本文概述了在两个区域中部署 Azure VMware 解决方案时有关连接、流量流和高可用性的最佳做法。 它为使用路由意向和 Azure ExpressRoute Global Reach 的安全 Azure 虚拟 WAN 提供指导。 本文介绍了针对 Azure VMware 解决方案私有云、本地站点和 Azure 本机资源的包含路由意向拓扑的虚拟 WAN。
实现和配置具有路由意向的安全虚拟 WAN 不在本文讨论范围之内。 本文假定你已基本了解虚拟 WAN 和具有路由意向的安全虚拟 WAN。
在两个区域中使用安全的虚拟 WAN 和 Global Reach
只有虚拟 WAN 标准 SKU 支持具有路由意向的安全虚拟 WAN。 使用具有路由意向的安全虚拟 WAN 将所有 Internet 流量和专用网络流量发送到安全解决方案,如 Azure 防火墙、非 Microsoft 网络虚拟设备 (NVA) 或软件即服务 (SaaS) 解决方案。 如果使用路由意向,则必须有一个安全虚拟 WAN 中心。
此方案的中心配置如下:
双区域网络有一个虚拟 WAN 和两个中心。 每个区域都有一个中心。
每个中心都部署了自己的 Azure 防火墙实例,这使得它们成为安全虚拟 WAN 中心。
安全虚拟 WAN 中心已启用路由意向。
此方案还包含以下组件:
每个区域都有自己的 Azure VMware 解决方案私有云和 Azure 虚拟网络。
一个本地站点会同时连接到这两个区域。
该环境具有 Global Reach 连接。
Global Reach 通过 Microsoft 主干建立直接逻辑链接,该连接将 Azure VMware 解决方案连接到企业内部或区域 Azure VMware 解决方案私有云。
Global Reach 连接不会经过中心防火墙。 因此,不会检查站点间的 Global Reach 流量。
注意
要加强 Global Reach 站点之间的安全性,可考虑在 Azure VMware 解决方案环境的 NSX-T 或本地防火墙内检查流量。
下图演示了此方案的示例。
下表描述了上图中的拓扑连接。
| Connection | 说明 |
|---|---|
| A | Azure VMware 解决方案区域 1 Global Reach 连接回本地 |
| B | Azure VMware 解决方案区域 2 Global Reach 连接回本地 |
| C | Azure VMware 解决方案两个私有云托管线路之间的 Global Reach 连接 |
| D | Azure VMware 解决方案私有云与其本地区域中心的连接 |
| E | 通过 ExpressRoute 实现与两个区域中心的本地连接 |
| 中心间 | 部署在同一虚拟 WAN 下的两个中心之间的中心间逻辑连接 |
注意
在使用安全虚拟 WAN 中心来配置 Azure VMware 解决方案时,请将中心路由首选项设置为“AS 路径”,以确保在中心上获得最佳的路由结果。 有关详细信息,请参阅虚拟中心路由首选项。
双区域安全虚拟 WAN 流量流
以下各部分介绍了使用 Global Reach 时 Azure VMware 解决方案、本地、Azure 虚拟网络和 Internet 的流量和连接。
Azure VMware 解决方案私有云跨区域连接和流量流
下图显示了两个区域中两个 Azure VMware 解决方案私有云的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 1 | Azure VMware 解决方案云区域 1 | 虚拟网络 1 | 是,通过中心 1 防火墙 |
| 2 | Azure VMware 解决方案云区域 1 | 本地 | 否,流量会绕过防火墙并通过 Global Reach 连接 A 传输 |
| 3 | Azure VMware 解决方案云区域 1 | 虚拟网络 2 | 是,通过中心 2 防火墙 |
| 4 | Azure VMware 解决方案云区域 1 | Azure VMware 解决方案云区域 2 | 否,流量会绕过防火墙并通过 Global Reach 连接 C 传输 |
| 5 | Azure VMware 解决方案云区域 2 | 虚拟网络 1 | 是,通过中心 1 防火墙 |
| 6 | Azure VMware 解决方案云区域 2 | 虚拟网络 2 | 是,通过中心 2 防火墙 |
| 7 | Azure VMware 解决方案云区域 2 | 本地 | 否,流量会绕过防火墙并通过 Global Reach 连接 B 传输 |
