Pertimbangan desain jaringan Azure VMware Solution

  • Artikel

Azure VMware Solution menawarkan lingkungan cloud privat VMware yang dapat diakses pengguna dan aplikasi dari lingkungan atau sumber daya lokal dan berbasis Azure. Layanan jaringan seperti Azure ExpressRoute dan koneksi jaringan privat virtual (VPN) memberikan konektivitas.

Ada beberapa pertimbangan jaringan untuk ditinjau sebelum Anda menyiapkan lingkungan Azure VMware Solution Anda. Artikel ini menyediakan solusi untuk kasus penggunaan yang mungkin Anda temui saat menggunakan Azure VMware Solution untuk mengonfigurasi jaringan Anda.

Kompatibilitas Azure VMware Solution dengan AS-Path Prepend

Azure VMware Solution memiliki pertimbangan yang berkaitan dengan penggunaan AS-Path Prepend untuk konfigurasi ExpressRoute yang berlebihan. Jika Anda menjalankan dua atau beberapa jalur ExpressRoute antara lokal dan Azure, pertimbangkan panduan berikut untuk menginfluensikan lalu lintas keluar dari Azure VMware Solution ke lokasi lokal Anda melalui ExpressRoute GlobalReach.

Karena perutean asimetris, masalah konektivitas dapat terjadi ketika Azure VMware Solution tidak mengamati AS-Path Prepend dan oleh karena itu menggunakan perutean multipath berbiaya sama (ECMP) untuk mengirim lalu lintas ke lingkungan Anda melalui kedua sirkuit ExpressRoute. Perilaku ini dapat menyebabkan masalah dengan perangkat pemeriksaan firewall stateful yang ditempatkan di belakang sirkuit ExpressRoute yang ada.

Prasyarat

Untuk Prepend Jalur AS, pertimbangkan prasyarat berikut:

  • Poin utamanya adalah Anda harus menambahkan nomor ASN Publik sebelumnya untuk memengaruhi bagaimana Azure VMware Solution merutekan lalu lintas kembali ke lokal. Jika Anda melakukan prepend menggunakan ASN Privat , Azure VMware Solution akan mengabaikan prepend, dan perilaku ECMP yang disebutkan sebelumnya akan terjadi. Bahkan jika Anda mengoperasikan ASN BGP Privat lokal, masih dimungkinkan untuk mengonfigurasi perangkat lokal Anda untuk menggunakan ASN Publik saat prepending rute keluar, untuk memastikan kompatibilitas dengan Azure VMware Solution.
  • Rancang jalur lalu lintas Anda untuk ASN privat setelah ASN publik agar dihormati oleh Azure VMware Solution. Sirkuit ExpressRoute Azure VMware Solution tidak menghapus ASN privat apa pun yang ada di jalur setelah ASN publik diproses.
  • Kedua atau semua sirkuit terhubung ke Azure VMware Solution melalui Jangkauan Global Azure ExpressRoute.
  • Netblock yang sama sedang diiklankan dari dua sirkuit atau lebih.
  • Anda ingin menggunakan AS-Path Prepend untuk memaksa solusi Azure VMware lebih memilih satu sirkuit daripada sirkuit lainnya.
  • Gunakan nomor ASN publik 2-byte atau 4 byte.

VM manajemen dan rute default dari lokal

Penting

Komputer virtual (VM) manajemen Azure VMware Solution tidak akan mematuhi rute default dari lokal untuk tujuan RFC1918.

Jika Anda merutekan kembali ke jaringan lokal Dengan hanya menggunakan rute default yang diiklankan ke Azure, lalu lintas dari VM vCenter Server dan NSX Manager yang digunakan menuju tujuan lokal dengan alamat IP privat tidak akan mengikuti rute tersebut.

Untuk menjangkau vCenter Server dan NSX Manager dari lokal, berikan rute tertentu untuk memungkinkan lalu lintas memiliki jalur kembali ke jaringan tersebut. Misalnya, iklankan ringkasan RFC1918 (10.0.0.0/8, 172.16.0.0/12 dan 192.168.0.0/16).

