Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Esistono tre modelli principali per creare l'accesso internet in uscita dalla soluzione Azure VMware e per abilitare l'accesso internet in ingresso alle risorse nel cloud privato della soluzione Azure VMware.
- Servizio Internet ospitato in Azure
- SNAT gestito della soluzione VMware Azure
- Indirizzo IPv4 pubblico di Azure a NSX Data Center Edge
I requisiti per i controlli di sicurezza, la visibilità, la capacità e le operazioni determinano la selezione del metodo appropriato per la distribuzione dell'accesso a Internet al cloud privato della soluzione Azure VMware.
Servizio internet ospitato su Azure
Esistono diversi modi per generare una route predefinita in Azure e inviarla al cloud privato della soluzione Azure VMware o in locale. Le opzioni sono le seguenti:
- Un firewall di Azure in un hub della rete WAN virtuale.
- Un'appliance virtuale di rete di terzi in una rete virtuale hub-spoke della rete WAN virtuale.
- Un'appliance virtuale di rete di terzi in una rete virtuale Azure nativa usando il Server di route di Azure.
- Una route predefinita da locale trasferita alla soluzione Azure VMware tramite Copertura globale.
Usare uno di questi modelli per fornire un servizio SNAT in uscita con la possibilità di controllare quali origini sono consentite, visualizzare i log di connessione e per alcuni servizi, eseguire un'ulteriore ispezione del traffico.
Lo stesso servizio può anche usare un indirizzo IP pubblico di Azure e creare un DNAT in ingresso da Internet verso le destinazioni nella soluzione Azure VMware.
È anche possibile creare un ambiente che utilizza più percorsi per il traffico Internet. Uno per SNAT in uscita (ad esempio, un'appliance virtuale di rete di sicurezza di terze parti) e un altro per DNAT in ingresso (come un'appliance virtuale di rete di bilanciamento del carico di terze parti che utilizza gruppi di pool SNAT per il traffico di ritorno).
SNAT gestito della soluzione Azure VMware
Un servizio SNAT gestito offre un metodo semplice per l'accesso a Internet in uscita da un cloud privato della soluzione Azure VMware. Le funzionalità di questo servizio includono quanto segue.
- Semplicità di abilitazione: selezionare il pulsante di opzione nella scheda Connettività internet per fare in modo che tutte le reti del carico di lavoro abbiano accesso in uscita immediato a internet tramite un gateway SNAT.
- Nessun controllo sulle regole SNAT; sono consentite tutte le origini che raggiungono il servizio SNAT.
- Nessuna visibilità nei log di connessione.
- Vengono usati due indirizzi IP pubblici a rotazione per supportare fino a 128.000 connessioni in uscita simultanee.
- Con la soluzione SNAT gestito della soluzione Azure VMware non è disponibile alcuna funzionalità DNAT in ingresso.
Indirizzo IPv4 pubblico di Azure su NSX Edge
Questa opzione porta un indirizzo IPv4 pubblico di Azure allocato direttamente a NSX Edge per l'utilizzo. Consente al cloud privato della soluzione Azure VMware di usare e applicare direttamente gli indirizzi di rete pubblici in NSX in base alle esigenze. Questi indirizzi vengono usati per i tipi di connessioni seguenti:
- SNAT in uscita
- DNAT in ingresso
- Bilanciamento del carico con VMware NSX Advanced Load Balancer e altre appliance virtuali di rete di terzi
- Applicazioni connesse direttamente a un'interfaccia di VM del carico di lavoro.
Questa opzione consente anche di configurare l'indirizzo pubblico in un'appliance virtuale di rete di terze parti per creare una rete perimetrale all'interno del cloud privato della soluzione Azure VMware.
Le funzionalità includono:
- Scalabilità: è possibile richiedere di aumentare il limite flessibile di 64 indirizzi IPv4 pubblici di Azure a 1.000 s di INDIRIZZI IP pubblici di Azure allocati se richiesto da un'applicazione.
- Flessibilità: un indirizzo IPv4 pubblico di Azure può essere applicato ovunque nell'ecosistema NSX. Può essere usato per fornire SNAT o DNAT, su servizi di bilanciamento del carico come NSX Advanced Load Balancer di VMware o appliance virtuali di rete di terze parti. Può essere usato anche in appliance di sicurezza virtuale di rete di terze parti nei segmenti VMware o direttamente nelle macchine virtuali.
- Regionalità: l'indirizzo IPv4 pubblico di Azure per NSX Edge è univoco per il SDDC regionale locale. Per ambienti cloud privati multipli in regioni distribuite, con uscita locale verso Internet, è più facile indirizzare il traffico localmente rispetto al tentativo di controllare la propagazione delle rotte predefinite per servizi di sicurezza o SNAT ospitati in Azure. Se sono presenti due o più cloud privati della soluzione Azure VMware connessi con un indirizzo IP pubblico configurato, entrambi possono avere un'uscita locale.
Considerazioni per la selezione di un'opzione
L'opzione selezionata dipende dai fattori seguenti:
- Per aggiungere un cloud privato Azure VMware a un punto di ispezione della sicurezza provisionato in Azure nativo che controlla tutto il traffico Internet dagli endpoint nativi di Azure, usa un costrutto nativo di Azure e trasmetti una route predefinita da Azure al tuo cloud privato della soluzione Azure VMware.
- Se è necessario eseguire un'appliance virtuale di rete di terze parti per conformarsi agli standard esistenti per l'ispezione della sicurezza o le spese operative semplificate, sono disponibili due opzioni. È possibile eseguire l'indirizzo IPv4 pubblico di Azure in Azure nativo con il metodo di route predefinito o eseguirlo nella soluzione Azure VMware usando l'indirizzo IPv4 pubblico di Azure a NSX Edge.
- Esistono limiti di scalabilità sul numero di indirizzi IPv4 pubblici di Azure che possono essere allocati a un'appliance virtuale di rete in esecuzione in Azure nativo o su cui è stato effettuato il provisioning in Firewall di Azure. L'opzione IPv4 pubblica di Azure per NSX Edge consente allocazioni più elevate (1.000 s rispetto a 100 s).
- Usare un indirizzo IPv4 pubblico di Azure per NSX Edge per un'uscita localizzata da Internet da ogni cloud privato nella propria area locale. L'utilizzo di più cloud privati della soluzione Azure VMware in diverse regioni di Azure che devono comunicare tra loro e con Internet può rendere difficile abbinare un cloud privato della soluzione Azure VMware a un servizio di sicurezza in Azure. La difficoltà è dovuta al funzionamento di una route predefinita da Azure.
Importante
Per impostazione predefinita, l'indirizzo IPv4 pubblico con NSX non consente lo scambio di indirizzi IP pubblici di proprietà di Azure/Microsoft tramite connessioni di peering privato ExpressRoute. Ciò significa che non è possibile annunciare gli indirizzi IPv4 pubblici alla rete virtuale del cliente o alla rete locale tramite ExpressRoute. Tutti gli indirizzi IPv4 pubblici con traffico NSX devono accettare il percorso Internet anche se il cloud privato della soluzione Azure VMware è connesso tramite ExpressRoute. Per altre informazioni, vedere Peering del circuito ExpressRoute.
Passaggi successivi
Abilitare SNAT gestito per i carichi di lavoro della soluzione Azure VMware
Abilitare l'indirizzo IP pubblico a NSX Edge per soluzione Azure VMware
Disabilitare l'accesso a Internet o abilitare una route predefinita