使用沒有 Global Reach 的雙重區域 Azure VMware 解決方案 設計
本文說明當您在兩個區域中部署 Azure VMware 解決方案 並使用安全的 Azure 虛擬 WAN 搭配路由意圖時,連線、流量和高可用性的最佳作法。 它提供在沒有 Global Reach 的情況下使用此設計的相關指引。 本文說明虛擬 WAN,其中包含 Azure VMware 解決方案 私人雲端、內部部署網站和 Azure 原生資源的路由意圖拓撲。 具有路由意圖的安全虛擬 WAN 實作和設定已超出本文的範圍。
如果您使用不支援 Global Reach 的區域,或有安全性需求來檢查中樞防火牆 Azure VMware 解決方案 與內部部署之間的流量,您必須開啟支援票證,才能啟用 ExpressRoute 到 ExpressRoute 的傳輸能力。 虛擬 WAN 預設不支援 ExpressRoute 到 ExpressRoute 的傳輸性。 如需詳細資訊,請參閱 使用路由意圖在 ExpressRoute 線路之間傳輸連線。
在沒有 Global Reach 的情況下,使用雙區域安全虛擬 WAN 設計
只有虛擬 WAN 標準 SKU 支援具有路由意圖的安全虛擬 WAN。 使用安全虛擬 WAN 搭配路由意圖,將所有因特網流量和專用網流量 (RFC 1918) 傳送至安全性解決方案,例如 Azure 防火牆、非Microsoft網路虛擬設備 (NVA),或軟體即服務 (SaaS) 解決方案。
此案例的中樞具有下列設定:
雙區域網路有一個虛擬 WAN 實例和兩個中樞。 每個區域都有一個中樞。
每個中樞都有自己的 Azure 防火牆 實例已部署,因此可保護虛擬 WAN 中樞的安全。
安全的虛擬 WAN 中樞已啟用路由意圖。
此案例也有下列元件:
每個區域都有自己的 Azure VMware 解決方案 私人雲端和 Azure 虛擬網路。
內部部署網站會連線到這兩個區域。
注意
如果您在連線的內部部署資源、虛擬網路或 Azure VMware 解決方案 中使用非 RFC 1918 前置詞,請在路由意圖功能的 [私人流量前綴] 字段中指定這些前置詞。 在 [私人流量前綴 ] 字段中輸入摘要路由,以涵蓋您的範圍。 請勿輸入向虛擬 WAN 公告的確切範圍,因為此規格可能會導致路由問題。 例如,如果 Azure ExpressRoute 線路從內部部署公告 192.0.2.0/24,請輸入 /23 無類別網域間路由 (CIDR) 範圍或更大的範圍,例如 192.0.2.0/23。 如需詳細資訊,請參閱 透過虛擬 WAN 入口網站設定路由意圖和原則。
注意
當您使用安全的虛擬 WAN 中樞設定 Azure VMware 解決方案 時,請將中樞路由喜好設定選項設定為 AS Path,以確保中樞上的最佳路由結果。 如需詳細資訊,請參閱 虛擬中樞路由喜好設定。
下圖顯示此案例的範例。
下表描述上圖中的拓撲連線能力。
連線 | 描述 |
---|---|
D | Azure VMware 解決方案 私人雲端連線至其本機區域中樞 |
E | 透過 ExpressRoute 對兩個區域中樞的內部部署連線 |
Interhub | 在相同虛擬 WAN 下部署的兩個中樞之間的 Interhub 邏輯連線 |
雙區域安全虛擬 WAN 流量流程
下列各節說明 Azure VMware 解決方案、內部部署、Azure 虛擬網路和因特網的流量和連線能力。
Azure VMware 解決方案 私人雲端連線和流量流程
下圖顯示兩 Azure VMware 解決方案 私人雲端的流量流程。
下表描述上圖中的拓撲連線能力。
流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
---|---|---|---|
1 | Azure VMware 解決方案 雲端區域 1 | 虛擬網路 1 | 是,透過中樞 1 防火牆 |
2 | Azure VMware 解決方案 雲端區域 1 | 內部部署 | 是,透過中樞 1 防火牆 |
3 | Azure VMware 解決方案 雲端區域 1 | 虛擬網路 2 | 是,透過中樞 1 防火牆,然後透過中樞 2 防火牆 |
4 | Azure VMware 解決方案 雲端區域 1 | Azure VMware 解決方案 雲端區域 2 | 是,透過中樞 1 防火牆,然後透過中樞 2 防火牆 |