Rute default ke Azure VMware Solution untuk inspeksi lalu lintas internet

Penyebaran tertentu memerlukan pemeriksaan semua lalu lintas keluar dari Azure VMware Solution ke internet. Meskipun dimungkinkan untuk membuat appliance virtual jaringan (NVA) di Azure VMware Solution, ada kasus penggunaan di mana appliance ini sudah ada di Azure dan dapat diterapkan untuk memeriksa lalu lintas internet dari Azure VMware Solution. Dalam hal ini, rute default dapat disuntikkan dari NVA di Azure untuk menarik lalu lintas dari Azure VMware Solution dan memeriksa lalu lintas sebelum keluar ke internet publik.

Diagram berikut menjelaskan topologi hub-and-spoke dasar yang terhubung ke cloud Azure VMware Solution dan ke jaringan lokal melalui ExpressRoute. Diagram menunjukkan bagaimana NVA di Azure berasal dari rute default (0.0.0.0/0). Azure Route Server menyebarluaskan rute ke Azure VMware Solution melalui ExpressRoute.

Diagram Azure VMware Solution dengan Route Server dan rute default.

Penting

Rute default yang diiklankan NVA akan disebarkan ke jaringan lokal. Anda perlu menambahkan rute yang ditentukan pengguna (UDR) untuk memastikan bahwa lalu lintas dari Azure VMware Solution transit melalui NVA.

Komunikasi antara Azure VMware Solution dan jaringan lokal biasanya terjadi melalui Jangkauan Global ExpressRoute, seperti yang dijelaskan dalam lingkungan lokal Peer ke Azure VMware Solution.

Koneksi ivitas antara Azure VMware Solution dan jaringan lokal

Ada dua skenario utama untuk konektivitas antara Azure VMware Solution dan jaringan lokal melalui NVA pihak ketiga:

  • Organisasi memiliki persyaratan untuk mengirim lalu lintas antara Azure VMware Solution dan jaringan lokal melalui NVA (biasanya firewall).
  • Jangkauan Global ExpressRoute tidak tersedia di wilayah tertentu untuk menghubungkan sirkuit ExpressRoute azure VMware Solution dan jaringan lokal.

Ada dua topologi yang dapat Anda terapkan untuk memenuhi semua persyaratan untuk skenario tersebut: jaringan virtual supernet dan transit spoke.

Penting

Opsi yang disukai untuk menyambungkan Azure VMware Solution dan lingkungan lokal adalah koneksi ExpressRoute Global Reach langsung. Pola yang dijelaskan dalam artikel ini menambahkan kompleksitas ke lingkungan.

Topologi desain supernet

Jika kedua sirkuit ExpressRoute (ke Azure VMware Solution dan ke lokal) dihentikan di gateway ExpressRoute yang sama, Anda dapat mengasumsikan bahwa gateway akan merutekan paket di seluruhnya. Namun, gateway ExpressRoute tidak dirancang untuk melakukan hal itu. Anda perlu jepit rambut lalu lintas ke NVA yang dapat merutekan lalu lintas.

Ada dua persyaratan untuk mem-hairpin lalu lintas jaringan ke NVA:

  • NVA harus mengiklankan supernet untuk Azure VMware Solution dan awalan lokal.

    Anda dapat menggunakan supernet yang mencakup awalan Azure VMware Solution dan lokal. Atau Anda dapat menggunakan awalan individual untuk Azure VMware Solution dan lokal (selalu kurang spesifik daripada awalan aktual yang diiklankan melalui ExpressRoute). Perlu diingat bahwa semua prefiks supernet yang diiklankan ke Route Server disebarkan ke Azure VMware Solution dan lokal.

  • UDR di subnet gateway, yang sama persis dengan awalan yang diiklankan dari Azure VMware Solution dan lokal, menyebabkan lalu lintas hairpin dari subnet gateway ke NVA.

