Этап разработки 3. Подключение к Интернету для входящего трафика

  • Статья

Выбор, который вы делаете на этом этапе проектирования, определяется требованиями приложений, работающих на Решение Azure VMware, которые должны быть доступны через общедоступные IP-адреса. Практически неизменно приложения, подключенные к Интернету, публикуются через сетевые устройства, обеспечивающие безопасность (брандмауэры следующего поколения, брандмауэры веб-приложений) и балансировку нагрузки (подсистемы балансировки нагрузки уровня 3 или уровня 4, контроллеры доставки приложений). Эти устройства можно развернуть в самом частном облаке или в виртуальной сети Azure, подключенной к частному облаку. Ваш выбор основан на следующих соображениях:

  • Для оптимизации затрат и согласованности можно использовать предварительно существующие NVAs, развернутые в виртуальных сетях Azure (например, брандмауэры и контроллеры доставки приложений) для публикации приложений, работающих в частных облаках.
  • Службы Azure PaaS, которые можно использовать для публикации приложений, подключенных к Интернету, например Брандмауэр Azure (как при развертывании в управляемой клиентом виртуальной сети, так и при развертывании в центре Виртуальная глобальная сеть Azure) и Шлюз приложений Azure, могут помочь сократить затраты на управление.
  • Брандмауэры и контроллеры доставки приложений можно развертывать как виртуальные (модуль) на Решение Azure VMware, если это поддерживается поставщиком.

В следующей блок-схеме описывается подход к этому этапу.

Flowchart that shows the design-decision making process for inbound internet connectivity.

NVAs, размещенные в виртуальной сети Azure

Публикация приложений Решение Azure VMware через службы Azure (Брандмауэр Azure, Шлюз приложений) или сторонние NVAs, размещенные в виртуальной сети, требуют только подключения уровня 3 между виртуальной сетью и частным облаком Решение Azure VMware. Дополнительные сведения см. на этапе разработки 2: Подключение тивность с виртуальными сетями Azure.

В следующих разделах приведены рекомендации по каждому варианту.

Рекомендации по Брандмауэр Azure

Брандмауэр Azure является предпочтительным вариантом предоставления универсальных конечных точек TCP или UDP через устройство Уровня 3 или уровня 4. Чтобы опубликовать приложение Решение Azure VMware через Брандмауэр Azure, необходимо настроить правило преобразования сетевых адресов назначения (DNAT), которое сопоставляет одно из общедоступных IP-адресов брандмауэра с частным IP-адресом конечной точки приложения Решение Azure VMware. Брандмауэр Azure автоматически использует преобразование сетевых адресов источника (SNAT) для перевода IP-адресов, входящих из Интернета в собственный частный IP-адрес. В результате Решение Azure VMware виртуальные машины получают трафик, исходный IP-адрес которого является IP-адресом брандмауэра. Дополнительные сведения см. в разделе "Фильтрация входящего интернет-трафика с Брандмауэр Azure DNAT с помощью портал Azure".

Рекомендации по Шлюз приложений Azure

Шлюз приложений — это предпочтительный вариант для предоставления приложений HTTP(S), работающих на Решение Azure VMware. Этот обратный прокси-сервер Microsoft HTTP предоставляет:

  • Маршрутизация HTTP-запросов.
  • Возможности брандмауэра веб-приложений (WAF).

При использовании Шлюз приложений серверы приложений, работающие в Решение Azure VMware частном облаке, получают трафик, исходный IP-адрес которого — IP-адрес шлюза приложений. IP-адрес клиента можно перенести в HTTP-запросы (обычно как пользовательский заголовок x-forwarded-for), если логика приложения требует доступа к этой информации. Дополнительные сведения см. в этой статье о публикации приложения Решение Azure VMware через Шлюз приложений.

Примечание.

Шлюз приложений в настоящее время является единственным подсистемой балансировки нагрузки Майкрософт, которую можно использовать для предоставления веб-приложений, работающих на Решение Azure VMware виртуальных машинах. Это связано с тем, что он позволяет указывать непосредственно на частные IP-адреса виртуальных машин, работающих на Решение Azure VMware при настройке серверных пулов виртуальных машин.

