保護單一區域或雙重區域中 Azure VMware 解決方案的虛擬 WAN
本文探討使用安全 Azure 虛擬 WAN 搭配路由意圖的單一區域和雙區域案例 Azure VMware 解決方案 網路設計拓撲和考慮。 其描述路由意圖如何透過集中式安全性解決方案引導流量。 此方法可增強安全性並簡化網路管理。 本文提供使用 Azure ExpressRoute Global Reach 進行部署的設計考慮。 它強調每個案例的優點和挑戰。
您可以在虛擬 WAN 中樞實作安全性解決方案,將中樞轉換成安全的虛擬 WAN 中樞。 若要設定路由意圖,您必須擁有安全的虛擬 WAN 中樞。 路由意圖會驅動所有私人流量和因特網流量至中樞安全性解決方案,以簡化您的安全中樞路由和安全性設計。 路由意圖可改善安全性廣度,並針對通過安全中樞的所有流量進行流量檢查,包括 Azure VMware 解決方案 流量。
本文假設您已基本瞭解虛擬 WAN,並使用路由意圖保護虛擬 WAN。
如需詳細資訊,請參閱以下資源:
針對 Azure VMware 解決方案 設計實作安全的虛擬 WAN
使用安全虛擬 WAN 搭配路由意圖,將所有因特網流量和專用網流量 (RFC 1918) 傳送至安全性解決方案,例如 Azure 防火牆、非Microsoft網路虛擬設備 (NVA),或軟體即服務 (SaaS) 解決方案。 若要支援單一區域和雙區域設計,請使用 Azure VMware 解決方案 以及安全的虛擬 WAN 和路由意圖。
單一區域設計
使用單一區域設計來檢查虛擬中樞安全性解決方案內的網路流量,該解決方案會從 Azure VMware 解決方案 來回傳送。 這種方法可簡化網路管理,並增強整體安全性狀態。 如果您想要在另一個具有雙區域設計的不同區域中部署另一個 Azure VMware 解決方案 私人雲端,此設計也會為您做好準備。 在單一區域中樞啟用路由意圖,以協助稍後調整為雙中樞區域設計。 此設計支援具有或不含 Global Reach 的設定。
雙區域或雙中樞設計
使用雙區域設計來檢查兩個虛擬中樞安全性解決方案上的網路流量。 檢查來自 Azure VMware 解決方案 的流量,並檢查不同區域中 Azure VMware 解決方案 私人雲端之間的流量。 在兩個區域中樞上啟用路由意圖,讓流量可以通過這兩個中樞安全性解決方案。 具有路由意圖的雙重區域設計可改善安全性,並簡化跨區域的網路管理。 此設計支援具有或不含 Global Reach 的設定。
Global Reach 部署選項
使用 Global Reach 將 Azure VMware 解決方案 連線到內部部署或區域 Azure VMware 解決方案 私人雲端。 Global Reach 會透過Microsoft骨幹建立直接邏輯連結。
使用 Global Reach 進行部署
當您部署 Global Reach 時,Global Reach 網站之間的流量會略過安全的虛擬 WAN 中樞防火牆。 安全的虛擬 WAN 中樞防火牆不會檢查全域觸達流量,這些流量會在 Azure VMware 解決方案 與內部部署之間,或位於不同區域中 Azure VMware 解決方案 私人雲端之間。
例如,下圖顯示 Azure VMware 解決方案 與內部部署之間的流量如何使用標示為 A 的 Global Reach 連線進行通訊。 此流量不會因為 Global Reach 連線 A 而傳輸中樞防火牆。為了在 Global Reach 網站之間獲得最佳安全性,Azure VMware 解決方案 環境的 NSX-T 或內部部署防火牆必須檢查流量。
Global Reach 可簡化設計,因為它提供 Azure VMware 解決方案 與內部部署或區域 Azure VMware 解決方案 私人雲端之間的直接邏輯連線。 使用 Global Reach 協助針對 Global Reach 網站之間的流量進行疑難解答,並消除安全虛擬 WAN 的輸送量限制。 缺點是 Global Reach 會防止安全的虛擬中樞安全性解決方案檢查區域 Azure VMware 解決方案 私人雲端與內部部署之間的流量,以及 Azure VMware 解決方案 私人雲端本身。 因此,安全虛擬中樞的安全性解決方案無法檢查這些實體之間直接流動的流量。
沒有全域觸達的部署
除非您有特定需求,否則建議您一致地使用 Global Reach。 當您不使用 Global Reach 時,可以在 Azure VMware 解決方案 與內部部署或區域 Azure VMware 解決方案 私人雲端之間,檢查安全虛擬 WAN 中樞安全性解決方案上的所有流量。 但這種方法會增加設計的複雜性。 也請考慮安全虛擬 WAN 中樞的輸送量限制。 除非您有下列其中一項限制,否則請使用 Global Reach。
您必須檢查 Azure VMware 解決方案 與內部部署之間的虛擬 WAN 中樞流量,以及 Azure VMware 解決方案 私人雲端內的流量。 如果您有安全性需求來檢查 Azure VMware 解決方案 與內部部署之間的流量,或在虛擬中樞防火牆上的區域 Azure VMware 解決方案 私人雲端之間,則無法使用 Global Reach。
區域不支援 Global Reach。 如果區域不支援 Global Reach,您可以使用路由意圖來建立 ExpressRoute 連線之間的連線,無論是在 Azure VMware 解決方案 與內部部署之間,還是在區域 Azure VMware 解決方案 私人雲端之間。 根據預設,虛擬中樞不支援 ExpressRoute 到 ExpressRoute 的傳輸性。 若要啟用此可轉移性,您必須起始支援票證。 如需詳細資訊,請參閱 ExpressRoute Global Reach 可用性。
