Рекомендации по проектированию подключения к Интернету

Существует три основных шаблона для создания исходящего доступа к Интернету из Решение Azure VMware и включения входящего доступа к интернету к ресурсам в частном облаке Решение Azure VMware.

• Служба Интернета, размещенная в Azure
• Решение Azure VMware управляемого SNAT
• Общедоступный IPv4-адрес Azure для NSX Data Center Edge

Требования к элементам управления безопасностью, видимости, емкости и операций позволяют выбрать подходящий метод доставки доступа к Интернету в частное облако Решение Azure VMware.

Служба Интернета, размещенная в Azure

Существует несколько способов создать маршрут по умолчанию в Azure и отправить его в Решение Azure VMware частное облако или локальную среду. Существуют следующие варианты выбора.

• Брандмауэр Azure в центре Виртуальная глобальная сеть.
• Стороннее сетевое виртуальное устройство в Виртуальная глобальная сеть-концентраторе виртуальная сеть.
• Стороннее сетевое виртуальное устройство в собственном виртуальная сеть Azure с помощью сервера маршрутизации Azure.
• Маршрут по умолчанию из локальной среды, передаваемый в Решение Azure VMware через Global Reach.

Используйте любой из этих шаблонов для предоставления исходящей службы SNAT с возможностью управления допустимыми источниками, просмотра журналов подключений и для некоторых служб, дальнейших проверок трафика.

Эта же служба также может использовать общедоступный IP-адрес Azure и создавать входящий DNAT из Интернета в сторону целевых объектов в Решение Azure VMware.

Кроме того, можно построить среду, которая использует несколько путей для трафика в Интернете. Один для исходящего SNAT (например, сторонней безопасности NVA), а другой — для входящего DNAT (например, стороннего NVA подсистемы балансировки нагрузки с использованием пулов SNAT для возврата трафика).

Решение Azure VMware управляемого SNAT

Управляемая служба SNAT предоставляет простой метод для исходящего доступа к Интернету из Решение Azure VMware частного облака. К функциям этой службы относятся следующие функции.

• Легко включить. Выберите переключатель на вкладке "Интернет Подключение тивность" и все сети рабочей нагрузки имеют немедленный исходящий доступ к Интернету через шлюз SNAT.
• Нет контроля над правилами SNAT, разрешены все источники, которые достигают службы SNAT.
• Нет видимости журналов подключений.
• Два общедоступных IP-адреса используются и поворачиваются для поддержки до 128k одновременных исходящих подключений.
• Функция DNAT для входящего трафика недоступна с помощью управляемого SNAT Решение Azure VMware.

Общедоступный IPv4-адрес Azure для NSX Edge

Этот параметр приводит выделенный общедоступный IPv4-адрес Azure непосредственно к NSX Edge для потребления. Он позволяет Решение Azure VMware частному облаку напрямую использовать и применять общедоступные сетевые адреса в NSX по мере необходимости. Эти адреса используются для следующих типов подключений:

• на основе пула балансировки нагрузки
• Входящее преобразование DNAT
• Балансировка нагрузки с помощью VMware NSX Advanced Load Balancer и других сторонних сетевых виртуальных устройств
• Приложения, непосредственно подключенные к интерфейсу виртуальной машины рабочей нагрузки.

Этот параметр также позволяет настроить общедоступный адрес на стороннем сетевом виртуальном устройстве для создания dmZ в Решение Azure VMware частном облаке.

Доступны следующие функции:

• Масштабирование— вы можете запросить, чтобы увеличить обратимое ограничение в 64 общедоступных IPv4-адресов Azure до 1000 s общедоступных IP-адресов Azure, выделенных, если приложению требуется.
• Гибкость— общедоступный IPv4-адрес Azure можно применять в любой точке экосистемы NSX. Его можно использовать для предоставления SNAT или DNAT в подсистемах балансировки нагрузки, таких как NSX NSX Advanced Load Balancer или сторонних сетевых виртуальных устройств. Его также можно использовать на сторонних сетевых виртуальных устройствах безопасности в сегментах VMware или непосредственно на виртуальных машинах.
• Регион — общедоступный IPv4-адрес Azure для NSX Edge является уникальным для локального SDDC. Для нескольких частных облаков в распределенных регионах с локальным выходом из Интернета проще направлять трафик локально, а не пытаться управлять распространением маршрутов по умолчанию для службы безопасности или SNAT, размещенной в Azure. Если у вас есть два или более Решение Azure VMware частных облаков, подключенных к общедоступному IP-адресу, они могут иметь локальный выход.

Рекомендации по выбору параметра

Выбор параметра зависит от следующих факторов:

• Чтобы добавить частное облако Azure VMware в точку проверки безопасности, подготовленную в машинном коде Azure, которая проверяет весь интернет-трафик из собственных конечных точек Azure, используйте собственную конструкцию Azure и утечь маршрут по умолчанию из Azure в Решение Azure VMware частное облако.
• Если необходимо запустить стороннее сетевое виртуальное устройство, чтобы соответствовать существующим стандартам проверки безопасности или оптимизации операционных расходов, у вас есть два варианта. Вы можете запустить общедоступный IPv4-адрес Azure в собственном коде Azure с помощью метода маршрута по умолчанию или запустить его в Решение Azure VMware с помощью общедоступного IPv4-адреса Azure в NSX Edge.
• Существуют ограничения масштабирования на количество общедоступных IPv4-адресов Azure, которые можно выделить для виртуального сетевого устройства, работающего в собственной среде Azure или подготовленного в Брандмауэр Azure. Общедоступный IPv4-адрес Azure для NSX Edge позволяет использовать более высокие выделения (1000 s по сравнению с 100 с).
• Используйте общедоступный IPv4-адрес Azure для NSX Edge для локализованного выхода в Интернет из каждого частного облака в своем локальном регионе. Использование нескольких Решение Azure VMware частных облаков в нескольких регионах Azure, которые должны взаимодействовать друг с другом и Интернетом, может быть сложно сопоставить Решение Azure VMware частное облако со службой безопасности в Azure. Сложность связана с тем, как работает маршрут по умолчанию из Azure.

Внимание

По проектированию общедоступный IPv4-адрес с NSX не позволяет обмениваться общедоступными IP-адресами Azure/Майкрософт через подключения частного пиринга ExpressRoute. Это означает, что вы не можете объявлять общедоступные IPv4-адреса для виртуальной сети клиента или локальной сети через ExpressRoute. Все общедоступные IPv4-адреса с трафиком NSX должны принимать путь к Интернету, даже если Решение Azure VMware частное облако подключено через ExpressRoute. Дополнительные сведения см. в разделе пиринга каналов ExpressRoute.

Next Steps

Включение управляемого SNAT для рабочих нагрузок Решение Azure VMware

Включение общедоступного IP-адреса в NSX Edge для Решение Azure VMware

Отключение доступа к Интернету или включение маршрута по умолчанию