本文介绍了在单区域内使用具有路由意向的安全 Azure 虚拟 WAN 时 Azure VMware 解决方案的最佳做法。 它为具有路由意向的安全虚拟 WAN 提供连接和流量流建议。 本文介绍了不使用 Azure ExpressRoute Global Reach 时,Azure VMware 解决方案私有云、本地站点和 Azure 本机资源中设计的拓扑结构。 实现和配置具有路由意向的安全虚拟 WAN 不在本文讨论范围之内。
如果使用的区域不支持 Global Reach,或者有在中心防火墙上检查 Azure VMware 解决方案和本地之间流量的安全要求,则必须开具支持票证以启用 ExpressRoute 到 ExpressRoute 的传递性。 虚拟 WAN 默认不支持 ExpressRoute 到 ExpressRoute 的传递性。 有关详细信息,请参阅使用路由意向在 ExpressRoute 线路之间进行传输连接。
使用没有 Global Reach 的安全虚拟 WAN
只有虚拟 WAN 标准 SKU 支持具有路由意向的安全虚拟 WAN。 使用具有路由意向的安全虚拟 WAN 将所有 Internet 流量和专用网络流量 (RFC 1918) 发送到安全解决方案,如 Azure 防火墙、非 Microsoft 网络虚拟设备 (NVA) 或软件即服务 (SaaS) 解决方案。
此方案的中心配置如下:
单区域网络有一个虚拟 WAN 实例和一个中心。
该中心部署了 Azure 防火墙实例,使其成为一个安全虚拟 WAN 中心。
安全虚拟 WAN 中心已启用路由意向。
此方案还包含以下组件:
一个单区域都有自己的 Azure VMware 解决方案私有云和 Azure 虚拟网络。
本地站点会连接回中心。
注意
如果在连接的本地资源、虚拟网络或 Azure VMware 解决方案中使用非 RFC 1918 前缀,请在路由意向功能的“专用流量前缀”字段中指定这些前缀。 在“专用流量前缀”字段中输入汇总路由,以涵盖范围。 不要输入向虚拟 WAN 播发的确切范围,因为这种规范可能会导致路由问题。 例如,如果 ExpressRoute 线路从内部播发 192.0.2.0/24,请输入 /23 无类域间路由 (CIDR) 范围或更大的范围,例如 192.0.2.0/23。 有关详细信息,请参阅通过虚拟 WAN 门户配置路由意向和策略。
注意
在使用安全虚拟 WAN 中心来配置 Azure VMware 解决方案时,请将中心路由首选项设置为“AS 路径”,以确保在中心上获得最佳的路由结果。 有关详细信息,请参阅虚拟中心路由首选项。
下图演示了此方案的示例。
下表描述了上图中的拓扑连接。
| Connection | 说明 |
|---|---|
| D | Azure VMware 解决方案私有云管理的 ExpressRoute 与中心的连接 |
| E | 本地 ExpressRoute 与中心的连接 |
没有 Global Reach 的单区域虚拟 WAN的流量流
以下各部分介绍了 Azure VMware 解决方案、本地、Azure 虚拟网络和 Internet 的流量和连接。。
Azure VMware 解决方案私有云连接和流量流
下图显示了一个 Azure VMware 解决方案私有云的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 1 | Azure VMware 解决方案云 | 虚拟网络 | 是 |
| 2 | Azure VMware 解决方案云 | 本地 | 是 |
Azure VMware 解决方案私有云与中心有一个 ExpressRoute 连接(连接 D)。
在安全中心上启用 ExpressRoute 到 ExpressRoute 传递性并启用路由意向时,安全中心会通过连接 D 向 Azure VMware Solution 发送默认 RFC 1918 地址(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)。除默认 RFC 1918 地址外,Azure VMware 解决方案还会从连接到中心的 Azure 虚拟网络和分支网络(如 S2S VPN、P2S VPN 和 SD-WAN)中获悉更多特定路由。 Azure VMware 解决方案不会从本地网络获悉特定路由。 要将流量路由回内部网络,Azure VMware 解决方案会使用从连接 D 中获悉的默认 RFC 1918 地址。此流量将通过中心防火墙进行传输。 中心防火墙使用本地网络的特定路由,通过连接 E 将流量路由至目标。从 Azure VMware 解决方案到虚拟网络的流量会经过中心防火墙。
本地连接和流量流
