使用具有虛擬 WAN 和 Global Reach 的單一區域 Azure VMware 解決方案 設計
本文說明當您使用安全的 Azure 虛擬 WAN 搭配路由意圖時,在單一區域中 Azure VMware 解決方案 的最佳做法。 其提供路由意圖與 Azure ExpressRoute Global Reach 的安全虛擬 WAN 連線和流量流量建議。 本文說明私人雲端、內部部署網站和 Azure 原生資源 Azure VMware 解決方案 設計拓撲。 具有路由意圖的安全虛擬 WAN 實作和設定已超出本文的範圍。
在單一區域中使用安全的虛擬 WAN
只有虛擬 WAN 標準 SKU 支援具有路由意圖的安全虛擬 WAN。 使用具有路由意圖的安全虛擬 WAN,將所有因特網流量和專用網流量傳送至安全性解決方案,例如 Azure 防火牆、非Microsoft網路虛擬設備(NVA),或軟體即服務 (SaaS) 解決方案。 如果您使用路由意圖,則必須擁有安全的虛擬 WAN 中樞。
注意
當您使用安全的虛擬 WAN 中樞設定 Azure VMware 解決方案 時,請將中樞路由喜好設定選項設定為 AS Path,以確保中樞上的最佳路由結果。 如需詳細資訊,請參閱 虛擬中樞路由喜好設定。
此案例的中樞具有下列設定:
單一區域網路具有虛擬 WAN 實例和一個中樞。
中樞已部署 Azure 防火牆 實例,使其成為安全的虛擬 WAN 中樞。
安全虛擬 WAN 中樞已啟用路由意圖。
此案例也有下列元件:
單一區域有自己的私人雲端和 Azure 虛擬網路 Azure VMware 解決方案。
內部部署網站會連線回中樞。
環境具有 Global Reach 連線能力。
Global Reach 會透過Microsoft骨幹建立直接邏輯連結,以將 Azure VMware 解決方案 連線到內部部署。
全域觸達連線不會傳輸中樞防火牆。 因此,內部部署與 Azure VMware 解決方案 之間雙向的 Global Reach 流量不會受到檢查。
注意
若要增強 Global Reach 網站之間的安全性,請考慮檢查 Azure VMware 解決方案 環境 NSX-T 或內部部署防火牆內的流量。
下圖顯示此案例的範例。
下表描述上圖中的拓撲連線能力。
| 連線 | 描述 |
|---|---|
| D | Azure VMware 解決方案 私人雲端管理的 ExpressRoute 連線至中樞 |
| A | Azure VMware 解決方案 內部部署的 Global Reach 連線 |
| E | 內部部署 ExpressRoute 連線至中樞 |
單一區域安全虛擬 WAN 流量流程
下列各節說明 Azure VMware 解決方案、內部部署、Azure 虛擬網路和因特網的流量和連線能力。
Azure VMware 解決方案 私人雲端連線和流量流程
下圖顯示 Azure VMware 解決方案 私人雲端的流量流程。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 1 | Azure VMware 解決方案 雲端 | 虛擬網路 | Yes |
| 2 | Azure VMware 解決方案 雲端 | 內部部署 | No |
Azure VMware 解決方案 私人雲端會透過 ExpressRoute 連線 D 連線至其中樞。Azure VMware 解決方案 雲端區域會透過 ExpressRoute Global Reach 連線 A 建立內部部署連線。透過 Global Reach 傳輸的流量不會傳輸中樞防火牆。
針對您的案例,設定 Global Reach 以防止內部部署與 Azure VMware 解決方案 之間的連線問題。
內部部署連線和流量流程
下圖顯示透過 ExpressRoute 連線 E 連線中樞的內部部署網站。內部部署系統可以透過 Global Reach 連線 A 與 Azure VMware 解決方案 通訊。
針對您的案例,設定 Global Reach 以防止內部部署與 Azure VMware 解決方案 之間的連線問題。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 3 | 內部部署 | Azure VMware 解決方案 雲端 | No |
| 4 | 內部部署 | 虛擬網路 | Yes |
Azure 虛擬網路連線和流量流程
已啟用路由意圖的安全中樞會將預設 RFC 1918 位址(10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16)傳送至對等互連虛擬網路,以及新增為私人流量前綴的任何其他前置詞。 如需詳細資訊,請參閱 路由意圖私人地址前綴。 此案例已啟用路由意圖,因此虛擬網路中的所有資源都具有預設 RFC 1918 位址,並使用中樞防火牆作為下一個躍點。 進入和結束虛擬網路的所有流量都會傳輸中樞防火牆。
下圖顯示虛擬網路對等互連如何直接對等互連至中樞。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 5 | 虛擬網路 | Azure VMware 解決方案 雲端 | Yes |
| 6 | 虛擬網路 | Azure VMware 解決方案 雲端 | Yes |
網際網路連線能力
本節說明如何在虛擬網路和 Azure VMware 解決方案 私人雲端中,提供 Azure 原生資源的因特網連線能力。 如需詳細資訊,請參閱網際網路連線能力設計考量。 您可以使用下列選項來提供 Azure VMware 解決方案 的因特網連線。
- 選項 1: Azure 裝載的因特網服務
- 選項 2:Azure VMware 解決方案 管理的來源網路位址轉換 (SNAT)
- 選項 3: NSX-T 數據中心邊緣的 Azure 公用 IPv4 位址
具有路由意圖的單一區域安全虛擬 WAN 設計支援所有選項,但我們建議選項 1。 本文稍後的案例會使用選項 1 來提供因特網連線。 選項 1 最適合使用安全的虛擬 WAN,因為它很容易檢查、部署和管理。
當您使用路由意圖時,您可以從中樞防火牆產生預設路由。 此預設路由會公告至您的虛擬網路和 Azure VMware 解決方案。
Azure VMware 解決方案和虛擬網路因特網連線能力
當您啟用因特網流量的路由意圖時,根據預設,安全的虛擬WAN 中樞不會跨ExpressRoute線路公告預設路由。 若要協助確保預設路由從虛擬 WAN 傳播至 Azure VMware 解決方案,您必須在 Azure VMware 解決方案 ExpressRoute 線路上啟用預設路由傳播。 如需詳細資訊,請參閱 將預設路由 0.0.0.0/0 公告至端點。
啟用預設路由傳播之後,連線 D 會從中樞公告預設路由 0.0.0.0.0/0。 請勿針對內部部署 ExpressRoute 線路啟用此設定。 連線 D 會將預設路由 0.0.0.0/0 公告為 Azure VMware 解決方案,但 Global Reach (connection A) 也會公告預設路由至內部部署。 因此,建議您在內部部署設備上實作邊界網關通訊協定 (BGP) 篩選,使其不會瞭解預設路由。 此步驟有助於確保您的設定不會影響內部部署因特網連線。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 7 | Azure VMware 解決方案 雲端 | 網際網路 | Yes |
| 8 | 虛擬網路 | 網際網路 | Yes |
當您啟用因特網存取的路由意圖時,從安全虛擬WAN 中樞產生的預設路由會自動公告至中樞對等互連的虛擬網路連線。 請注意,在虛擬網路中的虛擬機網路適配器 (NIC) 中,下一個躍點是中樞防火牆。0.0.0.0/0 的下一個躍點。 若要尋找下一個躍點,請選取 NIC 中的 [有效路由 ]。