使用具有虛擬 WAN 和 Global Reach 的雙區域 Azure VMware 解決方案 設計
本文概述當您在兩個區域中部署 Azure VMware 解決方案 時,連線、流量和高可用性的最佳做法。 其提供使用路由意圖和 Azure ExpressRoute Global Reach 保護 Azure 虛擬 WAN 的指引。 本文說明具有路由意圖拓撲的虛擬 WAN,適用於 Azure VMware 解決方案 私人雲端、內部部署網站和 Azure 原生資源。
具有路由意圖的安全虛擬 WAN 實作和設定已超出本文的範圍。 本文假設您已基本瞭解虛擬 WAN,並使用路由意圖保護虛擬 WAN。
在兩個區域中使用安全的虛擬 WAN 和 Global Reach
只有虛擬 WAN 標準 SKU 支援具有路由意圖的安全虛擬 WAN。 使用具有路由意圖的安全虛擬 WAN,將所有因特網流量和專用網流量傳送至安全性解決方案,例如 Azure 防火牆、非Microsoft網路虛擬設備(NVA),或軟體即服務 (SaaS) 解決方案。 如果您使用路由意圖,則必須擁有安全的虛擬 WAN 中樞。
此案例的中樞具有下列設定:
雙區域網路有一個虛擬 WAN 和兩個中樞。 每個區域都有一個中樞。
每個中樞都有自己的 Azure 防火牆 實例已部署,因此可保護虛擬 WAN 中樞的安全。
安全的虛擬 WAN 中樞已啟用路由意圖。
此案例也有下列元件:
每個區域都有自己的 Azure VMware 解決方案 私人雲端和 Azure 虛擬網路。
內部部署網站會連線到這兩個區域。
環境具有 Global Reach 連線能力。
Global Reach 會透過Microsoft骨幹建立直接邏輯連結,以將 Azure VMware 解決方案 連線到內部部署或區域 Azure VMware 解決方案 私人雲端。
全域觸達連線不會傳輸中樞防火牆。 因此,網站之間的全域觸達流量不會受到檢查。
注意
若要增強 Global Reach 網站之間的安全性,請考慮檢查 Azure VMware 解決方案 環境 NSX-T 或內部部署防火牆內的流量。
下圖顯示此案例的範例。
下表描述上圖中的拓撲連線能力。
| 連線 | 描述 |
|---|---|
| A | Azure VMware 解決方案 區域 1 Global Reach 連線回到內部部署 |
| B | Azure VMware 解決方案 區域 2 Global Reach 連線回到內部部署 |
| C | Azure VMware 解決方案 兩個私人雲端受控線路之間的 Global Reach 連線 |
| D | Azure VMware 解決方案 私人雲端連線至其本機區域中樞 |
| E | 透過 ExpressRoute 對兩個區域中樞的內部部署連線 |
| Interhub | 在相同虛擬 WAN 下部署的兩個中樞之間的 Interhub 邏輯連線 |
注意
當您使用安全的虛擬 WAN 中樞設定 Azure VMware 解決方案 時,請將中樞路由喜好設定選項設定為 AS Path,以確保中樞上的最佳路由結果。 如需詳細資訊,請參閱 虛擬中樞路由喜好設定。
雙區域安全虛擬 WAN 流量流程
下列各節說明當您使用 Global Reach 時,Azure VMware 解決方案、內部部署、Azure 虛擬網路和因特網的流量和連線能力。
Azure VMware 解決方案 私人雲端跨區域連線和流量流程
下圖顯示兩個區域中兩個 Azure VMware 解決方案 私人雲端的流量流程。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 1 | Azure VMware 解決方案 雲端區域 1 | 虛擬網路 1 | 是,透過中樞 1 防火牆 |
| 2 | Azure VMware 解決方案 雲端區域 1 | 內部部署 | 否,流量會略過防火牆並傳輸 Global Reach 連線 A |
| 3 | Azure VMware 解決方案 雲端區域 1 | 虛擬網路 2 | 是,透過中樞 2 防火牆 |
| 4 | Azure VMware 解決方案 雲端區域 1 | Azure VMware 解決方案 雲端區域 2 | 否,流量會略過防火牆並傳輸 Global Reach 連線 C |
| 5 | Azure VMware 解決方案 雲端區域 2 | 虛擬網路 1 | 是,透過中樞 1 防火牆 |
| 6 | Azure VMware 解決方案 雲端區域 2 | 虛擬網路 2 | 是,透過中樞 2 防火牆 |
