Поделиться через

Включение подключения из решения Azure VMware

  • Статья

Знакомство

В этом шаблоне проектирования трафик имеет выделенный путь по магистрали Майкрософт из локального центра обработки данных в частное облако решения Azure VMware (AVS). Это подключение происходит через Expressroute Global Reach, механизм, который предоставляет прямой путь между клиентом, управляемым клиентом, который затем может подключиться к каналам Expressroute, выделенным AVS. Частное облако также имеет отдельный изолированный выход от NSX Edge к интернету, чтобы этот трафик не пересекал ExpressRoute.

решение Azure VMware с глобальной связью с локальной средой и отдельным подключением к интернету с общедоступным IP-адресом AVS

Важный

Если вы находитесь в регионе, где global Reach не поддерживается, транзит из локальной среды в частное облако AVS возможен путем развертывания шлюза Expressroute в Azure. Чтобы обеспечить транзитивность от конца до конца, в сети виртуального концентратора (VNET) требуется виртуальное устройство. Смотрите раздел инспекций трафика, & объявления маршрутов по умолчанию,.

Профиль клиента

Эта архитектура идеально подходит для следующих вариантов:

  • Низкая задержка, естественный исходящий трафик из SDDC решения Azure VMware (программно-определённых центров обработки данных) в Интернет.
  • Поток трафика напрямую из локальной среды в Azure через ExpressRoute или VPN.
  • Входящие службы L4/L7 для рабочих нагрузок в SDDC, например HTTPS

Трафик, который проходит через маршрутизаторы NSX AVS, учтённые в этом проекте, включает:

  • Решение Azure VMware для собственных виртуальных сетей Azure
  • Решение Azure VMware в Интернете
  • Решение Azure VMware для локальных центров обработки данных

Архитектурные компоненты

Реализуйте этот сценарий с помощью следующих вариантов:

  • Подсистема балансировки нагрузки NSX Advanced Load Balancer
  • Общедоступный IP-адрес для выхода в интернет из решения на основе Azure VMware с переводом исходных и целевых адресов (SNAT/DNAT)

Заметка

Хотя NSX Advanced Load Balancer (Avi) предоставляет входящие возможности непосредственно в NSX, эта функция также возможна с помощью WAF или Шлюза приложений версии 2 в Azure.

Ключевое решение

В этом документе предполагается и рекомендуется объявление маршрута по умолчанию из локальной среды или AVS. Если вам нужно, чтобы маршрут по умолчанию исходил из Azure, обратитесь к разделу Traffic Inspection & Default Route Advertisement.

Соображения

  • Включите общедоступный IP-адрес до NSX Edge на портале Azure. Это позволяет выполнять прямые подключения с решением Azure VMware с низкой задержкой и масштабировать количество исходящих подключений.
  • Примените создание правил в брандмауэре NSX.
  • Используйте подсистему балансировки нагрузки NSX Advanced для равномерного распределения трафика между рабочими нагрузками.
  • Включите распределенную и шлюзную защиту от наводнений.

Выгрузка из AVS с помощью NSX-T или NVA

Охват проверки трафика Рекомендуемый дизайн решения Соображения Интернет-прорыв
- Входящий интернет-трафик
— исходящий интернет-трафик
— трафик в локальный центр обработки данных
— трафик к виртуальной сети Azure
— трафик в решении Azure VMware
Используйте NSX-T или сторонний брандмауэр NVA в решении Azure VMware.

Использовать NSX-T Advanced Load Balancer для HTTPs или брандмауэр NSX-T для трафика, отличного от HTTP/S.

общедоступный IP-адрес для выхода в интернет из решения Azure VMware, SNAT и DNAT.		 Выберите этот параметр, чтобы объявить маршрут 0.0.0.0/0 из частного облака решения Azure VMware.

Включить общедоступный IP-адрес до NSX Edge на портале Azure. Этот параметр позволяет выполнять подключения с низкой задержкой к Azure и масштабировать количество исходящих подключений.		 Решение Azure VMware

Выход данных из решения Azure VMware через анонс 0.0.0.0/0 из локальной инфраструктуры

Объем контроля трафика Рекомендуемый дизайн решения Соображения Интернет-прорыв
Входящий интернет-трафик
— исходящий интернет-трафик
— в локальный центр обработки данных		 Используйте локальное устройство

для трафика HTTP/S, используйте NSX Advanced Load Balancer или Шлюз приложений в Azure. Для трафика, отличного от HTTP/S, используйте распределенный брандмауэр NSX.

