使用沒有 Global Reach 的單一區域 Azure VMware 解決方案 設計
本文說明當您使用安全的 Azure 虛擬 WAN 搭配路由意圖時,單一區域中 Azure VMware 解決方案 的最佳做法。 其提供具有路由意圖的安全虛擬 WAN 連線和流量流程建議。 本文說明當您不使用 Azure ExpressRoute Global Reach 時,Azure VMware 解決方案 私人雲端、內部部署網站和 Azure 原生資源的設計拓撲。 具有路由意圖的安全虛擬 WAN 實作和設定已超出本文的範圍。
如果您使用不支援 Global Reach 的區域,或有安全性需求來檢查中樞防火牆 Azure VMware 解決方案 與內部部署之間的流量,您必須開啟支援票證,才能啟用 ExpressRoute 到 ExpressRoute 的傳輸能力。 虛擬 WAN 預設不支援 ExpressRoute 到 ExpressRoute 的傳輸性。 如需詳細資訊,請參閱 使用路由意圖在 ExpressRoute 線路之間傳輸連線。
在沒有全域觸達的情況下使用安全的虛擬 WAN
只有虛擬 WAN 標準 SKU 支援具有路由意圖的安全虛擬 WAN。 使用安全虛擬 WAN 搭配路由意圖,將所有因特網流量和專用網流量 (RFC 1918) 傳送至安全性解決方案,例如 Azure 防火牆、非Microsoft網路虛擬設備 (NVA),或軟體即服務 (SaaS) 解決方案。
此案例的中樞具有下列設定:
單一區域網路具有虛擬 WAN 實例和一個中樞。
中樞已部署 Azure 防火牆 實例,使其成為安全的虛擬 WAN 中樞。
安全虛擬 WAN 中樞已啟用路由意圖。
此案例也有下列元件:
單一區域有自己的 Azure VMware 解決方案 私人雲端和 Azure 虛擬網路。
內部部署網站會連線回中樞。
注意
如果您在連線的內部部署資源、虛擬網路或 Azure VMware 解決方案 中使用非 RFC 1918 前置詞,請在路由意圖功能的 [私人流量前綴] 字段中指定這些前置詞。 在 [私人流量前綴 ] 字段中輸入摘要路由,以涵蓋您的範圍。 請勿輸入向虛擬 WAN 公告的確切範圍,因為此規格可能會導致路由問題。 例如,如果 ExpressRoute 線路從內部部署公告 192.0.2.0/24,請輸入 /23 無類別網域間路由 (CIDR) 範圍或更大範圍,例如 192.0.2.0/23。 如需詳細資訊,請參閱 透過虛擬 WAN 入口網站設定路由意圖和原則。
注意
當您使用安全的虛擬 WAN 中樞設定 Azure VMware 解決方案 時,請將中樞路由喜好設定選項設定為 AS Path,以確保中樞上的最佳路由結果。 如需詳細資訊,請參閱 虛擬中樞路由喜好設定。
下圖顯示此案例的範例。
下表描述上圖中的拓撲連線能力。
| 連線 | 描述 |
|---|---|
| D | Azure VMware 解決方案 私人雲端管理的 ExpressRoute 連線至中樞 |
| E | 內部部署 ExpressRoute 連線至中樞 |
沒有全域觸達的單一區域虛擬 WAN 流量
下列各節說明 Azure VMware 解決方案、內部部署、Azure 虛擬網路和因特網的流量和連線能力。
Azure VMware 解決方案 私人雲端連線和流量流程
下圖顯示 Azure VMware 解決方案 私人雲端的流量流程。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 1 | Azure VMware 解決方案 雲端 | 虛擬網路 | Yes |
| 2 | Azure VMware 解決方案 雲端 | 內部部署 | Yes |
Azure VMware 解決方案 私人雲端具有與中樞的 ExpressRoute 連線(連線 D)。
當您在安全中樞上啟用 ExpressRoute 對 ExpressRoute 傳輸性,並啟用路由意圖時,安全中樞會傳送預設 RFC 1918 位址(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)以透過聯機 D Azure VMware 解決方案。除了預設 RFC 1918 位址之外,Azure VMware 解決方案 瞭解來自 Azure 虛擬網路和分支網路的更特定路由,例如 S2S VPN、P2S VPN 和 SD-WAN,這些路由會連線到中樞。 Azure VMware 解決方案 不會瞭解來自內部部署網路的特定路由。 若要將流量路由回內部部署網路,Azure VMware 解決方案 會使用從聯機 D 學習的預設 RFC 1918 位址。此流量會透過中樞防火牆傳輸。 中樞防火牆會使用內部部署網路的特定路由,透過連線 E 將流量路由傳送至目的地。從 Azure VMware 解決方案 到虛擬網路的流量會傳輸中樞防火牆。
