Share via

Faza projektowania 2: Połączenie ivity z sieciami wirtualnymi platformy Azure

  • Artykuł

Chmury prywatne usługi Azure VMware Solution łączą się z sieciami wirtualnymi platformy Azure za pośrednictwem zarządzanych obwodów usługi Azure ExpressRoute. Aby uzyskać więcej informacji, zobacz ExpressRoute circuits and Azure VMware Solution private clouds (Obwody usługi ExpressRoute i chmury prywatne usługi Azure VMware Solution). W sieciach platformy Azure piasty i szprych (w tym sieciach utworzonych za pomocą usługi Azure Virtual WAN), łączenie obwodu zarządzanego chmury prywatnej z bramą usługi ExpressRoute w sieci piasty (lub koncentratorze usługi Virtual WAN) zapewnia łączność warstwy 3 z chmurą prywatną. Jednak wymuszanie zasad zabezpieczeń w celu selektywnego zezwalania lub odmowy połączeń między zasobami jest często wymagane. To wymaganie może istnieć między:

  • Sieci wirtualne i maszyny wirtualne platformy Azure działające w chmurze prywatnej usługi Azure VMware Solution.
  • Sieci wirtualne platformy Azure i punkty końcowe zarządzania chmury prywatnej usługi Azure VMware Solution.

Mimo że obie sieci wirtualne platformy Azure i vSphere/NSX-T zapewniają natywne konstrukcje segmentacji sieci, rozwiązania zapory wdrożone jako wirtualne urządzenia sieciowe (WUS) w sieciach wirtualnych platformy Azure są często preferowaną opcją w środowiskach o skali przedsiębiorstwa. Ten artykuł koncentruje się na konfiguracji sieci wirtualnej, która umożliwia kierowanie ruchu między chmurami prywatnymi i sieciami wirtualnymi platformy Azure przy użyciu niestandardowych przeskoków następnego, takich jak urządzenia WUS zapory.

Wybór w tej fazie projektowania zależy od opcji wybranej w fazie projektowania 1 dla łączności lokalnej. W rzeczywistości zarządzany obwód usługi ExpressRoute łączący chmurę prywatną z siecią wirtualną platformy Azure może również odgrywać rolę w łączności z lokacjami lokalnymi. Jest to przypadek, jeśli wybierzesz tranzyt za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute podczas fazy projektowania 1. Ten schemat blokowy przedstawia proces wybierania opcji łączności z sieciami wirtualnymi platformy Azure:

Flowchart that shows the design decision making process for connectivity to Azure virtual networks.

Aby uzyskać więcej informacji na temat łączności z sieciami wirtualnymi platformy Azure, przeczytaj jedną z poniższych sekcji. Wybierz sekcję zgodną z opcją łączności hybrydowej wybraną podczas fazy projektowania 1.

Tranzyt przez prywatną komunikację równorzędną usługi ExpressRoute jest używany na potrzeby ruchu lokalnego

W przypadku korzystania z przesyłania za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute do łączności z lokacjami lokalnymi ruch jest kierowany przez urządzenia WUS (zazwyczaj rozwiązania zapory usługi Azure Firewall lub rozwiązania zapory innej firmy) w sieci koncentratora. Ruch z lokacji lokalnych przechodzi do sieci wirtualnej platformy Azure za pośrednictwem bramy usługi ExpressRoute (połączonej z obwodem należącym do klienta) i jest kierowany do wirtualnego urządzenia sieciowego zapory. Po inspekcji ruch jest przekazywany (jeśli zapora nie zostanie porzucony przez zaporę) do chmury prywatnej za pośrednictwem zarządzanego obwodu usługi ExpressRoute.

W przeciwnym kierunku ruch z chmury prywatnej przechodzi do sieci wirtualnej koncentratora lub pomocniczej sieci wirtualnej, w zależności od opcji implementacji wybranej podczas fazy projektowania 1 (pojedynczej sieci wirtualnej lub pomocniczej sieci wirtualnej). Następnie jest kierowana przez bramę usługi ExpressRoute połączoną z obwodem zarządzanym i z urządzeniem WUS zapory. Po przeprowadzeniu inspekcji ruch jest przekazywany (jeśli zapora nie zostanie porzucony przez zaporę) do miejsca docelowego lokalnego za pośrednictwem obwodu usługi ExpressRoute należącego do klienta.