您的內部部署 ExpressRoute 實例會使用 ExpressRoute 本機 SKU。 ExpressRoute 本機 SKU 不支援 Global Reach。 如果您使用本機 SKU,您可以使用路由意圖來建立 Azure VMware 解決方案 與內部部署網路之間的連線。
下圖顯示不使用 Global Reach 的範例。
請考慮單一區域或雙重區域的全域觸達選項
使用下列指引來判斷您是否需要為案例啟用 Global Reach。
具有 Global Reach 的單一區域設計
當您在單一區域中使用 Global Reach 時,安全中樞會透過安全性解決方案路由傳送所有私人流量和因特網流量,例如 Azure 防火牆、非Microsoft NVA 或 SaaS 解決方案。 在下圖中,路由意圖會檢查流量,但 Azure VMware 解決方案 與內部部署之間的 Global Reach 流量會略過中樞防火牆(連線 A)。 因此,您必須在 Azure VMware 解決方案 或內部部署防火牆中,使用 NSX-T 檢查此 Global Reach 流量,以提升 Global Reach 網站的安全性。
下表顯示 Azure VMware 解決方案 的流量流動。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| Azure VMware 解決方案 | → ← |
虛擬網路 | Yes |
| Azure VMware 解決方案 | → ← |
網際網路 | Yes |
| Azure VMware 解決方案 | → ← |
內部部署 | No |
下表顯示虛擬網路的流量流量。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 虛擬網路 | → ← |
內部部署 | Yes |
| 虛擬網路 | → ← |
網際網路 | Yes |
| 虛擬網路 | → ← |
虛擬網路 | Yes |
沒有 Global Reach 的單一區域設計
當您未在單一區域中使用 Global Reach 時,安全中樞會透過安全性解決方案路由傳送所有私人流量和因特網流量。 路由意圖會檢查流量。 透過此設計,Azure VMware 解決方案 與內部部署之間的流量會傳輸中樞防火牆以進行檢查。 虛擬中樞預設不支援 ExpressRoute 到 ExpressRoute 的傳輸性。 若要啟用此可轉移性,您必須起始支援票證。 完成支援票證之後,安全中樞會將預設 RFC 1918 位址公告為 Azure VMware 解決方案 和內部部署。 當您使用來自內部部署的路由意圖時,您無法將確切的預設 RFC 1918 位址前綴(10.0.0.0/8、172.16.0.0/0/12、192.168.0.0/16)公告回 Azure。 相反地,您必須一律公告更特定的路由。
下表顯示從 Azure VMware 解決方案 來回的流量流量。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| Azure VMware 解決方案 | → ← |
內部部署 | Yes |
| Azure VMware 解決方案 | → ← |
網際網路 | Yes |
| Azure VMware 解決方案 | → ← |
虛擬網路 | Yes |
下表顯示虛擬網路的流量流量。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 虛擬網路 | → ← |
內部部署 | Yes |
| 虛擬網路 | → ← |
網際網路 | Yes |
| 虛擬網路 | → ← |
虛擬網路 | Yes |
具有 Global Reach 的雙重區域設計
當您在兩個區域中使用 Global Reach 時,您會在虛擬 WAN 內的不同區域中部署兩個安全中樞。 您也會在個別區域中設定兩個 Azure VMware 解決方案 私人雲端。
下圖顯示此組態的範例。 每個區域 Azure VMware 解決方案 私人雲端會直接連線到其本機區域中樞(連線 D)。 內部部署會連線到每個區域中樞(連線 E)。 所有 RFC 1918 流量和因特網流量都會透過路由意圖,透過安全中樞上的安全性解決方案路由傳送。 Azure VMware 解決方案 私人雲端可透過 Global Reach 連線回到內部部署(A 和 B 連線)。 Azure VMware 解決方案 雲端會透過 Global Reach 連線 (連線 C) 彼此連線。 Azure VMware 解決方案 私人雲端之間的全域觸達流量,或 Azure VMware 解決方案 私人雲端與內部部署之間的流量會略過兩個中樞防火牆(連線 A、B 和 C)。 若要提高 Global Reach 網站的安全性,請使用 Azure VMware 解決方案 或內部部署防火牆中的 NSX-T 來檢查此流量。
下表顯示 Azure VMware 解決方案 私人雲端區域 1 的流量流程。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
虛擬網路 1 | 是,透過中樞 1 防火牆 |
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
虛擬網路 2 | 是,透過中樞 1 和中樞 2 防火牆 |
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
網際網路 | 是,透過中樞 1 防火牆 |
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
內部部署 | No |
