本文介绍了在两个区域部署 Azure VMware 解决方案并使用具有路由意向的安全 Azure 虚拟 WAN 时,在连接性、流量流和高可用性方面的最佳做法。 它为如何在没有 Global Reach 的情况下使用这种设计提供了指导。 本文介绍了针对 Azure VMware 解决方案私有云、本地站点和 Azure 本机资源的包含路由意向拓扑的虚拟 WAN。 实现和配置具有路由意向的安全虚拟 WAN 不在本文讨论范围之内。
如果使用的区域不支持 Global Reach,或者有在中心防火墙上检查 Azure VMware 解决方案和本地之间流量的安全要求,则必须开具支持票证以启用 ExpressRoute 到 ExpressRoute 的传递性。 虚拟 WAN 默认不支持 ExpressRoute 到 ExpressRoute 的传递性。 有关详细信息,请参阅使用路由意向在 ExpressRoute 线路之间进行传输连接。
使用没有 Global Reach 的双区域安全虚拟 WAN 设计
只有虚拟 WAN 标准 SKU 支持具有路由意向的安全虚拟 WAN。 使用具有路由意向的安全虚拟 WAN 将所有 Internet 流量和专用网络流量 (RFC 1918) 发送到安全解决方案,如 Azure 防火墙、非 Microsoft 网络虚拟设备 (NVA) 或软件即服务 (SaaS) 解决方案。
此方案的中心配置如下:
双区域网络有一个虚拟 WAN 实例和两个中心。 每个区域都有一个中心。
每个中心都部署了自己的 Azure 防火墙实例,这使得它们成为安全虚拟 WAN 中心。
安全虚拟 WAN 中心已启用路由意向。
此方案还包含以下组件:
每个区域都有自己的 Azure VMware 解决方案私有云和 Azure 虚拟网络。
一个本地站点会同时连接到这两个区域。
注意
如果在连接的本地资源、虚拟网络或 Azure VMware 解决方案中使用非 RFC 1918 前缀,请在路由意向功能的“专用流量前缀”字段中指定这些前缀。 在“专用流量前缀”字段中输入汇总路由,以涵盖范围。 不要输入向虚拟 WAN 播发的确切范围,因为这种规范可能会导致路由问题。 例如,如果 Azure ExpressRoute 线路从内部播发 192.0.2.0/24,请输入 /23 无类域间路由 (CIDR) 范围或更大的范围,例如 192.0.2.0/23。 有关详细信息,请参阅通过虚拟 WAN 门户配置路由意向和策略。
注意
在使用安全虚拟 WAN 中心来配置 Azure VMware 解决方案时,请将中心路由首选项设置为“AS 路径”,以确保在中心上获得最佳的路由结果。 有关详细信息,请参阅虚拟中心路由首选项。
下图演示了此方案的示例。
下表描述了上图中的拓扑连接。
| Connection | 说明 |
|---|---|
| D | Azure VMware 解决方案私有云与其本地区域中心的连接 |
| E | 通过 ExpressRoute 实现与两个区域中心的本地连接 |
| 中心间 | 部署在同一虚拟 WAN 下的两个中心之间的中心间逻辑连接 |
双区域安全虚拟 WAN 流量流
以下各部分介绍了 Azure VMware 解决方案、本地、Azure 虚拟网络和 Internet 的流量和连接。。
Azure VMware 解决方案私有云连接和流量流
下图显示了两个 Azure VMware 解决方案私有云的流量流。
下表描述了上图中的拓扑连接。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 1 | Azure VMware 解决方案云区域 1 | 虚拟网络 1 | 是,通过中心 1 防火墙 |
| 2 | Azure VMware 解决方案云区域 1 | 本地 | 是,通过中心 1 防火墙 |
| 3 | Azure VMware 解决方案云区域 1 | 虚拟网络 2 | 是,通过中心 1 防火墙,然后通过中心 2 防火墙 |
| 4 | Azure VMware 解决方案云区域 1 | Azure VMware 解决方案云区域 2 | 是,通过中心 1 防火墙,然后通过中心 2 防火墙 |