內部部署連線和流量流程
下圖顯示內部部署連線的流量流程。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 3 | 內部部署 | Azure VMware 解決方案 雲端 | Yes |
| 4 | 內部部署 | 虛擬網路 | Yes |
內部部署網站會透過 ExpressRoute 連線 E 連線至中樞。
當您在安全中樞上啟用 ExpressRoute 到 ExpressRoute 可轉移性,並啟用路由意圖時,安全中樞會透過 連線 E 將預設 RFC 1918 位址傳送至內部部署。除了預設 RFC 1918 位址之外,內部部署也會瞭解從連線到中樞的 Azure 虛擬網路和分支網路更特定的路由。 內部部署不會從 Azure VMware 解決方案 網路學習特定路由。 若要將流量路由回 Azure VMware 解決方案 網路,Azure VMware 解決方案 會使用從連線 E 學習的預設 RFC 1918 位址。此流量會透過中樞防火牆傳輸。 中樞防火牆會使用 Azure VMware 解決方案 網路的特定路由,透過連線 D 將流量路由傳送至目的地。從內部部署到虛擬網路的流量會傳輸中樞防火牆。
當您在中樞上啟用 ExpressRoute 對 ExpressRoute 傳輸性時,它會將預設 RFC 1918 位址傳送至內部部署網路。 因此,您不應該將確切 RFC 1918 前置詞公告回 Azure。 公告相同的確切路由會在 Azure 內建立路由問題。 相反地,您應該針對內部部署網路公告更特定的路由回到 Azure。
注意
如果您公告從內部部署到 Azure 的預設 RFC 1918 位址,並想要繼續這種做法,您必須將每個 RFC 1918 範圍分割成兩個相等子範圍,並將這些子範圍公告回 Azure。 子範圍為 10.0.0.0/9, 10.128.0.0/9、172.16.0.0/13、172.24.0.0/13、192.168.0.0/17 和 192.168.128.0/17。
Azure 虛擬網路連線和流量流程
下圖顯示 Azure 虛擬網路連線的流量流程。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 5 | 虛擬網路 | Azure VMware 解決方案 雲端 | Yes |
| 6 | 虛擬網路 | 內部部署 | Yes |
在此案例中,虛擬網路對等互連會直接對等互連至中樞。 此圖顯示虛擬網路中的 Azure 原生資源如何瞭解其路由。 已啟用路由意圖的安全中樞會將預設 RFC 1918 位址傳送至對等互連的虛擬網路。 虛擬網路中的 Azure 原生資源不會從其虛擬網路外部學習特定路由。 當您啟用路由意圖時,虛擬網路中的所有資源都會擁有預設 RFC 1918 位址,並使用中樞防火牆作為下一個躍點。 所有進入和結束虛擬網路的流量都會傳輸中樞防火牆。
網際網路連線能力
本節說明如何在虛擬網路中為 Azure 原生資源提供因特網聯機,以及在單一區域中 Azure VMware 解決方案 私人雲端。 如需詳細資訊,請參閱網際網路連線能力設計考量。 您可以使用下列選項來提供 Azure VMware 解決方案 的因特網連線。
- 選項 1: Azure 裝載的因特網服務
- 選項 2:Azure VMware 解決方案 管理的來源網路位址轉換 (SNAT)
- 選項 3: NSX-T 數據中心邊緣的 Azure 公用 IPv4 位址
具有路由意圖的單一區域安全虛擬 WAN 設計支援所有選項,但我們建議選項 1。 本文稍後的案例會使用選項 1 來提供因特網連線。 選項 1 最適合使用安全的虛擬 WAN,因為它很容易檢查、部署和管理。
當您在安全中樞上啟用路由意圖時,它會向所有對等互連的虛擬網路公告 RFC 1918。 但您也可以公告預設路由0.0.0.0/0,以連線到下游資源。 當您使用路由意圖時,您可以從中樞防火牆產生預設路由。 此預設路由會公告至您的虛擬網路和 Azure VMware 解決方案。
Azure VMware 解決方案和虛擬網路因特網連線
當您啟用因特網流量的路由意圖時,根據預設,安全的虛擬WAN 中樞不會跨ExpressRoute線路公告預設路由。 若要協助確保預設路由從虛擬 WAN 傳播至 Azure VMware 解決方案,您必須在 Azure VMware 解決方案 ExpressRoute 線路上啟用預設路由傳播。 如需詳細資訊,請參閱 將預設路由 0.0.0.0/0 公告至端點。
下圖顯示虛擬網路和 Azure VMware 解決方案 因特網連線的流量流程。
下表描述上圖中的流量流程。
| 流量流量號碼 | 來源 | Destination | 安全的虛擬 WAN 中樞防火牆會檢查此流量嗎? |
|---|---|---|---|
