通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure VMware 解决方案的示例体系结构

  • 项目

建立 Azure VMware 解决方案登陆区域时,必须先设计和实现网络功能。 Azure 网络产品和服务支持多种网络方案。 本文介绍四种最常见的网络方案。

  • 方案 1: 具有路由意向的安全虚拟 WAN 中心
  • 场景 2:Azure 虚拟网络中的网络虚拟设备 (NVA) 检查所有网络流量
  • 场景 3:使用或不使用 NSX-T 或 NVA 的 Azure VMware 解决方案的出站流量
  • 方案 4:在具有 Azure 路由服务器的中心虚拟网络中 非Microsoft防火墙解决方案

若要选择适当的体系结构并计划构建服务,请评估组织的工作负载、治理和要求。

场景注意事项

在选择 Azure VMware 解决方案部署方案之前,请查看以下注意事项和关键要求。

  • 针对进入 Azure VMware 解决方案应用程序的 Internet 流量的要求

  • 退出 Azure VMware 解决方案应用程序的 Internet 流量的路径注意事项

  • 用于迁移的网络 L2 扩展

  • 当前体系结构中的 NVA 使用情况

  • Azure VMware 解决方案可连接到标准中心虚拟网络或 Azure 虚拟 WAN 中心。

  • 从本地数据中心到 Azure VMware 解决方案的 Azure ExpressRoute 连接

  • 使用 ExpressRoute Global Reach

  • 针对以下项的流量检查要求:

    • 对 Azure VMware 解决方案应用程序的 Internet 访问
    • Azure VMware 解决方案对 Internet 的访问
    • Azure VMware 解决方案对本地数据中心的访问
    • Azure VMware 解决方案对虚拟网络的访问
    • Azure VMware 解决方案私有云中的流量

下表根据每个方案的 Azure VMware 解决方案流量检查要求介绍了建议和注意事项。

场景 交通检查要求 建议的解决方案设计 注意事项
1 - 从 Internet
- 流向 Internet		 使用带有默认网关传播功能的虚拟WAN安全枢纽。

将 Azure 应用程序网关用于 HTTP 或 HTTPS 流量。 将 Azure 防火墙用于非 HTTP 或 HTTPS 流量。

部署具有路由意向的安全虚拟 WAN 中心。		 此选项使用 Global Reach,这对于本地筛选无效,因为它会绕过虚拟 WAN 中心。
2 - 从 Internet
- 流向 Internet
- 到本地数据中心
- 流向虚拟网络		 在具有路由服务器的中心虚拟网络中使用非 Microsoft 防火墙 NVA 解决方案。

请勿使用 Global Reach。

将应用程序网关用于 HTTP 或 HTTPS 流量。 在 Azure 上将非 Microsoft 防火墙 NVA 用于处理非 HTTP 或 HTTPS 流量。		 如果您希望使用现有的网络虚拟设备(NVA)并将所有流量检查集中在中心虚拟网络中,请选择此选项。
3 - 从 Internet
- 流向 Internet
- 到本地数据中心
- 流向虚拟网络
- 在 Azure VMware 解决方案中		 在 Azure VMware 解决方案中使用 NSX-T 数据中心或非Microsoft NVA 防火墙。

使用应用程序网关处理 HTTPS 流量。 将 Azure 防火墙用于非 HTTPS 流量。

部署受保护的虚拟 WAN 中心,并在 Azure VMware 解决方案中启用公共 IP 地址。		 如果需要检查来自两个或多个 Azure VMware 解决方案私有云的流量,请选择此选项。

使用此选项可以利用 NSX-T 原生功能。 还可以将此选项与在 Azure VMware 解决方案上运行的 NVA 组合在一起。
4 - 从 Internet
- 流向 Internet
- 到本地数据中心
- 流向虚拟网络		 在具有路由服务器的中心虚拟网络中使用非Microsoft防火墙解决方案。

