Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Istnieją trzy podstawowe wzorce umożliwiające tworzenie dostępu wychodzącego do Internetu z usługi Azure VMware Solution oraz włączanie przychodzącego dostępu do Internetu do zasobów w chmurze prywatnej usługi Azure VMware Solution.
- Usługa internetowa hostowana na platformie Azure
- Zarządzane przez rozwiązanie Azure VMware SNAT
- Publiczny adres IPv4 platformy Azure do usługi NSX Data Center Edge
Wymagania dotyczące mechanizmów kontroli zabezpieczeń, widoczności, pojemności i operacji umożliwiają wybór odpowiedniej metody dostarczania dostępu do Internetu do chmury prywatnej usługi Azure VMware Solution.
Usługa internetowa hostowana na platformie Azure
Istnieje wiele sposobów generowania trasy domyślnej na platformie Azure i wysyłania jej do chmury prywatnej lub lokalnej usługi Azure VMware Solution. Opcje są następujące:
- Zapora Azure w hubie usługi Virtual WAN.
- Wirtualne urządzenie sieciowe innej firmy w wirtualnej sieci wirtualnej będącej szprychą usługi Virtual WAN Hub.
- Wirtualne urządzenie sieciowe innej firmy w natywnej sieci wirtualnej platformy Azure przy użyciu usługi Azure Route Server.
- Trasa domyślna z środowiska lokalnego przeniesiona do rozwiązania Azure VMware Solution za pośrednictwem globalnego zasięgu.
Użyj dowolnego z tych wzorców, aby zapewnić wychodzącą usługę SNAT z możliwością kontrolowania, które źródła są dozwolone, wyświetlania logów połączeń oraz, dla niektórych usług, przeprowadzania dalszej inspekcji ruchu.
Ta sama usługa może również korzystać z publicznego adresu IP platformy Azure i tworzyć przychodzące DNAT z Internetu w kierunku obiektów docelowych w usłudze Azure VMware Solution.
Można również utworzyć środowisko, które korzysta z wielu ścieżek dla ruchu internetowego. Jeden dla wychodzącego ruchu SNAT (na przykład wirtualne urządzenie zabezpieczeń innej firmy), a drugi dla przychodzącego ruchu DNAT (na przykład urządzenie do równoważenia obciążenia innej firmy wykorzystujące pule SNAT do ruchu zwrotnego).
Zarządzane SNAT rozwiązania Azure VMware Solution
Zarządzana usługa SNAT zapewnia prostą metodę wychodzącego dostępu do Internetu z chmury prywatnej usługi Azure VMware Solution. Funkcje tej usługi obejmują następujące elementy.
- Łatwo włączone — wybierz przycisk radiowy na karcie Łączność z Internetem, a wszystkie sieci obciążeń mają natychmiastowy dostęp wychodzący do Internetu za pośrednictwem bramy SNAT.
- Brak kontroli nad regułami SNAT, wszystkie źródła, które docierają do usługi SNAT, są dozwolone.
- Brak wglądu w dzienniki połączeń.
- Dwa publiczne adresy IP są używane i obracane w celu obsługi maksymalnie 128 tys. jednoczesnych połączeń wychodzących.
- Funkcja DNAT dla ruchu przychodzącego nie jest dostępna z funkcją SNAT zarządzaną usługą Azure VMware Solution.
Publiczny adres IPv4 platformy Azure do usługi NSX Edge
Ta opcja powoduje przeniesienie przydzielonego publicznego adresu IPv4 platformy Azure bezpośrednio do przeglądarki NSX Edge do użycia. Dzięki niej chmura prywatna usługi Azure VMware Solution może bezpośrednio korzystać z publicznych adresów sieciowych w NSX i stosować je zgodnie z potrzebami. Te adresy są używane w przypadku następujących typów połączeń:
- Wychodzący SNAT
- Przychodzące DNAT
- Równoważenie obciążenia przy użyciu zaawansowanego modułu równoważenia obciążenia VMware NSX i innych wirtualnych urządzeń sieciowych innych firm
- Bezpośrednio łączące się z interfejsem maszyny wirtualnej aplikacje dla obciążonych zadań.
Ta opcja umożliwia również skonfigurowanie publicznego adresu na wirtualnym urządzeniu sieciowym innej firmy w celu utworzenia strefy DMZ w chmurze prywatnej usługi Azure VMware Solution.
