你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从 Azure VMware 解决方案启用连接
介绍
在此设计模式中,流量在从本地数据中心到 Azure VMware 解决方案(AVS)私有云的 Microsoft 主干上具有专用通道。 此连接通过 Expressroute Global Reach 实现,这种机制在托管的客户之间提供了一条直接路径,随后可连接到 AVS 专用的 Expressroute 线路。 私有云也有一个从 NSX Edge 到 Internet 的单独、隔离的突破,使此流量不会通过 Expressroute 传输。
为 Internet 单独分组
重要
如果目前处于不支持 Global Reach 的区域,可以通过在 Azure 中部署 Expressroute 网关,从本地传输到 AVS 私有云。 若要提供端到端的可传递性,需要中心虚拟网络(VNET)中的虚拟设备。 请参阅流量检查和默认路由播发一节。
客户个人资料
此体系结构非常适合:
- 低延迟,从 Azure VMware 解决方案 SDDC(软件定义的数据中心)本机传出到 Internet。
- 通过 Expressroute 或 VPN 将本地流量直接定向到 Azure。
- 针对 SDDC 工作负载的入站 L4/L7 服务,如 HTTPS
此设计涵盖的流经 AVS NSX 路由器的流量包括:
- Azure VMware 解决方案到 Azure 原生虚拟网络
- Azure VMware 解决方案到 Internet
- 将 Azure VMware 解决方案连接至本地数据中心
体系结构组件
通过以下方法实现此方案:
- NSX 高级负载均衡器
- 从 Azure VMware 解决方案的 Internet 突破公共 IP,用于源地址转换 (SNAT) 和目标地址转换 (DNAT)
注意
虽然 NSX 高级负载均衡器 (Avi) 直接在 NSX 中提供入站功能,但 Azure 中的 WAF 或应用网关 v2 也可以实现此功能。
关键决策
本文档假设并建议从本地或 AVS 进行默认路由播发。 如果需要从 Azure 发起默认路由,请参阅流量检查和默认路由播发一节。
考虑事项
- 在 Azure 门户中启用“公共 IP 向下连接到 NSX Edge”。 这允许与 Azure VMware 解决方案建立低延迟直接连接,并能够缩放出站连接数。
- 应用 NSX 防火墙的规则创建。
- 使用 NSX 高级负载均衡器均匀地将流量分发到工作负荷。
- 启用防洪(分布式和网关)。
使用 NSX-T 或 NVA 从 AVS 传出
| 交通检查覆盖率 | 建议的解决方案设计 | 注意事项 | Internet 突破 |
|---|---|---|---|
| - Internet 入口 - Internet 出口 - 流向本地数据中心的流量 - 流向 Azure 虚拟网络的流量 - Azure VMware 解决方案中的流量 |
在 Azure VMware 解决方案中使用 NSX-T 或第三方 NVA 防火墙。 使用 NSX-T 高级负载均衡器用于 HTTPS,或使用 NSX-T 防火墙用于非 HTTP/S 流量。 从 Azure VMware 解决方案的 Internet 突破公共 IP,用于 SNAT 和 DNAT。 |
选择此选项,从 Azure VMware 解决方案私有云播发 0.0.0.0/0 路由。 在 Azure 门户中启用“公共 IP 向下连接到 NSX Edge”。 此选项允许与 Azure 建立低延迟连接,并能够缩放出站连接数。 |
Azure VMware 解决方案 |
在本地通过 0.0.0.0/0 播发从 Azure VMware 解决方案传出
| 交通检查覆盖率 | 建议的解决方案设计 | 考虑事项 | Internet 突破 |
|---|---|---|---|
| - Internet 入口 - Internet 出口 - 流向本地数据中心 |
在本地使用虚拟设备 对于 HTTP/S 流量,请使用 Azure 中的 NSX 高级负载均衡器或应用程序网关。 对于非 HTTP/S 流量,请使用 NSX 分布式防火墙。 在 Azure VMware 解决方案中启用公共 IP。 |
选择此选项,从本地数据中心播发 0.0.0.0/0 路由。 |
本地 |
重要
一些传统的 VMware 设备使用服务插入将设备放置在第 0 层路由器上。 第 0 层路由器由Microsoft预配和管理,最终用户不能使用。 所有网络设备和负载均衡器都必须放置在第 1 层。 下一节讨论 AVS 中从参与方设备的默认路由传播。
AVS 中的第三方 NVA 集成
与第三方设备的集成是可能的,但需要仔细考虑。 在此设计中,第三方 NVA(s) 位于一个或多个 T-1 边缘路由器后面。
用户负责提供许可证并实现设备原生的高可用性功能。
在选择此实现时,请注意这些限制。 例如,虚拟机上最多有 8 个虚拟网络接口卡(NIC)。 有关如何在 AVS 中放置 NVA 的详细信息,请参阅:NSX-T 防火墙模式
注意
在使用第三方 NVA 时,Microsoft 使用移动优化网络。
登陆区域注意事项
本部分参考了将 AVS 与 Azure 登陆区域集成的最佳做法。
Azure 路由服务器
Azure 路由服务器(ARS)用于从 AVS 动态传播所学习的路由,并向 VPN 网关提供分支间连接。 与 ARS 所在的 VNET 对等互连的 VNET 也动态地学习路由,这使得可以学习从 AVS 到 Azure 中的中心和分支环境的路由。 Azure 路由服务器的用例包括:
动态路由传播:
- 了解通过 BGP(边界网关协议)从 AVS 到本地 VNET 的特定路由。 然后,对等互连的 VNET 也能学习这些路由。
- 第三方 NVA 集成
- 将 ARS 与 NVA 对等,这样你就不需要对每个 AVS 段使用 UDR 来筛选流量。
