3. tervezési fázis: Bejövő internetkapcsolat

  • Cikk

A tervezési fázisban meghozott döntéseket az Azure VMware Solutionben futó alkalmazások követelményei határozzák meg, amelyeknek nyilvános IP-címeken kell elérhetőnek lenniük. Az internetkapcsolattal rendelkező alkalmazásokat szinte mindig olyan hálózati eszközökön teszik közzé, amelyek biztonságot (új generációs tűzfalakat, webalkalmazási tűzfalakat) és terheléselosztást biztosítanak (3. rétegbeli vagy 4. rétegbeli terheléselosztók, alkalmazáskézbesítési vezérlők). Ezeket az eszközöket a magánfelhőben vagy a magánfelhőhöz csatlakoztatott Azure-beli virtuális hálózaton helyezheti üzembe. A választás az alábbi szempontokon alapul:

  • A költségoptimalizálás és a konzisztencia érdekében az Azure-beli virtuális hálózatokban (például tűzfalakban és alkalmazáskézbesítési vezérlőkben) üzembe helyezett, már meglévő NVA-k használatával közzéteheti a magánfelhőkön futó alkalmazásokat.
  • Az internetkapcsolattal rendelkező alkalmazások közzétételére használható Azure PaaS-szolgáltatások, például az Azure Firewall (ügyfél által felügyelt virtuális hálózatban üzembe helyezéskor és az Azure Virtual WAN-központban való üzembe helyezéskor) és az Azure-alkalmazás Gateway segíthetnek csökkenteni a felügyeleti többletterhelést.
  • Ha ezt a szállító támogatja, virtuális berendezésként helyezhet üzembe tűzfalakat és alkalmazáskézbesítési vezérlőket az Azure VMware Solutionben.

A következő folyamatábra összefoglalja, hogyan közelíthető meg ez a fázis:

Flowchart that shows the design-decision making process for inbound internet connectivity.

Azure-beli virtuális hálózaton üzemeltetett NVA-k

Az Azure VMware Solution-alkalmazások azure-szolgáltatásokon (Azure Firewall, Application Gateway) vagy külső, virtuális hálózaton üzemeltetett NVA-kon keresztül történő közzététele csak 3. rétegbeli kapcsolatot igényel a virtuális hálózat és az Azure VMware Solution magánfelhő között. További információ: 2. tervezési fázis: Csatlakozás tivitás az Azure-beli virtuális hálózatokkal.

Az alábbi szakaszok útmutatást nyújtanak az egyes lehetőségekhez.

Az Azure Firewall szempontjai

Az Azure Firewall az általános TCP- vagy UDP-végpontok Microsoft Layer 3 vagy 4. rétegbeli eszközön keresztüli felfedése. Azure VMware-megoldásalkalmazás Azure Firewallon keresztüli közzétételéhez konfigurálnia kell egy célhálózati címfordítási (DNAT) szabályt, amely leképezi a tűzfal egyik nyilvános IP-címét az Azure VMware Solution alkalmazásvégpont privát IP-címére. Az Azure Firewall automatikusan a forráshálózati címfordítás (SNAT) használatával fordítja le az internetről bejövő IP-címeket a saját privát IP-címére. Ennek eredményeképpen az Azure VMware Solution virtuális gépek olyan forgalmat fogadnak, amelynek forrás IP-címe a tűzfal IP-címe. További információ: Bejövő internetes forgalom szűrése az Azure Firewall DNST-ével az Azure Portal használatával.

Az Azure-alkalmazás-átjáróval kapcsolatos szempontok

Az Application Gateway az Előnyben részesített lehetőség az Azure VMware Solutionben futó HTTP(S)-alkalmazások felfedésében. Ez a Microsoft HTTP fordított proxy a következőt biztosítja:

  • HTTP-kérések útválasztása.
  • Webalkalmazási tűzfal (WAF) képességei.

Az Application Gateway használatakor az Azure VMware Solution magánfelhőben futó alkalmazáskiszolgálók olyan forgalmat fogadnak, amelynek forrás IP-címe az Application Gateway IP-címe. Az ügyfél IP-címe HTTP-kérelmekben (általában egyéni x-forwarded-for fejlécként) tárolható, ha az alkalmazáslogika hozzáférést igényel az adatokhoz. További információkért tekintse meg ezt a cikket egy Azure VMware-megoldásalkalmazás Application Gatewayen keresztüli közzétételéről.

Megjegyzés:

Az Application Gateway jelenleg az egyetlen Microsoft-terheléselosztó, amellyel elérhetővé teheti az Azure VMware Solution virtuális gépeken futó webalkalmazásokat. Ennek az az oka, hogy lehetővé teszi, hogy közvetlenül az Azure VMware Solutionben futó virtuális gépek magánhálózati IP-címére mutasson a virtuális gépek háttérkészleteinek konfigurálásakor.