| 7 | Azure VMware 解決方案 雲端區域 2 | 內部部署 | 否,流量會略過防火牆並傳輸 Global Reach 連線 B |
每個 Azure VMware 解決方案 私人雲端都會透過 ExpressRoute 連線 D 連線至其本機區域中樞。
每個 Azure VMware 解決方案 雲端區域都會透過 ExpressRoute Global Reach 連線回內部部署網路。 每個 Azure VMware 解決方案 雲端區域都有自己的 Global Reach 連線(連線 A 和 B)。 而 Azure VMware 解決方案 私人雲端會透過 Global Reach 連線 C 直接彼此連線。Global Reach 流量永遠不會傳輸任何中樞防火牆。
設定這三個 Global Reach 連線。 您必須執行此步驟,以防止 Global Reach 網站之間的連線問題。
內部部署連線和流量流程
下圖顯示內部部署網站的流量流程。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 2 | 內部部署 | Azure VMware 解決方案 雲端區域 1 | 否,流量會略過防火牆並傳輸 Global Reach 連線 A |
| 7 | 內部部署 | Azure VMware 解決方案 雲端區域 2 | 否,流量會略過防火牆並傳輸 Global Reach 連線 B |
| 8 | 內部部署 | 虛擬網路 1 | 是,透過中樞 1 防火牆 |
| 9 | 內部部署 | 虛擬網路 2 | 是,透過中樞 2 防火牆 |
內部部署網站會透過 ExpressRoute 連線 E 連線至區域 1 和區域 2 中樞。
內部部署系統可以透過 Global Reach 連線 A 與 Azure VMware 解決方案 雲端區域 1 通訊,以及透過 Global Reach 連線 B 與 Azure VMware 解決方案 雲端區域 2 進行通訊。
設定這三個 Global Reach 連線。 您必須執行此步驟,以防止 Global Reach 網站之間的連線問題。
Azure 虛擬網路連線和流量流程
下圖顯示虛擬網路的流量流程。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 1 | 虛擬網路 1 | Azure VMware 解決方案 雲端區域 1 | 是,透過中樞 1 防火牆 |
| 3 | 虛擬網路 2 | Azure VMware 解決方案 雲端區域 1 | 是,透過中樞 2 防火牆 |
| 5 | 虛擬網路 1 | Azure VMware 解決方案 雲端區域 2 | 是,透過中樞 1 防火牆 |
| 6 | 虛擬網路 2 | Azure VMware 解決方案 雲端區域 2 | 是,透過中樞 2 防火牆 |
| 8 | 虛擬網路 1 | 內部部署 | 是,透過中樞 1 防火牆 |
| 9 | 虛擬網路 2 | 內部部署 | 是,透過中樞 2 防火牆 |
| 10 | 虛擬網路 1 | 虛擬網路 2 | 是,透過中樞 1 防火牆。 流量接著會經過中樞連線,並透過中樞 2 防火牆進行檢查。 |
這兩個虛擬網路都會直接對等互連到其本機區域中樞。
具有路由意圖的安全中樞會將預設 RFC 1918 位址(10.0.0.0/8、172.16.0.0/12、192.168.0.0.0/16)傳送至對等互連的虛擬網路,以及新增為私人流量前綴的任何其他前置詞。 如需詳細資訊,請參閱 路由意圖私人地址前綴。
此案例已啟用路由意圖,因此虛擬網路 1 和虛擬網路 2 中的所有資源都具有預設 RFC 1918 位址,並使用其本機區域中樞防火牆作為下一個躍點。 所有進入和結束虛擬網路的流量都會傳輸中樞防火牆。
網際網路連線能力
本節說明如何為虛擬網路中的 Azure 原生資源提供因特網連線,以及在這兩個區域中 Azure VMware 解決方案 私人雲端。 如需詳細資訊,請參閱網際網路連線能力設計考量。 您可以使用下列選項來提供 Azure VMware 解決方案 的因特網連線。
- 選項 1: Azure 裝載的因特網服務
- 選項 2: VMware 解決方案管理的來源網路位址轉換 (SNAT)
- 選項 3: NSX-T 數據中心邊緣的 Azure 公用 IPv4 位址
具有路由意圖的雙重區域虛擬 WAN 設計支援所有選項,但我們建議選項 1。 本文稍後的案例會使用選項 1 來提供因特網連線。 選項 1 最適合使用安全的虛擬 WAN,因為它很容易檢查、部署和管理。
當您使用路由意圖時,您可以從中樞防火牆產生預設路由。 此預設路由會公告至您的虛擬網路,並 Azure VMware 解決方案 私人雲端。