| 5 | Azure VMware 解决方案云区域 2 | 虚拟网络 1 | 是,通过中心 2 防火墙,然后通过中心 1 防火墙 |
| 6 | Azure VMware 解决方案云区域 2 | 虚拟网络 2 | 是,通过中心 2 防火墙 |
| 7 | Azure VMware 解决方案云区域 2 | 本地 | 是,通过中心 2 防火墙 |
每个 Azure VMware 解决方案私有云都通过 ExpressRoute 连接 D 连接到中心。
在安全中心上启用 ExpressRoute 到 ExpressRoute 传递性并启用路由意向时,安全中心会通过连接 D 向 Azure VMware Solution 发送默认 RFC 1918 地址(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)。除默认 RFC 1918 地址外,Azure VMware 解决方案还会从连接到两个中心的 Azure 虚拟网络和分支网络(如 S2S VPN、P2S VPN 和 SD-WAN)中获悉更多特定路由。 Azure VMware 解决方案私有云不会从本地网络中获悉特定路由。
要将流量路由回本地网络,Azure VMware 解决方案会使用通过连接 D 从本地区域中心获悉的默认 RFC 1918 地址。 此流量通过本地区域中心防火墙传输。 中心防火墙使用本地网络的特定路由,通过连接 E 将流量路由至目标。从 Azure VMware 解决方案私有云到虚拟网络的流量都要经过中心防火墙。
本地连接和流量流
下图显示了本地连接的流量流。
下表描述了上图中的拓扑连接。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 2 | 本地 | Azure VMware 解决方案云区域 1 | 是,通过中心 1 防火墙 |
| 7 | 本地 | Azure VMware 解决方案云区域 2 | 是,通过中心 2 防火墙 |
| 8 | 本地 | 虚拟网络 1 | 是,通过中心 1 防火墙 |
| 9 | 本地 | 虚拟网络 2 | 是,通过中心 2 防火墙 |
本地站点通过 ExpressRoute 连接 E 连接到这两个中心。
在两个安全中心上启用 ExpressRoute 到 ExpressRoute 传递性并启用路由意向时,每个安全中心都会通过连接 E 向本地发送默认 RFC 1918 地址(10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16)。除默认 RFC 1918 地址外,本地还会从连接到两个中心的 Azure 虚拟网络和分支网络(如 S2S VPN、P2S VPN 和 SD-WAN)获悉更多特定路由。
本地无法获悉 Azure VMware 解决方案私有云的特定路由。 本地通过连接 E 从两个中心获悉默认 RFC 1918 地址。本地通过连接 E 获悉的默认 RFC 1918 地址会路由到两个 Azure VMware 解决方案私有云。
注意
必须在两个中心上添加特定路由。 如果不在中心添加特定路由,就会引入次优路由,因为本地会在 E 连接之间使用等成本多路径 (ECMP) 路由来处理流向 Azure VMware 解决方案私有云的流量。 因此,本地与 Azure VMware 解决方案私有云之间的流量可能会出现延迟、性能问题或丢包。
要向本地播发更具体的路由,请在路由意向功能的“专用流量前缀”字段中指定这些前缀。 有关详细信息,请参阅通过虚拟 WAN 门户配置路由意向和策略。 需要添加一个包含 Azure VMware 解决方案 /22 块和 Azure VMware 解决方案子网的汇总路由。 如果添加的是完全相同的前缀或更具体的前缀,而不是汇总路由,则会在 Azure 环境中引入路由问题。 仅在“专用流量前缀”字段中包含汇总路由。
