Zagadnienia dotyczące projektowania łączności z Internetem

  • Artykuł

Istnieją trzy podstawowe wzorce umożliwiające tworzenie dostępu wychodzącego do Internetu z usługi Azure VMware Solution oraz włączanie przychodzącego dostępu do Internetu do zasobów w chmurze prywatnej usługi Azure VMware Solution.

Wymagania dotyczące mechanizmów kontroli zabezpieczeń, widoczności, pojemności i operacji umożliwiają wybór odpowiedniej metody dostarczania dostępu do Internetu do chmury prywatnej usługi Azure VMware Solution.

Usługa internetowa hostowana na platformie Azure

Istnieje wiele sposobów generowania trasy domyślnej na platformie Azure i wysyłania jej do chmury prywatnej lub lokalnej usługi Azure VMware Solution. Dostępne są następujące opcje:

  • Zapora platformy Azure w koncentratorze usługi Virtual WAN.
  • Wirtualne urządzenie sieciowe innej firmy w wirtualnej sieci wirtualnej będącej szprychą usługi Virtual WAN Hub.
  • Wirtualne urządzenie sieciowe innej firmy w natywnej sieci wirtualnej platformy Azure przy użyciu usługi Azure Route Server.
  • Trasa domyślna z środowiska lokalnego przeniesiona do rozwiązania Azure VMware Solution za pośrednictwem globalnego zasięgu.

Użyj dowolnego z tych wzorców, aby zapewnić wychodzącą usługę SNAT z możliwością kontrolowania dozwolonych źródeł, wyświetlania dzienników połączeń i niektórych usług, przeprowadzania dalszej inspekcji ruchu.

Ta sama usługa może również korzystać z publicznego adresu IP platformy Azure i tworzyć przychodzące DNAT z Internetu w kierunku obiektów docelowych w usłudze Azure VMware Solution.

Można również utworzyć środowisko, które korzysta z wielu ścieżek dla ruchu internetowego. Jeden dla ruchu wychodzącego SNAT (na przykład wirtualne urządzenie WUS zabezpieczeń innej firmy), a drugi dla przychodzącego URZĄDZENIA DNAT (na przykład urządzenie WUS modułu równoważenia obciążenia innej firmy przy użyciu pul SNAT na potrzeby ruchu zwrotnego).

Zarządzana nazwa SNAT rozwiązania VMware Solution

Zarządzana usługa SNAT zapewnia prostą metodę wychodzącego dostępu do Internetu z chmury prywatnej usługi Azure VMware Solution. Funkcje tej usługi obejmują następujące elementy.

  • Łatwo włączone — wybierz przycisk radiowy na karcie Połączenie ivity Internetu, a wszystkie sieci obciążeń mają natychmiastowy dostęp wychodzący do Internetu za pośrednictwem bramy SNAT.
  • Brak kontroli nad regułami SNAT, wszystkie źródła, które docierają do usługi SNAT, są dozwolone.
  • Brak wglądu w dzienniki połączeń.
  • Dwa publiczne adresy IP są używane i obracane w celu obsługi maksymalnie 128 tys. jednoczesnych połączeń wychodzących.
  • Funkcja DNAT dla ruchu przychodzącego nie jest dostępna z funkcją SNAT zarządzaną usługą Azure VMware Solution.

Publiczny adres IPv4 platformy Azure do usługi NSX Edge

Ta opcja powoduje przeniesienie przydzielonego publicznego adresu IPv4 platformy Azure bezpośrednio do przeglądarki NSX Edge do użycia. Dzięki niej chmura prywatna usługi Azure VMware Solution może bezpośrednio korzystać z publicznych adresów sieciowych w NSX i stosować je zgodnie z potrzebami. Te adresy są używane w przypadku następujących typów połączeń:

  • Wychodzący adres SNAT
  • Przychodzące DNAT
  • Równoważenie obciążenia przy użyciu zaawansowanego modułu równoważenia obciążenia VMware NSX i innych wirtualnych urządzeń sieciowych innych firm
  • Aplikacje połączone bezpośrednio z interfejsem maszyny wirtualnej obciążenia.

Ta opcja umożliwia również skonfigurowanie publicznego adresu na wirtualnym urządzeniu sieciowym innej firmy w celu utworzenia strefy DMZ w chmurze prywatnej usługi Azure VMware Solution.