Включить общедоступный IP-адрес в решении Azure VMware.		 Выберите этот параметр, чтобы объявить маршрут 0.0.0.0/0 из локальных центров обработки данных. На площадке

Важный

Некоторые традиционные устройства VMware используют вставку служб для размещения устройств на маршрутизаторе уровня 0. Маршрутизаторы уровня 0 подготавливаются и управляются корпорацией Майкрософт и не используются конечными пользователями. Все сетевые устройства и подсистемы балансировки нагрузки должны размещаться на уровне 1. В следующем разделе рассматривается распространение маршрутов по умолчанию с стороннего устройства в AVS.

Интеграция сторонних NVA в AVS

Интеграция с сторонними устройствами возможна с осторожностью. В этом дизайне сторонние NVA находятся за одним или несколькими пограничными маршрутизаторами T-1.

Это ответственность пользователей за получение лицензии и реализацию любых возможностей высокого уровня доступности, собственных для устройства.

Помните об ограничениях при выборе этой реализации. Например, на виртуальной машине существует ограничение до восьми карт виртуальной сети. Дополнительные сведения о том, как размещать NVA в AVS, см. в NSX-T шаблонах брандмауэров.

Заметка

Корпорация Майкрософт не поддерживает использование оптимизированных для мобильности сетей при использовании сторонних NVAs.

Соображения по зоне посадки

В этом разделе приведены передовые практики по интеграции AVS с вашей Целевой зоной Azure.

Сервер маршрутизации Azure

Сервер маршрутизации Azure (ARS) используется для динамического распространения извлеченных маршрутов из AVS и предоставления подключения "Филиал — ветвь" к VPN-шлюзам. Виртуальные сети, пирингованные с виртуальной сетью, в которой находится ARS, также автоматически изучают маршруты, что позволяет получать маршруты из AVS в хабовые и развёрнутые архитектуры в Azure. Варианты использования для сервера маршрутизации Azure:

Динамическое распространение маршрутов:

  • Ознакомьтесь с конкретными маршрутами от AVS к локальным виртуальным сетям через BGP (протокол пограничного шлюза). Виртуальные сети, объединённые одноранговыми связями, также могут изучить маршруты.
  • Интеграция сторонних NVA
    • Объедините ARS и NVA, чтобы на каждый сегмент AVS не требовались UDR для фильтрации трафика.
    • Для возврата трафика из пиринговых виртуальных сетей требуется использовать определяемые пользователем маршруты (UDR) для возврата к локальному интерфейсу брандмауэра.
  • Механизм транзита из Expressroute в VPN-шлюзы
  • VPN-шлюз должен быть типа "сеть — сеть" и должен быть настроен в Active-Active

Чтобы использовать сервер маршрутизации Azure, необходимо:

  • Активировать связь между ветвями

  • Используйте сводку маршрутов для маршрутов > 1000 или используйте флаг NO_ADVERTISE BGP communities в часто задаваемых вопросов о сервере маршрутизации Azure (часто задаваемые вопросы)

  • Одноранговая NVA с определенными, не относящихся к Azure ASN. Например, так как ARS использует 65515, ни один другой модуль в виртуальной сети не может использовать это ASN (номер автономной системы).

  • Поддержка IPV6 не поддерживается

Интеграция с Azure NetApp Files

Azure NetApp Files (ANF) предоставляет хранилище данных, подключенное к сети, через протокол NFS. ANF находится в виртуальной сети Azure и подключается к рабочим нагрузкам в AVS. Используя хранилища данных NFS, поддерживаемые Azure NetApp Files, вы можете расширить хранилище вместо масштабирования кластеров.

  • Создайте тома Azure NetApp Files, используя стандартные сетевые функции для оптимизации подключения из вашего частного облака AVS через ExpressRoute FastPath.
  • Развертывание ANF в делегированной подсети
  • Развертывание сети "Спица-концентратор" & поддерживает SKU ER GW с пропускной способностью до 10 Гбит/с.
  • SKU "Ultra" & ErGw3AZ требуется для обхода ограничений на скорость порта шлюза.
  • Входящий трафик считается, а исходящий трафик записывается в ExpressRoute. Исходящий трафик через каналы Expressroute проходит шлюз и переходит непосредственно к пограничному маршрутизатору.
  • Плата за входящий и исходящий трафик не взимается в AVS, однако, если данные переходят через одноранговые виртуальные сети (VNETs), взимается плата за исходящий трафик.
  • Используйте выделенный шлюз ExpressRoute для Azure Netapp Files, не используйте общий или централизованный шлюз ExpressRoute.
  • Не размещайте брандмауэр или NVA в пути к данным между Azure NetApp Files и решением Azure VMware.
  • Сейчас поддерживается только NFS версии 3.