每个 Azure VMware 解决方案私有云都通过 ExpressRoute 连接 D 连接到其本地区域中心。
每个 Azure VMware 解决方案云区域都通过 ExpressRoute Global Reach 连接回本地网络。 每个 Azure VMware 解决方案云区域都有自己的 Global Reach 连接(连接 A 和 B)。 Azure VMware 解决方案私有云通过 Global Reach 连接 C 直接相互连接。Global Reach 流量从不会经过任何中心防火墙传输。
配置所有三个 Global Reach 连接。 必须执行此步骤,以防止 Global Reach 站点之间出现连接问题。
本地连接和流量流
下图显示了本地站点的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 2 | 本地 | Azure VMware 解决方案云区域 1 | 否,流量会绕过防火墙并通过 Global Reach 连接 A 传输 |
| 7 | 本地 | Azure VMware 解决方案云区域 2 | 否,流量会绕过防火墙并通过 Global Reach 连接 B 传输 |
| 8 | 本地 | 虚拟网络 1 | 是,通过中心 1 防火墙 |
| 9 | 本地 | 虚拟网络 2 | 是,通过中心 2 防火墙 |
本地站点通过 ExpressRoute 连接 E 连接到区域 1 和区域 2 中心。
本地系统可通过 Global Reach 连接 A 与 Azure VMware 解决方案云区域 1 通信,通过 Global Reach 连接 B 与 Azure VMware 解决方案云区域 2 通信。
配置所有三个 Global Reach 连接。 必须执行此步骤,以防止 Global Reach 站点之间出现连接问题。
Azure 虚拟网络连接和流量流
下图显示了虚拟网络的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 1 | 虚拟网络 1 | Azure VMware 解决方案云区域 1 | 是,通过中心 1 防火墙 |
| 3 | 虚拟网络 2 | Azure VMware 解决方案云区域 1 | 是,通过中心 2 防火墙 |
| 5 | 虚拟网络 1 | Azure VMware 解决方案云区域 2 | 是,通过中心 1 防火墙 |
| 6 | 虚拟网络 2 | Azure VMware 解决方案云区域 2 | 是,通过中心 2 防火墙 |
| 8 | 虚拟网络 1 | 本地 | 是,通过中心 1 防火墙 |
| 9 | 虚拟网络 2 | 本地 | 是,通过中心 2 防火墙 |
| 10 | 虚拟网络 1 | 虚拟网络 2 | 是,通过中心 1 防火墙。 然后,流量通过中心间连接,并通过中心 2 防火墙进行检查。 |
这两个虚拟网络都直接与其本地区域中心对等互连。
具有路由意向的安全中心会向对等互连的虚拟网络发送默认 RFC 1918 地址(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),以及作为专用流量前缀添加的任何其他前缀。 有关详细信息,请参阅路由意向专用地址前缀。
此情况启用了路由意向,因此虚拟网络 1 和虚拟网络 2 中的所有资源都拥有默认的 RFC 1918 地址,并使用本地区域中心中心作为下一个跃点。 所有进出虚拟网络的流量都要经过中心防火墙。
Internet 连接
本部分介绍如何为 Azure 本机资源以及两个区域中虚拟网络中的 Azure VMware 解决方案私有云提供 Internet 连接。 有关详细信息,请参阅 Internet 连接设计注意事项。 可以使用以下选项为 Azure VMware 解决方案提供 Internet 连接。
- 选项 1:Azure 托管的 Internet 服务
- 选项 2:VMware 解决方案管理的源网络地址转换 (SNAT)
- 选项 3:将 Azure 公共 IPv4 地址连接到 NSX-T 数据中心边缘
具有路由意向的双区域虚拟 WAN 设计支持所有选项,但推荐使用选项 1。 本文后面的方案使用选项 1 来提供 Internet 连接。 选项 1 最适合安全虚拟 WAN,因为它易于检查、部署和管理。
在使用路由意向时,可从中心防火墙生成默认路由。 此默认路由会向虚拟网络和 Azure VMware 解决方案私有云进行播发。
Azure VMware 解决方案和虚拟网络 Internet 连接
下图显示了 Azure VMware 解决方案实例和虚拟网络的 Internet 连接情况。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? | Internet 突破 |