Рекомендации по сторонним NVAs

Сторонние NVAs могут предоставлять возможности брандмауэра уровня 3 или уровня 4 или возможности обратного прокси-сервера уровня 7 или WAF. Следуйте инструкциям поставщика NVA, чтобы развернуть устройство в виртуальных сетях Azure. Подробное руководство по созданию высокодоступных кластеров NVAs в Azure выходит за рамки область этого руководства. Ниже приведены общие рекомендации по применению к любой технологии NVA:

  • Высокий уровень доступности (HA) является вашей ответственностью. Кластеры NVA должны включать два или более активных экземпляров NVA ( модель N-active HA). Следует избегать активно-пассивной высокой доступности, так как она предотвращает горизонтальное масштабирование.
  • Вы должны распространять все входящий интернет-подключения ко всем запущенным экземплярам с помощью SKU Azure Load Balancer уровня "Стандартный".
  • NVA уровня 3 и уровня 4 необходимо настроить для преобразования входящих подключений к Интернету в частный IP-адрес приложения Решение Azure VMware, которое требуется опубликовать.
  • Чтобы сохранить симметрию потока, необходимо настроить NVA уровня 3 и уровня 4, чтобы использовать SNAT для перевода входящих подключений к Интернету в частный IP-адрес интерфейса исходящего трафика.
  • NVAs уровня 7 выступает в качестве обратных прокси-серверов и поддерживает два отдельных сеанса TCP для каждого входящего подключения клиента: один между клиентом и NVA и одним между NVA и сервером приложений вышестоящий. Последний сеанс происходит из частного IP-адреса интерфейса NVA исходящего трафика. Приложения HTTP(S) позволяют NVAs уровня 7 передавать общедоступный IP-адрес клиента серверам приложений в заголовках HTTP-запросов.

NVAs, размещенные в Решение Azure VMware (общедоступный IP-адрес на пограничном сервере NSX-T Data Center Edge)

Чтобы опубликовать приложения Решение Azure VMware через сторонние NVAs, развернутые в Решение Azure VMware, необходимо включить общедоступный IP-адрес в NSX-T Data Center Edge для частного облака. Эта функция связывает общедоступные IP-адреса Azure из префикса общедоступного IP-адреса Azure с частным облаком и настраивает магистраль Майкрософт для маршрутизации интернет-трафика, предназначенного для этих IP-адресов, к шлюзам NSX-T0 или T1 частного облака. Затем шлюзы T1 можно настроить для преобразования входящих подключений к частным IP-адресам NVAs, подключенным к сегментам NSX-T. Инструкции по настройке общедоступного IP-адреса на пограничных серверах Центра обработки данных NSX-T и настройке правил DNAT для входящего подключения к Интернету см. в статье "Включение общедоступного IP-адреса" на пограничном сервере Центра обработки данных NSX-T. При использовании Решение Azure VMware с общедоступным IP-адресом на пограничных серверах центра обработки данных NSX-T применяются следующие рекомендации.

  • Выполняйте NAT на шлюзах T1, а не на шлюзах T0. В Решение Azure VMware частных облаках шлюзы T0 являются парами устройств active-active, поэтому они не могут обрабатывать сеансы NAT с отслеживанием состояния.
  • Необходимо связать общедоступные IP-адреса с префиксом общедоступного IP-адреса Azure. Использование IP-адресов из префиксов пользовательского IP-адреса (BYOIP) в настоящее время не поддерживается.
  • При настройке Решение Azure VMware частного облака с общедоступным IP-адресом на пограничных серверах Центра обработки данных NSX-T маршрут по умолчанию устанавливается в шлюзах T0/T1. Он направляет исходящие подключения к Интернету через край магистрали Майкрософт. В результате использование общедоступного IP-адреса в NSX-T Data Center Edge для входящего подключения к Интернету также определяет вариант реализации исходящего подключения, который рассматривается в следующей статье в этом руководстве.

Следующие шаги

Узнайте о исходящем подключении к Интернету.

Исходящее подключение к Интернету