下表顯示 Azure VMware 解決方案 私人雲端區域 2 的流量流程。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| Azure VMware 解決方案 私人雲端區域 2 | → ← |
虛擬網路 1 | 是,透過中樞 1 和中樞 2 防火牆 |
| Azure VMware 解決方案 私人雲端區域 2 | → ← |
虛擬網路 2 | 是,透過中樞 2 防火牆 |
| Azure VMware 解決方案 私人雲端區域 2 | → ← |
網際網路 | 是,透過中樞 2 防火牆 |
| Azure VMware 解決方案 私人雲端區域 2 | → ← |
內部部署 | No |
下表顯示 Azure VMware 解決方案 私人雲端區域 1 和區域 2 的流量流量。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
Azure VMware 解決方案 私人雲端區域 2 | No |
下表顯示虛擬網路的流量流量。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 虛擬網路 1 | → ← |
內部部署 | 是,透過中樞 1 防火牆 |
| 虛擬網路 1 | → ← |
網際網路 | 是,透過中樞 1 防火牆 |
| 虛擬網路 1 | → ← |
虛擬網路 2 | 是,透過中樞 1 和中樞 2 防火牆 |
| 虛擬網路 2 | → ← |
內部部署 | 是,透過中樞 2 防火牆 |
| 虛擬網路 2 | → ← |
網際網路 | 是,透過中樞 2 防火牆 |
沒有 Global Reach 的雙重區域設計
當您在兩個區域中使用 Global Reach 時,您會在虛擬 WAN 內的不同區域中部署兩個安全中樞。 您也會在不同的區域中設定兩個 Azure VMware 解決方案 私人雲端。
下圖顯示此組態的範例。 每個區域 Azure VMware 解決方案 私人雲端會直接連線到其本機區域中樞(連線 D)。 內部部署會連線到每個區域中樞(連線 E)。 所有 RFC 1918 流量和因特網流量都會透過路由意圖,透過安全中樞上的安全性解決方案路由傳送。
虛擬中樞預設不支援 ExpressRoute 到 ExpressRoute 的傳輸性。 若要啟用此可轉移性,您必須起始支援票證。 完成支援票證之後,安全中樞會將預設 RFC 1918 位址公告為 Azure VMware 解決方案 和內部部署。 當您開啟票證時,請參考這兩個區域中樞。 使用 ExpressRoute 到 ExpressRoute 可轉移性,讓 Azure VMware 解決方案 私人雲端可以透過虛擬 WAN Interhub 彼此通訊,Azure VMware 解決方案 雲端可以與內部部署通訊。
RFC 1918 位址會公告給內部部署,您無法將確切的預設 RFC 1918 位址前綴公告(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) 回 Azure。 相反地,您必須一律公告更特定的路由。
下表顯示 Azure VMware 解決方案 私人雲端區域 1 的流量流量。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
虛擬網路 1 | 是,透過中樞 1 防火牆 |
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
虛擬網路 2 | 是,透過中樞 1 和中樞 2 防火牆 |
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
網際網路 | 是,透過中樞 1 防火牆 |
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
內部部署 | 是,透過中樞 1 防火牆 |
下表顯示 Azure VMware 解決方案 私人雲端區域 2 的流量流量。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| Azure VMware 解決方案 私人雲端區域 2 | → ← |
虛擬網路 1 | 是,透過中樞 2 防火牆 |
| Azure VMware 解決方案 私人雲端區域 2 | → ← |
虛擬網路 2 | 是,透過中樞 1 和中樞 2 防火牆 |
| Azure VMware 解決方案 私人雲端區域 2 | → ← |
網際網路 | 是,透過中樞 2 防火牆 |
| Azure VMware 解決方案 私人雲端區域 2 | → ← |
內部部署 | 是,透過中樞 2 防火牆 |
下表顯示 Azure VMware 解決方案 私人雲端區域 1 和區域 2 的流量流程。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| Azure VMware 解決方案 私人雲端區域 1 | → ← |
Azure VMware 解決方案 私人雲端區域 2 | 是,透過中樞 1 和中樞 2 防火牆 |
下表顯示虛擬網路的流量流量。
| 位置 1 | 方向 | 位置 2 | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 虛擬網路 1 | → ← |
內部部署 | 是,透過中樞 1 防火牆 |
| 虛擬網路 1 | → ← |
網際網路 | 是,透過中樞 1 防火牆 |
| 虛擬網路 1 | → ← |
虛擬網路 2 | 是,透過中樞 1 和中樞 2 防火牆 |
| 虛擬網路 2 | → ← |
內部部署 | 是,透過中樞 2 防火牆 |
| 虛擬網路 2 | → ← |
網際網路 | 是,透過中樞 2 防火牆 |