将应用程序网关用于 HTTP 或 HTTPS 流量。 在 Azure 上使用非 Microsoft 防火墙 NVA 以处理非 HTTP 或 HTTPS 流量。

使用本地非Microsoft防火墙 NVA。

在具有路由服务器的中心虚拟网络中部署非Microsoft防火墙解决方案。		 选择此选项可将 0.0.0.0/0 路由从 Azure 中心虚拟网络中的 NVA 播发到 Azure VMware 解决方案。

请考虑以下有关网络场景的要点:

  • 所有场景都具有类似的通过应用程序网关和 Azure 防火墙的入口模式。

  • 可以在 Azure VMware 解决方案中使用 L4 到 L7 负载均衡器解决方案。

  • 可以将 NSX-T 分布式防火墙用于上述任一方案。

以下部分概述了 Azure VMware 解决方案私有云的体系结构模式。 有关详细信息,请参阅 Azure VMware 解决方案网络和互连概念

场景 1:具有路由意向的安全虚拟 WAN 中心

此方案涉及以下体系结构组件和注意事项。

何时使用此方案

如果出现以下情况,请使用此方案:

  • 无需在 Azure VMware 解决方案与本地数据中心之间检查流量。

  • 你需要在 Azure VMware 解决方案工作负载与 Internet 之间进行流量检查。

  • 你需要保护到 Azure VMware 解决方案工作负载的公共入口流量。

另请考虑以下其他因素:

  • 在此情境中,您可以拥有公共 IP 地址。 有关详细信息,请参阅 自定义 IP 地址前缀

  • 如果需要,可以添加面向公众的 L4 或 L7 入站服务。

  • 本地数据中心和 Azure 之间可能尚未建立 ExpressRoute 连接。

概述

下图提供了方案 1 的高级概述。

图表,其中概述了一个带有路由意向的安全虚拟WAN中心的方案1。

下载此体系结构的 PowerPoint 文件

组件

此方案包括以下组件:

  • 用于防火墙的安全虚拟 WAN 中心内的 Azure 防火墙

  • 用于 L7 负载均衡和 Azure Web 应用程序防火墙的应用程序网关

  • 使用 Azure 防火墙执行 L4 层 DNAT(目标网络地址转换),以转换和筛选网络入口流量

  • 虚拟 WAN 中心内通过 Azure 防火墙的出站 Internet

  • EXR、VPN 或 SD-WAN 用于实现本地数据中心与 Azure VMware 解决方案之间的连接。

该图显示了场景 1,其中涉及具有路由意向的安全虚拟 WAN 中心。

下载此体系结构的 Visio 文件

注意事项

  • 安全虚拟 WAN 中心内的 Azure 防火墙会将 0.0.0.0/0 路由播发到 Azure VMware 解决方案。 此路由还会通过 Global Reach 在本地播发。 可以使用 SD-WAN 或 VPN 实现本地路由筛选器,以防止 0.0.0.0/0 路由学习。

  • 即使与安全虚拟 WAN 中心建立的 VPN、ExpressRoute 或虚拟网络连接不需要 0.0.0.0/0 播发,也仍会接收该播发。 若要防止此操作,可以执行以下操作之一:

    • 使用本地边缘设备筛选出 0.0.0.0/0 路由。

    • 对特定连接禁用 0.0.0.0/0 传播。

      1. 断开 ExpressRoute、VPN 或虚拟网络连接的连接。
      2. 启用 0.0.0.0/0 传播。
      3. 对这些特定连接禁用 0.0.0.0/0 传播。
      4. 重新连接这些连接。

  • 可以在与虚拟 WAN 中心连接的分支虚拟网络上托管应用程序网关。

启用 Azure VMware 解决方案,通过 Azure 防火墙检查本地流量

若要使 Azure VMware 解决方案能够通过 Azure 防火墙检查本地流量,请执行以下步骤:

  1. 删除 Azure VMware 解决方案与本地之间的 Global Reach 连接。
  2. 向 Microsoft 支持部门提交支持案例,以便通过使用专用路由策略配置的中心内的防火墙设备启用 ExpressRoute 到 ExpressRoute 传输连接