Harmadik féltől származó NVA-k szempontjai

A harmadik féltől származó NVA-k 3. vagy 4. rétegbeli tűzfalfunkciókat vagy 7. rétegbeli fordított proxy/WAF-képességeket biztosíthatnak. Kövesse az NVA-gyártó útmutatását az eszköz Azure-beli virtuális hálózatokban való üzembe helyezéséhez. Az azure-beli NVA-k magas rendelkezésre állású fürtjeinek létrehozásának részletes útmutatója meghaladja az útmutató hatókörét. A következő magas szintű szempontok elég általánosak ahhoz, hogy bármilyen NVA-technológiára vonatkozzanak:

  • A magas rendelkezésre állás (HA) az Ön feladata. Az NVA-fürtöknek két vagy több aktív NVA-példányt (az N-active HA-modellt) kell tartalmazniuk. Kerülje az aktív-passzív HA használatát, mert megakadályozza a horizontális skálázhatóságot.
  • Az összes bejövő internetkapcsolatot el kell osztania az összes futó példányra egy Standard SKU Azure Load Balancer használatával.
  • A 3. és a 4. rétegbeli NVA-kat úgy kell konfigurálni, hogy a DNAT használatával lefordítsák a bejövő internetkapcsolatokat a közzétenni kívánt Azure VMware-megoldásalkalmazás privát IP-címére.
  • A folyamatszimmetria megőrzéséhez konfigurálnia kell a 3. réteget és a 4. rétegbeli NVA-kat, hogy az SNAT használatával lefordítsák a bejövő internetkapcsolatokat a kimenő adapter privát IP-címére.
  • A 7. rétegbeli NVA-k fordított proxyként működnek, és két különböző TCP-munkamenetet tartanak fenn minden bejövő ügyfélkapcsolathoz: egyet az ügyfél és az NVA, egyet pedig az NVA és a felsőbb rétegbeli alkalmazáskiszolgáló között. Az utóbbi munkamenet az NVA kimenő adapter magánhálózati IP-címéről származik. A HTTP-alkalmazások lehetővé teszik, hogy a 7. rétegbeli NVA-k átadják az ügyfél nyilvános IP-címét az alkalmazáskiszolgálóknak HTTP-kérésfejlécekben.

Az Azure VMware Solutionben üzemeltetett NVA-k (nyilvános IP-cím az NSX-T adatközpont peremhálózatán)

Az Azure VMware Solution-alkalmazásoknak az Azure VMware Solutionben üzembe helyezett külső NVA-kon keresztül történő közzétételéhez engedélyeznie kell a nyilvános IP-címet az NSX-T Data Center Edge-en a magánfelhő számára. Ez a funkció társítja az Azure Nyilvános IP-címeket egy Azure-beli nyilvános IP-előtagból a magánfelhőhöz, és konfigurálja a Microsoft gerinchálózatát, hogy a magánfelhő NSX-T T0 vagy T1 átjáróihoz irányítsa az ezen IP-címeket átirányító internetes forgalmat. A T1-átjárók ezután úgy konfigurálhatók, hogy a DNAT használatával lefordítsák az NSX-T szegmensekhez csatolt NVA-k privát IP-címeivel való bejövő kapcsolatokat. Az NSX-T Data Center Edge nyilvános IP-címének konfigurálásával és a bejövő internetkapcsolat DNST-szabályainak konfigurálásával kapcsolatos útmutatásért lásd : Nyilvános IP-cím engedélyezése az NSX-T adatközpont peremhálózatán. Amikor nyilvános IP-címmel rendelkező Azure VMware-megoldást használ az NSX-T Data Center Edge-en, az alábbi szempontok érvényesek:

  • A NAT végrehajtása T1-átjárókon, nem T0-átjárókon. Az Azure VMware Solution magánfelhőiben a T0-átjárók aktív-aktív eszközpárok, így nem tudják kezelni az állapotalapú NAT-munkameneteket.
  • Nyilvános IP-címeket kell társítania egy Azure-beli nyilvános IP-előtaghoz. Az IP-címek egyéni IP-címelőtagokból (BYOIP) való használata jelenleg nem támogatott.
  • Ha egy Azure VMware Solution magánfelhő nyilvános IP-címmel van konfigurálva az NSX-T Data Center Edge-en, a T0/T1-átjárókban egy alapértelmezett útvonal lesz telepítve. A kimenő internetkapcsolatokat a Microsoft gerinchálózatán keresztül irányítja át. Ennek eredményeképpen a nyilvános IP-cím használata az NSX-T Data Center Edge-en a bejövő internetkapcsolathoz szintén meghatározza a kimenő kapcsolatok implementálási lehetőségét, amelyet az útmutató következő cikkében talál.

Következő lépések

További információ a kimenő internetkapcsolatról.

Kimenő internetkapcsolat