如图所示,Azure VMware 解决方案私有云 1 包括从 10.10.0.0/24 到 10.10.7.0/24 的工作负荷子网。 在中心 1 上,汇总路由 10.10.0.0/21 会被添加到“专用流量前缀”中,因为它包含所有八个子网。 此外,在中心 1 上,汇总路由 10.150.0.0/22 会被添加到“专用流量前缀”中,以覆盖 Azure VMware 解决方案管理块。 汇总路由 10.10.0.0/21 和 10.150.0.0/22 通过连接 E 向下播发到本地,这样本地就有了更具体的路由,而不是 10.0.0.0/8。
Azure VMware 解决方案私有云 2 包括从 10.20.0.0/24 到 10.20.7.0/24 的工作负荷子网。 在中心 2 上,汇总路由 10.20.0.0/21 会被添加到“专用流量前缀”中,因为它包含所有八个子网。 此外,在中心 2 上,汇总路由 10.250.0.0/22 会被添加到“专用流量前缀”中,以覆盖 Azure VMware 解决方案管理块。 汇总路由 10.20.0.0/21 和 10.250.0.0/22 会通过连接 E 向下播发到本地,这样本地就有了更具体的路由,而不是 10.0.0.0/8。
可以在“专用流量前缀”字段中添加整个Azure VMware 解决方案管理 /22 块,因为Azure VMware 解决方案不会向 Azure 播发确切的 /22 块。 Azure VMware 解决方案会播发更多具体的路由。
在中心上启用 ExpressRoute 到 ExpressRoute 传递性时,它会将默认 RFC 1918 地址发送到本地网络。 不要将确切的 RFC 1918 前缀播发回 Azure。 同样的路由也会在 Azure 内部产生路由问题。 相反,应该为本地网络向 Azure 播发更具体的路由。
注意
如果将本地的默认 RFC 1918 地址播发到 Azure 并希望继续这样做,则需要将每个 RFC 1918 范围分成两个相等的子范围,然后将这些子范围播发回 Azure。 子范围为 10.0.0.0/9、10.128.0.0/9、172.16.0.0/13、172.24.0.0/13、192.168.0.0/17 和 192.168.128.0/17。
Azure 虚拟网络连接和流量流
下图显示了 Azure 虚拟网络的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 1 | 虚拟网络 1 | Azure VMware 解决方案云区域 1 | 是,通过中心 1 防火墙 |
| 3 | 虚拟网络 2 | Azure VMware 解决方案云区域 1 | 是,通过中心 2 防火墙,然后是中心 1 防火墙 |
| 5 | 虚拟网络 1 | Azure VMware 解决方案云区域 2 | 是,通过中心 1 防火墙,然后是中心 2 防火墙 |
| 6 | 虚拟网络 2 | Azure VMware 解决方案云区域 2 | 是,通过中心 2 防火墙 |
| 8 | 虚拟网络 1 | 本地 | 是,通过中心 1 防火墙 |
| 9 | 虚拟网络 2 | 本地 | 是,通过中心 2 防火墙 |
| 10 | 虚拟网络 1 | 虚拟网络 2 | 是,通过中心 1 防火墙,然后是中心 2 防火墙 |
| 10 | 虚拟网络 2 | 虚拟网络 1 | 是,通过中心 2 防火墙,然后是中心 1 防火墙 |
每个虚拟网络都会直接对等互连到其区域中心。
此图显示了两个虚拟网络中的所有 Azure 本机资源如何获悉其有效路由。 启用路由意向后,中心 1 和中心 2 将向其对等互连的虚拟网络发送默认 RFC 1918 地址。 虚拟网络中的 Azure 本机资源不会从其虚拟网络外部获悉特定路由。
在启用路由意向后,虚拟网络中的所有资源都会获悉默认 RFC 1918 地址,并将其区域中心防火墙作为下一个跃点。 Azure VMware 解决方案私有云通过本地区域中心防火墙上的连接 D 相互通信。 从那里,它们会穿越虚拟 WAN 中心,并在跨区域中心防火墙上接受检查。 Azure VMware 解决方案私有云还可通过本地区域中心防火墙上的 D 连接与本地进行通信。 所有进出虚拟网络的流量都要经过区域中心防火墙。
Internet 连接
本部分介绍如何为 Azure 本机资源以及两个区域中虚拟网络中的 Azure VMware 解决方案私有云提供 Internet 连接。 有关详细信息,请参阅 Internet 连接设计注意事项。 可以使用以下选项为 Azure VMware 解决方案提供 Internet 连接。
