Considerações sobre o design da conectividade com a Internet
Existem três padrões principais para criar acesso de saída à Internet a partir da Solução VMware do Azure e para permitir o acesso de entrada à Internet a recursos na nuvem privada da Solução VMware do Azure.
- Serviço de Internet hospedado no Azure
- Azure VMware Solution Managed SNAT
- Endereço IPv4 Público do Azure para a Borda do Data Center NSX
Seus requisitos de controles de segurança, visibilidade, capacidade e operações orientam a seleção do método apropriado para fornecer acesso à Internet para a nuvem privada da Solução VMware do Azure.
Serviço de Internet hospedado no Azure
Há várias maneiras de gerar uma rota padrão no Azure e enviá-la para sua nuvem privada ou local da Solução VMware do Azure. As opções são as seguintes:
- Um firewall do Azure em um Hub WAN Virtual.
- Um dispositivo virtual de rede de terceiros em uma rede virtual WAN Hub spoke virtual.
- Um Dispositivo Virtual de Rede de terceiros em uma Rede Virtual Nativa do Azure usando o Servidor de Rotas do Azure.
- Uma rota padrão do local transferida para a Solução VMware do Azure através do Alcance Global.
Use qualquer um desses padrões para fornecer um serviço SNAT de saída com a capacidade de controlar quais fontes são permitidas, visualizar os logs de conexão e, para alguns serviços, fazer uma inspeção de tráfego adicional.
O mesmo serviço também pode consumir um IP Público do Azure e criar um DNAT de entrada da Internet para destinos na Solução VMware do Azure.
Também pode ser criado um ambiente que utiliza vários caminhos para o tráfego da Internet. Um para SNAT de saída (por exemplo, um NVA de segurança de terceiros) e outro para DNAT de entrada (como um NVA de balanceador de carga de terceiros usando pools SNAT para tráfego de retorno).
Azure VMware Solution Managed SNAT
Um serviço SNAT gerenciado fornece um método simples para acesso de saída à Internet a partir de uma nuvem privada da Solução VMware do Azure. As características deste serviço incluem o seguinte.
- Facilmente ativado – selecione o botão de opção na guia Conectividade com a Internet e todas as redes de carga de trabalho têm acesso de saída imediato à Internet através de um gateway SNAT.
- Nenhum controle sobre as regras SNAT, todas as fontes que chegam ao serviço SNAT são permitidas.
- Nenhuma visibilidade nos logs de conexão.
- Dois IPs públicos são usados e girados para suportar até 128 mil conexões de saída simultâneas.
- Nenhum recurso de DNAT de entrada está disponível com o Azure VMware Solution Managed SNAT.
Endereço IPv4 Público do Azure para NSX Edge
Esta opção traz um endereço IPv4 público do Azure alocado diretamente para a Borda NSX para consumo. Ele permite que a nuvem privada da Solução VMware do Azure consuma e aplique diretamente endereços de rede pública no NSX, conforme necessário. Esses endereços são usados para os seguintes tipos de conexões:
- SNAT de saída
- DNAT de entrada
- Balanceamento de carga usando o VMware NSX Advanced Load Balancer e outros dispositivos virtuais de rede de terceiros
- Aplicativos conectados diretamente a uma interface VM de carga de trabalho.
Esta opção também permite configurar o endereço público em uma Ferramenta Virtual de Rede de terceiros para criar uma DMZ na nuvem privada da Solução VMware do Azure.
As funcionalidades incluem:
- Escala – você pode solicitar o aumento do limite flexível de 64 endereços IPv4 Públicos do Azure para 1.000 s de IPs Públicos do Azure alocados se um aplicativo exigir.
- Flexibilidade – um endereço IPv4 público do Azure pode ser aplicado em qualquer lugar no ecossistema NSX. Ele pode ser usado para fornecer SNAT ou DNAT, em balanceadores de carga como o NSX Advanced Load Balancer da VMware ou em dispositivos virtuais de rede de terceiros. Ele também pode ser usado em Network Virtual Security Appliances de terceiros em segmentos VMware ou diretamente em VMs.
- Regionalidade – o endereço IPv4 público do Azure para NSX Edge é exclusivo para o SDDC local. Para "nuvem multiprivada em regiões distribuídas", com saída local para intenções de Internet, é mais fácil direcionar o tráfego localmente do que tentar controlar a propagação de rota padrão para um serviço de segurança ou SNAT hospedado no Azure. Se você tiver duas ou mais nuvens privadas do Azure VMware Solution conectadas a um IP público configurado, ambas poderão ter uma saída local.
Considerações para selecionar uma opção
A opção selecionada depende dos seguintes fatores:
- Para adicionar uma nuvem privada VMware do Azure a um ponto de inspeção de segurança provisionado no nativo do Azure que inspeciona todo o tráfego da Internet dos pontos de extremidade nativos do Azure, use uma construção nativa do Azure e vaze uma rota padrão do Azure para sua nuvem privada da Solução VMware do Azure.
- Se você precisar executar um dispositivo virtual de rede de terceiros para estar em conformidade com os padrões existentes para inspeção de segurança ou despesas operacionais simplificadas, você tem duas opções. Você pode executar seu endereço IPv4 Público do Azure no nativo do Azure com o método de rota padrão ou executá-lo na Solução VMware do Azure usando o endereço IPv4 Público do Azure para NSX Edge.
- Há limites de escala sobre quantos endereços IPv4 Públicos do Azure podem ser alocados para um Dispositivo Virtual de Rede em execução no Azure nativo ou provisionado no Firewall do Azure. A opção Endereço IPv4 Público do Azure para Borda NSX permite alocações mais altas (1.000 s versus 100 s).
- Use um endereço IPv4 público do Azure para a borda NSX para uma saída localizada para a Internet de cada nuvem privada em sua região local. Usando várias nuvens privadas da Solução VMware do Azure em várias regiões do Azure que precisam se comunicar entre si e com a Internet, pode ser um desafio combinar uma nuvem privada da Solução VMware do Azure com um serviço de segurança no Azure. A dificuldade deve-se à forma como funciona uma rota predefinida do Azure.
Importante
Por design, o Endereço IPv4 Público com NSX não permite a troca de Endereços IP Públicos de propriedade do Azure/Microsoft em conexões de Emparelhamento Privado de Rota Expressa. Isso significa que você não pode anunciar os endereços IPv4 públicos para a rede virtual do cliente ou para a rede local via Rota Expressa. Todos os endereços IPv4 públicos com tráfego NSX devem seguir o caminho da Internet, mesmo que a nuvem privada da Solução VMware do Azure esteja conectada via Rota Expressa. Para obter mais informações, visite ExpressRoute Circuit Peering.
Passos Seguintes
Habilite o SNAT gerenciado para cargas de trabalho da solução VMware do Azure
Habilite o IP público para a solução NSX Edge for Azure VMware