Использование единого региона Решение Azure VMware проектирования с Виртуальная глобальная сеть и Global Reach
В этой статье описаны рекомендации по Решение Azure VMware в одном регионе при использовании безопасного Виртуальная глобальная сеть Azure с намерением маршрутизации. Она предоставляет рекомендации по подключению и потоку трафика для безопасного Виртуальная глобальная сеть с намерением маршрутизации и Azure ExpressRoute Global Reach. В этой статье описывается топология проектов в Решение Azure VMware частных облаках, локальных сайтах и собственных ресурсах Azure. Реализация и настройка безопасных Виртуальная глобальная сеть с намерением маршрутизации выходит за рамки этой статьи.
Использование безопасных Виртуальная глобальная сеть в одном регионе
Только номер SKU уровня "стандартный" Виртуальная глобальная сеть поддерживает безопасные Виртуальная глобальная сеть с намерением маршрутизации. Используйте безопасные Виртуальная глобальная сеть с намерением маршрутизации для отправки всего интернет-трафика и частного сетевого трафика в решение безопасности, например Брандмауэр Azure, виртуального устройства, отличного от Майкрософт (NVA), или программного обеспечения как услуги (SaaS). Если вы используете намерение маршрутизации, необходимо иметь безопасный центр Виртуальная глобальная сеть.
Примечание.
При настройке Решение Azure VMware с безопасными центрами Виртуальная глобальная сеть задайте параметр предпочтения маршрутизации концентратора в качестве пути AS, чтобы обеспечить оптимальные результаты маршрутизации в концентраторе. Дополнительные сведения см. в разделе "Параметры маршрутизации виртуального концентратора".
Центр этого сценария имеет следующую конфигурацию:
Сеть с одним регионом имеет экземпляр Виртуальная глобальная сеть и один концентратор.
В концентраторе развернут экземпляр Брандмауэр Azure, что делает его безопасным Виртуальная глобальная сеть концентратором.
Безопасный центр Виртуальная глобальная сеть имеет намерение маршрутизации.
Этот сценарий также содержит следующие компоненты:
В одном регионе есть собственное Решение Azure VMware частное облако и виртуальная сеть Azure.
Локальный сайт подключается к концентратору.
Среда имеет подключение Global Reach.
Global Reach устанавливает прямую логическую связь через магистраль Майкрософт, которая подключается Решение Azure VMware к локальной среде.
Подключения Global Reach не транзитив брандмауэр концентратора. Таким образом, глобальный трафик Reach, который проходит оба способа между локальной средой и Решение Azure VMware не проверяется.
Примечание.
Чтобы повысить безопасность между сайтами Global Reach, рассмотрите возможность проверки трафика в Решение Azure VMware среде NSX-T или локального брандмауэра.
На следующей схеме показан пример этого сценария.
В следующей таблице описывается подключение топологии на предыдущей схеме.
| Connection | Description |
|---|---|
| D | Решение Azure VMware подключение ExpressRoute, управляемое частным облаком, к концентратору |
| а | Решение Azure VMware подключение Global Reach к локальной среде |
| E | Локальное подключение ExpressRoute к концентратору |
Потоки трафика в одном регионе Виртуальная глобальная сеть
В следующих разделах описаны потоки трафика и подключение для Решение Azure VMware, локальных, виртуальных сетей Azure и Интернета.
Решение Azure VMware подключения к частному облаку и потокам трафика
На следующей схеме показаны потоки трафика для частного облака Решение Azure VMware.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 1 | облако Решение Azure VMware | Виртуальная сеть | Да |
| 2 | облако Решение Azure VMware | Локально | No |
Частное облако Решение Azure VMware подключается к центру через подключение ExpressRoute D. В Решение Azure VMware облачном регионе устанавливается подключение к локальной среде через подключение ExpressRoute Global Reach A. Трафик, передаваемый через Global Reach, не передает брандмауэр концентратора.
В своем сценарии настройте Global Reach, чтобы предотвратить проблемы с подключением между локальной средой и Решение Azure VMware.
Локальный поток подключения и трафика
На следующей схеме показан локальный сайт, подключенный к концентратору через подключение ExpressRoute E. Локальные системы могут взаимодействовать с Решение Azure VMware через подключение Global Reach A.
