Использование единого региона Решение Azure VMware дизайн, который не имеет global Reach
В этой статье описаны рекомендации по Решение Azure VMware в одном регионе при использовании безопасного Виртуальная глобальная сеть Azure с намерением маршрутизации. Он предоставляет рекомендации по подключению и потоку трафика для безопасного Виртуальная глобальная сеть с намерением маршрутизации. В этой статье описывается топология проектов в Решение Azure VMware частных облаках, локальных сайтах и собственных ресурсах Azure, если вы не используете Azure ExpressRoute Global Reach. Реализация и настройка безопасных Виртуальная глобальная сеть с намерением маршрутизации выходит за рамки этой статьи.
Если вы используете регион, который не поддерживает Global Reach или у вас есть требование безопасности для проверки трафика между Решение Azure VMware и локальной средой в брандмауэре концентратора, необходимо открыть запрос в службу поддержки, чтобы включить транзитивность ExpressRoute -to-ExpressRoute. Виртуальная глобальная сеть по умолчанию не поддерживает транзитивность ExpressRoute в ExpressRoute. Дополнительные сведения см. в разделе "Транзитное подключение между каналами ExpressRoute" с намерением маршрутизации.
Использование безопасных Виртуальная глобальная сеть без глобального охвата
Только номер SKU уровня "стандартный" Виртуальная глобальная сеть поддерживает безопасные Виртуальная глобальная сеть с намерением маршрутизации. Используйте безопасные Виртуальная глобальная сеть с намерением маршрутизации для отправки всего интернет-трафика и частного сетевого трафика (RFC 1918) в решение безопасности, например Брандмауэр Azure, виртуальное устройство, отличное от Майкрософт (NVA), или программное обеспечение как услуга (SaaS).
Центр этого сценария имеет следующую конфигурацию:
Сеть с одним регионом имеет экземпляр Виртуальная глобальная сеть и один концентратор.
В концентраторе развернут экземпляр Брандмауэр Azure, что делает его безопасным Виртуальная глобальная сеть концентратором.
Безопасный центр Виртуальная глобальная сеть имеет намерение маршрутизации.
Этот сценарий также содержит следующие компоненты:
В одном регионе есть собственное Решение Azure VMware частное облако и виртуальная сеть Azure.
Локальный сайт подключается к концентратору.
Примечание.
Если вы используете префиксы, отличные от RFC 1918, в подключенных локальных ресурсах, виртуальных сетях или Решение Azure VMware, укажите эти префиксы в поле префиксов частного трафика функции намерения маршрутизации. Введите суммированные маршруты в поле префиксов частного трафика, чтобы покрыть диапазон. Не введите точный диапазон, объявляющий Виртуальная глобальная сеть, так как эта спецификация может привести к проблемам маршрутизации. Например, если канал ExpressRoute объявляет 192.0.2.0/24 из локальной среды, введите диапазон маршрутизации между доменами /23 или больше, например 192.0.2.0/23. Дополнительные сведения см. в разделе "Настройка намерения маршрутизации и политик" на портале Виртуальная глобальная сеть.
Примечание.
При настройке Решение Azure VMware с безопасными центрами Виртуальная глобальная сеть задайте параметр предпочтения маршрутизации концентратора в качестве пути AS, чтобы обеспечить оптимальные результаты маршрутизации в концентраторе. Дополнительные сведения см. в разделе "Параметры маршрутизации виртуального концентратора".
На следующей схеме показан пример этого сценария.
В следующей таблице описывается подключение топологии на предыдущей схеме.
| Connection | Description |
|---|---|
| D | Решение Azure VMware подключение ExpressRoute, управляемое частным облаком, к концентратору |
| E | Локальное подключение ExpressRoute к концентратору |
Потоки трафика для одного региона Виртуальная глобальная сеть без глобального охвата
В следующих разделах описаны потоки трафика и подключение для Решение Azure VMware, локальных, виртуальных сетей Azure и Интернета.
Решение Azure VMware подключения к частному облаку и потокам трафика
На следующей схеме показаны потоки трафика для частного облака Решение Azure VMware.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 1 | облако Решение Azure VMware | Виртуальная сеть | Да |
| 2 | облако Решение Azure VMware | Локально | Да |
В частном облаке Решение Azure VMware подключение ExpressRoute к концентратору (подключение D).