5 | Azure VMware 解決方案 雲端區域 2 | 虛擬網路 1 | 是,透過中樞 2 防火牆,然後透過中樞 1 防火牆 |
6 | Azure VMware 解決方案 雲端區域 2 | 虛擬網路 2 | 是,透過中樞 2 防火牆 |
7 | Azure VMware 解決方案 雲端區域 2 | 內部部署 | 是,透過中樞 2 防火牆 |
每個 Azure VMware 解決方案 私人雲端都會透過 ExpressRoute 連線 D 連線至中樞。
當您在安全中樞上啟用 ExpressRoute 對 ExpressRoute 傳輸性,並啟用路由意圖時,安全中樞會傳送預設 RFC 1918 位址(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)以透過聯機 D Azure VMware 解決方案。除了預設 RFC 1918 位址之外,Azure VMware 解決方案 還瞭解來自 Azure 虛擬網路和分支網路的更特定路由,例如 S2S VPN、P2S VPN 和 SD-WAN,這些路由會連線到這兩個中樞。 這兩個 Azure VMware 解決方案 私人雲端都無法從內部部署網路學習特定的路由。
若要將流量路由回內部部署網路,Azure VMware 解決方案 會使用預設 RFC 1918 位址,透過從其本機區域中樞的連線 D 學習。 此流量會透過本機區域中樞防火牆傳輸。 中樞防火牆會使用內部部署網路的特定路由,透過連線 E 將流量路由傳送至目的地。從私人雲端 Azure VMware 解決方案 傳輸至虛擬網路的流量會傳輸中樞防火牆。
內部部署連線和流量流程
下圖顯示內部部署連線的流量流程。
下表描述上圖中的拓撲連線能力。
流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
---|---|---|---|
2 | 內部部署 | Azure VMware 解決方案 雲端區域 1 | 是,透過中樞 1 防火牆 |
7 | 內部部署 | Azure VMware 解決方案 雲端區域 2 | 是,透過中樞 2 防火牆 |
8 | 內部部署 | 虛擬網路 1 | 是,透過中樞 1 防火牆 |
9 | 內部部署 | 虛擬網路 2 | 是,透過中樞 2 防火牆 |
內部部署網站會透過 ExpressRoute 連線 E 連線至這兩個中樞。
當您在安全中樞上啟用 ExpressRoute 對 ExpressRoute 傳輸性,並啟用路由意圖時,每個安全中樞都會透過 連線 E 將預設 RFC 1918 位址 (10.0.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16) 傳送至內部部署。除了預設 RFC 1918 位址之外,內部部署也會瞭解來自 Azure 虛擬網路和分支網路的更特定路由,例如 S2S VPN、P2S VPN 和 SD-WAN,這些路由會連線到這兩個中樞。
內部部署不會瞭解 Azure VMware 解決方案 私人雲端的特定路由。 內部部署會透過連線 E 從這兩個中樞學習預設 RFC 1918 位址。內部部署會透過透過連線 E 學習的預設 RFC 1918 位址,將這兩個 Azure VMware 解決方案 私人雲端路由傳送。
注意
您必須在兩個中樞上新增特定路由。 如果您未在中樞上新增特定路由,您可以引入次佳路由,因為內部部署會在 E 連線之間使用等價多重路徑 (ECMP) 路由,以取得傳送至 Azure VMware 解決方案 私人雲端的流量。 因此,內部部署與 Azure VMware 解決方案 私人雲端之間的流量可能會遇到延遲、效能問題或封包捨棄的問題。
若要將更特定的路由公告到內部部署,請在路由意圖功能的 [私人流量前綴] 欄位中指定這些前置詞。 如需詳細資訊,請參閱 透過虛擬 WAN 入口網站設定路由意圖和原則。 您必須新增摘要路由,其中包含 Azure VMware 解決方案 /22 區塊和 Azure VMware 解決方案 子網。 如果您新增相同的確切前置詞或更特定的前置詞,而不是摘要路由,您會在 Azure 環境中引入路由問題。 僅包含 [私人流量前綴] 字段中的摘要路由。
