Überlegungen zum Entwurf von Internetkonnektivität

  • Artikel

Es gibt drei primäre Muster, um ausgehenden Internetzugriff von Azure VMware Solution und eingehenden Internetzugriff auf Ressourcen in Ihrer privaten Azure VMware Solution-Cloud zu ermöglichen.

Die Wahl der passenden Bereitstellungsmethode für Internetzugriff auf die private Azure VMware Solution-Cloud hängt von Ihren Anforderungen im Zusammenhang mit Sicherheitskontrollen, Sichtbarkeit, Kapazität und Vorgängen ab.

In Azure gehosteter Internetdienst

Es gibt verschiedene Möglichkeiten, um in Azure eine Standardroute zu generieren und sie an Ihre private Azure VMware Solution-Cloud oder an Ihre lokale Umgebung zu senden. Die folgenden Optionen sind verfügbar:

  • Eine Azure-Firewall in einem Virtual WAN-Hub
  • Eine virtuelle Netzwerkappliance eines Drittanbieters in einem virtuellen Hub-Spoke-Netzwerk von Virtual WAN
  • Eine virtuelle Netzwerkappliance eines Drittanbieters in einem nativen virtuellen Azure-Netzwerk mit Azure Route Server
  • Eine Standardroute aus der lokalen Umgebung, die über Global Reach an Azure VMware Solution übertragen wird

Verwenden Sie eines dieser Muster, um einem Dienst für ausgehende SNAT die Möglichkeit zu geben, die Quellen zu steuern, für die ausgehender Datenverkehr zulässig ist, und die Verbindungsprotokolle anzuzeigen. Bei einigen Diensten können so außerdem weitere Datenverkehrsüberprüfungen ermöglicht werden.

Der gleiche Dienst kann auch eine öffentliche Azure-IP-Adresse nutzen und eine eingehende DNAT aus dem Internet für Ziele in Azure VMware Solution erstellen.

Es kann auch eine Umgebung erstellt werden, die mehrere Pfade für Internetdatenverkehr verwendet: einen für ausgehende SNAT (z. B. eine Sicherheits-NVA von einem Drittanbieter) und einen weiteren für eingehende DNAT (z. B. eine Lastenausgleichs-NVA eines Drittanbieters mit SNAT-Pools für Antwortdatenverkehr).

Von Azure VMware Solution verwaltete SNAT

Ein Dienst für verwaltete SNAT bietet eine einfache Methode für ausgehenden Internetzugriff aus einer privaten Azure VMware Solution-Cloud. Dieser Dienst hat folgende Merkmale:

  • Mühelose Aktivierung: Wenn Sie auf der Registerkarte „Internetkonnektivität“ das Optionsfeld auswählen, haben alle Workloadnetzwerke umgehend ausgehenden Internetzugriff über ein SNAT-Gateway.
  • Keine Kontrolle über SNAT-Regeln: Alle Quellen, die den SNAT-Dienst erreichen, sind zulässig.
  • Kein Einblick in Verbindungsprotokolle.
  • Zwei öffentliche IP-Adressen werden verwendet und rotiert, um bis zu 128.000 gleichzeitige ausgehende Verbindungen zu unterstützen.
  • Bei der verwalteten SNAT von Azure VMware Solution steht keine Funktion für eingehendes DNAT zur Verfügung.

Öffentliche Azure IPv4-Adresse für NSX Edge

Bei dieser Option wird eine zugeordnete öffentliche Azure IPv4-Adresse direkt für die Nutzung durch NSX Edge bereitgestellt. Dadurch kann die private Azure VMware Solution-Cloud öffentliche Netzwerkadressen in NSX direkt nach Bedarf nutzen und anwenden. Diese Adressen werden für die folgenden Arten von Verbindungen verwendet:

  • SNAT für ausgehenden Datenverkehr
  • Eingehendes DNAT
  • Lastenausgleich mit VMware NSX Advanced Load Balancer und anderen virtuellen Netzwerkappliances von Drittanbietern
  • Anwendungen, die direkt mit einer Workload-VM-Schnittstelle verbunden sind

Mit dieser Option können Sie auch die öffentliche Adresse für eine virtuelle Netzwerkappliance eines Drittanbieters konfigurieren, um eine DMZ innerhalb der privaten Azure VMware Solution-Cloud zu erstellen.

