Considerazioni sulla progettazione della connettività Internet

  • Articolo

Esistono tre modelli principali per creare l'accesso in uscita a Internet da soluzione Azure VMware e per abilitare l'accesso Internet in ingresso alle risorse nel cloud privato soluzione Azure VMware.

I requisiti per i controlli di sicurezza, la visibilità, la capacità e le operazioni determinano la selezione del metodo appropriato per la distribuzione dell'accesso a Internet al cloud privato soluzione Azure VMware.

Servizio Internet ospitato in Azure

Esistono diversi modi per generare una route predefinita in Azure e inviarla verso il cloud privato soluzione Azure VMware o in locale. Le opzioni sono le seguenti:

  • Firewall di Azure in un hub di rete WAN virtuale.
  • Un'appliance virtuale di rete di terze parti in un Rete virtuale hub spoke rete WAN virtuale.
  • Un'appliance virtuale di rete di terze parti in un'Rete virtuale nativa di Azure usando il server di route di Azure.
  • Una route predefinita da locale trasferita a soluzione Azure VMware tramite Copertura globale.

Usare uno di questi modelli per fornire un servizio SNAT in uscita con la possibilità di controllare quali origini sono consentite, visualizzare i log di connessione e per alcuni servizi, eseguire un'ulteriore ispezione del traffico.

Lo stesso servizio può anche usare un indirizzo IP pubblico di Azure e creare un DNAT in ingresso da Internet verso destinazioni in soluzione Azure VMware.

È anche possibile creare un ambiente che utilizza più percorsi per il traffico Internet. Uno per SNAT in uscita (ad esempio, un'appliance virtuale di rete di sicurezza di terze parti) e un'altra per DNAT in ingresso (ad esempio un'appliance virtuale di rete del servizio di bilanciamento del carico di terze parti che usa pool SNAT per il traffico di ritorno).

soluzione Azure VMware SNAT gestito

Un servizio SNAT gestito fornisce un metodo semplice per l'accesso a Internet in uscita da un cloud privato soluzione Azure VMware. Le funzionalità di questo servizio includono quanto segue.

  • Facilmente abilitato: selezionare il pulsante di opzione nella scheda Internet Connessione ivity e tutte le reti del carico di lavoro hanno accesso immediato in uscita a Internet tramite un gateway SNAT.
  • Nessun controllo sulle regole SNAT, sono consentite tutte le origini che raggiungono il servizio SNAT.
  • Nessuna visibilità nei log di connessione.
  • Vengono usati due indirizzi IP pubblici e ruotati per supportare fino a 128.000 connessioni in uscita simultanee.
  • Nessuna funzionalità DNAT in ingresso è disponibile con il soluzione Azure VMware SNAT gestito.

Indirizzo IPv4 pubblico di Azure a NSX Edge

Questa opzione porta un indirizzo IPv4 pubblico di Azure allocato direttamente a NSX Edge per l'utilizzo. Consente al cloud privato di soluzione Azure VMware di usare e applicare direttamente gli indirizzi di rete pubblici in NSX in base alle esigenze. Questi indirizzi vengono usati per i tipi di connessioni seguenti:

  • SNAT in uscita
  • DNAT in ingresso
  • Bilanciamento del carico con VMware NSX Advanced Load Balancer e altre appliance virtuali di rete di terze parti
  • Applicazioni connesse direttamente a un'interfaccia di macchina virtuale del carico di lavoro.

Questa opzione consente anche di configurare l'indirizzo pubblico in un'appliance virtuale di rete di terze parti per creare una rete perimetrale all'interno del cloud privato soluzione Azure VMware.

Le funzionalità includono:

  • Scalabilità: è possibile richiedere di aumentare il limite flessibile di 64 indirizzi IPv4 pubblici di Azure a 1.000 s di INDIRIZZI IP pubblici di Azure allocati se richiesto da un'applicazione.
  • Flessibilità: un indirizzo IPv4 pubblico di Azure può essere applicato ovunque nell'ecosistema NSX. Può essere usato per fornire SNAT o DNAT, su servizi di bilanciamento del carico come NSX Advanced Load Balancer di VMware o appliance virtuali di rete di terze parti. Può essere usato anche in appliance di sicurezza virtuale di rete di terze parti nei segmenti VMware o direttamente nelle macchine virtuali.
  • Regionalità: l'indirizzo IPv4 pubblico di Azure per NSX Edge è univoco per il data center sddc locale. Per il "cloud multi privato nelle aree distribuite", con intenzioni locali verso Internet, è più facile indirizzare il traffico in locale rispetto al tentativo di controllare la propagazione della route predefinita per una sicurezza o un servizio SNAT ospitato in Azure. Se sono presenti due o più soluzione Azure VMware cloud privati connessi con un indirizzo IP pubblico configurato, entrambi possono avere un'uscita locale.

Considerazioni per la selezione di un'opzione

L'opzione selezionata dipende dai fattori seguenti:

  • Per aggiungere un cloud privato Azure VMware a un punto di ispezione della sicurezza di cui è stato effettuato il provisioning in Azure nativo che controlla tutto il traffico Internet dagli endpoint nativi di Azure, usare un costrutto nativo di Azure e perdere una route predefinita da Azure al cloud privato soluzione Azure VMware.
  • Se è necessario eseguire un'appliance virtuale di rete di terze parti per conformarsi agli standard esistenti per l'ispezione della sicurezza o le spese operative semplificate, sono disponibili due opzioni. È possibile eseguire l'indirizzo IPv4 pubblico di Azure in Azure nativo con il metodo di route predefinito o eseguirlo in soluzione Azure VMware usando l'indirizzo IPv4 pubblico di Azure a NSX Edge.
  • Esistono limiti di scalabilità sul numero di indirizzi IPv4 pubblici di Azure che possono essere allocati a un'appliance virtuale di rete in esecuzione in Azure nativo o di cui è stato effettuato il provisioning in Firewall di Azure. L'opzione IPv4 pubblica di Azure per NSX Edge consente allocazioni più elevate (1.000 s rispetto a 100 s).
  • Usare un indirizzo IPv4 pubblico di Azure per NSX Edge per un'uscita localizzata da Internet da ogni cloud privato nella propria area locale. L'uso di più cloud privati soluzione Azure VMware in diverse aree di Azure che devono comunicare tra loro e Internet può essere difficile trovare una corrispondenza con un cloud privato soluzione Azure VMware con un servizio di sicurezza in Azure. La difficoltà è dovuta al funzionamento di una route predefinita da Azure.

Importante

Per impostazione predefinita, l'indirizzo IPv4 pubblico con NSX non consente lo scambio di indirizzi IP pubblici di proprietà di Azure/Microsoft tramite connessioni di peering privato ExpressRoute. Ciò significa che non è possibile annunciare gli indirizzi IPv4 pubblici alla rete virtuale del cliente o alla rete locale tramite ExpressRoute. Tutti gli indirizzi IPv4 pubblici con traffico NSX devono accettare il percorso Internet anche se il cloud privato soluzione Azure VMware è connesso tramite ExpressRoute. Per altre informazioni, vedere Peering del circuito ExpressRoute.

Passaggi successivi

Abilitare SNAT gestito per i carichi di lavoro di soluzione Azure VMware

Abilitare l'indirizzo IP pubblico a NSX Edge per soluzione Azure VMware

Disabilitare l'accesso a Internet o abilitare una route predefinita