|---|---|---|---|---|
| 11 | Azure VMware 解决方案云区域 1 | Internet | 是,通过中心 1 防火墙 | 通过中心 1 防火墙 |
| 12 | Azure VMware 解决方案云区域 2 | Internet | 是,通过中心 2 防火墙 | 通过中心 2 防火墙 |
| 15 | 虚拟网络 1 | Internet | 是,通过中心 1 防火墙 | 通过中心 1 防火墙 |
| 16 | 虚拟网络 2 | Internet | 是,通过中心 2 防火墙 | 通过中心 2 防火墙 |
以下流量流仅在本地区域中心发生故障时才会处于活动状态。 例如,如果 Azure VMware 解决方案的本地区域中心发生故障,Internet 流量就会重新路由到跨区域中心,以实现 Internet 连接。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? | Internet 突破 |
|---|---|---|---|---|
| 13 | Azure VMware 解决方案云区域 1 | Internet | 是,流量通过 Global Reach 连接 C 传输,中心 2 防火墙会对其进行检查。 | 通过中心 2 防火墙 |
| 14 | Azure VMware 解决方案云区域 2 | Internet | 是,流量通过 Global Reach 连接 C 传输,中心 1 防火墙会对其进行检查。 | 通过中心 1 防火墙 |
Azure VMware 解决方案私有云从其本地区域中心和跨区域中心学习默认 Internet 连接路由,因此可以实现 Internet 连接冗余。 Azure VMware 解决方案私有云会优先将本地区域中心作为主要 Internet 访问连接。 如果本地区域中心出现故障,跨区域中心可作为 Internet 备份。 此设置仅为出站流量提供 Internet 访问冗余。 对于 Azure VMware 解决方案工作负荷的入站 Internet 流量,可考虑使用 Azure Front Door 或 Azure 流量管理器来实现区域高可用性。
Azure VMware 解决方案私有云通过连接 D 从本地区域中心接收首选默认路由 ∞ 0.0.0.0/0。 Azure VMware 解决方案私有云接收备份默认路由 △ 0.0.0.0/0,该路由源自跨区域中心,并在 Global Reach 连接 C 上进行播发。但是,如果在内部 ExpressRoute 连接 E 上启用默认路由播发,则跨区域 Internet 流量也会通过这条路径。
例如,从 Azure VMware 私有云 1 到中心 2 的跨区域 Internet 流量会通过等成本多路径 (ECMP) 路由分配,穿过 Global Reach 连接 C 到连接 D 以及穿过 Global Reach 连接 A 到连接 E。同样,从中心 2 到私有云区域 1 的返回流量也通过 ECMP 穿越相同的路径。 配置所有三个 Global Reach 连接。 必须执行此步骤,以防止 Global Reach 站点之间出现连接问题。
为 Internet 流量启用路由意向时,在默认情况下,安全虚拟 WAN 中心不会在 ExpressRoute 线路上播发默认路由。 为帮助确保默认路由从虚拟 WAN 传播到 Azure VMware 解决方案,必须在 Azure VMware 解决方案 ExpressRoute 线路上启用默认路由传播。 有关详细信息,请参阅向终结点播发默认路由 0.0.0.0/0。
不要为本地 ExpressRoute 线路启用此设置。 连接 D 会将默认路由“∞ 0.0.0.0/0”播发到 Azure VMware 解决方案私有云,但默认路由也会通过 Global Reach 连接 A 和 Global Reach 连接 B 播发到本地。因此,建议在本地设备上实现边界网关协议 (BGP) 筛选器,以排除对默认路由的学习。 此步骤有助于确保配置不会影响本地 Internet 连接。
每个虚拟网络都通过其本地区域中心防火墙流向 Internet。 在为 Internet 访问启用路由选择意图时,安全虚拟 WAN 中心生成的默认路由会自动向中心对等互连的虚拟网络连接进行播发。 但此默认路由不会通过中心间链路在区域中心间进行播发。 因此,虚拟网络使用其本地区域中心进行 Internet 访问,并且没有到跨区域中心的备份 Internet 连接。