Если включить транзитность ExpressRoute в ExpressRoute в безопасном концентраторе и включить намерение маршрутизации, безопасный концентратор отправляет адреса RFC 1918 по умолчанию (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) для Решение Azure VMware через D. Помимо адресов RFC 1918 по умолчанию, Решение Azure VMware узнает более конкретные маршруты из виртуальных сетей Azure и сетей филиалов, таких как VPN S2S, VPN P2S и SD-WAN, которые подключаются к концентратору. Решение Azure VMware не изучает определенные маршруты из локальных сетей. Чтобы перенаправить трафик обратно в локальные сети, Решение Azure VMware использует адреса RFC 1918 по умолчанию, полученные из подключения D. Этот трафик передается через брандмауэр концентратора. Брандмауэр концентратора использует определенные маршруты для локальных сетей для маршрутизации трафика к назначениям через подключение E. Трафик, передаваемый из Решение Azure VMware в виртуальные сети, передает брандмауэр концентратора.
Локальный поток подключения и трафика
На следующей схеме показаны потоки трафика для локального подключения.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 3 | Локально | облако Решение Azure VMware | Да |
| 4 | Локально | Виртуальная сеть | Да |
Локальный сайт подключается к концентратору через подключение ExpressRoute E.
Если включить транзитность ExpressRoute в ExpressRoute в безопасном концентраторе и включить намерение маршрутизации, безопасный концентратор отправляет адреса RFC 1918 по умолчанию в локальную среду по протоколу E. Помимо адресов RFC 1918 по умолчанию локальные маршруты из виртуальных сетей Azure и сетей филиалов, которые подключаются к концентратору. Локальные маршруты не изучаются из Решение Azure VMware сетей. Чтобы перенаправить трафик обратно в сети Решение Azure VMware, Решение Azure VMware использует адреса RFC 1918 по умолчанию, полученные из подключения E. Этот трафик передается через брандмауэр концентратора. Брандмауэр концентратора использует определенные маршруты для Решение Azure VMware сетей для маршрутизации трафика к местам назначения через подключение D. Трафик, передаваемый из локальной среды в виртуальные сети, передает брандмауэр концентратора.
При включении транзитивности ExpressRoute -to-ExpressRoute в концентраторе он отправляет адреса RFC 1918 по умолчанию в локальную сеть. Поэтому вы не должны объявлять точные префиксы RFC 1918 обратно в Azure. Реклама одинаковых маршрутов создает проблемы маршрутизации в Azure. Вместо этого следует объявлять более конкретные маршруты обратно в Azure для локальных сетей.
Примечание.
Если вы объявляете адреса RFC 1918 по умолчанию из локальной среды в Azure и хотите продолжить эту практику, необходимо разделить каждый диапазон RFC 1918 на два равных подранга и объявить эти подранги обратно в Azure. Подранги — 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 и 192.168.128.0/17.
Подключение к виртуальной сети Azure и поток трафика
На следующей схеме показаны потоки трафика для подключения к виртуальной сети Azure.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 5 | Виртуальная сеть | облако Решение Azure VMware | Да |
| 6 | Виртуальная сеть | Локально | Да |
В этом сценарии одноранговые узлы виртуальной сети непосредственно в концентраторе. На схеме показано, как собственные ресурсы Azure в виртуальной сети изучают свои маршруты. Безопасный концентратор с включенным намерением маршрутизации отправляет адреса RFC 1918 по умолчанию в пиринговые виртуальные сети. Собственные ресурсы Azure в виртуальной сети не изучают определенные маршруты за пределами виртуальной сети. При включении намерения маршрутизации все ресурсы в виртуальной сети имеют адрес RFC 1918 по умолчанию и используйте брандмауэр концентратора в качестве следующего прыжка. Весь трафик, который входит и выходит из виртуальных сетей, передает брандмауэр концентратора.
Подключение к Интернету
В этом разделе описывается, как обеспечить подключение к Интернету для собственных ресурсов Azure в виртуальных сетях и Решение Azure VMware частных облаках в одном регионе. Дополнительные сведения см . в рекомендациях по проектированию подключения к Интернету. Вы можете использовать следующие параметры для подключения к Интернету Решение Azure VMware.
