Důležité informace o síti pro nasazení Azure VMware Solution se dvěma oblastmi

  • Článek

Tento článek popisuje, jak nakonfigurovat připojení k síti při nasazení Azure VMware Solution privátních cloudů ve dvou oblastech Azure pro účely odolnosti proti havárii. Pokud dojde k částečnému nebo úplnému regionálnímu výpadku, umožňuje topologie sítě v tomto článku přežívajícím komponentám (privátním cloudům, prostředkům nativním pro Azure a místním lokalitám) udržovat vzájemné a internetové připojení.

Scénář se dvěma oblastmi

Tento článek se zaměřuje na typický scénář se dvěma oblastmi, který je znázorněn na následujícím obrázku 1:

  • V každé oblasti existuje hvězdicová síť Azure.
  • Byla nasazena konfigurace pro ExpressRoute odolná proti havárii (dva okruhy ve dvou různých umístěních partnerského vztahu, přičemž každý okruh je připojený k virtuálním sítím centra v obou oblastech). Pokyny uvedené v následujících částech zůstanou stejné pro případ, že je nakonfigurované náhradní připojení VPN .
  • V každé oblasti se nasadil Azure VMware Solution privátní cloud.

Diagram obrázku 1, který znázorňuje scénář se dvěma oblastmi, probíraný v tomto článku

Poznámka

V referenčním scénáři na obrázku 1 jsou dvě virtuální sítě regionálního centra propojené prostřednictvím globálního partnerského vztahu virtuálních sítí. I když to není nezbytně nutné, protože provoz mezi virtuálními sítěmi Azure v těchto dvou oblastech může být směrován přes připojení ExpressRoute, důrazně doporučujeme tuto konfiguraci. Partnerský vztah virtuálních sítí minimalizuje latenci a maximalizuje propustnost, protože odstraňuje potřebu vláskat provoz přes hraniční směrovače ExpressRoute meet-me.

Vzorce komunikace se dvěma oblastmi

Další části popisují konfiguraci Azure VMware Solution sítě, která je nezbytná k povolení následujících komunikačních vzorů v referenčním scénáři se dvěma oblastmi:

Azure VMware Solution připojení mezi oblastmi

Pokud existuje více Azure VMware Solution privátních cloudů, je připojení vrstvy 3 mezi nimi často požadavkem pro úlohy, jako je podpora replikace dat.

Azure VMware Solution nativně podporuje přímé připojení mezi dvěma privátními cloudy nasazenými v různých oblastech Azure. Privátní cloudy se připojují k síti Azure ve své vlastní oblasti prostřednictvím okruhů ExpressRoute, spravovaných platformou a ukončených ve vyhrazených umístěních ExpressRoute meet-me. V tomto článku se tyto okruhy označují jako Azure VMware Solution spravované okruhy. Azure VMware Solution spravovaných okruhů by se neměly zaměňovat s běžnými okruhy, které zákazníci nasazují za účelem připojení místních lokalit k Azure. Normální okruhy, které zákazníci nasazují, jsou okruhy spravované zákazníkem (viz obrázek 2).

Přímé připojení mezi privátními cloudy je založené na připojeních ExpressRoute Global Reach mezi Azure VMware Solution spravovanými okruhy, jak je znázorněno zelenou čárou na následujícím diagramu. Další informace najdete v tématu Kurz: Partnerský vztah místních prostředí k Azure VMware Solution. Tento článek popisuje postup připojení Azure VMware Solution spravovaného okruhu s okruhem spravovaným zákazníkem. Stejný postup platí pro připojení dvou Azure VMware Solution spravovaných okruhů.

Diagram obrázku 2, který znázorňuje privátní cloudy v různých oblastech připojené přes připojení Global Reach mezi spravovanými okruhy ExpressRoute

Hybridní připojení

Doporučená možnost připojení Azure VMware Solution privátních cloudů k místním lokalitám je ExpressRoute Global Reach. Připojení Global Reach je možné navazovat mezi okruhy ExpressRoute spravovanými zákazníkem a Azure VMware Solution spravovanými okruhy ExpressRoute. Připojení Global Reach nejsou přenosná, proto je pro odolnost proti havárii nezbytná úplná síť (každý Azure VMware Solution spravovaný okruh připojený ke každému okruhu spravovanému zákazníkem), jak je znázorněno na následujícím obrázku 3 (znázorněno oranžovými čarami).

