本文探讨了 Azure VMware 解决方案网络设计拓扑以及单区域和双区域方案的注意事项,这些方案使用了具有路由意向的安全 Azure 虚拟 WAN。 它介绍了路由意向如何通过集中式安全解决方案来引导流量。 此方法既能提高安全性,又能简化网络管理。 本文提供了使用和不使用 Azure ExpressRoute Global Reach 的部署设计注意事项。 它着重介绍了每种方案的优势与挑战。
可以在虚拟 WAN 中心中实现安全解决方案,以便将中心转换为安全虚拟 WAN 中心。 要配置路由意向,必须有一个安全虚拟 WAN 中心。 路由意向可将所有专用流量和 Internet 流量导向中心安全解决方案,从而简化安全中心路由和安全设计。 路由意向提高了安全的广度,并会对通过安全中心的所有流量(包括 Azure VMware 解决方案流量)进行流量检查。
本文假定你已基本了解虚拟 WAN 和具有路由意向的安全虚拟 WAN。
有关更多信息,请参阅以下资源:
为Azure VMware 解决方案设计实现安全虚拟 WAN
使用具有路由意向的安全虚拟 WAN 将所有 Internet 流量和专用网络流量 (RFC 1918) 发送到安全解决方案,例如 Azure 防火墙、非 Microsoft 网络虚拟设备 (NVA) 或软件即服务 (SaaS) 解决方案。 要支持单区域和双区域设计,可使用 Azure VMware 解决方案以及安全虚拟 WAN 和路由意向。
单区域设计
使用单区域设计检查虚拟中心安全解决方案中进出 Azure VMware 解决方案的网络流量。 此方法可简化网络管理,同时增强整体安全态势。 如果要在不同区域部署另一个采用双区域设计的 Azure VMware 解决方案私有云,也可以直接采用此设计。 在单区域中心中启用路由意向,以帮助以后扩展到双中心区域设计。 此设计支持带或不带 Global Reach 的配置。
双区域或双中心设计
使用双区域设计来检查两个虚拟中心安全解决方案上的网络流量。 检查进出 Azure VMware 解决方案的流量,并检查位于不同区域中的 Azure VMware 解决方案私有云之间的流量。 在两个区域中心上启用路由意向,以便流量可以通过两个中心的安全解决方案进行传递。 具有路由意向的双区域设计提高了安全性,同时简化了跨区域的网络管理。 此设计支持带或不带 Global Reach 的配置。
Global Reach 部署选项
使用 Global Reach 将 Azure VMware 解决方案连接到本地或区域 Azure VMware 解决方案私有云。 Global Reach 通过 Microsoft 主干建立直接逻辑链接。
使用 Global Reach 进行部署
部署 Global Reach 时,Global Reach 站点之间的流量会绕过安全虚拟 WAN 中心防火墙。 安全虚拟 WAN 中心防火墙不会检查在 Azure VMware 解决方案和本地之间或不同区域中 Azure VMware 解决方案私有云之间传输的 Global Reach 流量。
例如,下图显示了 Azure VMware 解决方案和本地之间的流量如何使用标为 A 的 Global Reach 连接进行通信。 由于有 Global Reach 连接 A,因此该流量不会通过中心防火墙。为了优化 Global Reach 站点之间的安全性,Azure VMware 解决方案环境的 NSX-T 或本地的防火墙必须对流量进行检查。
Global Reach 简化了设计,因为它提供了 Azure VMware 解决方案与本地或区域 Azure VMware 解决方案私有云之间的直接逻辑连接。 使用 Global Reach 帮助排除 Global Reach 站点之间的流量故障,同时消除安全虚拟 WAN 的吞吐量限制。 不足之处在于,Global Reach 会阻止安全虚拟中心安全解决方案检查区域 Azure VMware 解决方案私有云和本地之间以及 Azure VMware 解决方案私有云内部的流量。 因此,安全虚拟中心的安全解决方案无法检查直接在这些实体之间传输的流量。
不使用 Global Reach 的部署
建议始终使用 Global Reach,除非存在其他特殊要求。 如果不使用 Global Reach,可以检查 Azure VMware 解决方案与本地或区域 Azure VMware 解决方案私有云之间安全虚拟 WAN 中心安全解决方案上的所有流量。 但这种方法增加了设计的复杂性。 此外,还要考虑安全虚拟 WAN 中心的吞吐量限制。 除非存在以下限制,否则要使用 Global Reach。
必须检查 Azure VMware 解决方案与本地之间以及 Azure VMware 解决方案私有云内部虚拟 WAN 中心上的流量。 如果存在检查 Azure VMware 解决方案与本地之间流量,或检查虚拟中心防火墙上区域 Azure VMware 解决方案私有云之间流量的安全性要求,则不能使用 Global Reach。
区域不支持 Global Reach。 如果某个区域不支持 Global Reach,则可以使用路由意向在 ExpressRoute 连接之间建立连接,无论是在 Azure VMware 解决方案和本地之间,还是在区域 Azure VMware 解决方案私有云之间。 默认情况下,虚拟中心不支持 ExpressRoute 到 ExpressRoute 的传递性。 要启用此传递性,则必须启动支持票证。 有关详细信息,请参阅 ExpressRoute Global Reach 可用性。
