本文介绍了在单区域内使用具有路由意向的安全 Azure 虚拟 WAN 时 Azure VMware 解决方案的最佳做法。 它为具有路由意向和 Azure ExpressRoute Global Reach 的安全虚拟 WAN 提供连接和流量流建议。 本文介绍了 Azure VMware 解决方案私有云、本地站点和 Azure 本地资源中设计的拓扑结构。 实现和配置具有路由意向的安全虚拟 WAN 不在本文讨论范围之内。
在单个区域中使用安全虚拟 WAN
只有虚拟 WAN 标准 SKU 支持具有路由意向的安全虚拟 WAN。 使用具有路由意向的安全虚拟 WAN 将所有 Internet 流量和专用网络流量发送到安全解决方案,如 Azure 防火墙、非 Microsoft 网络虚拟设备 (NVA) 或软件即服务 (SaaS) 解决方案。 如果使用路由意向,则必须有一个安全虚拟 WAN 中心。
注意
在使用安全虚拟 WAN 中心来配置 Azure VMware 解决方案时,请将中心路由首选项设置为“AS 路径”,以确保在中心上获得最佳的路由结果。 有关详细信息,请参阅虚拟中心路由首选项。
此方案的中心配置如下:
单区域网络有一个虚拟 WAN 实例和一个中心。
该中心部署了 Azure 防火墙实例,使其成为一个安全虚拟 WAN 中心。
安全虚拟 WAN 中心已启用路由意向。
此方案还包含以下组件:
一个单区域都有自己的 Azure VMware 解决方案私有云和 Azure 虚拟网络。
本地站点会连接回中心。
该环境具有 Global Reach 连接。
Global Reach 通过 Microsoft 主干建立直接逻辑链接,而该主干将 Azure VMware 解决方案与本地连接起来。
Global Reach 连接不会经过中心防火墙。 因此,在本地和 Azure VMware 解决方案之间双向传输的 Global Reach 流量不会受到检查。
注意
要加强 Global Reach 站点之间的安全性,可考虑在 Azure VMware 解决方案环境的 NSX-T 或本地防火墙内检查流量。
下图演示了此方案的示例。
下表描述了上图中的拓扑连接。
| Connection | 说明 |
|---|---|
| D | Azure VMware 解决方案私有云管理的 ExpressRoute 与中心的连接 |
| A | Azure VMware 解决方案与本地 Global Reach 的连接 |
| E | 本地 ExpressRoute 与中心的连接 |
单区域安全虚拟 WAN 流量流
以下各部分介绍了 Azure VMware 解决方案、本地、Azure 虚拟网络和 Internet 的流量和连接。。
Azure VMware 解决方案私有云连接和流量流
下图显示了 Azure VMware 解决方案私有云的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 1 | Azure VMware 解决方案云 | 虚拟网络 | 是 |
| 2 | Azure VMware 解决方案云 | 本地 | 否 |
Azure VMware 解决方案私有云通过 ExpressRoute 连接 D 连接到其中心。Azure VMware 解决方案云区域通过 ExpressRoute Global Reach 连接 A 与本地建立连接。通过 Global Reach 传输的流量不会经过中心防火墙。
对于方案,请配置 Global Reach 以防止本地与 Azure VMware 解决方案之间出现连接问题。
本地连接和流量流
下图显示了本地站点通过 ExpressRoute 连接 E 连接到中心。本地系统可通过 Global Reach 连接 A 与 Azure VMware 解决方案通信。
对于方案,请配置 Global Reach 以防止本地与 Azure VMware 解决方案之间出现连接问题。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 3 | 本地 | Azure VMware 解决方案云 | 否 |
| 4 | 本地 | 虚拟网络 | 是 |
Azure 虚拟网络连接和流量流
启用路由意向的安全中心会向对等互连的虚拟网络发送默认 RFC 1918 地址(10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16)以及作为专用流量前缀添加的任何其他前缀。 有关详细信息,请参阅路由意向专用地址前缀。 此方案启用了路由意向,因此虚拟网络中的所有资源都拥有默认的 RFC 1918 地址,并使用中心防火墙作为下一个跃点。 所有进出虚拟网络的流量都要经过中心防火墙。
下图显示了虚拟网络如何直接与中心进行对等互连。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 5 | 虚拟网络 | Azure VMware 解决方案云 | 是 |
| 6 | 虚拟网络 | Azure VMware 解决方案云 | 是 |
Internet 连接
本部分介绍如何在虚拟网络和 Azure VMware 解决方案私有云中为 Azure 本机资源提供 Internet 连接。 有关详细信息,请参阅 Internet 连接设计注意事项。 可以使用以下选项为 Azure VMware 解决方案提供 Internet 连接。
- 选项 1:Azure 托管的 Internet 服务
- 选项 2:Azure VMware 解决方案管理的源网络地址转换 (SNAT)
- 选项 3:将 Azure 公共 IPv4 地址连接到 NSX-T 数据中心边缘
具有路由意向的单区域安全虚拟 WAN 设计支持所有选项,但推荐使用选项 1。 本文后面的方案使用选项 1 来提供 Internet 连接。 选项 1 最适合安全虚拟 WAN,因为它易于检查、部署和管理。
在使用路由意向时,可从中心防火墙生成默认路由。 此默认路由会向虚拟网络和 Azure VMware 解决方案进行播发。
Azure VMware 解决方案和虚拟网络 Internet 连接
为 Internet 流量启用路由意向时,在默认情况下,安全虚拟 WAN 中心不会在 ExpressRoute 线路上播发默认路由。 为帮助确保默认路由从虚拟 WAN 传播到 Azure VMware 解决方案,必须在 Azure VMware 解决方案 ExpressRoute 线路上启用默认路由传播。 有关详细信息,请参阅向终结点播发默认路由 0.0.0.0/0。
在启用默认路由传播后,连接 D 会从中心播发默认路由 0.0.0.0/0。 不要为本地 ExpressRoute 线路启用此设置。 连接 D 会将默认路由 0.0.0.0/0 播发到 Azure VMware 解决方案,但 Global Reach(连接 A)也会将默认路由播发到本地。 因此,建议在本地设备上实现边界网关协议 (BGP) 筛选器,使其无法获悉默认路由。 此步骤有助于确保配置不会影响本地 Internet 连接。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 7 | Azure VMware 解决方案云 | Internet | 是 |
| 8 | 虚拟网络 | Internet | 是 |
在为 Internet 访问启用路由选择意图时,从安全虚拟 WAN 中心生成的默认路由会自动向中心对等互连的虚拟网络连接进行播发。 请注意,在虚拟网络中虚拟机的网络接口卡 (NIC) 中,0.0.0.0/0 下一个跃点是中心防火墙。 要查找下一个跃点,请在 NIC 中选择“有效路由”。