如下圖所示,Azure VMware 解決方案 私人雲端 1 包含從 10.10.0.0/24 到 10.10.7.0/24 的工作負載子網。 在中樞 1 上,摘要路由 10.10.0.0/21 會新增至 私人流量前綴 ,因為它包含所有八個子網。 此外,在中樞 1 上,摘要路由 10.150.0.0/22 會新增至私人流量前綴,以涵蓋 Azure VMware 解決方案 管理區塊。 摘要路由 10.10.0.0/21 和 10.150.0.0/22 會透過連線 E 公告到內部部署,讓內部部署具有更明確的路由,而不是 10.0.0.0/8。
Azure VMware 解決方案 私人雲端 2 包含從 10.20.0.0/24 到 10.20.7.0/24 的工作負載子網。 在中樞 2 上,摘要路由 10.20.0.0/21 會新增至 私人流量前綴 ,因為它包含所有八個子網。 此外,在中樞 2 上,摘要路由 10.250.0.0/22 會新增至私人流量前綴,以涵蓋 Azure VMware 解決方案 管理區塊。 摘要路由 10.20.0.0/21 和 10.250.0.0/22 透過連線 E 公告到內部部署,讓內部部署具有更明確的路由,而不是 10.0.0.0/8。
您可以在 [私人流量前綴] 字段中新增整個 Azure VMware 解決方案 管理 /22 區塊,因為 Azure VMware 解決方案 不會將確切的 /22 區塊公告回 Azure。 Azure VMware 解決方案 公告更特定的路由。
當您在中樞上啟用 ExpressRoute 對 ExpressRoute 傳輸性時,它會將預設 RFC 1918 位址傳送至內部部署網路。 請勿將確切 RFC 1918 前置詞公告回 Azure。 相同的路由可以在 Azure 內建立路由問題。 相反地,您應該針對內部部署網路公告更特定的路由回到 Azure。
注意
如果您公告從內部部署到 Azure 的預設 RFC 1918 位址,並想要繼續這種做法,您必須將每個 RFC 1918 範圍分割成兩個相等子範圍,並將這些子範圍公告回 Azure。 子範圍為 10.0.0.0/9, 10.128.0.0/9、172.16.0.0/13、172.24.0.0/13、192.168.0.0/17 和 192.168.128.0/17。
Azure 虛擬網路連線和流量流程
下圖顯示 Azure 虛擬網路的流量流程。
下表描述上圖中的流量流程。
流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
---|---|---|---|
1 | 虛擬網路 1 | Azure VMware 解決方案 雲端區域 1 | 是,透過中樞 1 防火牆 |
3 | 虛擬網路 2 | Azure VMware 解決方案 雲端區域 1 | 是,透過中樞 2 防火牆,然後透過中樞 1 防火牆 |
5 | 虛擬網路 1 | Azure VMware 解決方案 雲端區域 2 | 是,透過中樞 1 防火牆,然後透過中樞 2 防火牆 |
6 | 虛擬網路 2 | Azure VMware 解決方案 雲端區域 2 | 是,透過中樞 2 防火牆 |
8 | 虛擬網路 1 | 內部部署 | 是,透過中樞 1 防火牆 |
9 | 虛擬網路 2 | 內部部署 | 是,透過中樞 2 防火牆 |
10 | 虛擬網路 1 | 虛擬網路 2 | 是,透過中樞 1 防火牆,然後透過中樞 2 防火牆 |
10 | 虛擬網路 2 | 虛擬網路 1 | 是,透過中樞 2 防火牆,然後透過中樞 1 防火牆 |
每個虛擬網路都會將其區域中樞直接對等互連。
此圖顯示兩個虛擬網路中所有 Azure 原生資源如何瞭解其有效路由。 當您啟用路由意圖時,中樞 1 和中樞 2 會將預設 RFC 1918 位址傳送至其對等互連的虛擬網路。 虛擬網路中的 Azure 原生資源不會從其虛擬網路外部學習特定路由。
當您啟用路由意圖時,虛擬網路中的所有資源都會了解預設 RFC 1918 位址,並使用其區域中樞防火牆作為下一個躍點。 Azure VMware 解決方案 私人雲端透過連線彼此通訊透過其本機區域中樞防火牆進行 D。 從該處,他們會周遊虛擬 WAN Interhub,並在跨區域中樞防火牆進行檢查。 Azure VMware 解決方案 私人雲端也會透過連線與內部部署通訊透過其本機區域中樞防火牆進行 D。 進入和結束虛擬網路的所有流量都會傳輸其區域中樞防火牆。