Funkcje obejmują:
- Skalowanie — możesz zażądać zwiększenia miękkiego limitu 64 publicznych adresów IPv4 platformy Azure do 1000 publicznych adresów IP platformy Azure przydzielonych, jeśli aplikacja tego wymaga.
- Elastyczność — publiczny adres IPv4 platformy Azure można zastosować w dowolnym miejscu w ekosystemie NSX. Może służyć do dostarczania SNAT lub DNAT na urządzeniach do równoważenia obciążenia, takich jak VMware’s NSX Advanced Load Balancer, lub rozwiązaniach sieciowych firm trzecich. Może być również używany na wirtualnych urządzeniach zabezpieczeń sieciowych innych firm w segmentach VMware lub bezpośrednio na maszynach wirtualnych.
- Regionalność — publiczny adres IPv4 platformy Azure dla usługi NSX Edge jest unikatowy dla lokalnego centrum danych SDDC. W przypadku „wielu chmur prywatnych w regionach rozproszonych”, z lokalnym wyjściem do Internetu, łatwiej jest kierować ruch lokalnie w porównaniu z próbą kontrolowania propagacji domyślnej trasy dla usługi zabezpieczeń lub usługi SNAT hostowanej na platformie Azure. Jeśli masz co najmniej dwie chmury prywatne usługi Azure VMware Solution połączone z publicznym adresem IP skonfigurowanym, mogą one mieć lokalne wyjście.
Zagadnienia dotyczące wybierania opcji
Wybrana opcja zależy od następujących czynników:
- Aby dodać chmurę prywatną Azure VMware Solution do punktu inspekcji zabezpieczeń skonfigurowanego w usługach natywnych Azure, który sprawdza cały ruch internetowy z natywnych punktów końcowych Azure, użyj mechanizmu natywnego platformy Azure i ogłoś domyślną trasę z platformy Azure do prywatnej chmury Azure VMware Solution.
- Jeśli musisz uruchomić wirtualne urządzenie sieciowe innej firmy w celu zachowania zgodności z istniejącymi standardami inspekcji zabezpieczeń lub usprawnionych wydatków operacyjnych, masz dwie opcje. Publiczny adres IPv4 platformy Azure można uruchomić na platformie Azure natywnie z domyślną metodą trasy lub uruchomić go w rozwiązaniu Azure VMware Solution przy użyciu publicznego adresu IPv4 platformy Azure do usługi NSX Edge.
- Istnieją limity skalowania dotyczące liczby publicznych adresów IPv4 platformy Azure, które można przydzielić do wirtualnego urządzenia sieciowego uruchomionego na natywnej platformie Azure lub aprowizowania w usłudze Azure Firewall. Opcja Publiczny adres IPv4 platformy Azure dla sieci NSX Edge umożliwia uzyskanie wyższych alokacji (1000 s w porównaniu z 100 s).
- Użyj publicznego adresu IPv4 platformy Azure do NSX Edge, aby umożliwić lokalne wyjście do Internetu z każdej chmury prywatnej w jej regionie. Zarządzanie wieloma chmurami prywatnymi usługi Azure VMware Solution w kilku regionach platformy Azure, które muszą się komunikować między sobą i z Internetem, może stwarzać trudności przy połączeniu chmury prywatnej usługi Azure VMware Solution z usługą zabezpieczeń na platformie Azure. Trudności są spowodowane sposobem działania trasy domyślnej z platformy Azure.
Ważne
Zgodnie z projektem publiczny adres IPv4 z NSX nie zezwala na przesyłanie publicznych adresów IP należących do Azure/Microsoft za pośrednictwem konfiguracji prywatnego peeringu ExpressRoute. Oznacza to, że nie można anonsować publicznych adresów IPv4 do sieci wirtualnej klienta lub sieci lokalnej za pośrednictwem usługi ExpressRoute. Wszystkie publiczne adresy IPv4 z ruchem NSX muszą korzystać ze ścieżki internetowej, nawet jeśli chmura prywatna usługi Azure VMware Solution jest połączona za pośrednictwem usługi ExpressRoute. Aby uzyskać więcej informacji, odwiedź stronę ExpressRoute Circuit Peering.
Następne kroki
Włączanie zarządzanego protokołu SNAT dla obciążeń usługi Azure VMware Solution
Włącz publiczny adres IP dla NSX Edge w rozwiązaniu Azure VMware
Wyłączanie dostępu do Internetu lub włączanie trasy domyślnej