- 对等互连 VNET 的返回流量需要一个UDR(用户定义的路由)返回到防火墙的本地接口
- 从 Expressroute 到 VPN 网关的传输机制
- VPN 网关的类型必须为“站点到站点”,并以主动-主动进行配置
若要使用 Azure 路由服务器,必须:
启用“分支到分支”
对 > 1000 个路由使用路由摘要,或使用 Azure 路由服务器常见问题解答(常见问题解答) 中引用的
NO_ADVERTISE BGP communities标记将 NVA 与特定的非 Azure ASN 对等互连。 例如,由于 ARS 使用 65515,VNET 中的其他设备不能使用该 ASN(自治系统编号)。
不支持 IPV6
与 Azure NetApp 文件集成
Azure NetApp 文件 (ANF) 通过 NFS 协议为你提供网络附加数据存储。 ANF 位于 Azure VNET 中,连接到 AVS 中的工作负荷。 通过使用 Azure NetApp 文件支持的 NFS 数据存储,可以扩展存储而不是缩放群集。
- 使用标准网络功能创建 Azure NetApp 文件卷,以通过 ExpressRoute FastPath 从 AVS 私有云启用优化连接
- 在委托子网中部署 ANF
- 中心和分支部署支持高达 10 Gbps 的 ER GW SKU
- 绕过网关端口速度限制需要 Ultra 和 ErGw3AZ SKU
- 通过 Expressroute,读取流量传入,写入流量传出。 通过 Expressroute 线路的出口流量绕过网关并直接转到边缘路由器
- 传入/传出费用在 AVS 中不收取,但如果数据跨越对等互连的 VNET,则会产生传出费用。
- 对 Azure Netapp 文件使用专用 ExpressRoute 网关,不使用共享/集中式 ExpressRoute 网关。
- 不要在 Azure NetApp 文件和 Azure VMware 解决方案之间的数据路径中放置防火墙或 NVA。
- 目前仅支持 NFS v3。
如果你发现意外延迟,请确保 AVS 私有云和 ANF 部署被固定到同一个 AZ(Azure 可用性区域)。 若要实现高可用性,请在单独的 AZ 中创建 ANF 卷并启用 Cross Zone Replication
重要
Microsoft不支持安全 Azure VWAN 中心的 Fastpath,其中可能的最大端口速度为 20 Gbps。 如果需要更大的吞吐量,请考虑使用中心和分支 VNET。
请查看此处,了解如何将 Azure Netapp 文件数据存储库附加到 Azure VMware 解决方案主机
来自本地的 VPN 连接
虽然建议使用 ExpressRoute 专线,但也可以使用 Azure 中的中转中心虚拟网络 (VNET) 通过 IPSEC 从本地连接到 AVS。 此方案需要 VPN 网关和 Azure 路由服务器。 如前所述,Azure 路由服务器支持 VPN 网关与 AVS Expressroute 网关之间的传输性。
交通检查
如前所述,默认路由播发通过“公共 IP 向下连接到 NSX Edge”选项从 AVS 开始,但也有可能继续从本地播发默认路由。 通过在本地或 AVS 的任一终端放置防火墙,实现端到端流量过滤。
Azure 中使用第三方网络虚拟设备进行流量检查的 Azure VMware 解决方案 
在中心 VNET 内或使用 Azure vWAN 时,可以通过第三方 NVA 实现从 Azure 的默认路由播发。 在 Hub and Spoke 部署中,由于 Azure 防火墙不支持 BGP,因此无法使用 Azure 防火墙,不过你可以使用支持 BGP 的第三方设备。 此场景适用于检查以下流量:
- 从本地到 Azure
- 从 Azure 到 Internet
- 从 AVS 到 Internet
- 从 AVS 到 Azure
中心 VNet 中的第三方 NVA 检查 AVS 与 Internet 之间的流量,以及 AVS 与 Azure VNet 之间的流量
| 交通检查要求 | 建议的解决方案设计 | 注意事项 | Internet 突破 |
|---|---|---|---|
| - Internet 入口 - Internet 出口 - 流向本地数据中心 - 流向 Azure 虚拟网络 |
将中心虚拟网络中的第三方防火墙解决方案与 Azure 路由服务器配合使用。 对于 HTTP/S 流量,请使用 Azure 应用程序网关。 对于非 HTTP/S 流量,请使用 Azure 上的第三方防火墙 NVA。 使用本地第三方防火墙 NVA。 使用 Azure 路由服务器在中心虚拟网络中部署第三方防火墙解决方案。 |
选择此选项,将 0.0.0.0/0 路由从 Azure 中心虚拟网络中的 NVA 播发到 Azure VMware 解决方案。 |
Azure |
其他信息
- 使用 Bastion + Jumpbox VM 访问 vCenter - 如果从本地访问 vCenter,请确保从本地网络路由到 /22 AVS 管理网络。 通过键入
Test-NetConnection x.x.x.2 -port 443验证 CLI 中的路由 - DNS 注意事项 - 如果使用专用终结点,请遵循此处详述的指南:Azure 专用终结点 DNS 配置 |Microsoft Learn
后续步骤
- 有关如何从本地 VPN 传输到 Azure VMware 解决方案的详细信息,请参阅以下 VPN 到 ExR 传输操作方法文章:
- 若要详细了解中心和分支网络中的 Azure VMware 解决方案,请参阅在中心和分支体系结构中集成 Azure VMware 解决方案。
- 有关 VMware NSX-T 数据中心网段的详细信息,请参阅 使用 Azure VMware 解决方案配置 NSX-T 数据中心网络组件。
- 有关 Azure 路由器服务器的详细信息,请参阅产品概述 什么是 Azure 路由服务器?
接下来,观察用于建立与 Azure VMware 解决方案的连接的其他设计模式