| 7 | 虛擬網路 | 網際網路 | Yes |
| 8 | Azure VMware 解決方案 雲端 | 網際網路 | Yes |
啟用預設路由傳播之後,連線 D 會從中樞公告預設路由 0.0.0.0.0/0。 請勿針對內部部署 ExpressRoute 線路啟用此設定。 建議您在內部部署設備上實作邊界閘道通訊協定 (BGP) 篩選。 BGP 篩選器可防止資源不小心學習預設路由、新增額外的預防措施層,並協助確保您的設定不會影響內部部署因特網連線。
當您啟用因特網存取的路由意圖時,從安全虛擬WAN 中樞產生的預設路由會自動公告至中樞對等互連的虛擬網路連線。 請注意,在虛擬網路中的虛擬機 NIC 中,0.0.0.0/0 下一個躍點是中樞防火牆。 若要尋找下一個躍點,請選取 NIC 中的 [有效路由 ]。
在沒有全球觸達的情況下,使用 VMware HCX 行動優化網路 (MON)
當您使用 HCX 網路擴充功能時,您可以啟用 HCX 行動優化網路功能 (MON)。 MON 在特定案例中提供最佳的流量路由,以防止網路在擴充網路上的內部部署和雲端式資源之間重疊或迴圈。
來自 Azure VMware 解決方案的輸出流量
當您為特定的擴充網路和虛擬機啟用 MON 時,流量流程會變更。 實作 MON 之後,來自虛擬機的輸出流量不會迴圈回內部部署。 相反地,它會略過網路延伸模組IPSec通道。 虛擬機的流量會從 Azure VMware 解決方案 NSX-T 第 1 層閘道中結束,移至 NSX-T 第 0 層閘道,然後移至虛擬 WAN。
輸入流量至 Azure VMware 解決方案
當您針對特定擴充網路和虛擬機啟用 MON 時,您會介紹下列變更。 從 Azure VMware 解決方案 NSX-T,MON 會將 /32 主機路由插入至虛擬 WAN。 虛擬 WAN 會將此 /32 路由公告回內部部署、虛擬網路和分支網路。 此 /32 主機路由可確保流量從內部部署、虛擬網路和分支網路到已啟用 MON 的虛擬機時,不會使用網路擴充 IPSec 通道。 來自來源網路的流量會直接流向已啟用 MON 的虛擬機,因為它會學習 /32 路由。
沒有全域觸達的安全虛擬 WAN 的 HCX MON 限制
當您在安全中樞上啟用 ExpressRoute 對 ExpressRoute 傳輸性,並啟用路由意圖時,安全中樞會將預設 RFC 1918 位址傳送至內部部署和 Azure VMware 解決方案。 除了預設 RFC 1918 位址之外,內部部署和 Azure VMware 解決方案 從連線到中樞的 Azure 虛擬網路和分支網路深入瞭解更特定的路由。
但內部部署網路不會從 Azure VMware 解決方案 學習特定路由,Azure VMware 解決方案 不會從內部部署網路學習特定路由。 相反地,這兩個環境都依賴預設 RFC 1918 位址,以利透過中樞防火牆路由回彼此。 因此,更具體的路由,例如 MON 主機路由,不會從 Azure VMware 解決方案 ExpressRoute 公告到內部部署型 ExpressRoute 線路。 反之亦然。 無法瞭解特定路由引進非對稱流量流程。 流量會透過 NSX-T 第 0 層閘道傳回 Azure VMware 解決方案,但從內部部署傳回的流量會透過網路延伸模組 IPSec 通道傳回。
更正流量不對稱
若要更正流量不對稱,您需要調整 MON 原則路由。 MON 原則路由會決定哪些流量會透過 L2 擴充功能回到內部部署閘道。 它們也會決定哪些流量通過 Azure VMware 解決方案 NSX 第 0 層閘道。
如果目的地 IP 相符,而且您已將它設定為 在 MON 原則設定中允許 ,則會發生兩個動作。 首先,系統會識別封包。 其次,系統會透過網路擴充設備將封包傳送至內部部署閘道。
如果目的地 IP 不相符,或您在 MON 原則中將其設定為拒絕,系統會將封包傳送至 Azure VMware 解決方案 第 0 層閘道進行路由傳送。
下表描述 HCX 原則路由。
| 網路 | 重新導向至對等 | 注意 |
|---|---|---|
| Azure 虛擬網路位址空間 | 拒絕 | 明確包含所有虛擬網路的位址範圍。 適用於 Azure 的流量會透過 Azure VMware 解決方案 導向輸出,且不會返回內部部署網路。 |
| 預設 RFC 1918 位址空間 | 允許 | 新增預設 RFC 1918 位址。 此組態可確保不符合上述準則的任何流量會重新路由回內部部署網路。 如果您的內部部署設定使用不屬於 RFC 1918 的位址,您必須明確包含這些範圍。 |
| 0.0.0.0/0 位址空間 | 拒絕 | RFC 1918 未涵蓋的位址,例如因特網路由IP,或不符合指定專案的流量、直接透過 Azure VMware 解決方案 結束,且不會重新導向回內部部署網路。 |