- 选项 1:Azure 托管的 Internet 服务
- 选项 2:Azure VMware 解决方案管理的源网络地址转换 (SNAT)
- 选项 3:将 Azure 公共 IPv4 地址连接到 NSX-T 数据中心边缘
具有路由意向的双区域虚拟 WAN 设计支持所有选项,但推荐使用选项 1。 本文后面的方案使用选项 1 来提供 Internet 连接。 选项 1 最适合安全虚拟 WAN,因为它易于检查、部署和管理。
在两个安全中心上启用路由意向后,它会向直接对等互连的虚拟网络播发 RFC 1918。 但也可以播发默认路由 0.0.0.0/0,以便建立与下游资源的 Internet 连接。 启用路由意向后,可以从两个中心防火墙生成默认路由。 此默认路由会向其直接对等互连的虚拟网络和直接连接的 Azure VMware 解决方案进行播发。
Azure VMware 解决方案和虚拟网络 Internet 连接
下图显示了 Azure VMware 解决方案私有云和虚拟网络的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 11 | Azure VMware 解决方案云区域 1 | Internet | 是,通过中心 1 防火墙 |
| 12 | 虚拟网络 2 | Internet | 是,通过中心 2 防火墙 |
| 13 | 虚拟网络 1 | Internet | 是,通过中心 1 防火墙 |
| 14 | Azure VMware 解决方案云区域 2 | Internet | 是,通过中心 2 防火墙 |
为 Internet 流量启用路由意向时,在默认情况下,安全虚拟 WAN 中心不会在 ExpressRoute 线路上播发默认路由。 为帮助确保默认路由从虚拟 WAN 传播到直接连接的 Azure VMware 解决方案,必须在 Azure VMware 解决方案 ExpressRoute 线路上启用默认路由传播。 有关详细信息,请参阅向终结点播发默认路由 0.0.0.0/0。
在启用默认路由传播后,连接 D 会从中心播发默认路由 0.0.0.0/0。 不要为本地 ExpressRoute 线路启用此设置。 建议在本地设备上实现边界网关协议 (BGP) 筛选器,以排除对默认路由的获悉。 BGP 筛选器增加了一个额外的保护层,有助于确保配置不会影响本地 Internet 连接。
为 Internet 访问启用路由意向时,两个区域中心都会生成默认路由,并将其播发到其中心对等互连的虚拟网络连接。 请注意,在虚拟网络中虚拟机的网络接口卡 (NIC) 中,0.0.0.0/0 下一个跃点是中心防火墙。 要查找下一个跃点,请在 NIC 中选择“有效路由”。 默认路由不会通过中心间链路在区域中心间进行播发。 因此,虚拟网络使用其本地区域中心进行 Internet 访问,而它们没有与跨区域中心的备份 Internet 连接。
Azure VMware 解决方案的 Internet 访问弹性
在双区域设计中不使用 Global Reach 时,出站 Internet 连接没有冗余,因为每个 Azure VMware 解决方案私有云都会从本地区域中心获悉默认路由,而不是直接连接到其跨区域中心。 如果区域中断影响到本地区域中心,请使用以下手动配置之一来实现 Internet 冗余。
选项 1
此选项仅用于出站 Internet 访问。 在本地区域中断期间,如果需要为 Azure VMware 解决方案工作负荷提供出站 Internet 访问,请使用 Azure VMware 解决方案管理的 SNAT。 此解决方案可提供便捷的访问。 有关详细信息,请参阅为 Azure VMware 解决方案工作负荷启用托管 SNAT。
方法 2
使用此选项可进行入站和出站 Internet 访问。 在本地区域中断期间,如果需要 Azure VMware 解决方案云的入站和出站 Internet 访问,请使用以下方法。
删除从 Azure VMware 解决方案到本地区域中心的连接(示意图中的连接 D)。