场景 2:虚拟网络中的 NVA 检查所有网络流量

此方案涉及以下体系结构组件和注意事项。

何时使用此方案

如果出现以下情况,请使用此方案:

  • 你需要在中心虚拟网络中使用非 Microsoft 防火墙 NVA 来检查所有流量,并且出于地缘政治或其他原因不能使用 Global Reach。

    • 你在本地数据中心与 Azure VMware 解决方案之间已建立连接。
    • 你已经在虚拟网络与 Azure VMware 解决方案之间建立了连接。
    • 需要从 Azure VMware 解决方案进行 Internet 访问。
    • 需要通过互联网访问 Azure VMware 解决方案。

  • 需要对 Azure VMware 解决方案私有云外部的防火墙进行精细控制。

  • 需要多个入站服务的公共 IP 地址,并且需要 Azure 中的预定义 IP 地址块。 在这种情况下,你不拥有公共 IP 地址。

此方案假定在本地数据中心和 Azure 之间具有 ExpressRoute 连接。

概述

下图提供了方案 2 的高级概述。

该图显示了场景 2 的概述,其中涉及中心虚拟网络中非 Microsoft NVA 检查所有网络流量。

下载此体系结构的 Visio 文件

组件

此方案包括以下组件:

  • 托管在虚拟网络中的非 Microsoft 防火墙 NVA,用于提供流量检查和其他网络功能。

  • 路由服务器,用于在 Azure VMware 解决方案、本地数据中心和虚拟网络之间路由流量。

  • 用于提供 L7 HTTP 或 HTTPS 负载均衡的应用程序网关。

在这种情况下,必须禁用 ExpressRoute Global Reach。 非 Microsoft NVA 提供对 Azure VMware 解决方案的出站 Internet 访问。

该图显示了场景 2,其中中心虚拟网络中的非 Microsoft NVA 在检查所有网络流量。

下载此体系结构的 Visio 文件

注意事项

  • 请勿为此方案配置 ExpressRoute Global Reach,因为 Azure VMware 解决方案流量直接在 Microsoft Enterprise Edge (MSEE) ExpressRoute 路由器之间流动。 流量跳过中心虚拟网络。

  • 在中心虚拟网络中部署路由服务器。 路由服务器必须与传输虚拟网络中的 NVA 建立边界网关协议 (BGP) 对等连接。 配置路由服务器以允许 分支到分支 连接。

  • 使用自定义路由表和用户定义的路由,在 Azure VMware 解决方案和非 Microsoft 防火墙的 NVA 的负载均衡器之间实现流量的双向路由。 此设置支持所有高可用性模式,包括主动/主动和主动/备用模式,并帮助确保路由对称性。

  • 如果需要 NVA 的高可用性,请查阅 NVA 供应商文档并部署高可用性 NVA

场景 3:使用或不使用 NSX-T 或 NVA 的 Azure VMware 解决方案的出站流量

此方案涉及以下体系结构组件和注意事项。

何时使用此方案

如果出现以下情况,请使用此方案:

  • 你使用的是原生 NSX-T 数据中心平台,因此需要一个用于 Azure VMware 解决方案的平台即服务 (PaaS) 部署。

  • 你需要在 Azure VMware 解决方案中使用自带许可 (BYOL) NVA 来进行流量检查。

  • 需要入站 HTTP、HTTPS 或 L4 服务。

本地数据中心和 Azure 之间可能尚未建立 ExpressRoute 连接。 从 Azure VMware 解决方案到虚拟网络、从 Azure VMware 解决方案到互联网以及从 Azure VMware 解决方案流向本地数据中心的所有流量通过 NSX-T 数据中心的第 0 层或第 1 层网关,或 NVA。

概述

下图提供了方案 3 的高级概述。

该图显示了场景 3 的概述,其中涉及在使用或不使用 NSX-T Data Center 或 NVA 的情况下来自 Azure VMware 解决方案的出站流量。

下载此体系结构的 Visio 文件

组件

此方案包括以下组件:

