Udostępnij za pośrednictwem

Integracja rozwiązania Azure VMware Solution w architekturze centrum i rozgałęzień

Ten artykuł zawiera zalecenia dotyczące integrowania wdrożenia rozwiązania Azure VMware Solution w istniejącej lub nowej architekturze centr i rozgałęzień na platformie Azure.

W modelu Hub and Spoke zakłada środowisko chmury hybrydowej, które obsługuje obciążenia:

  • Natywna platforma Azure korzystająca z usług IaaS lub PaaS
  • Rozwiązanie Azure VMware
  • Lokalna platforma vSphere

Architektura

Centrum to sieć wirtualna platformy Azure, która działa jako centralny punkt łączności z infrastrukturą lokalną oraz z chmurą prywatną usługi Azure VMware Solution. Szprychy są to sieci wirtualne połączone z koncentratorem, aby umożliwić komunikację między sieciami wirtualnymi.

Ruch między lokalnym centrum danych, chmurą prywatną usługi Azure VMware Solution i Hubem przechodzi przez połączenia Azure ExpressRoute. Sieci wirtualne typu szprycha zwykle zawierają obciążenia oparte na usłudze IaaS, ale mogą mieć usługi PaaS, takie jak App Service Environment, które są bezpośrednio zintegrowane z siecią wirtualną, lub inne usługi PaaS z włączonym Azure Private Link.

Ważne

Możesz użyć istniejącej bramy usługi ExpressRoute, aby nawiązać połączenie z usługą Azure VMware Solution, o ile nie przekroczy limitu czterech obwodów usługi ExpressRoute na sieć wirtualną. Jednak aby uzyskać dostęp do rozwiązania Azure VMware Solution ze środowiska lokalnego za pośrednictwem usługi ExpressRoute, musisz mieć usługę ExpressRoute Global Reach, ponieważ brama usługi ExpressRoute nie zapewnia routingu przechodniego między połączonymi obwodami.

Na diagramie przedstawiono przykład wdrożenia modelu Hub and Spoke na platformie Azure, połączonego z lokalnym centrum danych i Azure VMware Solution za pośrednictwem usługi ExpressRoute Global Reach.

Diagram przedstawiający wdrożenie integracji rozwiązania Azure VMware Solution w topologii Hub i Spoke.

Architektura ma następujące główne składniki:

  • Lokacja lokalna: lokalne centra danych klienta połączone z platformą Azure za pośrednictwem połączenia usługi ExpressRoute.

  • Chmura prywatna usługi Azure VMware Solution: Centrum danych zdefiniowane programowo w usłudze Azure VMware Solution utworzone przez co najmniej jeden klaster vSphere, z których każdy ma maksymalnie 16 hostów.

  • Brama usługi ExpressRoute: umożliwia komunikację między prywatną chmurą usługi Azure VMware Solution, usługami wspólnymi w sieci wirtualnej Hub oraz obciążeniami działającymi w sieciach wirtualnych Spoke za pośrednictwem połączenia ExpressRoute.

  • ExpressRoute Global Reach: umożliwia łączność między lokalną i prywatną chmurą usługi Azure VMware Solution. Łączność między usługą Azure VMware Solution i siecią szkieletową platformy Azure odbywa się tylko za pośrednictwem usługi ExpressRoute Global Reach.

  • Rozważania dotyczące VPN S2S: łączność z chmurą prywatną usługi Azure VMware Solution przy użyciu usługi VPN S2S platformy Azure jest obsługiwana, o ile spełnia minimalne wymagania dotyczące sieci dla rozwiązania VMware HCX.

  • Sieć wirtualna koncentratora: pełni rolę centralnego punktu łączności z siecią lokalną i chmurą prywatną usługi Azure VMware Solution.

  • Sieć wirtualna typu szprychy

    • IaaS Spoke: hostuje obciążenia oparte na usłudze IaaS platformy Azure, w tym zestawy dostępności maszyn wirtualnych i zestawy skalowania maszyn wirtualnych oraz odpowiednie składniki sieciowe.

    • PaaS Spoke: hostuje usługi PaaS platformy Azure przy użyciu adresowania prywatnego dzięki prywatnemu punktowi końcowemu i usłudze Private Link.

  • Azure Firewall: działa jako centralny element do segmentowania ruchu między lokalnymi sieciami a usługą Azure VMware Solution.