下图显示了本地连接的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 3 | 本地 | Azure VMware 解决方案云 | 是 |
| 4 | 本地 | 虚拟网络 | 是 |
本地站点通过 ExpressRoute 连接 E 连接到中心。
在安全中心上启用 ExpressRoute 到 ExpressRoute 传递性并启用路由意向时,安全中心会通过连接 E 向本地发送默认 RFC 1918 地址。除了默认 RFC 1918 地址外,本地还会从连接到中心的 Azure 虚拟网络和分支网络中获悉更具体的路由。 本地不会从 Azure VMware 解决方案网络中获悉特定路由。 要将流量路由回 Azure VMware 解决方案网络,Azure VMware 解决方案会使用从连接 E 中获悉的默认 RFC 1918 地址。此流量将通过中心防火墙进行传输。 中心防火墙使用 Azure VMware 解决方案网络的特定路由,通过连接 D 将流量路由至目标。从本地到虚拟网络的流量会经过中心防火墙。
在中心上启用 ExpressRoute 到 ExpressRoute 传递性时,它会将默认 RFC 1918 地址发送到本地网络。 因此,不应该将准确的 RFC 1918 前缀播发回 Azure。 播发完全相同的路由会在 Azure 内部造成路由问题。 相反,应该为本地网络向 Azure 播发更具体的路由。
注意
如果将本地的默认 RFC 1918 地址播发到 Azure 并希望继续这样做,则需要将每个 RFC 1918 范围分成两个相等的子范围,然后将这些子范围播发回 Azure。 子范围为 10.0.0.0/9、10.128.0.0/9、172.16.0.0/13、172.24.0.0/13、192.168.0.0/17 和 192.168.128.0/17。
Azure 虚拟网络连接和流量流
下图显示了 Azure 虚拟网络连接的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 5 | 虚拟网络 | Azure VMware 解决方案云 | 是 |
| 6 | 虚拟网络 | 本地 | 是 |
在此方案中,虚拟网络会直接对等互连到中心。 示意图显示了虚拟网络中的 Azure 本地资源如何获悉其路由。 已启用路由意向的安全中心会向对等互连的虚拟网络发送默认 RFC 1918 地址。 虚拟网络中的 Azure 本机资源不会从其虚拟网络外部获悉特定路由。 在启用路由意向后,虚拟网络中的所有资源都拥有默认 RFC 1918 地址,并将中心防火墙作为下一个跃点。 所有进出虚拟网络的流量都要经过中心防火墙。
Internet 连接
本部分介绍如何为 Azure 本机资源以及单区域中虚拟网络中的 Azure VMware 解决方案私有云提供 Internet 连接。 有关详细信息,请参阅 Internet 连接设计注意事项。 可以使用以下选项为 Azure VMware 解决方案提供 Internet 连接。
- 选项 1:Azure 托管的 Internet 服务
- 选项 2:Azure VMware 解决方案管理的源网络地址转换 (SNAT)
- 选项 3:将 Azure 公共 IPv4 地址连接到 NSX-T 数据中心边缘
具有路由意向的单区域安全虚拟 WAN 设计支持所有选项,但推荐使用选项 1。 本文后面的方案使用选项 1 来提供 Internet 连接。 选项 1 最适合安全虚拟 WAN,因为它易于检查、部署和管理。
在安全中心上启用路由意向后,它会向所有对等互连的虚拟网络播发 RFC 1918。 但也可以播发默认路由 0.0.0.0/0,以便建立与下游资源的 Internet 连接。 在使用路由意向时,可从中心防火墙生成默认路由。 此默认路由会向虚拟网络和 Azure VMware 解决方案进行播发。
Azure VMware 解决方案和虚拟网络 Internet 连接
为 Internet 流量启用路由意向时,在默认情况下,安全虚拟 WAN 中心不会在 ExpressRoute 线路上播发默认路由。 为帮助确保默认路由从虚拟 WAN 传播到 Azure VMware 解决方案,必须在 Azure VMware 解决方案 ExpressRoute 线路上启用默认路由传播。 有关详细信息,请参阅向终结点播发默认路由 0.0.0.0/0。
下图显示了虚拟网络和 Azure VMware 解决方案 Internet 连接的流量流。
下表描述了上图中的流量流。
| 流量流号 | 源 | 目标 | 安全虚拟 WAN 中心防火墙是否会检查这些流量? |
|---|---|---|---|
| 7 | 虚拟网络 | Internet | 是 |