Если вы замечаете непредвиденную задержку, убедитесь, что частное облако AVS и развертывание ANF закреплены в одной и той же зоне доступности Azure (AZ). Для обеспечения высокой доступности создайте тома ANF в отдельных зонах доступности (AZ) и включите Cross Zone Replication

Важный

Корпорация Майкрософт не поддерживает Fastpath для защищенного концентратора виртуальной глобальной сети Azure, где максимальная скорость порта может превышать 20 Гбит/с. Если требуется большая пропускная способность, рассмотрите возможность использования концентратора & в периферийной виртуальной сети. Узнайте, как подключить хранилища данных Azure Netapp Files к узлам решения Azure VMware здесь

VPN-подключение из локальной среды

Хотя рекомендуется использовать канал Expressroute, подключение к AVS из локальной среды с ПОМОЩЬЮ IPSEC с помощью виртуальной сети транзитного концентратора в Azure также возможно. Для этого сценария требуется VPN-шлюз и сервер маршрутизации Azure. Как упоминалось ранее, Azure Route Server обеспечивает транзитивность между VPN-шлюзом и шлюзом AVS Expressroute.

решение Azure VMware с транзитом между Expressroute и локальным VPN-шлюзом

Проверка трафика

Как было показано ранее, реклама маршрутов по умолчанию происходит с AVS с общедоступным IP-адресом до параметра NSX Edge, но также можно продолжать рекламу маршрута по умолчанию из локальной среды. Сквозная фильтрация трафика из локальной среды в AVS возможна с помощью брандмауэра, размещенного на любой из этих конечных точек.

Решение Azure VMware с проверкой трафика, используя сетевое виртуальное устройство стороннего производителя в Azure

Реклама маршрутов по умолчанию из Azure возможна с помощью стороннего NVA в виртуальной сети Концентратора или при использовании виртуальной сети Azure vWAN. В развертывании по схеме "Концентратор и периферия" Брандмауэр Azure недоступен, так как он не поддерживает BGP, однако вы можете использовать стороннее устройство, поддерживающее BGP. Этот сценарий работает для проверки трафика из:

  • Из локальной инфраструктуры в Azure
  • Azure в Интернете
  • AVS в интернет
  • AVS в Azure

Сторонний NVA в узловой виртуальной сети (VNet) инспектирует трафик между AVS и интернетом, а также между AVS и виртуальными сетями Azure.

Требования к проверке трафика Рекомендуемый дизайн решения Соображения Интернет-прорыв
- Входящий интернет-трафик
— Из Интернета
— в локальный центр обработки данных
— в виртуальную сеть Azure		 Используйте сторонние решения брандмауэра в концентраторе виртуальной сети с сервером Маршрутизации Azure.

для трафика HTTP/S используйте шлюз приложений Azure. Для трафика, отличного от HTTP/S, используйте сторонний брандмауэр NVA в Azure.

Использовать локальный брандмауэр стороннего производителя NVA.

развертывать сторонние решения брандмауэра в центральной виртуальной сети с помощью сервера маршрутизации Azure.		 Выберите этот параметр, чтобы объявить маршрут 0.0.0.0/0 из NVA в виртуальной сети Центра Azure в решение Azure VMware. Лазурный

Дополнительные сведения

  • Доступ к vCenter с помощью виртуальной машины Бастиона + Jumpbox. При доступе к vCenter из локальной сети убедитесь, что у вас есть маршрут из локальных сетей в сеть управления /22 AVS. Убедитесь в маршруте в CLI, введя Test-NetConnection x.x.x.2 -port 443.
  • Рекомендации по DNS. При использовании частных конечных точек следуйте инструкциям ниже: конфигурация DNS частной конечной точки Azure | Microsoft Learn

подписка и организация группы ресурсов в Azure VMware Solution

Дальнейшие действия

Затем обратите внимание на другие шаблоны проектирования для установления подключения к решению Azure VMware

топология сети нескольких регионов