Obie opcje pojedynczej sieci wirtualnej i pomocniczej sieci wirtualnej obejmują konfigurację routingu, która powoduje przekazywanie całego ruchu z chmury prywatnej do wirtualnych urządzeń WUS zapory w sieci koncentratora, niezależnie od miejsca docelowego (sieci wirtualnej platformy Azure lub lokacji lokalnych). Reguły zapory umożliwiające zezwalanie na połączenia między maszynami wirtualnymi działającymi w chmurze prywatnej i zasobami platformy Azure lub ich usuwanie muszą zostać dodane do zasad zapory.

Usługa ExpressRoute Global Reach jest używana na potrzeby ruchu lokalnego

Jeśli używasz usługi ExpressRoute Global Reach do łączności z lokacjami lokalnymi, połączenie bramy usługi ExpressRoute między siecią piasty a chmurą prywatną prowadzi tylko ruch kierowany do zasobów platformy Azure. Aby kierować ten ruch przez urządzenie zapory, należy zaimplementować następującą konfigurację:

  • W tradycyjnych sieciach piasty i szprych należy dodać trasy zdefiniowane przez użytkownika do podsieci GatewaySubnet sieci wirtualnej piasty dla wszystkich miejsc docelowych (prefiksów IP) na platformie Azure, które muszą zostać osiągnięte za pośrednictwem urządzeń WUS. Adres IP następnego przeskoku dla tras zdefiniowanych przez użytkownika to adres VIP zapory (prywatny adres IP zapory podczas korzystania z usługi Azure Firewall).
  • W sieciach piasty i szprych opartych na wirtualnej sieci WAN ze zintegrowanymi koncentratorami (azure Firewall lub rozwiązaniami zabezpieczeń innych firm) należy dodać niestandardowe trasy statyczne do domyślnej tabeli tras koncentratora usługi Virtual WAN. Trasa zdefiniowana przez użytkownika jest wymagana dla każdego prefiksu IP, który musi zostać osiągnięty za pośrednictwem urządzeń WUS z usługi Azure VMware Solution. Następny przeskok dla tych tras zdefiniowanych przez użytkownika musi być adresem VIP zapory lub wirtualnego urządzenia sieciowego. Alternatywnie można aktywować i skonfigurować intencję routingu usługi Virtual WAN i zasady routingu w zabezpieczonych koncentratorach usługi Virtual WAN.

Sieci VPN protokołu IPSec są używane do ruchu lokalnego

W przypadku używania sieci VPN IPSec do łączności z lokacjami lokalnymi należy skonfigurować dodatkowy routing w celu kierowania połączeń między chmurą prywatną i zasobami w sieciach wirtualnych platformy Azure za pośrednictwem wirtualnych urządzeń WUS zapory:

  • W tradycyjnych sieciach piasty i szprych należy dodać trasy zdefiniowane przez użytkownika do podsieci GatewaySubnet sieci piasty dla wszystkich miejsc docelowych (prefiksów IP) na platformie Azure, które muszą zostać osiągnięte za pośrednictwem urządzeń WUS. Adres IP następnego przeskoku dla tras zdefiniowanych przez użytkownika to adres VIP zapory (prywatny adres IP zapory podczas korzystania z usługi Azure Firewall).
  • W sieciach piasty i szprych opartych na wirtualnej sieci WAN z zintegrowanymi koncentratorami (azure Firewall lub rozwiązaniami zabezpieczeń innych firm) należy dodać niestandardowe trasy statyczne do domyślnej tabeli tras koncentratora usługi Virtual WAN dla każdego zestawu miejsc docelowych (prefiksów IP), które muszą zostać osiągnięte za pośrednictwem urządzeń WUS z usługi Azure VMware Solution. Dla każdej trasy zdefiniowanej przez użytkownika następny przeskok musi być adresem VIP zapory lub wirtualnego urządzenia sieciowego. Alternatywnie można aktywować i skonfigurować intencję routingu usługi Virtual WAN i zasady routingu w zabezpieczonych koncentratorach usługi Virtual WAN.

Następne kroki

Dowiedz się więcej o przychodzącej łączności z Internetem.

Przychodząca łączność z Internetem