Considérations relatives à la conception de la connectivité Internet
Il existe trois modèles principaux pour créer un accès sortant à Internet à partir d’Azure VMware Solution et pour activer l’accès Internet entrant aux ressources sur votre cloud privé Azure VMware Solution.
- Service Internet hébergé dans Azure
- SNAT managé Azure VMware Solution
- Adresse IPv4 Azure publique à la périphérie NSX Data Center
Vos besoins en matière de contrôles de sécurité, visibilité, capacité et opérations orientent la sélection de la méthode appropriée de remise de l’accès Internet au cloud privé Azure VMware Solution.
Service Internet hébergé dans Azure
Il existe plusieurs façons de générer une route par défaut dans Azure et de l’envoyer à votre cloud privé Azure VMware Solution ou en local. Les options sont les suivantes :
- Pare-feu Azure dans un hub Virtual WAN.
- Appliance virtuelle réseau tierce dans un réseau virtuel spoke de hub Virtual WAN.
- Appliance virtuelle réseau tierce dans un réseau virtuel Azure natif utilisant le service Serveur de routes Azure.
- Route par défaut depuis un emplacement local transféré à Azure VMware Solution par le biais de Global Reach.
Utilisez l’un de ces modèles pour fournir un service SNAT sortant avec la possibilité de contrôler les sources autorisées à sortir, d’afficher les journaux de connexion et, pour certains services, d’effectuer une inspection du trafic supplémentaire.
Le même service peut également utiliser une adresse IP publique Azure et créer un DNAT entrant à partir d’Internet vers des cibles dans Azure VMware Solution.
Un environnement qui utilise plusieurs chemins pour le trafic Internet peut aussi être créé. Un pour le SNAT sortant (par exemple, une appliance virtuelle réseau de sécurité tierce) et un autre pour le DNAT entrant (comme une appliance virtuelle réseau d’équilibreur de charge tierce qui utilise des pools SNAT pour le trafic de retour).
SNAT managé Azure VMware Solution
Un service SNAT managé fournit une méthode simple pour l’accès Internet sortant à partir d’un cloud privé Azure VMware Solution. Les fonctionnalités de ce service incluent les suivantes.
- Activation facile : sélectionnez la case d’option sous l’onglet Connectivité Internet pour que tous les réseaux de charge de travail aient un accès sortant immédiat à Internet par le biais d’une passerelle SNAT.
- Aucun contrôle sur les règles SNAT, toutes les sources qui atteignent le service SNAT sont autorisées.
- Aucune visibilité dans les journaux de connexion.
- Deux adresses IP publiques sont utilisées à tour de rôle pour prendre en charge jusqu’à 128 000 connexions sortantes simultanées.
- Aucune fonctionnalité DNAT entrante n’est disponible avec le SNAT managé Azure VMware Solution.
Adresse IPv4 publique Azure à la périphérie NSX
Cette option apporte une adresse IPv4 publique Azure allouée directement à la périphérie NSX à des fins de consommation. Elle permet au cloud privé Azure VMware Solution d’utiliser et d’appliquer directement des adresses réseau publiques dans NSX en fonction des besoins. Ces adresses sont utilisées pour les types de connexions suivants :
- Mode SNAT sortant
- Trafic DNAT entrant
- Équilibrage de charge à l’aide de VMware NSX Advanced Load Balancer et d’autres appliances virtuelles réseau tierces
- Applications directement connectées à une interface de machine virtuelle de charge de travail.
Cette option vous permet également de configurer l’adresse publique sur une appliance virtuelle réseau tierce pour créer une zone démilitarisée (DMZ) dans le cloud privé Azure VMware Solution.
Voici quelques fonctionnalités :
- Mettre à l’échelle : vous pouvez demander d’augmenter la limite réversible de 64 adresses IPv4 publiques Azure à 1 000 s d’adresses IP publiques Azure allouées si une application l’exige.
- Flexibilité : une adresse IPv4 Azure publique peut être appliquée n’importe où dans l’écosystème NSX. Elle peut servir à fournir un service SNAT ou DNAT, sur des équilibreurs de charge comme VMware NSX Advanced Load Balancer ou des appliances virtuelles réseau tierces. Elle peut aussi être utilisée sur des appliances virtuelles réseau de sécurité tierces sur des segments VMware ou directement sur des machines virtuelles.
- Région : l’adresse IPv4 Azure publique à la périphérie NSX est unique pour le SDDC local. Pour « cloud multi-privé dans les régions distribuées », avec une sortie locale vers des intentions Internet, il est beaucoup plus simple de diriger le trafic localement plutôt que d’essayer de contrôler la propagation des routes par défaut pour un service de sécurité ou SNAT hébergé dans Azure. Si vous avez deux clouds privés Azure VMware Solution ou plus connectés à une adresse IP publique configurée, chacun peut avoir une sortie locale.
Considérations relatives à la sélection d’une option
L’option que vous sélectionnez dépend des facteurs suivants :
- Pour ajouter un cloud privé Azure VMware à un point d’inspection de sécurité provisionné dans Azure natif qui inspecte tout le trafic Internet provenant de points de terminaison natifs Azure, utilisez une construction native Azure et fuitez une route par défaut depuis Azure vers votre cloud privé Azure VMware Solution.
- Si vous avez besoin d’exécuter une appliance virtuelle réseau tierce pour vous conformer aux normes existantes en matière d’inspection de sécurité ou de dépenses d’exploitation rationalisées, deux options s’offrent à vous. Vous pouvez exécuter votre adresse IPv4 Azure publique dans Azure de façon native avec la méthode de routage par défaut ou l’exécuter dans Azure VMware Solution à l’aide de l’adresse IPv4 Azure publique vers la périphérie NSX.
- Il existe des limites d’échelle sur le nombre d’adresses IPv4 Azure publiques pouvant être allouées à une appliance virtuelle réseau s’exécutant dans Azure natif ou provisionnée sur le Pare-feu Azure. L’adresse IPv4 publique Azure à la périphérie NSX permet des allocations plus élevées (1 000 s par rapport à 100 s).
- Utilisez une adresse IPv4 Azure publique vers la périphérie NSX pour une sortie localisée vers Internet à partir de chaque cloud privé de sa région locale. En utilisant plusieurs clouds privés Azure VMware Solution dans plusieurs régions Azure qui ont besoin de communiquer entre elles et Internet, il peut s’avérer difficile de faire correspondre un cloud privé Azure VMware Solution à un service de sécurité dans Azure. Cette difficulté est due à la façon dont une route par défaut fonctionne à partir d’Azure.
Important
Par conception, l’adresse IPv4 publique avec NSX n’autorise pas l’échange d’adresses IP publiques détenues par Azure/Microsoft sur les connexions de peering privé ExpressRoute. Cela signifie que vous ne pouvez pas publier les adresses IPv4 publiques sur votre réseau virtuel client ou sur un réseau local via ExpressRoute. Toutes les adresses IPv4 publiques avec le trafic NSX doivent prendre le chemin Internet même si le cloud privé Azure VMware Solution est connecté via ExpressRoute. Pour plus d’informations, consultez Peering de circuit ExpressRoute.
Étapes suivantes
Activer le SNAT managé pour les charges de travail Azure VMware Solution
Activer l’adresse IP publique sur NSX Edge pour Azure VMware Solution
Désactiver l’accès à Internet ou activer un itinéraire par défaut