- Вариант 1. Размещенная в Azure служба Интернета
- Вариант 2. Преобразование сетевых адресов с Решение Azure VMware управляемым Решение Azure VMware (SNAT)
- Вариант 3. Общедоступный IPv4-адрес Azure к пограничному центру обработки данных NSX-T
Безопасная Виртуальная глобальная сеть единого региона, которая имеет намерение маршрутизации, поддерживает все варианты, но рекомендуется вариант 1. В следующем примере в этой статье используется вариант 1 для предоставления подключения к Интернету. Вариант 1 лучше всего работает с безопасными Виртуальная глобальная сеть, так как легко проверять, развертывать и управлять ими.
При включении намерения маршрутизации в безопасном концентраторе она объявляет RFC 1918 для всех пиринговых виртуальных сетей. Но вы также можете объявить маршрут по умолчанию 0.0.0.0/0/0 для подключения к Интернету к подчиненным ресурсам. При использовании намерения маршрутизации можно создать маршрут по умолчанию из брандмауэра концентратора. Этот маршрут по умолчанию объявляется виртуальной сети и Решение Azure VMware.
Решение Azure VMware и подключение к Интернету виртуальной сети
При включении намерения маршрутизации для интернет-трафика по умолчанию безопасный Виртуальная глобальная сеть концентратор не объявляет маршрут по умолчанию через каналы ExpressRoute. Чтобы убедиться, что маршрут по умолчанию распространяется на Решение Azure VMware из Виртуальная глобальная сеть, необходимо включить распространение маршрутов по умолчанию в каналах ExpressRoute Решение Azure VMware. Дополнительные сведения см. в разделе "Объявление маршрута по умолчанию 0.0.0.0/0" к конечным точкам.
На следующей схеме показаны потоки трафика для виртуальной сети и Решение Azure VMware подключения к Интернету.
В следующей таблице описывается поток трафика на предыдущей схеме.
| Номер потока трафика | Источник | Назначение | Проверяет ли этот трафик защищенный брандмауэр Виртуальная глобальная сеть концентратора? |
|---|---|---|---|
| 7 | Виртуальная сеть | Интернету; | Да |
| 8 | облако Решение Azure VMware | Интернету; | Да |
После включения распространения маршрутов по умолчанию подключение D объявляет маршрут по умолчанию 0.0.0.0/0/0 из концентратора. Не включите этот параметр для локальных каналов ExpressRoute. Рекомендуется реализовать фильтр протокола BGP на локальном оборудовании. Фильтр BGP не позволяет ресурсам непреднамеренно изучать маршрут по умолчанию, добавляет дополнительный уровень предосторожности и помогает гарантировать, что конфигурация не влияет на локальное подключение к Интернету.
При включении намерения маршрутизации для доступа к Интернету маршрут по умолчанию, создаваемый из безопасного центра Виртуальная глобальная сеть, автоматически объявляется подключениям к одноранговым виртуальным сетям. Обратите внимание, что в сетевых адаптерах виртуальных машин в виртуальной сети в следующем прыжке находится брандмауэр концентратора 0.0.0.0/0. Чтобы найти следующий прыжок, выберите "Действующие маршруты " в сетевом адаптере.
Использование оптимизированной сети VMware HCX Mobility (MON) без глобального охвата
При использовании сетевого расширения HCX Mobility Optimized Network (MON) можно включить HCX Mobility Optimized Network (MON). MON обеспечивает оптимальную маршрутизацию трафика в определенных сценариях, чтобы предотвратить перекрытие сетей или циклирование между локальными и облачными ресурсами в расширенных сетях.
Исходящий трафик из Решение Azure VMware
При включении MON для определенной расширенной сети и виртуальной машины поток трафика изменяется. После реализации MON исходящий трафик из виртуальной машины не выполняет цикл обратно в локальную среду. Вместо этого он проходит туннель IPSec расширения сети. Трафик для виртуальной машины выходит из шлюза NSX-T уровня 1 Решение Azure VMware, переходит к шлюзу NSX-T уровня 0, а затем переходит к Виртуальная глобальная сеть.