Funkcje obejmują:

  • Skalowanie — możesz zażądać zwiększenia miękkiego limitu 64 publicznych adresów IPv4 platformy Azure do 1000 publicznych adresów IP platformy Azure przydzielonych, jeśli aplikacja tego wymaga.
  • Elastyczność — publiczny adres IPv4 platformy Azure można zastosować w dowolnym miejscu w ekosystemie NSX. Może służyć do dostarczania SNAT lub DNAT na modułach równoważenia obciążenia, takich jak NSX VMware Advanced Load Balancer, lub innych firm wirtualne urządzenia sieciowe. Może być również używany na wirtualnych urządzeniach zabezpieczeń sieci innych firm w segmentach VMware lub bezpośrednio na maszynach wirtualnych.
  • Regionalność — publiczny adres IPv4 platformy Azure dla usługi NSX Edge jest unikatowy dla lokalnego centrum danych SDDC. W przypadku "wielu chmur prywatnych w regionach rozproszonych" z intencjami lokalnymi do Internetu łatwiej jest kierować ruch lokalnie w porównaniu z próbą kontrolowania propagacji trasy domyślnej dla zabezpieczeń lub usługi SNAT hostowanej na platformie Azure. Jeśli masz co najmniej dwie chmury prywatne usługi Azure VMware Solution połączone z publicznym adresem IP skonfigurowanym, mogą one mieć lokalne wyjście.

Zagadnienia dotyczące wybierania opcji

Wybrana opcja zależy od następujących czynników:

  • Aby dodać chmurę prywatną VMware platformy Azure do punktu inspekcji zabezpieczeń aprowizowanego na platformie Azure natywnego, który sprawdza cały ruch internetowy z natywnych punktów końcowych platformy Azure, użyj konstrukcji natywnej platformy Azure i wycieku domyślnej trasy z platformy Azure do chmury prywatnej usługi Azure VMware Solution.
  • Jeśli musisz uruchomić wirtualne urządzenie sieciowe innej firmy w celu zachowania zgodności z istniejącymi standardami inspekcji zabezpieczeń lub usprawnionych wydatków operacyjnych, masz dwie opcje. Publiczny adres IPv4 platformy Azure można uruchomić na platformie Azure natywnie z domyślną metodą trasy lub uruchomić go w rozwiązaniu Azure VMware Solution przy użyciu publicznego adresu IPv4 platformy Azure do usługi NSX Edge.
  • Istnieją limity skalowania dotyczące liczby publicznych adresów IPv4 platformy Azure, które można przydzielić do wirtualnego urządzenia sieciowego uruchomionego na natywnej platformie Azure lub aprowizowania w usłudze Azure Firewall. Opcja Publiczny adres IPv4 platformy Azure dla sieci NSX Edge umożliwia uzyskanie wyższych alokacji (1000 s w porównaniu z 100 s).
  • Użyj publicznego adresu IPv4 platformy Azure w przeglądarce NSX Edge w celu zlokalizowanego wyjścia do Internetu z każdej chmury prywatnej w swoim regionie lokalnym. Korzystanie z wielu chmur prywatnych usługi Azure VMware Solution w kilku regionach świadczenia usługi Azure, które muszą komunikować się ze sobą i z Internetem, może być trudne do dopasowania chmury prywatnej usługi Azure VMware Solution z usługą zabezpieczeń na platformie Azure. Trudności są spowodowane sposobem działania trasy domyślnej z platformy Azure.

Ważne

Zgodnie z projektem publiczny adres IPv4 z NSX nie zezwala na wymianę publicznych adresów IP platformy Azure/Microsoft za pośrednictwem połączeń prywatnej komunikacji równorzędnej usługi ExpressRoute. Oznacza to, że nie można anonsować publicznych adresów IPv4 do sieci wirtualnej klienta lub sieci lokalnej za pośrednictwem usługi ExpressRoute. Wszystkie publiczne adresy IPv4 z ruchem NSX muszą korzystać ze ścieżki internetowej, nawet jeśli chmura prywatna usługi Azure VMware Solution jest połączona za pośrednictwem usługi ExpressRoute. Aby uzyskać więcej informacji, odwiedź stronę ExpressRoute Circuit Peering (Komunikacja równorzędna obwodu usługi ExpressRoute).

Następne kroki

Włączanie zarządzanego protokołu SNAT dla obciążeń usługi Azure VMware Solution

Włączanie publicznego adresu IP w przeglądarce NSX Edge dla rozwiązania Azure VMware

Wyłączanie dostępu do Internetu lub włączanie trasy domyślnej