網際網路連線能力
本節說明如何為虛擬網路中的 Azure 原生資源提供因特網連線,以及兩個區域中 Azure VMware 解決方案 私人雲端。 如需詳細資訊,請參閱網際網路連線能力設計考量。 您可以使用下列選項來提供 Azure VMware 解決方案 的因特網連線。
- 選項 1: Azure 裝載的因特網服務
- 選項 2:Azure VMware 解決方案 管理的來源網路位址轉換 (SNAT)
- 選項 3: NSX-T 數據中心邊緣的 Azure 公用 IPv4 位址
具有路由意圖的雙重區域虛擬 WAN 設計支援所有選項,但我們建議選項 1。 本文稍後的案例會使用選項 1 來提供因特網連線。 選項 1 最適合使用安全的虛擬 WAN,因為它很容易檢查、部署和管理。
當您在兩個安全中樞上啟用路由意圖時,它會向直接對等互連的虛擬網路公告 RFC 1918。 但您也可以公告預設路由0.0.0.0/0,以連線到下游資源。 當您啟用路由意圖時,您可以從兩個中樞防火牆產生預設路由。 此預設路由會將公告給其直接對等互連的虛擬網路,並將其直接連線 Azure VMware 解決方案。
Azure VMware 解決方案和虛擬網路因特網連線能力
下圖顯示 Azure VMware 解決方案 私人雲端和虛擬網路的流量流程。
下表描述上圖中的流量流程。
流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
---|---|---|---|
11 | Azure VMware 解決方案 雲端區域 1 | 網際網路 | 是,透過中樞 1 防火牆 |
12 | 虛擬網路 2 | 網際網路 | 是,透過中樞 2 防火牆 |
13 | 虛擬網路 1 | 網際網路 | 是,透過中樞 1 防火牆 |
14 | Azure VMware 解決方案 雲端區域 2 | 網際網路 | 是,透過中樞 2 防火牆 |
當您啟用因特網流量的路由意圖時,根據預設,安全的虛擬WAN 中樞不會跨ExpressRoute線路公告預設路由。 若要協助確保預設路由從虛擬 WAN 傳播至其直接連線 Azure VMware 解決方案,您必須在 Azure VMware 解決方案 ExpressRoute 線路上啟用預設路由傳播。 如需詳細資訊,請參閱 將預設路由 0.0.0.0/0 公告至端點。
啟用預設路由傳播之後,連線 D 會從中樞公告預設路由 0.0.0.0.0/0。 請勿針對內部部署 ExpressRoute 線路啟用此設定。 建議您在內部部署設備上實作邊界網關通訊協定 (BGP) 篩選,以排除學習預設路由。 BGP 篩選器會新增額外的保護層,並協助確保您的設定不會影響內部部署因特網連線。
當您啟用因特網存取的路由意圖時,這兩個區域中樞都會產生預設路由,並將其公告至其中樞對等互連的虛擬網路連線。 請注意,在虛擬網路中的虛擬機網路適配器 (NIC) 中,下一個躍點是中樞防火牆。0.0.0.0/0 的下一個躍點。 若要尋找下一個躍點,請選取 NIC 中的 [有效路由 ]。 默認路由不會透過 Interhub 連結跨區域中樞公告。 因此,虛擬網路會使用其本機區域中樞進行因特網存取,而且它們沒有跨區域中樞的備份因特網聯機。
Azure VMware 解決方案 的因特網存取復原能力
當您在雙區域設計中使用 Global Reach 時,輸出因特網聯機沒有備援性,因為每個 Azure VMware 解決方案 私人雲端都會從其本機區域中樞學習預設路由,而且不會直接連線到其跨區域中樞。 如果區域性中斷會影響本機區域中樞,請使用下列其中一個手動設定來達成因特網備援。
選項 1
僅針對輸出因特網存取使用此選項。 在本機區域性中斷期間,如果您需要 Azure VMware 解決方案 工作負載的輸出因特網存取,請使用 Azure VMware 解決方案 管理的 SNAT。 此解決方案提供簡單且快速的存取。 如需詳細資訊,請參閱針對 Azure VMware 解決方案 工作負載開啟受控 SNAT。
選項 2
使用此選項進行輸入和輸出因特網存取。 在本機區域中斷期間,如果您需要 Azure VMware 解決方案 雲端的輸入和輸出因特網存取,請使用下列方法。