本地 ExpressRoute 实例会使用 ExpressRoute 本地 SKU。 ExpressRoute 本地 SKU 不支持 Global Reach。 如果使用本地 SKU,可以使用路由意向在 Azure VMware 解决方案和本地网络之间建立连接。
下图显示了一个不使用 Global Reach 的示例。
考虑单区域或双区域的 Global Reach 选项
请遵循以下指南来确定是否需要在方案中启用 Global Reach。
具有 Global Reach 的单区域设计
在单区域中使用 Global Reach 时,安全中心会通过 Azure 防火墙、非 Microsoft NVA 或 SaaS 解决方案等安全解决方案来路由所有专用流量和 Internet 流量。 在下图中,路由意向会检查流量,但 Azure VMware 解决方案和本地之间的 Global Reach 流量会绕过中心防火墙(连接 A)。 因此,需要使用 Azure VMware 解决方案中的 NSX-T 或本地防火墙来检查这些 Global Reach 流量,以提高跨 Global Reach 站点的安全性。
下表显示了进出 Azure VMware 解决方案的流量。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| Azure VMware 解决方案 | → ← |
虚拟网络 | 是 |
| Azure VMware 解决方案 | → ← |
Internet | 是 |
| Azure VMware 解决方案 | → ← |
本地 | 否 |
下表显示了进出虚拟网络的流量。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 虚拟网络 | → ← |
本地 | 是 |
| 虚拟网络 | → ← |
Internet | 是 |
| 虚拟网络 | → ← |
虚拟网络 | 是 |
没有 Global Reach 的单区域设计
当没有在单区域中使用 Global Reach 时,安全中心会通过安全解决方案来路由所有专用流量和 Internet 流量。 路由意向会检查流量。 采用这种设计后,Azure VMware 解决方案和本地之间的流量将通过中心防火墙进行检查。 虚拟集线器默认不支持 ExpressRoute 到 ExpressRoute 的传递性。 要启用此传递性,则必须启动支持票证。 在支持票证完成后,安全中心会将默认 RFC 1918 地址播发给 Azure VMware 解决方案和本地。 在使用本地的路由意向时,无法将完全默认的 RFC 1918 地址前缀(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)播发回 Azure。 相反,必须始终播发更具体的路由。
下表显示了进出 Azure VMware 解决方案的流量。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| Azure VMware 解决方案 | → ← |
本地 | 是 |
| Azure VMware 解决方案 | → ← |
Internet | 是 |
| Azure VMware 解决方案 | → ← |
虚拟网络 | 是 |
下表显示了进出虚拟网络的流量。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 虚拟网络 | → ← |
本地 | 是 |
| 虚拟网络 | → ← |
Internet | 是 |
| 虚拟网络 | → ← |
虚拟网络 | 是 |
具有 Global Reach 的双区域设计
在两个区域中使用 Global Reach 时,需要在虚拟 WAN 内的不同区域中部署两个安全中心。 还可以在不同的区域中设置两个 Azure VMware 解决方案私有云。
下图是此配置的示例。 每个区域 Azure VMware 解决方案私有云会直接连接到其本地区域中心(连接 D)。 本地连接到每个区域中心(连接 E)。 所有 RFC 1918 流量和 Internet 流量都会通过路由意向,经由两个安全中心上的安全解决方案进行路由。 Azure VMware 解决方案私有云通过 Global Reach(连接 A 和 B)与本地进行连接。 Azure VMware 解决方案云通过 Global Reach(连接 C)彼此连接。 Azure VMware 解决方案私有云之间或 Azure VMware 解决方案私有云与本地之间的 Global Reach 流量会绕过两个中心防火墙(连接 A、B 和 C)。 要增强各 Global Reach 站点的安全性,可使用 Azure VMware 解决方案中的 NSX-T 或本地防火墙来检查这些流量。
下表显示了进出“Azure VMware 解决方案私有云区域 1”的流量流。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| Azure VMware 解决方案私有云区域 1 | → ← |
虚拟网络 1 | 是,通过中心 1 防火墙 |
| Azure VMware 解决方案私有云区域 1 | → ← |
虚拟网络 2 | 是,通过中心 1 和中心 2 防火墙 |
| Azure VMware 解决方案私有云区域 1 | → ← |
Internet | 是,通过中心 1 防火墙 |
| Azure VMware 解决方案私有云区域 1 | → ← |
本地 | 否 |
下表显示了进出“Azure VMware 解决方案私有云区域 2”的流量流。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| Azure VMware 解决方案私有云区域 2 | → ← |