В своем сценарии настройте Global Reach, чтобы предотвратить проблемы с подключением между локальной средой и Решение Azure VMware.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 3 | Локально | облако Решение Azure VMware | No |
| 4 | Локально | Виртуальная сеть | Да |
Подключение к виртуальной сети Azure и поток трафика
Безопасный концентратор с включенным намерением маршрутизации отправляет адреса RFC 1918 по умолчанию (10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16) в пиринговые виртуальные сети, а также любые другие префиксы, которые добавляются в качестве префиксов частного трафика. Дополнительные сведения см. в разделе "Префиксы намерения маршрутизации с частным адресом". Этот сценарий включает намерение маршрутизации, поэтому все ресурсы в виртуальной сети имеют адреса RFC 1918 по умолчанию и используют брандмауэр концентратора в качестве следующего прыжка. Весь трафик, который входит и выходит из виртуальной сети, передает брандмауэр концентратора.
На следующей схеме показано, как одноранговые узлы виртуальной сети непосредственно в концентраторе.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 5 | Виртуальная сеть | облако Решение Azure VMware | Да |
| 6 | Виртуальная сеть | облако Решение Azure VMware | Да |
Подключение к Интернету
В этом разделе описывается, как обеспечить подключение к Интернету к собственным ресурсам Azure в виртуальной сети и в Решение Azure VMware частном облаке. Дополнительные сведения см . в рекомендациях по проектированию подключения к Интернету. Вы можете использовать следующие параметры для подключения к Интернету Решение Azure VMware.
- Вариант 1. Размещенная в Azure служба Интернета
- Вариант 2. Преобразование сетевых адресов с Решение Azure VMware управляемым Решение Azure VMware (SNAT)
- Вариант 3. Общедоступный IPv4-адрес Azure к пограничному центру обработки данных NSX-T
Безопасная Виртуальная глобальная сеть единого региона, которая имеет намерение маршрутизации, поддерживает все варианты, но рекомендуется вариант 1. В следующем примере в этой статье используется вариант 1 для предоставления подключения к Интернету. Вариант 1 лучше всего работает с безопасными Виртуальная глобальная сеть, так как легко проверять, развертывать и управлять ими.
При использовании намерения маршрутизации можно создать маршрут по умолчанию из брандмауэра концентратора. Этот маршрут по умолчанию объявляется виртуальной сети и Решение Azure VMware.
Решение Azure VMware и подключение к Интернету виртуальной сети
При включении намерения маршрутизации для интернет-трафика по умолчанию безопасный Виртуальная глобальная сеть концентратор не объявляет маршрут по умолчанию через каналы ExpressRoute. Чтобы убедиться, что маршрут по умолчанию распространяется на Решение Azure VMware из Виртуальная глобальная сеть, необходимо включить распространение маршрутов по умолчанию в каналах ExpressRoute Решение Azure VMware. Дополнительные сведения см. в разделе "Объявление маршрута по умолчанию 0.0.0.0/0" к конечным точкам.
После включения распространения маршрутов по умолчанию подключение D объявляет маршрут по умолчанию 0.0.0.0/0/0 из концентратора. Не включите этот параметр для локальных каналов ExpressRoute. Подключение D объявляет маршрут по умолчанию 0.0.0.0.0/0 к Решение Azure VMware, но Global Reach (connection A) также объявляет маршрут по умолчанию в локальную среду. В результате мы рекомендуем реализовать фильтр протокола BGP на локальном оборудовании, чтобы он не узнал маршрут по умолчанию. Этот шаг помогает убедиться, что конфигурация не влияет на локальное подключение к Интернету.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 7 | облако Решение Azure VMware | Интернету; | Да |
| 8 | Виртуальная сеть | Интернету; | Да |
При включении намерения маршрутизации для доступа к Интернету маршрут по умолчанию, создаваемый из безопасного центра Виртуальная глобальная сеть, автоматически объявляется подключениям к одноранговым виртуальным сетям. Обратите внимание, что в сетевых картах виртуальных машин в виртуальной сети в следующем прыжке находится брандмауэр концентратора 0.0.0.0/0. Чтобы найти следующий прыжок, выберите "Действующие маршруты " в сетевом адаптере.
Следующие шаги
- Параметры виртуального концентратора
- Настройка брандмауэра Azure в концентраторе виртуальной глобальной сети
- Настройка брандмауэра нового поколения Palo Alto Networks Cloud Next Generation в Виртуальная глобальная сеть
- Настройка намерения и политик маршрутизации с помощью портала Виртуальная глобальная сеть