Share via

Ontwerpoverwegingen voor internetconnectiviteit

  • Artikel

Er zijn drie primaire patronen voor het maken van uitgaande toegang tot internet vanuit Azure VMware Solution en om binnenkomende internettoegang tot resources in uw Azure VMware Solution-privécloud in te schakelen.

Uw vereisten voor beveiligingsmaatregelen, zichtbaarheid, capaciteit en bewerkingen stimuleren de selectie van de juiste methode voor het leveren van internettoegang tot de privécloud van Azure VMware Solution.

Internetservice gehost in Azure

Er zijn meerdere manieren om een standaardroute te genereren in Azure en deze te verzenden naar uw Azure VMware Solution-privécloud of on-premises. Dit zijn de opties:

  • Een Azure-firewall in een Virtual WAN-hub.
  • Een virtueel netwerkapparaat van derden in een virtual network van virtual WAN-hubs.
  • Een virtueel netwerkapparaat van derden in een systeemeigen Azure Virtual Network met behulp van Azure Route Server.
  • Een standaardroute van on-premises overgedragen naar Azure VMware Solution via Global Reach.

Gebruik een van deze patronen om een uitgaande SNAT-service te bieden met de mogelijkheid om te bepalen welke bronnen zijn toegestaan, om de verbindingslogboeken te bekijken en voor sommige services verdere verkeersinspectie uit te voeren.

Dezelfde service kan ook een openbaar IP-adres van Azure gebruiken en een binnenkomend DNAT maken van internet naar doelen in Azure VMware Solution.

Er kan ook een omgeving worden gebouwd die gebruikmaakt van meerdere paden voor internetverkeer. Een voor uitgaande SNAT (bijvoorbeeld een externe beveiligings-NVA) en een andere voor binnenkomende DNAT (zoals een load balancer NVA van derden met behulp van SNAT-pools voor retourverkeer).

Beheerde SNAT van Azure VMware Solution

Een beheerde SNAT-service biedt een eenvoudige methode voor uitgaande internettoegang vanuit een azure VMware Solution-privécloud. De functies van deze service omvatten het volgende.

  • Eenvoudig ingeschakeld: selecteer het keuzerondje op het tabblad Internet Verbinding maken iviteit en alle workloadnetwerken hebben directe uitgaande toegang tot internet via een SNAT-gateway.
  • Geen controle over SNAT-regels, alle bronnen die de SNAT-service bereiken, zijn toegestaan.
  • Geen inzicht in verbindingslogboeken.
  • Er worden twee openbare IP-adressen gebruikt en geroteerd ter ondersteuning van maximaal 128.000 gelijktijdige uitgaande verbindingen.
  • Er is geen inkomende DNAT-mogelijkheid beschikbaar met de beheerde SNAT van Azure VMware Solution.

Openbaar IPv4-adres van Azure naar NSX Edge

Met deze optie wordt een toegewezen openbaar IPv4-adres van Azure rechtstreeks naar de NSX Edge voor gebruik gebracht. Hiermee kan de privécloud van Azure VMware Solution zo nodig rechtstreeks openbare netwerkadressen in NSX gebruiken en toepassen. Deze adressen worden gebruikt voor de volgende typen verbindingen:

  • Uitgaande SNAT
  • Binnenkomend DNAT
  • Taakverdeling met behulp van VMware NSX Advanced Load Balancer en andere virtuele netwerkapparaten van derden
  • Toepassingen die rechtstreeks zijn verbonden met een workload-VM-interface.

Met deze optie kunt u ook het openbare adres configureren op een virtueel netwerkapparaat van derden om een DMZ te maken in de privécloud van Azure VMware Solution.

Functies zijn onder andere:

  • Schaal aanpassen: u kunt aanvragen om de zachte limiet van 64 openbare IPv4-adressen van Azure te verhogen tot 1000 s openbare IP-adressen van Azure die zijn toegewezen als een toepassing dit vereist.
  • Flexibiliteit: een openbaar IPv4-adres van Azure kan overal in het NSX-ecosysteem worden toegepast. Het kan worden gebruikt om SNAT of DNAT te leveren, op load balancers zoals de NSX Advanced Load Balancer van VMware of virtuele netwerkapparaten van derden. Het kan ook worden gebruikt op virtuele netwerkbeveiligingsapparaten van derden in VMware-segmenten of rechtstreeks op VM's.
  • Regionaliteit: het openbare IPv4-adres van Azure voor NSX Edge is uniek voor de lokale SDDC. Voor 'multi-privécloud in gedistribueerde regio's', met lokale exit naar internetintenties, is het eenvoudiger om verkeer lokaal te omleiden versus het beheren van standaardroutedoorgifte voor een beveiligings- of SNAT-service die wordt gehost in Azure. Als u twee of meer Privéclouds van Azure VMware Solution hebt die zijn verbonden met een openbaar IP-adres, kunnen beide een lokale uitgang hebben.

Overwegingen voor het selecteren van een optie

De optie die u selecteert, is afhankelijk van de volgende factoren:

  • Als u een Azure VMware-privécloud wilt toevoegen aan een beveiligingsinspectiepunt dat is ingericht in systeemeigen Azure waarmee al het internetverkeer van systeemeigen Azure-eindpunten wordt gecontroleerd, gebruikt u een systeemeigen Azure-constructie en lekt u een standaardroute van Azure naar uw azure VMware Solution-privécloud.
  • Als u een virtueel netwerkapparaat van derden moet uitvoeren om te voldoen aan bestaande standaarden voor beveiligingsinspectie of gestroomlijnde bedrijfskosten, hebt u twee opties. U kunt uw openbare IPv4-adres in Azure uitvoeren met de standaardroutemethode of uitvoeren in Azure VMware Solution met behulp van het openbare IPv4-adres van Azure naar NSX Edge.
  • Er zijn schaallimieten voor het aantal openbare IPv4-adressen van Azure dat kan worden toegewezen aan een virtueel netwerkapparaat dat wordt uitgevoerd in systeemeigen Azure of ingericht in Azure Firewall. Met de optie Openbaar IPv4-adres van Azure naar NSX Edge kunnen hogere toewijzingen (1000 s versus 100 s) worden toegewezen.
  • Gebruik een openbaar IPv4-adres van Azure voor NSX Edge voor een gelokaliseerde uitgang naar internet vanuit elke privécloud in de lokale regio. Als u meerdere Azure VMware Solution-privéclouds in verschillende Azure-regio's gebruikt die met elkaar moeten communiceren en internet, kan het lastig zijn om een Azure VMware Solution-privécloud te koppelen aan een beveiligingsservice in Azure. De moeilijkheid is te wijten aan de manier waarop een standaardroute van Azure werkt.

Belangrijk

Het openbare IPv4-adres met NSX staat standaard niet toe dat openbare IP-adressen van Azure/Microsoft worden uitgewisseld via privépeeringsverbindingen van ExpressRoute. Dit betekent dat u de openbare IPv4-adressen niet kunt adverteren naar uw klant-VNet of on-premises netwerk via ExpressRoute. Alle openbare IPv4-adressen met NSX-verkeer moeten het internetpad nemen, zelfs als de privécloud van Azure VMware Solution is verbonden via ExpressRoute. Ga voor meer informatie naar ExpressRoute-circuitpeering.

Volgende stappen

Beheerde SNAT inschakelen voor Azure VMware Solution-workloads

Openbaar IP-adres inschakelen voor de NSX Edge voor Azure VMware Solution

Internettoegang uitschakelen of een standaardroute inschakelen