  • NSX 分布式防火墙,或者 Azure VMware 解决方案中第 1 层背后的 NVA。
  • 用于提供 L7 负载均衡的应用程序网关。
  • 通过 Azure 防火墙的 L4 DNAT。
  • Azure VMware 解决方案的 Internet 突破。

该图显示了场景 3,其中涉及在使用或不使用 NSX-T 数据中心或 NVA 的情况下来自 Azure VMware 解决方案的流出量。

下载此体系结构的 Visio 文件

注意事项

  • 在 Azure 门户中启用 Internet 访问。 对于此方案,出站 IP 地址可能会更改,并且不是固定的。 公共 IP 地址驻留在 NVA 外部。 Azure VMware 解决方案中的 NVA 仍具有专用 IP 地址,并且无法确定出站公共 IP 地址。

  • NVA 是 BYOL,这意味着你自带许可证并为 NVA 实现高可用性。

  • 请参阅 VMware 文档,了解关于 NVA 放置选项的内容,以及有关虚拟机上 8 个虚拟网络接口卡限制的信息。 有关详细信息,请参阅 Azure VMware 解决方案中的 防火墙集成。

方案 4:具有路由服务器的中心虚拟网络中的非Microsoft防火墙解决方案

此方案涉及以下体系结构组件和注意事项。

何时使用此方案

如果出现以下情况,请使用此方案:

  • 你想要通过 Azure 虚拟网络中心内的非 Microsoft NVA 启用 Azure VMware 解决方案 Internet 出口。 你想要检查 Azure VMware 解决方案与虚拟网络之间的流量。

  • 你想要通过本地非 Microsoft NVA 检查本地数据中心与 Azure 之间的流量。

  • 需要多个入站服务的公共 IP 地址,并且需要 Azure 中的预定义 IP 地址块。 在此情境中,你不拥有公共 IP 地址。

  • 需要对 Azure VMware 解决方案私有云外部的防火墙进行精细控制。

概述

下图提供了方案 4 的高级概述。

该图显示了场景 4 的概述,其中为中心虚拟网络中的非 Microsoft NVA。

下载此体系结构的 Visio 文件

组件

此方案包括以下组件:

  • 非 Microsoft NVA 配置为主动/主动或主动/待机模式,这些 NVA 托管在虚拟网络中,以执行防火墙和其他网络功能。

  • 路由服务器 在 Azure VMware 解决方案、本地数据中心和虚拟网络之间交换路由。

  • Azure 虚拟网络中心中的非 Microsoft NVA,用于向 Azure VMware 解决方案提供出站 Internet。

  • ExpressRoute 用于在本地数据中心与 Azure VMware 解决方案之间的连接。

该图表显示了一个在中心虚拟网络中使用非Microsoft NVA的第4个方案。

下载此体系结构的 Visio 文件

注意事项

  • 对于此场景,出站公共 IP 地址将分配到 Azure 虚拟网络中的 NVA。

  • 虚拟网络中心中的非 Microsoft NVA 配置为通过 BGP 和等价多路径 (ECMP) 路由与路线服务对等连接。 这些 NVA 将默认路由 0.0.0.0/0 播发到 Azure VMware 解决方案。

  • 还会通过 Global Reach 在本地播发默认路由 0.0.0.0/0。 在本地环境中实现路由筛选器,以避免默认路由 0.0.0.0/0 被学习。

  • Azure VMware 解决方案与本地网络之间的流量流经 ExpressRoute Global Reach。 有关详细信息,请参阅将本地环境对等互连到 Azure VMware 解决方案。 本地非 Microsoft NVA 在本地与 Azure VMware 解决方案之间执行流量检查,而不是 Azure 虚拟网络中心内的非 Microsoft NVA。

  • 可以将应用程序网关托管在连接到中心的分支虚拟网络上或位于中心虚拟网络的分支虚拟网络上。

后续步骤