Входящий трафик в Решение Azure VMware
При включении MON для определенной расширенной сети и виртуальной машины вы введете следующие изменения. Из Решение Azure VMware NSX-T MON внедряет маршрут узла /32 обратно в Виртуальная глобальная сеть. Виртуальная глобальная сеть объявляет этот маршрут /32 обратно в локальные, виртуальные сети и сети филиалов. Этот маршрут узла /32 гарантирует, что трафик из локальных, виртуальных сетей и сетей филиалов не использует туннель IPSec расширения сети при переходе трафика на виртуальную машину с поддержкой MON. Трафик из исходных сетей напрямую переходит к виртуальной машине с поддержкой MON, так как он узнает маршрут /32.
Ограничение HCX MON для безопасного Виртуальная глобальная сеть без глобального охвата
Если включить транзитность ExpressRoute -to-ExpressRoute в безопасном концентраторе и включить намерение маршрутизации, безопасный концентратор отправляет адреса RFC 1918 по умолчанию как в локальную среду, так и в Решение Azure VMware. Помимо адресов RFC 1918 по умолчанию, локальные и Решение Azure VMware узнайте больше о конкретных маршрутах из виртуальных сетей Azure и сетей филиалов, которые подключаются к концентратору.
Но локальные сети не изучают определенные маршруты из Решение Azure VMware, а Решение Azure VMware не изучают определенные маршруты из локальных сетей. Вместо этого обе среды полагаются на адреса RFC 1918 по умолчанию, чтобы упростить маршрутизацию обратно в другую через брандмауэр концентратора. Поэтому более конкретные маршруты, такие как маршруты узлов MON, не объявляются из Решение Azure VMware ExpressRoute в локальный канал ExpressRoute. То же самое будет наблюдаться и в обратной ситуации. Неспособность узнать конкретные маршруты вводит асимметричные потоки трафика. Исходящий трафик Решение Azure VMware через шлюз NSX-T Уровня 0, но возврат трафика из локальной среды возвращается через туннель IPSec расширения сети.
Исправление асимметрии трафика
Чтобы исправить асимметрию трафика, необходимо настроить маршруты политики MON. Маршруты политики MON определяют, какой трафик возвращается к локальному шлюзу через расширение L2. Они также решают, какой трафик проходит через шлюз NSX уровня 0 Решение Azure VMware.
Если целевой IP-адрес совпадает и вы задали его в конфигурации политики MON, происходит два действия. Во-первых, система идентифицирует пакет. Во-вторых, система отправляет пакет в локальный шлюз через устройство расширения сети.
Если целевой IP-адрес не соответствует или вы задали его запрету в политике MON, система отправляет пакет в шлюз Решение Azure VMware уровня 0 для маршрутизации.
В следующей таблице описаны маршруты политики HCX.
| Network | Перенаправление на одноранговый узел | Примечание. |
|---|---|---|
| Диапазон адресов виртуальной сети Azure | Запрет | Явно включите диапазоны адресов для всех виртуальных сетей. Трафик, предназначенный для исходящего трафика Azure через Решение Azure VMware и не возвращается в локальную сеть. |
| Адресные пространства RFC 1918 по умолчанию | Разрешить | Добавьте адреса RFC 1918 по умолчанию. Эта конфигурация гарантирует, что трафик, который не соответствует указанным выше критериям, перенаправляется обратно в локальную сеть. Если локальная настройка использует адреса, которые не являются частью RFC 1918, необходимо явно включить эти диапазоны. |
| Адресное пространство 0.0.0.0/0 | Запрет | Адреса, которые RFC 1918 не охватывают, например IP-адреса, доступные в Интернете, или трафик, который не соответствует указанным записям, выходит непосредственно через Решение Azure VMware и не перенаправляется обратно в локальную сеть. |
Следующие шаги
- Параметры виртуального концентратора
- Настройка брандмауэра Azure в концентраторе виртуальной глобальной сети
- Настройка брандмауэра нового поколения Palo Alto Networks Cloud Next Generation в Виртуальная глобальная сеть
- Настройка намерения и политик маршрутизации с помощью портала Виртуальная глобальная сеть