Säker Virtual WAN för Azure VMware Solution i en enda region eller i dubbla regioner
I den här artikeln beskrivs topologier och överväganden för nätverksdesign i Azure VMware Solution för scenarier med en region och dubbla regioner som använder säker Azure Virtual WAN med routningssyfte. Den beskriver hur routnings avsikt dirigerar trafik via en centraliserad säkerhetslösning. Den här metoden förbättrar säkerheten och effektiviserar nätverkshanteringen. Den här artikeln innehåller designöverväganden för distributioner med och utan Azure ExpressRoute Global Reach. Den belyser fördelarna och utmaningarna i varje scenario.
Du kan implementera en säkerhetslösning i Virtual WAN-hubben för att konvertera hubben till en säker Virtual WAN-hubb. För att konfigurera routnings avsikt måste du ha en säker Virtual WAN-hubb. Routnings avsikten driver all privat trafik och internettrafik till hubbens säkerhetslösning, vilket effektiviserar din säkra hubbroutning och säkerhetsdesign. Routningssyfte förbättrar säkerhetsbredden och utför en trafikinspektion för all trafik som går via den säkra hubben, inklusive Azure VMware Solution-trafik.
Den här artikeln förutsätter att du har en grundläggande förståelse för Virtual WAN och säkert virtuellt WAN med routnings avsikt.
Mer information finns i följande resurser:
- Vad är Virtual WAN?
- Vad är en säker virtuell hubb?
- Konfigurera avsikts- och routningsprinciper för Virtual WAN Hub
- ExpressRoute Global Reach
Implementera säker Virtual WAN för Azure VMware Solution-design
Använd säkert virtuellt WAN med routnings avsikt att skicka all internettrafik och privat nätverkstrafik (RFC 1918) till en säkerhetslösning, till exempel Azure Firewall, en virtuell nätverksinstallation (NVA) som inte kommer från Microsoft eller en saaS-lösning (programvara som en tjänst). Om du vill ha stöd för design för både en region och dubbla regioner använder du Azure VMware Solution tillsammans med säker avsikt för Virtual WAN och routning.
Design för en region
Använd designen för en region för att inspektera nätverkstrafik i den virtuella hubbsäkerhetslösningen som går till och från Azure VMware Solution. Den här metoden förenklar nätverkshanteringen och förbättrar din övergripande säkerhetsstatus. Den här designen förbereder dig också om du vill distribuera ett annat privat Azure VMware Solution-moln i en annan region som har en design med dubbla regioner. Aktivera routnings avsikt i en enda regionhubb för att skala till en regiondesign med dubbla hubbar senare. Den här designen stöder konfigurationer med eller utan Global Reach.
Design med dubbla regioner eller dubbla hubbar
Använd en design med dubbla regioner för att inspektera nätverkstrafik på två säkerhetslösningar för virtuell hubb. Inspektera trafik till och från Azure VMware Solution och inspektera trafik i privata Azure VMware Solution-moln som finns i olika regioner. Aktivera routnings avsikt på båda regionala hubbar så att trafiken kan passera genom båda hubbsäkerhetslösningarna. En design med dubbla regioner med routnings avsikt förbättrar säkerheten och förenklar nätverkshanteringen mellan regioner. Den här designen stöder konfigurationer med eller utan Global Reach.
Distributionsalternativ för Global Reach
Använd Global Reach för att ansluta Azure VMware Solution till lokala eller regionala privata Moln för Azure VMware Solution. Global Reach upprättar en direkt logisk länk via Microsofts stamnät.
Distribution med Global Reach
När du distribuerar Global Reach kringgår trafiken mellan Global Reach-platserna den säkra brandväggen för Virtual WAN-hubben. Den säkra brandväggen för Virtual WAN-hubben inspekterar inte Global Reach-trafik som går mellan Azure VMware Solution och lokalt eller mellan privata Azure VMware Solution-moln i olika regioner.
Följande diagram visar till exempel hur trafik mellan Azure VMware Solution och lokalt använder Global Reach-anslutningen märkt som A för att kommunicera. Den här trafiken passerar inte hubbens brandvägg på grund av Global Reach-anslutning A. För optimal säkerhet mellan Global Reach-webbplatser måste Azure VMware Solution-miljöns NSX-T eller en lokal brandvägg inspektera trafiken.