Folgende Features sind enthalten:

  • Skalieren: Sie können die Erhöhung des vorläufigen Grenzwerts von 64 öffentlichen Azure IPv4-Adressen auf 1000 s von öffentlichen Azure-IPs beantragen, wenn eine Anwendung dies benötigt.
  • Flexibilität: Eine öffentliche IPv4-Adresse von Azure kann an beliebiger Stelle im NSX-Ökosystem angewendet werden. Sie kann für SNAT oder DNAT, für Lastenausgleichsmodule wie NSX Advanced Load Balancer von VMware oder für virtuelle Netzwerkappliances eines Drittanbieters verwendet werden. Sie kann darüber hinaus für Sicherheits-NVAs von Drittanbietern in VMware-Segmenten oder direkt auf einer VM verwendet werden.
  • Regionalität: Die öffentliche Azure IPv4-Adresse für NSX Edge ist im lokalen SDDC eindeutig. Bei einer privaten Multicloud in verteilten Regionen, bei der ein lokaler Ausgang zum Internet beabsichtigt ist, ist es einfacher, den Datenverkehr lokal zu steuern, als zu versuchen, die Standardroutenverteilung für einen in Azure gehosteten Sicherheits- oder SNAT-Dienst zu steuern. Wenn Sie über zwei oder mehr verbundene private Azure VMware Solution-Clouds verfügen, die mit einer öffentlichen IP-Adresse konfiguriert sind, können diese jeweils über einen lokalen Ausgang verfügen.

Überlegungen bei der Wahl einer Option

Die Wahl der passenden Option hängt von folgenden Faktoren ab:

  • Verwenden Sie zum Hinzufügen einer privaten Azure VMware-Cloud zu einem in einer nativen Azure-Instanz bereitgestellten Sicherheitsüberprüfungspunkt, der sämtlichen Internetdatenverkehr von nativen Azure-Endpunkten überprüft, ein Azure-natives Konstrukt, und stellen Sie eine Standardroute von Azure zu Ihrer privaten Azure VMware Solution-Cloud bereit.
  • Wenn Sie eine virtuelle Netzwerkappliance eines Drittanbieters verwenden müssen, um vorhandene Standards für die Sicherheitsüberprüfung oder für optimierte Betriebskosten zu erfüllen, haben Sie zwei Möglichkeiten: Sie können Ihre öffentliche Azure IPv4-Adresse mit der standardmäßigen Routingmethode nativ in Azure oder in Azure VMware Solution unter Verwendung der öffentlichen Azure IPv4-Adresse zum NSX Edge bereitstellen.
  • Es gelten Skalierungsgrenzen für die Anzahl der öffentlichen Azure-IPv4-Adressen, die einer virtuellen Netzwerkappliance zugewiesen werden können, die nativ in Azure oder für Azure Firewall bereitgestellt wird. Die öffentliche Azure IPv4-Adresse an NSX Edge ermöglicht höhere Zuteilungen (1000 s versus 100 s).
  • Verwenden Sie eine öffentliche Azure IPv4-Adresse für NSX Edge, um einen lokalisierten Ausgang zum Internet für jede private Cloud in der jeweiligen lokalen Region zu erhalten. Wenn Sie mehrere private Azure VMware Solution-Clouds in verschiedenen Azure-Regionen verwenden, die miteinander und mit dem Internet kommunizieren müssen, kann es eine Herausforderung darstellen, eine private Azure VMware Solution-Cloud mit einem Sicherheitsdienst in Azure abzustimmen. Die Schwierigkeit ergibt sich aus der Funktionsweise einer Standardroute von Azure.

Wichtig

Standardmäßig lässt die öffentliche IPv4-Adresse mit NSX den Austausch von öffentlichen Azure-/Microsoft-IP-Adressen über ExpressRoute-Verbindungen mit privatem Peering nicht zu. Dies bedeutet, dass Sie die öffentlichen IPv4-Adressen nicht über ExpressRoute für Ihr VNet oder Ihr lokales Netzwerk ankündigen können. Alle öffentlichen IPv4-Adressen mit NSX-Datenverkehr müssen den Internetpfad übernehmen, auch wenn die private Azure VMware Solution-Cloud über ExpressRoute verbunden ist. Weitere Informationen finden Sie unter ExpressRoute-Verbindungen und Peering.

Nächste Schritte

Aktivieren von verwalteter SNAT für Azure VMware Solution-Workloads

Aktivieren der öffentlichen IP-Adresse für NSX Edge für Azure VMware Solution

Deaktivieren des Internetzugriffs oder Aktivieren einer Standardroute