Diagram obrázku 3, který znázorňuje připojení Global Reach propojující okruhy ExpressRoute spravované zákazníkem a okruhy VMware Solution ExpressRoute

Připojení k Azure Virtual Network

Azure Virtual Network je možné připojit k privátním cloudům Azure VMware Solution prostřednictvím připojení mezi bránami ExpressRoute a Azure VMware Solution spravovanými okruhy. Toto připojení je úplně stejné jako azure Virtual Network se dá připojit k místním lokalitám přes okruhy ExpressRoute spravované zákazníkem. Pokyny ke konfiguraci najdete v tématu Ruční připojení k privátnímu cloudu .

Ve scénářích se dvěma oblastmi doporučujeme vytvořit úplnou síť pro připojení ExpressRoute mezi dvěma oblastmi centrálního centra Virtual Network a privátními cloudy, jak je znázorněno na obrázku 4 (znázorněné žlutými čarami).

Diagram obrázku 4, který ukazuje, že nativní prostředky Azure v každé oblasti mají přímé připojení L3 k Azure VMware Solution privátním cloudům.

Připojení k internetu

Při nasazování Azure VMware Solution privátních cloudů ve více oblastech doporučujeme nativní možnosti připojení k internetu (překlad adres spravovaného zdroje (SNAT) nebo veřejné IP adresy až do NSX-T. Obě možnosti je možné nakonfigurovat prostřednictvím Azure Portal (nebo prostřednictvím PowerShellu, rozhraní příkazového řádku nebo šablon ARM/Bicep) v době nasazení, jak je znázorněno na následujícím obrázku 5.

Diagram obrázku 5, který znázorňuje Azure VMware Solution nativní možnosti připojení k internetu v Azure Portal

Obě možnosti zvýrazněné na obrázku 5 poskytují každému privátnímu cloudu přímý internetový breakout ve své vlastní oblasti. Rozhodnutí o tom, jakou možnost nativního připojení k internetu použít, by měly být zohledněny následující aspekty:

  • Spravovaný SNAT by se měl používat ve scénářích se základními a odchozími požadavky (nízké objemy odchozích připojení a není potřeba podrobná kontrola nad fondem SNAT).
  • Veřejné IP adresy až po hraniční zařízení NSX-T by se měly upřednostňovat ve scénářích s velkými objemy odchozích připojení nebo v případě, že vyžadujete podrobnou kontrolu nad IP adresami NAT. Například které Azure VMware Solution virtuální počítače používají SNAT za kterými IP adresami. Veřejné IP adresy až po hraniční zařízení NSX-T také podporují příchozí připojení přes DNAT. Tento článek se nezabývá příchozím připojením k internetu.

Po počátečním nasazení je možné změnit konfiguraci připojení k internetu privátního cloudu. Privátní cloud ale během aktualizace konfigurace ztratí připojení k internetu, Azure Virtual Network a místním lokalitám. Pokud použijete některou z možností nativního připojení k internetu na předchozím obrázku 5, není ve scénářích se dvěma oblastmi potřeba žádná další konfigurace (topologie zůstane stejná jako topologie zobrazená na obrázku 4). Další informace o připojení k internetu pro Azure VMware Solution najdete v tématu Aspekty návrhu připojení k internetu.

Internetový breakout nativní pro Azure

Pokud byla v Azure Virtual Network před přechodem Azure VMware Solution vytvořená zabezpečená internetová hraniční zařízení, může být nutné ji použít pro přístup k internetu pro Azure VMware Solution privátní cloudy. Použití zabezpečeného internetového hraničního zařízení tímto způsobem je nezbytné pro centralizovanou správu zásad zabezpečení sítě, optimalizaci nákladů a další. Hrany zabezpečení internetu v Azure Virtual Network je možné implementovat pomocí Azure Firewall nebo brány firewall a virtuálních zařízení proxy sítě (NVA) třetích stran, která jsou k dispozici na Azure Marketplace.

