном решении безопасности центра Виртуальная глобальная сеть между Решение Azure VMware и локальными или региональными Решение Azure VMware частными облаками. Но этот подход повышает сложность проектирования. Кроме того, рассмотрите ограничения пропускной способности в защищенном Виртуальная глобальная сеть концентраторе. Используйте Global Reach, если у вас нет одного из следующих ограничений.
Необходимо проверить трафик в центре Виртуальная глобальная сеть между Решение Azure VMware и локальной средой, а также в Решение Azure VMware частных облаках. Вы не можете использовать Global Reach, если у вас есть требование безопасности для проверки трафика между Решение Azure VMware и локальной средой или между региональными Решение Azure VMware частными облаками на брандмауэре виртуального концентратора.
Регион не поддерживает Global Reach. Если регион не поддерживает Global Reach, можно использовать намерение маршрутизации для установления подключения между подключениями ExpressRoute, будь то между Решение Azure VMware и локальными или между региональными Решение Azure VMware частными облаками. По умолчанию виртуальные центры не поддерживают транзитивность ExpressRoute к ExpressRoute. Чтобы включить транзитивность, необходимо инициировать запрос в службу поддержки. Дополнительные сведения см. в статье о доступности ExpressRoute Global Reach.
Локальный экземпляр ExpressRoute использует локальный номер SKU ExpressRoute. Локальный номер SKU ExpressRoute не поддерживает Global Reach. При использовании локального SKU можно использовать намерение маршрутизации для установления подключения между Решение Azure VMware и локальной сетью.
На следующей схеме показан пример, который не использует Global Reach.
Рассмотрите варианты global Reach для одного региона или для двух регионов
Используйте следующее руководство, чтобы определить, нужно ли включить Global Reach для вашего сценария.
Проектирование с одним регионом с глобальным охватом
При использовании Global Reach в одном регионе безопасный концентратор направляет весь частный трафик и интернет-трафик через решение безопасности, например Брандмауэр Azure, NVA, отличное от Майкрософт, или решение SaaS. На следующей схеме намерение маршрутизации проверяет трафик, но трафик Global Reach между Решение Azure VMware и локальной сетью проходит брандмауэр концентратора (подключение A). Поэтому необходимо проверить этот трафик Global Reach с помощью NSX-T в Решение Azure VMware или локального брандмауэра для повышения безопасности на сайтах Global Reach.
В следующей таблице показан поток трафика в Решение Azure VMware.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Решение Azure VMware | → ← |
Виртуальные сети | Да |
| Решение Azure VMware | → ← |
Интернету; | Да |
| Решение Azure VMware | → ← |
Локально | No |
В следующей таблице показан поток трафика в виртуальные сети и из нее.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Виртуальные сети | → ← |
Локально | Да |
| Виртуальные сети | → ← |
Интернету; | Да |
| Виртуальные сети | → ← |
Виртуальные сети | Да |
Проектирование с одним регионом, которое не имеет global Reach
Если вы не используете Global Reach в одном регионе, безопасный концентратор направляет весь частный трафик и интернет-трафик через решение для обеспечения безопасности. Намерение маршрутизации проверяет трафик. Благодаря этому трафик между Решение Azure VMware и локальной средой передает брандмауэр концентратора для проверки. Виртуальные концентраторы по умолчанию не поддерживают транзитивность ExpressRoute к ExpressRoute. Чтобы включить транзитивность, необходимо инициировать запрос в службу поддержки. После выполнения запроса в службу поддержки безопасный концентратор объявляет адреса RFC 1918 по умолчанию для Решение Azure VMware и локальной среды. При использовании намерения маршрутизации из локальной среды вы не можете объявлять точные префиксы адресов RFC 1918 по умолчанию (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) обратно в Azure. Вместо этого необходимо всегда объявлять более конкретные маршруты.