Topologi ini menghasilkan overhead manajemen tinggi untuk jaringan besar yang berubah dari waktu ke waktu. Pertimbangkan batasan ini:

  • Setiap kali segmen beban kerja dibuat di Azure VMware Solution, UDR mungkin perlu ditambahkan untuk memastikan bahwa lalu lintas dari Azure VMware Solution transit melalui NVA.
  • Jika lingkungan lokal Anda memiliki sejumlah besar rute yang berubah, konfigurasi Border Gateway Protocol (BGP) dan UDR di supernet mungkin perlu diperbarui.
  • Karena satu gateway ExpressRoute memproses lalu lintas jaringan di kedua arah, performa mungkin terbatas.
  • Ada batas Azure Virtual Network sebesar 400 UDR.

Diagram berikut menunjukkan bagaimana NVA perlu mengiklankan awalan yang lebih umum (kurang spesifik) dan yang mencakup jaringan dari lokal dan Azure VMware Solution. Berhati-hatilah dengan pendekatan ini. NVA berpotensi menarik lalu lintas yang seharusnya tidak, karena mengiklankan rentang yang lebih luas (misalnya, seluruh 10.0.0.0/8 jaringan).

Diagram Azure VMware Solution untuk komunikasi lokal dengan Route Server dalam satu wilayah.

Topologi jaringan virtual spoke transit

Catatan

Jika awalan iklan yang kurang spesifik tidak dimungkinkan karena batas yang dijelaskan sebelumnya, Anda dapat menerapkan desain alternatif yang menggunakan dua jaringan virtual terpisah.

Dalam topologi ini, alih-alih menyebarkan rute yang kurang spesifik untuk menarik lalu lintas ke gateway ExpressRoute, dua NVA yang berbeda dalam jaringan virtual terpisah dapat bertukar rute antara satu sama lain. Jaringan virtual dapat menyebarluaskan rute ini ke sirkuit ExpressRoute masing-masing melalui BGP dan Azure Route Server. Setiap NVA memiliki kontrol penuh atas prefiks mana yang disebarkan ke setiap sirkuit ExpressRoute.

Diagram berikut menunjukkan bagaimana satu 0.0.0.0/0 rute diiklankan ke Azure VMware Solution. Ini juga menunjukkan bagaimana awalan Azure VMware Solution individual disebarkan ke jaringan lokal.

Diagram Azure VMware Solution untuk komunikasi lokal dengan Route Server di dua wilayah.

Penting

Protokol enkapulasi seperti VXLAN atau IPsec diperlukan di antara NVA. Enkapulasi diperlukan karena adaptor jaringan NVA (NIC) akan mempelajari rute dari Azure Route Server dengan NVA sebagai hop berikutnya dan membuat perulangan perutean.

Ada alternatif untuk menggunakan overlay. Terapkan NIC sekunder di NVA yang tidak mempelajari rute dari Azure Route Server. Kemudian, konfigurasikan UDR sehingga Azure dapat merutekan lalu lintas ke lingkungan jarak jauh melalui NIC tersebut. Untuk informasi selengkapnya, lihat Topologi dan konektivitas jaringan skala perusahaan untuk Azure VMware Solution.

Topologi ini memerlukan penyiapan awal yang kompleks. Topologi kemudian berfungsi seperti yang diharapkan dengan overhead manajemen minimal. Kompleksitas penyiapan meliputi:

  • Ada biaya tambahan untuk menambahkan jaringan virtual transit lain yang mencakup Azure Route Server, gateway ExpressRoute, dan NVA lainnya. NVA mungkin juga perlu menggunakan ukuran VM besar untuk memenuhi persyaratan throughput.
  • Penerowongan IPsec atau VXLAN diperlukan antara dua NVA, yang berarti bahwa NVA juga berada dalam jalur data. Bergantung pada jenis NVA yang Anda gunakan, NVA dapat menghasilkan konfigurasi kustom dan kompleks pada NVA tersebut.

Langkah berikutnya

Setelah mempelajari tentang pertimbangan desain jaringan untuk Azure VMware Solution, pertimbangkan untuk menjelajahi artikel berikut: