Använd en Azure VMware Solution-design med en enda region som har Virtual WAN och Global Reach
I den här artikeln beskrivs metodtips för Azure VMware Solution i en enda region när du använder säkert Azure Virtual WAN med routningssyfte. Det ger rekommendationer för anslutningar och trafikflöden för säkert Virtuellt WAN med routningssyfte och Azure ExpressRoute Global Reach. I den här artikeln beskrivs topologin för design i privata moln i Azure VMware Solution, lokala platser och Azure-inbyggda resurser. Implementeringen och konfigurationen av säkert virtuellt WAN med routnings avsikt ligger utanför omfånget för den här artikeln.
Använda säkert virtuellt WAN i en enda region
Endast Virtual WAN Standard SKU stöder säkert virtuellt WAN med routningssyfte. Använd säkert virtuellt WAN med routnings avsikt att skicka all Internettrafik och privat nätverkstrafik till en säkerhetslösning, till exempel Azure Firewall, en virtuell nva-lösning (non-Microsoft Network Virtual Appliance) eller en saaS-lösning (programvara som en tjänst). Du måste ha en säker Virtual WAN-hubb om du använder routnings avsikt.
Kommentar
När du konfigurerar Azure VMware Solution med säkra Virtual WAN-hubbar anger du inställningsalternativet för hubbdirigering till AS-sökväg för att säkerställa optimala routningsresultat på hubben. Mer information finns i Routningsinställningar för virtuell hubb.
Det här scenariots hubb har följande konfiguration:
Nätverket för en region har en Virtual WAN-instans och en hubb.
Hubben har en Azure Firewall-instans distribuerad, vilket gör den till en säker Virtual WAN-hubb.
Den säkra Virtual WAN-hubben har routnings avsikt aktiverad.
I det här scenariot finns även följande komponenter:
En enskild region har ett eget privat Azure VMware Solution-moln och ett virtuellt Azure-nätverk.
En lokal plats ansluter tillbaka till hubben.
Miljön har Global Reach-anslutning.
Global Reach upprättar en direkt logisk länk via Microsofts stamnät, som ansluter Azure VMware Solution till en lokal plats.
Global Reach-anslutningar överförs inte i hubbens brandvägg. Därför inspekteras inte Global Reach-trafik som går åt båda hållen mellan den lokala lösningen och Azure VMware Solution.
Kommentar
För att förbättra säkerheten mellan Global Reach-webbplatser bör du överväga att inspektera trafik i Azure VMware Solution-miljöns NSX-T eller en lokal brandvägg.
Följande diagram visar ett exempel på det här scenariot.
I följande tabell beskrivs topologianslutningen i föregående diagram.
| Connection | beskrivning |
|---|---|
| D | Azure VMware Solution privat molnhanterad ExpressRoute-anslutning till hubben |
| A | Azure VMware Solution Global Reach-anslutning till lokal plats |
| E | Lokal ExpressRoute-anslutning till hubben |
Säker Virtual WAN-trafikflöden för en region
I följande avsnitt beskrivs trafikflöden och anslutningar för Azure VMware Solution, lokalt, virtuella Azure-nätverk och Internet.
Azure VMware Solution– privat molnanslutning och trafikflöden
Följande diagram visar trafikflödena för det privata Azure VMware Solution-molnet.
I följande tabell beskrivs trafikflödet i föregående diagram.
| Trafikflödesnummer | Källa | Mål | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| 1 | Azure VMware Solution Cloud | Virtuellt nätverk | Ja |
| 2 | Azure VMware Solution Cloud | Lokal | Nej |
Det privata Azure VMware Solution-molnet ansluter till sin hubb via ExpressRoute-anslutning D. Azure VMware Solution-molnregionen upprättar en anslutning till lokalt via ExpressRoute Global Reach-anslutning A. Trafik som färdas via Global Reach passerar inte hubbens brandvägg.
I ditt scenario konfigurerar du Global Reach för att förhindra anslutningsproblem mellan den lokala lösningen och Azure VMware Solution.
Lokal anslutning och trafikflöde
Följande diagram visar den lokala platsen som är ansluten till hubben via ExpressRoute-anslutning E. Lokala system kan kommunicera med Azure VMware Solution via Global Reach-anslutningen A.
I ditt scenario konfigurerar du Global Reach för att förhindra anslutningsproblem mellan den lokala lösningen och Azure VMware Solution.
I följande tabell beskrivs trafikflödet i föregående diagram.
| Trafikflödesnummer | Källa | Mål | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| 3 | Lokal | Azure VMware Solution Cloud | Nej |
| 4 | Lokal | Virtuellt nätverk | Ja |
Anslutning och trafikflöde för virtuella Azure-nätverk
En säker hubb med routnings avsikt aktiverad skickar standardadresserna RFC 1918 (10.0.0.0/8, 172.16.0.0/12 och 192.168.0.0/16) till peerkopplade virtuella nätverk, tillsammans med andra prefix som läggs till som prefix för privat trafik. Mer information finns i Routningsprefix för privat adress. Det här scenariot har routnings avsikt aktiverad, så alla resurser i det virtuella nätverket har standardadresserna RFC 1918 och använder hubbbrandväggen som nästa hopp. All trafik som kommer in i och avslutar det virtuella nätverket överförs hubbens brandvägg.
Följande diagram visar hur det virtuella nätverket peer-datorer direkt till hubben.
I följande tabell beskrivs trafikflödet i föregående diagram.
| Trafikflödesnummer | Källa | Mål | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| 5 | Virtuellt nätverk | Azure VMware Solution Cloud | Ja |
| 6 | Virtuellt nätverk | Azure VMware Solution Cloud | Ja |
Internet-anslutning
I det här avsnittet beskrivs hur du tillhandahåller Internetanslutning till Azure-inbyggda resurser i ett virtuellt nätverk och i ett privat Azure VMware Solution-moln. Mer information finns i Designöverväganden för Internetanslutning. Du kan använda följande alternativ för att tillhandahålla Internetanslutning till Azure VMware Solution.
- Alternativ 1: Azure-värdbaserad Internettjänst
- Alternativ 2: Azure VMware Solution-managed Source Network Address Translation (SNAT)
- Alternativ 3: Offentlig IPv4-adress i Azure till NSX-T Data Center-gränsen
En säker virtual WAN-design med en enda region som har routnings avsikt stöder alla alternativ, men vi rekommenderar alternativ 1. Scenariot senare i den här artikeln använder alternativ 1 för att tillhandahålla internetanslutning. Alternativ 1 fungerar bäst med säkert Virtuellt WAN eftersom det är enkelt att inspektera, distribuera och hantera.
När du använder routnings avsikt kan du generera en standardväg från hubbens brandvägg. Den här standardvägen annonserar till ditt virtuella nätverk och till Azure VMware Solution.
Azure VMware Solution och internetanslutning för virtuella nätverk
När du aktiverar routningssyfte för Internettrafik annonserar den säkra Virtual WAN-hubben som standard inte standardvägen över ExpressRoute-kretsar. För att säkerställa att standardvägen sprids till Azure VMware Solution från Virtual WAN måste du aktivera standardvägsspridning på Azure VMware Solution ExpressRoute-kretsar. Mer information finns i Annonsera standardväg 0.0.0.0/0 till slutpunkter.
När du har aktiverat standardflödesspridning annonserar anslutning D standardvägen 0.0.0.0/0 från hubben. Aktivera inte den här inställningen för lokala ExpressRoute-kretsar. Connection D annonserar standardvägen 0.0.0.0/0 till Azure VMware Solution, men Global Reach (anslutning A) annonserar också standardvägen till den lokala miljön. Därför rekommenderar vi att du implementerar ett BGP-filter (Border Gateway Protocol) på din lokala utrustning så att den inte lär sig standardvägen. Det här steget hjälper dig att se till att konfigurationen inte påverkar den lokala Internetanslutningen.
I följande tabell beskrivs trafikflödet i föregående diagram.
| Trafikflödesnummer | Källa | Mål | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| 7 | Azure VMware Solution Cloud | Internet | Ja |
| 8 | Virtuellt nätverk | Internet | Ja |
När du aktiverar routningssyfte för Internetåtkomst annonseras den standardväg som genererar från den säkra virtuella WAN-hubben automatiskt till de hubb-peerkopplade virtuella nätverksanslutningarna. Observera att i de virtuella datorernas nätverkskort (NIC) i det virtuella nätverket är nästa hopp 0.0.0.0/0 hubbens brandvägg. Om du vill hitta nästa hopp väljer du Effektiva vägar i nätverkskortet.