В следующей таблице показан поток трафика в Решение Azure VMware.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Решение Azure VMware | → ← |
Локально | Да |
| Решение Azure VMware | → ← |
Интернету; | Да |
| Решение Azure VMware | → ← |
Виртуальные сети | Да |
В следующей таблице показан поток трафика в виртуальные сети и из нее.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Виртуальные сети | → ← |
Локально | Да |
| Виртуальные сети | → ← |
Интернету; | Да |
| Виртуальные сети | → ← |
Виртуальные сети | Да |
Проектирование с двумя регионами с глобальным охватом
При использовании Global Reach в двух регионах вы развертываете два безопасных концентратора в разных регионах в Виртуальная глобальная сеть. Вы также настроили два Решение Azure VMware частные облака в отдельных регионах.
На следующей схеме показан пример этой конфигурации. Каждое региональное Решение Azure VMware частное облако подключается непосредственно к локальному региональному концентратору (подключение D). Локальная среда подключается к каждому региональному концентратору (подключение E). Все маршруты трафика RFC 1918 и интернет-трафика через решение безопасности в обоих безопасных центрах с помощью намерения маршрутизации. В Решение Azure VMware частных облаках есть подключение к локальной среде через Global Reach (подключения A и B). Решение Azure VMware облака подключаются друг к другу через Global Reach (подключение C). Глобальный трафик Reach между частными облаками Решение Azure VMware или между Решение Azure VMware частными облаками и локальными обходами двух центральных брандмауэров (подключения A, B и C). Для повышения безопасности на сайтах Global Reach используйте NSX-T в Решение Azure VMware или локальном брандмауэре для проверки этого трафика.
В следующей таблице показан поток трафика в Решение Azure VMware регион частного облака 1.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Решение Azure VMware регионе частного облака 1 | → ← |
Виртуальная сеть 1 | Да, через брандмауэр концентратора 1 |
| Решение Azure VMware регионе частного облака 1 | → ← |
Виртуальная сеть 2 | Да, через брандмауэры концентратора 1 и концентратора 2 |
| Решение Azure VMware регионе частного облака 1 | → ← |
Интернету; | Да, через брандмауэр концентратора 1 |
| Решение Azure VMware регионе частного облака 1 | → ← |
Локально | No |
В следующей таблице показан поток трафика в Решение Azure VMware частный облачный регион 2 и из нее.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Решение Azure VMware регионе частного облака 2 | → ← |
Виртуальная сеть 1 | Да, через брандмауэры концентратора 1 и концентратора 2 |
| Решение Azure VMware регионе частного облака 2 | → ← |
Виртуальная сеть 2 | Да, через брандмауэр концентратора 2 |
| Решение Azure VMware регионе частного облака 2 | → ← |
Интернету; | Да, через брандмауэр концентратора 2 |
| Решение Azure VMware регионе частного облака 2 | → ← |
Локально | No |
В следующей таблице показан поток трафика из Решение Azure VMware частный облачный регион 1 и регион 2.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Решение Azure VMware регионе частного облака 1 | → ← |
Решение Azure VMware регионе частного облака 2 | No |
В следующей таблице показан поток трафика в виртуальные сети и из нее.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Виртуальная сеть 1 | → ← |
Локально | Да, через брандмауэр концентратора 1 |
| Виртуальная сеть 1 | → ← |
Интернету; | Да, через брандмауэр концентратора 1 |
| Виртуальная сеть 1 | → ← |
Виртуальная сеть 2 | Да, через брандмауэры концентратора 1 и концентратора 2 |
| Виртуальная сеть 2 | → ← |
Локально | Да, через брандмауэр концентратора 2 |
| Виртуальная сеть 2 | → ← |
Интернету; | Да, через брандмауэр концентратора 2 |
Проектирование двух регионов, не имеющих глобального охвата
При использовании Global Reach в двух регионах вы развертываете два безопасных концентратора в разных регионах в Виртуальная глобальная сеть. Вы также настроили два Решение Azure VMware частные облака в отдельных регионах.