Global Reach förenklar designen eftersom den ger en direkt logisk anslutning mellan Azure VMware Solution och lokala eller regionala privata Azure VMware Solution-moln. Använd Global Reach för att felsöka trafik mellan Global Reach-webbplatser och eliminera dataflödesbegränsningar i det säkra virtuella WAN-nätverket. En nackdel är att Global Reach hindrar den säkra säkerhetslösningen för virtuell hubb från att inspektera trafik mellan regionala privata Moln i Azure VMware Solution och lokalt, och även i privata moln i Azure VMware Solution. Säkerhetslösningen för den säkra virtuella hubben kan därför inte inspektera trafiken som flödar direkt mellan dessa entiteter.
Distribution utan global räckvidd
Vi rekommenderar att du konsekvent använder Global Reach om du inte har specifika krav. När du inte använder Global Reach kan du inspektera all trafik på den säkra säkerhetslösningen för Virtual WAN Hub mellan Azure VMware Solution och de lokala eller regionala privata molnen i Azure VMware Solution. Men den här metoden ökar designens komplexitet. Tänk också på dataflödesbegränsningarna på den säkra Virtual WAN-hubben. Använd Global Reach om du inte har någon av följande begränsningar.
Du måste inspektera trafik på Virtual WAN-hubben mellan Azure VMware Solution och lokalt, och även i privata Moln i Azure VMware Solution. Du kan inte använda Global Reach om du har ett säkerhetskrav för att inspektera trafik mellan Azure VMware Solution och lokalt, eller mellan regionala privata Azure VMware Solution-moln i brandväggen för den virtuella hubben.
En region stöder inte Global Reach. Om en region inte stöder Global Reach kan du använda routnings avsikten att upprätta anslutning mellan ExpressRoute-anslutningar, oavsett om det är mellan Azure VMware Solution och lokala eller mellan regionala privata Azure VMware Solution-moln. Som standard stöder virtuella hubbar inte ExpressRoute till ExpressRoute-transitivitet. Om du vill aktivera den här transitiviteten måste du initiera ett supportärende. Mer information finns i ExpressRoute Global Reach-tillgänglighet.
Din lokala ExpressRoute-instans använder den lokala ExpressRoute-SKU:n. ExpressRoute Local SKU stöder inte Global Reach. Om du använder den lokala SKU:n kan du använda routnings avsikten att upprätta en anslutning mellan Azure VMware Solution och ditt lokala nätverk.
Följande diagram visar ett exempel som inte använder Global Reach.
Överväg alternativ för global räckvidd för en enskild region eller för dubbla regioner
Använd följande vägledning för att avgöra om du behöver aktivera Global Reach för ditt scenario.
Design för en region med global räckvidd
När du använder Global Reach i en enda region dirigerar den säkra hubben all privat trafik och Internettrafik via en säkerhetslösning, till exempel Azure Firewall, en nva-lösning som inte kommer från Microsoft eller en SaaS-lösning. I följande diagram inspekterar routnings avsikten trafik, men Global Reach-trafik mellan Azure VMware Solution och lokalt kringgår hubbens brandvägg (anslutning A). Därför måste du inspektera den här globala räckviddstrafiken med NSX-T i Azure VMware Solution eller en lokal brandvägg för bättre säkerhet på globala Reach-webbplatser.
I följande tabell visas trafikflödet till och från Azure VMware Solution.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Virtuella nätverk | Ja |
| Azure VMware Solution | → ← |
Internet | Ja |
| Azure VMware Solution | → ← |
Lokal | Nej |
I följande tabell visas trafikflödet till och från virtuella nätverk.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Virtuella nätverk | → ← |
Lokal | Ja |
| Virtuella nätverk | → ← |
Internet | Ja |
| Virtuella nätverk | → ← |
Virtuella nätverk | Ja |
Design för en region som inte har global räckvidd
När du inte använder Global Reach i en enda region dirigerar den säkra hubben all privat trafik och Internettrafik via en säkerhetslösning. Routnings avsikt inspekterar trafik. Med den här designen överförs trafiken mellan Azure VMware Solution och den lokala hubbens brandvägg för inspektion. Virtuella hubbar stöder inte ExpressRoute till ExpressRoute-transitivitet som standard. Om du vill aktivera den här transitiviteten måste du initiera ett supportärende. När supportärendet har uppfyllts annonserar den säkra hubben standardadresserna för RFC 1918 till Azure VMware Solution och lokalt. När du använder routnings avsikten lokalt kan du inte annonsera de exakta standard-RFC 1918-adressprefixen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) tillbaka till Azure. I stället måste du alltid annonsera mer specifika vägar.