拿掉從 Azure VMware 解決方案 到您本機區域中樞的連線(圖表中的連線 D)。
在 Azure 入口網站 中,選取 [Azure VMware 解決方案],然後移除您為連線 D 建立的授權密鑰。
建立與跨區域中樞的新連線。
若要處理輸入流量,請考慮使用 Azure Front Door 或 Azure 流量管理員 來維護區域高可用性。
在沒有全球觸達的情況下,使用 VMware HCX 行動優化網路 (MON)
當您使用 HCX 網路擴充功能時,您可以啟用 HCX 行動優化網路功能 (MON)。 MON 在特定案例中提供最佳的流量路由,以防止網路在擴充網路上的內部部署和雲端式資源之間重疊或迴圈。
來自 Azure VMware 解決方案的輸出流量
當您為特定的擴充網路和虛擬機啟用 MON 時,流量流程會變更。 實作 MON 之後,來自虛擬機的輸出流量不會迴圈回內部部署。 相反地,它會略過網路延伸模組IPSec通道。 虛擬機的流量會從 Azure VMware 解決方案 NSX-T 第 1 層閘道中結束,移至 NSX-T 第 0 層閘道,然後移至虛擬 WAN。
Azure VMware 解決方案 的輸入流量
當您針對特定擴充網路和虛擬機啟用 MON 時,您會介紹下列變更。 從 Azure VMware 解決方案 NSX-T,MON 會將 /32 主機路由插入至虛擬 WAN。 虛擬 WAN 會將此 /32 路由公告回內部部署、虛擬網路和分支網路。 此 /32 主機路由可確保流量從內部部署、虛擬網路和分支網路到已啟用 MON 的虛擬機時,不會使用網路擴充 IPSec 通道。 來自來源網路的流量會直接流向已啟用 MON 的虛擬機,因為它會學習 /32 路由。
沒有全域觸達的安全虛擬 WAN 的 HCX MON 限制
當您在安全中樞上啟用 ExpressRoute 對 ExpressRoute 傳輸性,並啟用路由意圖時,安全中樞會將預設 RFC 1918 位址傳送至內部部署和 Azure VMware 解決方案。 除了預設 RFC 1918 位址之外,內部部署和 Azure VMware 解決方案 從聯機到中樞的 Azure 虛擬網路和分支網路深入瞭解更具體的路由。
但內部部署網路不會從 Azure VMware 解決方案 學習特定路由,Azure VMware 解決方案 不會從內部部署網路學習特定路由。 相反地,這兩個環境都依賴預設 RFC 1918 位址,以利透過中樞防火牆路由回彼此。 因此,更具體的路由,例如 MON 主機路由,不會從 Azure VMware 解決方案 ExpressRoute 公告至內部部署 ExpressRoute 線路。 反之亦然。 無法瞭解特定路由引進非對稱流量流程。 流量會透過 NSX-T 第 0 層閘道 Azure VMware 解決方案 輸出,但從內部部署傳回的流量會透過網路延伸模組 IPSec 通道傳回。
更正流量不對稱
若要更正流量不對稱,您需要調整 MON 原則路由。 MON 原則路由會決定哪些流量會透過 L2 擴充功能回到內部部署閘道。 它們也會決定哪些流量通過 Azure VMware 解決方案 NSX 第 0 層閘道。
如果目的地 IP 相符,而且您已將它設定為 在 MON 原則設定中允許 ,則會發生兩個動作。 首先,系統會識別封包。 其次,系統會透過網路擴充設備將封包傳送至內部部署閘道。
如果目的地 IP 不相符,或您在 MON 原則中將它設定為拒絕,系統會將封包傳送至 Azure VMware 解決方案 第 0 層網關進行路由。
下表描述 HCX 原則路由。
網路 | 重新導向至對等 | 注意 |
---|---|---|
Azure 虛擬網路位址空間 | 拒絕 | 明確包含所有虛擬網路的位址範圍。 適用於 Azure 的流量會透過 Azure VMware 解決方案 導向輸出,且不會返回內部部署網路。 |
預設 RFC 1918 位址空間 | 允許 | 新增預設 RFC 1918 位址。 此組態可確保不符合上述準則的任何流量會重新路由回內部部署網路。 如果您的內部部署設定使用不屬於 RFC 1918 的位址,您必須明確包含這些範圍。 |
0.0.0.0/0 位址空間 | 拒絕 | RFC 1918 未涵蓋的位址,例如因特網路由IP,或不符合指定專案的流量、直接透過 Azure VMware 解決方案 結束,且不會重新導向回內部部署網路。 |