На следующей схеме показан пример этой конфигурации. Каждое региональное Решение Azure VMware частное облако подключается непосредственно к локальному региональному концентратору (подключение D). Локальная среда подключается к каждому региональному концентратору (подключение E). Все маршруты трафика RFC 1918 и интернет-трафика через решение безопасности в обоих безопасных центрах с помощью намерения маршрутизации.
Виртуальные концентраторы по умолчанию не поддерживают транзитивность ExpressRoute к ExpressRoute. Чтобы включить транзитивность, необходимо инициировать запрос в службу поддержки. После выполнения запроса в службу поддержки безопасные центры объявляют адреса RFC 1918 по умолчанию для Решение Azure VMware и локальной среды. Ссылка на оба региональных центра при открытии билета. Используйте ExpressRoute для транзитивности ExpressRoute, чтобы Решение Azure VMware частные облака могли взаимодействовать друг с другом через Виртуальная глобальная сеть interhub и облако Решение Azure VMware может взаимодействовать с локальной средой.
Адреса RFC 1918 объявляются в локальной среде, вы не можете объявить точные префиксы адресов RFC 1918 по умолчанию (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) обратно в Azure. Вместо этого необходимо всегда объявлять более конкретные маршруты.
В следующей таблице показан поток трафика в Решение Azure VMware регион частного облака 1.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Решение Azure VMware регионе частного облака 1 | → ← |
Виртуальная сеть 1 | Да, через брандмауэр концентратора 1 |
| Решение Azure VMware регионе частного облака 1 | → ← |
Виртуальная сеть 2 | Да, через брандмауэры концентратора 1 и концентратора 2 |
| Решение Azure VMware регионе частного облака 1 | → ← |
Интернету; | Да, через брандмауэр концентратора 1 |
| Решение Azure VMware регионе частного облака 1 | → ← |
Локально | Да, через брандмауэр концентратора 1 |
В следующей таблице показан поток трафика в Решение Azure VMware частный облачный регион 2 и из нее.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Решение Azure VMware регионе частного облака 2 | → ← |
Виртуальная сеть 1 | Да, через брандмауэр концентратора 2 |
| Решение Azure VMware регионе частного облака 2 | → ← |
Виртуальная сеть 2 | Да, через брандмауэры концентратора 1 и концентратора 2 |
| Решение Azure VMware регионе частного облака 2 | → ← |
Интернету; | Да, через брандмауэр концентратора 2 |
| Решение Azure VMware регионе частного облака 2 | → ← |
Локально | Да, через брандмауэр концентратора 2 |
В следующей таблице показан поток трафика из Решение Azure VMware частный облачный регион 1 и регион 2.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Решение Azure VMware регионе частного облака 1 | → ← |
Решение Azure VMware регионе частного облака 2 | Да, через брандмауэры концентратора 1 и концентратора 2 |
В следующей таблице показан поток трафика в виртуальные сети и из нее.
| Расположение 1 | Направление | Расположение 2 | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| Виртуальная сеть 1 | → ← |
Локально | Да, через брандмауэр концентратора 1 |
| Виртуальная сеть 1 | → ← |
Интернету; | Да, через брандмауэр концентратора 1 |
| Виртуальная сеть 1 | → ← |
Виртуальная сеть 2 | Да, через брандмауэры концентратора 1 и концентратора 2 |
| Виртуальная сеть 2 | → ← |
Локально | Да, через брандмауэр концентратора 2 |
| Виртуальная сеть 2 | → ← |
Интернету; | Да, через брандмауэр концентратора 2 |
Связанные ресурсы
- Проект с одним регионом Решение Azure VMware с Виртуальная глобальная сеть и global Reach
- Проект с одним регионом Решение Azure VMware, который не имеет глобального охвата
- Проектирование Решение Azure VMware с двумя регионами с Виртуальная глобальная сеть и global Reach
- Дизайн двух регионов Решение Azure VMware, у которых нет глобального охвата