在 Azure 门户中,选择 Azure VMware 解决方案,然后删除为连接 D 创建的授权密钥。
新建一个与跨区域中心的连接。
要处理入站流量,可考虑使用 Azure Front Door 或 Azure 流量管理器来维护区域高可用性。
使用没有 Global Reach 的 VMware HCX 移动优化网络 (MON)
在使用 HCX 网络扩展时,可以启用 HCX 移动优化网络 (MON)。 MON 可在某些情况下提供最佳流量路由,以便防止网络在扩展网络上的本地资源和云资源之间出现重叠或循环。
来自 Azure VMware 解决方案的出口流量
在为特定扩展网络和虚拟机启用 MON 后,流量流会发生变化。 在实现 MON 后,虚拟机的出口流量不会循环回到本地。 相反,它会绕过网络扩展 IPSec 隧道。 虚拟机的流量会从 Azure VMware 解决方案 NSX-T 第 1 层网关流出,进入 NSX-T 第 0 层网关,然后进入虚拟 WAN。
Azure VMware 解决方案的入口流量
在为特定扩展网络和虚拟机启用 MON 时,会引入以下更改。 从 Azure VMware 解决方案 NSX-T,MON 会将 /32 主机路由注入回虚拟 WAN。 虚拟 WAN 会将此 /32 路由播发回本地、虚拟网络和分支网络。 此 /32 主机路由可确保来自本地、虚拟网络和分支网络的流量在进入启用了 MON 的虚拟机时不会使用网络扩展 IPSec 隧道。 源网络的流量会直接到达启用了 MON 的虚拟机,因为它会获悉 /32 路由。
不具有 Global Reach 的安全虚拟 WAN 的 HCX MON 限制
在安全中心上启用 ExpressRoute 到 ExpressRoute 传递性并启用路由意向后,安全中心会将默认 RFC 1918 地址发送到本地和 Azure VMware 解决方案。 除了默认的 RFC 1918 地址外,本地和 Azure VMware 解决方案还能从连接到中心的 Azure 虚拟网络和分支网络中获悉更多特定路由。
然而,本地网络不会从 Azure VMware 解决方案获悉特定路由,而 Azure VMware 解决方案也不会从本地网络获悉特定路由。 相反,这两种环境都依赖于默认的 RFC 1918 地址,以便通过中心防火墙相互路由。 因此,更具体的路由(如 MON 主机路由)不会从 Azure VMware 解决方案 ExpressRoute 播发到基于本地的 ExpressRoute 线路。 反之亦然。 无法获悉特定路由会导致流量流不对称。 流量通过 NSX-T 第 0 层网关流出 Azure VMware 解决方案,但从本地返回的流量则会通过网络扩展 IPSec 隧道返回。
纠正流量不对称
要纠正流量不对称,则需要调整 MON 策略路由。 MON 策略路由决定哪些流量将通过 L2 扩展返回本地网关。 它们还决定哪些流量通过 Azure VMware 解决方案 NSX 第 0 层网关。
如果目标 IP 匹配,且在 MON 策略配置中将其设置为“允许”,则会发生两种操作。 首先,系统会识别数据包。 其次,系统会通过网络扩展设备将数据包发送到本地网关。
如果目标 IP 不匹配或在 MON 策略中将其设置为“拒绝”,则系统会将数据包发送到 Azure VMware 解决方案第 0 层网关进行路由。
下表介绍了 HCX 策略路由。
| 网络 | 重定向到对等方 | 注意 |
|---|---|---|
| Azure 虚拟网络地址空间 | 拒绝 | 显式包含所有虚拟网络的地址范围。 针对 Azure 的流量会通过 Azure VMware 解决方案向外发送,而不会返回本地网络。 |
| 默认 RFC 1918 地址空间 | 允许 | 添加默认 RFC 1918 地址。 此配置可确保任何不符合上述标准的流量都会重新路由回本地网络。 如果本地设置使用不属于 RFC 1918 的地址,则必须显式包含这些范围。 |
| 0.0.0.0/0 地址空间 | 拒绝 | RFC 1918 未涵盖的地址,如可由 Internet 路由的 IP,或与指定条目不匹配的流量,会直接通过 Azure VMware 解决方案退出,而不会重定向回本地网络。 |