  • Application Gateway: udostępnia i chroni aplikacje internetowe uruchamiane na maszynach wirtualnych IaaS/PaaS lub Azure VMware Solution. Integruje się z innymi usługami, takimi jak API Management.

Zagadnienia dotyczące sieci i zabezpieczeń

Połączenia usługi ExpressRoute umożliwiają przepływ ruchu między środowiskiem lokalnym, rozwiązaniem Azure VMware Solution i siecią szkieletową platformy Azure. Usługa Azure VMware Solution używa usługi ExpressRoute Global Reach do zaimplementowania tej łączności.

Ponieważ brama usługi ExpressRoute nie zapewnia routingu przechodniego między połączonymi obwodami, łączność lokalna musi również używać usługi ExpressRoute Global Reach do komunikacji między lokalnym środowiskiem vSphere i rozwiązaniem Azure VMware Solution.

  • Przepływ ruchu lokalnego do rozwiązania Azure VMware Solution

    Diagram przedstawiający przepływ ruchu lokalnego do usługi Azure VMware Solution.

  • Przepływ ruchu między sieciami wirtualnymi rozwiązania Azure VMware Solution to Hub

    Diagram przedstawiający przepływ ruchu w sieci wirtualnej usługi Azure VMware Solution to Hub.

Aby uzyskać więcej informacji na temat pojęć dotyczących sieci i łączności rozwiązania Azure VMware Solution, zobacz dokumentację produktu Azure VMware Solution.

Segmentacja ruchu

Azure Firewall to centralny element topologii typu piasta i szprychy wdrożony w sieci wirtualnej hubu. Użyj Azure Firewall lub innego wirtualnego urządzenia sieciowego (NVA) obsługiwanego przez Azure, aby ustanowić reguły ruchu i podzielić komunikację między różnymi segmentami a obciążeniami rozwiązania Azure VMware Solution.

Utwórz tabele tras, aby skierować ruch do usługi Azure Firewall. W przypadku sieci wirtualnych typu Spoke, utwórz trasę, która ustawia domyślną trasę do interfejsu wewnętrznego Azure Firewall. W ten sposób, gdy obciążenie w sieci wirtualnej musi dotrzeć do przestrzeni adresowej usługi Azure VMware Solution, zapora może ją ocenić i zastosować odpowiednią regułę ruchu, aby ją zezwolić lub odrzucić.

Zrzut ekranu przedstawiający tabele tras kierujące ruch do usługi Azure Firewall.

Ważne

Trasa z prefiksem adresu 0.0.0.0/0 w ustawieniu GatewaySubnet nie jest obsługiwana.

Ustaw trasy dla określonych sieci w odpowiedniej tabeli tras. Na przykład trasy umożliwiające dostęp do zarządzania rozwiązaniem Azure VMware i prefiksów IP obciążeń z obciążeń w szprychach oraz w odwrotnym kierunku.

Zrzut ekranu przedstawiający trasy ustawione dla określonych sieci w odpowiedniej tabeli tras.

Drugi poziom segmentacji ruchu przy użyciu sieciowych grup zabezpieczeń w ramach Szprych i Centrum w celu utworzenia bardziej szczegółowych zasad ruchu.

Uwaga

Ruch ze zdalnego środowiska do Azure VMware Solution: ruch między obciążeniami lokalnymi, opartymi na środowisku vSphere, lub innymi, jest umożliwiony dzięki usłudze Global Reach, ale ruch nie przechodzi przez usługę Azure Firewall w centrum. W tym scenariuszu należy zaimplementować mechanizmy segmentacji ruchu — lokalnie lub w rozwiązaniu Azure VMware Solution.

Application Gateway

Aplikacje systemu Azure Application Gateway V1 i V2 zostały przetestowane z użyciem aplikacji webowych działających na maszynach wirtualnych usługi Azure VMware Solution jako puli zaplecza serwerowego. Usługa Application Gateway jest obecnie jedyną obsługiwaną metodą uwidaczniania aplikacji internetowych działających na maszynach wirtualnych usługi Azure VMware Solution w Internecie. Może również bezpiecznie uwidaczniać aplikacje użytkownikom wewnętrznym.

Aby uzyskać więcej informacji, zobacz artykuł dotyczący rozwiązania VMware platformy Azure w usłudze Application Gateway.

Diagram przedstawiający drugi poziom segmentacji ruchu przy użyciu sieciowych grup zabezpieczeń.