Internetový provoz vysílaný virtuálními počítači Azure VMware Solution je možné přitáhnout k virtuální síti Azure tím, že vytvoří výchozí trasu a oznámí ji přes protokol BGP (Border Gateway Protocol) do spravovaného okruhu ExpressRoute privátního cloudu. Tuto možnost připojení k internetu je možné nakonfigurovat prostřednictvím Azure Portal (nebo prostřednictvím PowerShellu, rozhraní příkazového řádku nebo šablon ARM/Bicep) v době nasazení, jak je znázorněno na následujícím obrázku 6. Další informace najdete v tématu Zákaz přístupu k internetu nebo povolení výchozí trasy.

Diagram obrázku 6, který znázorňuje konfiguraci Azure VMware Solution pro povolení připojení k internetu přes okraje internetu v Azure Virtual Network

Síťová virtuální zařízení pro internet edge můžou pocházet z výchozí trasy, pokud podporují protokol BGP. Pokud ne, musíte nasadit další síťová virtuální zařízení s podporou protokolu BGP. Další informace o tom, jak implementovat odchozí internetové připojení pro Azure VMware Solution v jedné oblasti, najdete v tématu Implementace připojení k internetu pro Azure VMware Solution s virtuálními virtuálními zařízeními Azure. Ve scénáři se dvěma oblastmi, který je popsán v tomto článku, musí být pro obě oblasti použita stejná konfigurace.

Klíčovým aspektem ve scénářích se dvěma oblastmi je, že výchozí trasa pocházející z každé oblasti by se měla šířit přes ExpressRoute pouze do Azure VMware Solution privátního cloudu ve stejné oblasti. Toto šíření umožňuje Azure VMware Solution úlohám přístup k internetu prostřednictvím místní skupiny (v oblasti). Pokud ale použijete topologii zobrazenou na obrázku 4, obdrží každý Azure VMware Solution privátní cloud také výchozí trasu se stejnými náklady ze vzdálené oblasti přes připojení ExpressRoute mezi oblastmi. Červené přerušované čáry představují toto nežádoucí šíření výchozí trasy mezi oblastmi na obrázku 7.

Diagram obrázku 7, který znázorňuje připojení mezi oblastmi mezi bránami ExpressRoute a okruhy ExpressRoute spravovanými řešením VMware, musí být odebrána.

Odebráním Azure VMware Solution připojení ExpressRoute mezi oblastmi dosáhnete cíle vložit do každého privátního cloudu výchozí trasu, která přesměruje internetová připojení do hraniční sítě Azure v místní oblasti.

Je třeba poznamenat, že pokud jsou připojení ExpressRoute mezi oblastmi (červené přerušované čáry na obrázku 7) odebrána, šíření výchozí trasy mezi oblastmi stále probíhá přes Global Reach. Trasy šířené přes aplikaci Global Reach však mají delší cestu AS než trasy místně pocházející a proces výběru trasy protokolu BGP je zahodí.

Šíření méně upřednostňované výchozí trasy mezi oblastmi přes Global Reach poskytuje odolnost proti chybám místní internetové hraniční sítě. Pokud se internetový okraj oblasti přepojí do offline režimu, zastaví se výchozí trasa. V takovém případě se méně upřednostňovaná výchozí trasa naučená ze vzdálené oblasti nainstaluje do Azure VMware Solution privátního cloudu, aby se provoz směřující na internet směroval přes skupinovou vazbu vzdálené oblasti.

Doporučená topologie pro nasazení se dvěma oblastmi s internetovými přerušeními ve virtuálních sítích Azure je znázorněna na následujícím obrázku 8.

Diagram obrázku 8, který znázorňuje doporučenou topologii pro nasazení se dvěma oblastmi s internetovým odchozím přístupem přes okraje internetu

Při vytváření výchozích tras v Azure je potřeba věnovat zvláštní pozornost tomu, aby se zabránilo šíření do místních lokalit, pokud není potřeba poskytovat přístup k internetu k místním webům přes internetový okraj v Azure. Zařízení spravovaná zákazníkem, která ukončují okruhy ExpressRoute spravované zákazníkem, musí být nakonfigurovaná tak, aby filtrovala výchozí trasy přijaté z Azure, jak je znázorněno na obrázku 9. Tato konfigurace je nezbytná, aby se zabránilo narušení přístupu k internetu pro místní lokality.

Diagram obrázku 9 znázorňující mluvčí protokolu BGP, kteří ukončují okruhy ExpressRoute spravované zákazníkem, filtrují výchozí trasy síťových virtuálních zařízení Azure.

Další kroky