Consideraciones de diseño de la conectividad a Internet

  • Artículo

Hay tres patrones principales para crear acceso saliente a Internet desde Azure VMware Solution y habilitar el acceso entrante a Internet a los recursos en la nube privada de Azure VMware Solution.

Los requisitos en cuanto a controles de seguridad, visibilidad, capacidad y operaciones son el motivo para la selección del método adecuado para proporcionar a Internet acceso a la nube privada de Azure VMware Solution.

Servicio de Internet hospedado en Azure

Hay varias maneras de generar una ruta predeterminada en Azure y enviarla hacia la nube privada o local de Azure VMware Solution. Las opciones son las siguientes:

  • Un firewall de Azure en un centro de conectividad de Virtual WAN.
  • Una aplicación virtual de red de terceros en una red virtual en estrella tipo hub-and-spoke de Virtual WAN.
  • Una aplicación virtual de red de terceros en una instancia nativa de Azure Virtual Network que use Azure Route Server.
  • Una ruta predeterminada desde el entorno local transferido a Azure VMware Solution a través de Global Reach.

Use cualquiera de estos patrones para proporcionar un servicio SNAT de salida con capacidad para controlar los orígenes a los que se permite salir, ver los registros de conexión y, para algunos servicios, realizar una mayor inspección del tráfico.

El mismo servicio también puede usar una dirección IP pública de Azure y crear un DNAT entrante desde Internet hacia destinos de Azure VMware Solution.

También se puede crear un entorno que use varias rutas de acceso para el tráfico de Internet. Una para un servicio SNAT de salida (por ejemplo, una aplicación virtual de red de seguridad de terceros) y otra para un servicio DNAT de entrada (por ejemplo, una aplicación virtual de red de equilibrador de carga de terceros que use grupos de SNAT para el tráfico devuelto).

SNAT administrado de Azure VMware Solution

Un servicio SNAT administrado proporciona un método sencillo para el acceso de salida a Internet desde una nube privada de Azure VMware Solution. Las características de este servicio incluyen lo siguiente.

  • Fácil habilitación: seleccione el botón de radio de la pestaña Conectividad a Internet y todas las redes de cargas de trabajo que tienen acceso de salida inmediato a Internet a través de una puerta de enlace SNAT.
  • No se permite ningún control sobre las reglas de SNAT; se permiten todos los orígenes que lleguen al servicio SNAT.
  • No hay visibilidad sobre los registros de conexión.
  • Se usan dos direcciones IP públicas y se rotan para admitir hasta 128 000 conexiones de salida simultáneas.
  • No hay ninguna funcionalidad DNAT de entrada disponible con el SNAT administrado de Azure VMware Solution.

Dirección IPv4 pública de Azure a NSX Edge

Esta opción lleva una dirección IPv4 pública de Azure asignada directamente al servidor perimetral de NSX para su consumo. Permite que la nube privada de Azure VMware Solution utilice y aplique directamente direcciones de la red pública en NSX según sea necesario. Estas direcciones se usan para los siguientes tipos de conexiones:

  • SNAT de salida
  • DNAT de entrada
  • Equilibrio de carga mediante VMware NSX Advanced Load Balancer y otras aplicaciones virtuales de red de terceros
  • Aplicaciones conectadas directamente a una interfaz de máquina virtual de carga de trabajo.

Esta opción también le permite configurar la dirección pública en una aplicación virtual de red de terceros para crear una red perimetral dentro de la nube privada de Azure VMware Solution.

Características incluidas:

  • Escalado: puede solicitar aumentar el límite flexible de 64 direcciones IPv4 públicas de Azure hasta miles de IP públicas de Azure asignadas si una aplicación lo requiere.
  • Flexibilidad: una dirección IPv4 pública de Azure puede aplicarse en cualquier lugar del ecosistema NSX. Se puede usar para proporcionar SNAT o DNAT, en equilibradores de carga como NSX Advanced Load Balancer de VMware o en aplicaciones virtuales de red de terceros. También se puede usar en aplicaciones de seguridad virtual de redes de terceros en segmentos de VMware o directamente en máquinas virtuales.
  • Regionalidad: la dirección IPv4 pública de Azure para NSX Edge es exclusiva del SDDC local. En el caso de una "nube privada múltiple en regiones distribuidas", con salida local a intenciones de Internet, es más fácil dirigir el tráfico localmente que intentar controlar la propagación de rutas predeterminada de un servicio SNAT o de seguridad hospedado en Azure. Si tiene dos o más nubes privadas de Azure VMware Solution conectadas con una dirección IP pública configurada, ambas pueden tener una salida local.

Consideraciones a la hora de seleccionar una opción

La opción que seleccione dependerá de los siguientes factores:

  • Para agregar una nube privada de Azure VMware a un punto de inspección de seguridad aprovisionado en una instancia nativa de Azure que inspeccione todo el tráfico de Internet de los puntos de conexión nativos de Azure, use una construcción nativa de Azure y filtre una ruta predeterminada de Azure a la nube privada de Azure VMware Solution.
  • Si necesita ejecutar una aplicación virtual de red de terceros para cumplir los estándares existentes de inspección de seguridad o gastos operativos optimizados, tiene dos opciones. Puede ejecutar la dirección IPv4 pública de Azure en Azure nativo con el método de ruta predeterminado o ejecutarla en Azure VMware Solution mediante la dirección IPv4 pública de Azure para NSX Edge.
  • Hay límites de escala en el número de direcciones IPv4 públicas de Azure que se pueden asignar a una aplicación virtual de red que se ejecuta en Azure nativo o aprovisionar en Azure Firewall. La opción IPv4 pública de Azure para NSX Edge permite asignaciones más altas (1000 frente a 100).
  • Use una dirección IPv4 pública de Azure para NSX Edge para una salida localizada a Internet desde cada nube privada de su región local. Si usa varias nubes privadas de Azure VMware Solution en varias regiones de Azure que necesitan comunicarse entre sí y con Internet, puede resultar difícil hacer coincidir una nube privada de Azure VMware Solution con un servicio de seguridad de Azure. La dificultad estriba en la forma en que funciona una ruta predeterminada de Azure.

Importante

Por diseño, la dirección IPv4 pública con NSX no permite el intercambio de direcciones IP públicas propiedad de Azure o Microsoft a través de conexiones de emparejamiento privado de ExpressRoute. Esto significa que no puede anunciar las direcciones IPv4 públicas a la red virtual del cliente o a la red local a través de ExpressRoute. Todas las direcciones IPv4 públicas con tráfico NSX deben tomar la ruta de acceso a Internet incluso si la nube privada de Azure VMware Solution está conectada a través de ExpressRoute. Para obtener más información, visite Emparejamiento de circuitos ExpressRoute.

Pasos siguientes

Habilitación de SNAT administrado para cargas de trabajo de Azure VMware Solution

Habilitación de la IP pública en NSX Edge para Azure VMware Solution

Deshabilitación del acceso a Internet o habilitación de una ruta predeterminada