Azure VMware 解決方案和虛擬網路因特網連線能力
下圖顯示 Azure VMware 解決方案 實例和虛擬網路的因特網連線能力。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? | 因特網突破 |
|---|---|---|---|---|
| 11 | Azure VMware 解決方案 雲端區域 1 | 網際網路 | 是,透過中樞 1 防火牆 | 透過中樞 1 防火牆 |
| 12 | Azure VMware 解決方案 雲端區域 2 | 網際網路 | 是,透過中樞 2 防火牆 | 透過中樞 2 防火牆 |
| 15 | 虛擬網路 1 | 網際網路 | 是,透過中樞 1 防火牆 | 透過中樞 1 防火牆 |
| 16 | 虛擬網路 2 | 網際網路 | 是,透過中樞 2 防火牆 | 透過中樞 2 防火牆 |
只有在發生影響本機區域中樞的中斷時,下列流量才會作用中。 例如,如果 Azure VMware 解決方案 的本機區域中樞發生中斷,因特網流量會重新路由至跨區域中樞以進行因特網連線。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? | 因特網突破 |
|---|---|---|---|---|
| 13 | Azure VMware 解決方案 雲端區域 1 | 網際網路 | 是,流量會透過 Global Reach 連線 C 傳輸,而中樞 2 防火牆會檢查它。 | 透過中樞 2 防火牆 |
| 14 | Azure VMware 解決方案 雲端區域 2 | 網際網路 | 是,流量會透過 Global Reach 連線 C 傳輸,而中樞 1 防火牆會檢查它。 | 透過中樞 1 防火牆 |
Azure VMware 解決方案 私人雲端會從其本機區域中樞和跨區域中樞學習預設因特網連線路由,以便達成因特網聯機備援。 Azure VMware 解決方案 私人雲端會優先處理主要因特網存取連線的本機區域中樞。 如果本機區域中樞失敗,跨區域中樞會作為因特網備份。 此設定僅提供輸出流量的因特網存取備援。 若要讓輸入因特網流量 Azure VMware 解決方案 工作負載,請考慮使用 Azure Front Door 或 Azure 流量管理員 取得區域高可用性。
Azure VMware 解決方案 私人雲端會透過本機區域中樞的連線 D 接收慣用的預設路由∞ 0.0.0.0/0。 而 Azure VMware 解決方案 私人雲端會收到備份預設路由 ≦ 0.0.0.0/0,其源自跨區域中樞,並跨 Global Reach 連線 C 公告。但是,如果您在內部部署 ExpressRoute 連線 E 上啟用預設路由傳播,則跨區域因特網流量也會透過此路徑導向。
例如,從 Azure VMware 私人雲端 1 到中樞 2 的跨區域因特網流量會透過跨 Global Reach 連線 C 的等成本多重路徑 (ECMP) 路由散發至連線 D,以及跨 Global Reach 連線 A 到連線 E。同樣地,從中樞 2 傳回至私人雲端區域 1 的流量會透過 ECMP 周遊相同的路徑。 設定這三個 Global Reach 連線。 您必須執行此步驟,以防止 Global Reach 網站之間的連線問題。
當您啟用因特網流量的路由意圖時,根據預設,安全的虛擬WAN 中樞不會跨ExpressRoute線路公告預設路由。 若要協助確保預設路由從虛擬 WAN 傳播至 Azure VMware 解決方案,您必須在 Azure VMware 解決方案 ExpressRoute 線路上啟用預設路由傳播。 如需詳細資訊,請參閱 將預設路由 0.0.0.0/0 公告至端點。
請勿針對內部部署 ExpressRoute 線路啟用此設定。 聯機 D 會將預設路由公告為「∞ 0.0.0.0/0」至 Azure VMware 解決方案 私人雲端,但預設路由也會透過 Global Reach 連線 A 和 Global Reach 連線 B 公告至內部部署。因此,建議您在內部部署設備上實作邊界網關通訊協定 (BGP) 篩選,以排除學習預設路由。 此步驟有助於確保您的設定不會影響內部部署因特網連線。
每個虛擬網路都會透過其本機區域中樞防火牆輸出至因特網。 當您啟用因特網存取的路由意圖時,安全虛擬 WAN 中樞所產生的預設路由會自動向中樞對等互連的虛擬網路連線公告。 但此預設路由不會透過跨區域中樞連結公告。 因此,虛擬網路會使用其本機區域中樞進行因特網存取,且沒有跨區域中樞的備份因特網聯機。