| 8 | Azure VMware 解决方案云 | Internet | 是 |
在启用默认路由传播后,连接 D 会从中心播发默认路由 0.0.0.0/0。 不要为本地 ExpressRoute 线路启用此设置。 我们建议在本地设备上实现边界网关协议 (BGP) 筛选器。 BGP 筛选器可防止资源无意中获悉默认路由,从而增加一层额外的防范措施,并且有助于确保配置不会影响本地 Internet 连接。
在为 Internet 访问启用路由选择意图时,从安全虚拟 WAN 中心生成的默认路由会自动向中心对等互连的虚拟网络连接进行播发。 请注意,在虚拟网络中虚拟机的 NIC 中,0.0.0.0/0 下一个跃点是中心防火墙。 要查找下一个跃点,请在 NIC 中选择“有效路由”。
使用没有 Global Reach 的 VMware HCX 移动优化网络 (MON)
在使用 HCX 网络扩展时,可以启用 HCX 移动优化网络 (MON)。 MON 可在某些情况下提供最佳流量路由,以便防止网络在扩展网络上的本地资源和云资源之间出现重叠或循环。
来自 Azure VMware 解决方案的出口流量
在为特定扩展网络和虚拟机启用 MON 后,流量流会发生变化。 在实现 MON 后,虚拟机的出口流量不会循环回到本地。 相反,它会绕过网络扩展 IPSec 隧道。 虚拟机的流量会从 Azure VMware 解决方案 NSX-T 第 1 层网关流出,进入 NSX-T 第 0 层网关,然后进入虚拟 WAN。
Azure VMware 解决方案的入口流量
在为特定扩展网络和虚拟机启用 MON 时,会引入以下更改。 从 Azure VMware 解决方案 NSX-T,MON 会将 /32 主机路由注入回虚拟 WAN。 虚拟 WAN 会将此 /32 路由播发回本地、虚拟网络和分支网络。 此 /32 主机路由可确保来自本地、虚拟网络和分支网络的流量在进入启用了 MON 的虚拟机时不会使用网络扩展 IPSec 隧道。 源网络的流量会直接到达启用了 MON 的虚拟机,因为它会获悉 /32 路由。
不具有 Global Reach 的安全虚拟 WAN 的 HCX MON 限制
在安全中心上启用 ExpressRoute 到 ExpressRoute 传递性并启用路由意向后,安全中心会将默认 RFC 1918 地址发送到本地和 Azure VMware 解决方案。 除了默认的 RFC 1918 地址外,本地和 Azure VMware 解决方案还能从连接到中心的 Azure 虚拟网络和分支网络中获悉更多特定路由。
然而,本地网络不会从 Azure VMware 解决方案获悉特定路由,而 Azure VMware 解决方案也不会从本地网络获悉特定路由。 相反,这两种环境都依赖于默认的 RFC 1918 地址,以便通过中心防火墙相互路由。 因此,更具体的路由(如 MON 主机路由)不会从 Azure VMware 解决方案 ExpressRoute 播发到基于本地的 ExpressRoute 线路。 反之亦然。 无法获悉特定路由会导致流量流不对称。 流量通过 NSX-T 第 0 层网关流出 Azure VMware 解决方案,但从本地返回的流量则会通过网络扩展 IPSec 隧道返回。
纠正流量不对称
要纠正流量不对称,则需要调整 MON 策略路由。 MON 策略路由决定哪些流量将通过 L2 扩展返回本地网关。 它们还决定哪些流量通过 Azure VMware 解决方案 NSX 第 0 层网关。
如果目标 IP 匹配,且在 MON 策略配置中将其设置为“允许”,则会发生两种操作。 首先,系统会识别数据包。 其次,系统会通过网络扩展设备将数据包发送到本地网关。
如果目标 IP 不匹配或在 MON 策略中将其设置为“拒绝”,则系统会将数据包发送到 Azure VMware 解决方案第 0 层网关进行路由。
下表介绍了 HCX 策略路由。
| 网络 | 重定向到对等方 | 注意 |
|---|---|---|
| Azure 虚拟网络地址空间 | 拒绝 | 显式包含所有虚拟网络的地址范围。 针对 Azure 的流量会通过 Azure VMware 解决方案向外发送,而不会返回本地网络。 |
| 默认 RFC 1918 地址空间 | 允许 | 添加默认 RFC 1918 地址。 此配置可确保任何不符合上述标准的流量都会重新路由回本地网络。 如果本地设置使用不属于 RFC 1918 的地址,则必须显式包含这些范围。 |
| 0.0.0.0/0 地址空间 | 拒绝 | RFC 1918 未涵盖的地址,如可由 Internet 路由的 IP,或与指定条目不匹配的流量,会直接通过 Azure VMware 解决方案退出,而不会重定向回本地网络。 |