I följande tabell visas trafikflödet till och från Azure VMware Solution.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Azure VMware Solution | → ← |
Lokal | Ja |
| Azure VMware Solution | → ← |
Internet | Ja |
| Azure VMware Solution | → ← |
Virtuella nätverk | Ja |
I följande tabell visas trafikflödet till och från virtuella nätverk.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Virtuella nätverk | → ← |
Lokal | Ja |
| Virtuella nätverk | → ← |
Internet | Ja |
| Virtuella nätverk | → ← |
Virtuella nätverk | Ja |
Design med dubbla regioner som har global räckvidd
När du använder Global Reach i två regioner distribuerar du två säkra hubbar i olika regioner i ditt virtuella WAN. Du kan också konfigurera två privata Azure VMware Solution-moln i separata regioner.
Följande diagram visar ett exempel på den här konfigurationen. Varje regionalt privat Azure VMware Solution-moln ansluter direkt till sin lokala regionala hubb (anslutning D). Lokalt ansluter till varje regional hubb (anslutning E). All RFC 1918-trafik och internettrafik dirigerar via en säkerhetslösning på båda säkra hubbarna via routnings avsikt. Privata Moln i Azure VMware Solution har anslutningar tillbaka till den lokala miljön via Global Reach (anslutningarna A och B). Azure VMware Solution-moln ansluter till varandra via Global Reach (anslutning C). Global Räckviddstrafik mellan privata Azure VMware Solution-moln eller mellan privata Azure VMware Solution-moln och lokalt kringgår de två hubbbrandväggarna (anslutningarna A, B och C). Använd NSX-T i Azure VMware Solution eller en lokal brandvägg för att inspektera trafiken om du vill ha bättre säkerhet på globala Reach-webbplatser.
I följande tabell visas trafikflödet till och från den privata molnregionen Azure VMware Solution 1.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Azure VMware Solution– privat molnregion 1 | → ← |
Virtuellt nätverk 1 | Ja, via hubb 1-brandväggen |
| Azure VMware Solution– privat molnregion 1 | → ← |
Virtuellt nätverk 2 | Ja, via hubb 1- och hubb 2-brandväggarna |
| Azure VMware Solution– privat molnregion 1 | → ← |
Internet | Ja, via hubb 1-brandväggen |
| Azure VMware Solution– privat molnregion 1 | → ← |
Lokal | Nej |
I följande tabell visas trafikflödet till och från den privata molnregionen Azure VMware Solution 2.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Azure VMware Solution– privat molnregion 2 | → ← |
Virtuellt nätverk 1 | Ja, via hubb 1- och hubb 2-brandväggarna |
| Azure VMware Solution– privat molnregion 2 | → ← |
Virtuellt nätverk 2 | Ja, via hubb 2-brandväggen |
| Azure VMware Solution– privat molnregion 2 | → ← |
Internet | Ja, via hubb 2-brandväggen |
| Azure VMware Solution– privat molnregion 2 | → ← |
Lokal | Nej |
I följande tabell visas trafikflödet till och från Azure VMware Solution private cloud region 1 och region 2.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Azure VMware Solution– privat molnregion 1 | → ← |
Azure VMware Solution– privat molnregion 2 | Nej |
I följande tabell visas trafikflödet till och från virtuella nätverk.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Virtuellt nätverk 1 | → ← |
Lokal | Ja, via hubb 1-brandväggen |
| Virtuellt nätverk 1 | → ← |
Internet | Ja, via hubb 1-brandväggen |
| Virtuellt nätverk 1 | → ← |
Virtuellt nätverk 2 | Ja, via hubb 1- och hubb 2-brandväggarna |
| Virtuellt nätverk 2 | → ← |
Lokal | Ja, via hubb 2-brandväggen |
| Virtuellt nätverk 2 | → ← |
Internet | Ja, via hubb 2-brandväggen |
Design med dubbla regioner som inte har global räckvidd
När du använder Global Reach i två regioner distribuerar du två säkra hubbar i olika regioner i ditt virtuella WAN. Du kan också konfigurera två privata Azure VMware Solution-moln i separata regioner.