Serwer przesiadkowy i usługa Azure Bastion

Uzyskaj dostęp do środowiska Azure VMware Solution za pomocą serwera przesiadkowego, który jest maszyną wirtualną z systemem Windows 10 lub Windows Server wdrożoną w podsieci wspólnych usług w obrębie sieci wirtualnej koncentratora.

Ważne

Azure Bastion jest usługą zalecaną do łączenia się z serwerem przełączającym, aby zapobiec wystawieniu rozwiązania Azure VMware Solution na działanie Internetu. Usługi Azure Bastion nie można używać do nawiązywania połączenia z maszynami wirtualnymi usługi Azure VMware Solution, ponieważ nie są to obiekty IaaS platformy Azure.

Najlepszym rozwiązaniem w zakresie zabezpieczeń jest wdrożenie usługi Microsoft Azure Bastion w sieci wirtualnej Centrum. Usługa Azure Bastion zapewnia bezproblemowy dostęp RDP i SSH do maszyn wirtualnych wdrożonych na platformie Azure bez podawania publicznych adresów IP do tych zasobów. Po aprowizacji usługi Azure Bastion możesz uzyskać dostęp do wybranej maszyny wirtualnej w witrynie Azure Portal. Po nawiązaniu połączenia zostanie otwarta nowa karta, która wyświetli pulpit przesiadkowy. Z tego pulpitu możesz uzyskać dostęp do prywatnej płaszczyzny zarządzania chmurą rozwiązania Azure VMware Solution.

Ważne

Nie należy nadawać publicznego adresu IP maszynie wirtualnej typu jump box ani udostępniać portu 3389/TCP w publicznym Internecie.

Diagram przedstawiający sieć wirtualną usługi Azure Bastion Hub.

Zagadnienia dotyczące rozpoznawania nazw usługi Azure DNS

Istnieją dwie opcje rozwiązywania nazw DNS w usłudze Azure:

  • Użyj kontrolerów domeny wdrożonych w centrum (opisanych w temacie Zagadnienia dotyczące tożsamości) jako serwerów nazw.

  • Wdrażanie i konfigurowanie strefy prywatnej usługi Azure DNS.

Najlepszym rozwiązaniem jest połączenie obu tych rozwiązań w celu zapewnienia niezawodnego rozpoznawania nazw dla rozwiązania Azure VMware Solution, środowiska lokalnego i platformy Azure.

Ogólne zalecenie projektowe: użyj istniejącego systemu DNS zintegrowanego z usługą Active Directory, wdrożonego na co najmniej dwóch maszynach wirtualnych platformy Azure w sieci wirtualnej Hub i skonfiguruj sieci wirtualne Spoke, aby w ustawieniach DNS korzystały z tych serwerów usługi Azure DNS.

Możesz użyć usługi Azure Prywatna strefa DNS, gdzie strefa usługi Azure Prywatna strefa DNS łączy się z siecią wirtualną. Serwery DNS są używane jako hybrydowe rozwiązania rozpoznawania nazw z warunkowym przekazywaniem do środowiska lokalnego lub rozwiązania Azure VMware Solution z systemem DNS przy użyciu infrastruktury Azure Private DNS klienta.

Aby automatycznie zarządzać życiem cyklu rekordów DNS dla maszyn wirtualnych wdrożonych w sieciach wirtualnych Spoke, włącz autorejestrację. Po włączeniu maksymalna liczba prywatnych stref DNS jest tylko jedna. Jeśli jest wyłączona, maksymalna liczba to 1000.

Serwery lokalne i serwery usługi Azure VMware Solution można skonfigurować za pomocą przekierowywaczy warunkowych w celu rozwiązywania nazw maszyn wirtualnych na platformie Azure dla strefy Azure Private DNS.

Zagadnienia dotyczące tożsamości

Dla celów tożsamości najlepszym rozwiązaniem jest wdrożenie co najmniej jednego kontrolera domeny na centrali. Użyj dwóch podsieci usług udostępnionych w sposób rozproszony strefowo lub zestawu dostępności maszyn wirtualnych. Aby uzyskać więcej informacji na temat rozszerzania lokalnej domeny Active Directory (AD) na platformę Azure, zobacz Centrum Architektury Platformy Azure.

Ponadto wdróż inny kontroler domeny po stronie rozwiązania Azure VMware Solution, aby działał jako źródło usług tożsamości i DNS w środowisku vSphere.

Najlepszym rozwiązaniem jest zintegrowanie domeny usługi AD z identyfikatorem Entra firmy Microsoft.