虚拟网络 1 | 是,通过中心 1 和中心 2 防火墙 |
| Azure VMware 解决方案私有云区域 2 | → ← |
虚拟网络 2 | 是,通过中心 2 防火墙 |
| Azure VMware 解决方案私有云区域 2 | → ← |
Internet | 是,通过中心 2 防火墙 |
| Azure VMware 解决方案私有云区域 2 | → ← |
本地 | 否 |
下表显示了进出“Azure VMware 解决方案私有云区域 1 和区域 2”的流量流。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| Azure VMware 解决方案私有云区域 1 | → ← |
Azure VMware 解决方案私有云区域 2 | 否 |
下表显示了进出虚拟网络的流量。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 虚拟网络 1 | → ← |
本地 | 是,通过中心 1 防火墙 |
| 虚拟网络 1 | → ← |
Internet | 是,通过中心 1 防火墙 |
| 虚拟网络 1 | → ← |
虚拟网络 2 | 是,通过中心 1 和中心 2 防火墙 |
| 虚拟网络 2 | → ← |
本地 | 是,通过中心 2 防火墙 |
| 虚拟网络 2 | → ← |
Internet | 是,通过中心 2 防火墙 |
没有 Global Reach 的双区域设计
在两个区域中使用 Global Reach 时,需要在虚拟 WAN 内的不同区域中部署两个安全中心。 还可以在不同的区域中设置两个 Azure VMware 解决方案私有云。
下图是此配置的示例。 每个区域 Azure VMware 解决方案私有云会直接连接到其本地区域中心(连接 D)。 本地连接到每个区域中心(连接 E)。 所有 RFC 1918 流量和 Internet 流量都会通过路由意向,经由两个安全中心上的安全解决方案进行路由。
虚拟集线器默认不支持 ExpressRoute 到 ExpressRoute 的传递性。 要启用此传递性,则必须启动支持票证。 在支持票证完成后,安全中心会将默认 RFC 1918 地址播发给 Azure VMware 解决方案和本地。 在打开票证时,请同时引用两个区域中心。 使用 ExpressRoute 到 ExpressRoute 的传递性,以便 Azure VMware 解决方案私有云可以通过虚拟 WAN 中心间相互通信,并且 Azure VMware 解决方案云可以与本地进行通信。
RFC 1918 地址是向本地播发的,因此无法将确切的默认 RFC 1918 地址前缀(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)播发回 Azure。 相反,必须始终播发更具体的路由。
下表显示了进出“Azure VMware 解决方案私有云区域 1”的流量流。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| Azure VMware 解决方案私有云区域 1 | → ← |
虚拟网络 1 | 是,通过中心 1 防火墙 |
| Azure VMware 解决方案私有云区域 1 | → ← |
虚拟网络 2 | 是,通过中心 1 和中心 2 防火墙 |
| Azure VMware 解决方案私有云区域 1 | → ← |
Internet | 是,通过中心 1 防火墙 |
| Azure VMware 解决方案私有云区域 1 | → ← |
本地 | 是,通过中心 1 防火墙 |
下表显示了进出“Azure VMware 解决方案私有云区域 2”的流量流。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| Azure VMware 解决方案私有云区域 2 | → ← |
虚拟网络 1 | 是,通过中心 2 防火墙 |
| Azure VMware 解决方案私有云区域 2 | → ← |
虚拟网络 2 | 是,通过中心 1 和中心 2 防火墙 |
| Azure VMware 解决方案私有云区域 2 | → ← |
Internet | 是,通过中心 2 防火墙 |
| Azure VMware 解决方案私有云区域 2 | → ← |
本地 | 是,通过中心 2 防火墙 |
下表显示了进出“Azure VMware 解决方案私有云区域 1 和区域 2”的流量流。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| Azure VMware 解决方案私有云区域 1 | → ← |
Azure VMware 解决方案私有云区域 2 | 是,通过中心 1 和中心 2 防火墙 |
下表显示了进出虚拟网络的流量。
| 位置 1 | 方向 | 位置 2 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 虚拟网络 1 | → ← |
本地 | 是,通过中心 1 防火墙 |
| 虚拟网络 1 | → ← |
Internet | 是,通过中心 1 防火墙 |
| 虚拟网络 1 | → ← |
虚拟网络 2 | 是,通过中心 1 和中心 2 防火墙 |
| 虚拟网络 2 | → ← |
本地 | 是,通过中心 2 防火墙 |
| 虚拟网络 2 | → ← |
Internet | 是,通过中心 2 防火墙 |