Följande diagram visar ett exempel på den här konfigurationen. Varje regionalt privat Azure VMware Solution-moln ansluter direkt till sin lokala regionala hubb (anslutning D). Lokalt ansluter till varje regional hubb (anslutning E). All RFC 1918-trafik och internettrafik dirigerar via en säkerhetslösning på båda säkra hubbarna via routnings avsikt.
Virtuella hubbar stöder inte ExpressRoute till ExpressRoute-transitivitet som standard. Om du vill aktivera den här transitiviteten måste du initiera ett supportärende. När supportärendet har uppfyllts annonserar de säkra hubbarna standardadresserna för RFC 1918 till Azure VMware Solution och lokalt. Referera till båda regionala hubbarna när du öppnar biljetten. Använd ExpressRoute till ExpressRoute-transitivitet så att privata Azure VMware Solution-moln kan kommunicera med varandra via Virtual WAN-interhub och Azure VMware Solution-molnet kan kommunicera med lokalt.
RFC 1918-adresser annonseras till lokalt, du kan inte annonsera de exakta standardprefixen för RFC 1918-adress (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) tillbaka till Azure. I stället måste du alltid annonsera mer specifika vägar.
I följande tabell visas trafikflödet till och från den privata molnregionen Azure VMware Solution 1.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Azure VMware Solution– privat molnregion 1 | → ← |
Virtuellt nätverk 1 | Ja, via hubb 1-brandväggen |
| Azure VMware Solution– privat molnregion 1 | → ← |
Virtuellt nätverk 2 | Ja, via hubb 1- och hubb 2-brandväggarna |
| Azure VMware Solution– privat molnregion 1 | → ← |
Internet | Ja, via hubb 1-brandväggen |
| Azure VMware Solution– privat molnregion 1 | → ← |
Lokal | Ja, via hubb 1-brandväggen |
I följande tabell visas trafikflödet till och från den privata molnregionen Azure VMware Solution 2.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Azure VMware Solution– privat molnregion 2 | → ← |
Virtuellt nätverk 1 | Ja, via hubb 2-brandväggen |
| Azure VMware Solution– privat molnregion 2 | → ← |
Virtuellt nätverk 2 | Ja, via hubb 1- och hubb 2-brandväggarna |
| Azure VMware Solution– privat molnregion 2 | → ← |
Internet | Ja, via hubb 2-brandväggen |
| Azure VMware Solution– privat molnregion 2 | → ← |
Lokal | Ja, via hubb 2-brandväggen |
I följande tabell visas trafikflödet till och från Azure VMware Solution private cloud region 1 och region 2.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Azure VMware Solution– privat molnregion 1 | → ← |
Azure VMware Solution– privat molnregion 2 | Ja, via hubb 1- och hubb 2-brandväggarna |
I följande tabell visas trafikflödet till och från virtuella nätverk.
| Plats 1 | Riktning | Plats 2 | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| Virtuellt nätverk 1 | → ← |
Lokal | Ja, via hubb 1-brandväggen |
| Virtuellt nätverk 1 | → ← |
Internet | Ja, via hubb 1-brandväggen |
| Virtuellt nätverk 1 | → ← |
Virtuellt nätverk 2 | Ja, via hubb 1- och hubb 2-brandväggarna |
| Virtuellt nätverk 2 | → ← |
Lokal | Ja, via hubb 2-brandväggen |
| Virtuellt nätverk 2 | → ← |
Internet | Ja, via hubb 2-brandväggen |
Relaterade resurser
- Azure VMware Solution-design för en region som har Virtual WAN och Global Reach
- Lösningsdesign för En region i Azure VMware som inte har global räckvidd
- Azure VMware Solution-design med dubbla regioner som har Virtual WAN och Global Reach
- Azure VMware Solution-design med dubbla regioner som inte har global räckvidd