Включение подключения из Решение Azure VMware

Введение

В этом шаблоне проектирования трафик имеет выделенный путь через магистраль Майкрософт из локального центра обработки данных в частное облако Решение Azure VMware (AVS). Это подключение происходит через Expressroute Global Reach, механизм, который предоставляет прямой путь между клиентом, управляемым клиентом, который затем может подключиться к каналам Expressroute, выделенным AVS. Частное облако также имеет отдельный изолированный прорыв от NSX Edge к Интернету, чтобы этот трафик не пересекал Expressroute.

Внимание

Если вы находитесь в регионе, где global Reach не поддерживается, транзит из локальной среды в частное облако AVS возможен путем развертывания шлюза Expressroute в Azure. Чтобы обеспечить сквозную транзитивность, требуется виртуальное устройство в концентраторе виртуальная сеть (виртуальная сеть). См. раздел "Проверка трафика" и объявление маршрутов по умолчанию.

Профиль клиента

Эта архитектура идеально подходит для следующих вариантов:

• Низкая задержка, исходящее из Решение Azure VMware SDDC (программно-определенных центров обработки данных) в Интернет.
• Прямой трафик из локальной среды непосредственно в Azure через Expressroute или VPN.
• Входящие службы L4/L7 для рабочих нагрузок в SDDC, например HTTPS

Трафик, который проходит через маршрутизаторы NSX AVS, описанные в этой конструкции, включают:

• Решение Azure VMware в собственные виртуальные сети Azure
• Решение Azure VMware в Интернет
• Решение Azure VMware в локальные центры обработки данных

Компоненты архитектуры

Реализуйте этот сценарий с помощью следующих вариантов:

• Подсистема балансировки нагрузки NSX Advanced Load Balancer
• Общедоступный IP-адрес для прерывания интернета из Решение Azure VMware для перевода исходных и целевых адресов (SNAT/DNAT)

Примечание.

Хотя NSX Advanced Load Balancer (Avi) предоставляет входящие возможности непосредственно в NSX, эта функция также возможна с помощью WAF или Шлюза приложений версии 2 в Azure.

Ключевое решение

В этом документе предполагается и рекомендуется объявление маршрута по умолчанию из локальной среды или AVS. Если вам нужен маршрут по умолчанию для создания из Azure, обратитесь к разделу "Проверка трафика" и объявление маршрута по умолчанию.

Рекомендации

• Включите общедоступный IP-адрес до NSX Edge в портал Azure. Это позволяет выполнять прямые подключения с низкой задержкой к Решение Azure VMware и масштабировать количество исходящих подключений.
• Примените создание правила брандмауэра NSX.
• Используйте подсистему балансировки нагрузки NSX Advanced для равномерного распределения трафика между рабочими нагрузками.
• Включение защиты от наводнений (распределенная и шлюзная система).

Исходящие данные из AVS с помощью NSX-T или NVA

Покрытие проверки трафика	Проектирование рекомендуемого решения	Рекомендации	Интернет-прорыв
- Интернет-входящий трафик — исходящий интернет-трафик — трафик в локальный центр обработки данных — трафик в Azure виртуальная сеть — трафик в Решение Azure VMware	Используйте NSX-T или сторонний брандмауэр NVA в Решение Azure VMware. Используйте NSX-T Advanced Load Balancer для HTTPs или брандмауэра NSX-T для трафика, отличного от HTTP/S. Общедоступный IP-адрес для подключения к Интернету из Решение Azure VMware, SNAT и DNAT.	Выберите этот параметр, чтобы объявить 0.0.0.0/0 маршрут из частного облака Решение Azure VMware. Включите общедоступный IP-адрес до NSX Edge в портал Azure. Этот параметр позволяет выполнять подключения с низкой задержкой к Azure и масштабировать количество исходящих подключений.	Решение Azure VMware

Исходящие данные из Решение Azure VMware по 0.0.0.0/0/0 из локальной среды

Покрытие проверки трафика	Проектирование рекомендуемого решения	Рекомендации	Интернет-прорыв
- Интернет-входящий трафик — исходящий интернет-трафик — в локальный центр обработки данных	Используйте локальное устройство для трафика HTTP/S, используйте NSX Advanced Load Balancer или Шлюз приложений в Azure. Для трафика, отличного от HTTP/S, используйте распределенный брандмауэр NSX. Включите общедоступный IP-адрес в Решение Azure VMware.	Выберите этот параметр, чтобы объявить 0.0.0.0/0 маршрут из локальных центров обработки данных.	Локально

Внимание

Некоторые традиционные устройства VMware используют вставку служб для размещения устройств на маршрутизаторе уровня 0. Маршрутизаторы уровня 0 подготавливаются и управляются корпорацией Майкрософт и не используются конечными пользователями. Все сетевые устройства и подсистемы балансировки нагрузки должны размещаться на уровне 1. В следующем разделе рассматривается распространение маршрутов по умолчанию с стороннего устройства в AVS.

Интеграция сторонних NVA в AVS

Интеграция с сторонними устройствами возможна с осторожностью. В этом дизайне сторонние NVA находится за одним или несколькими пограничными маршрутизаторами T-1.

Это ответственность пользователей за получение лицензии и реализацию любых возможностей высокого уровня доступности, собственных для устройства.

Помните об ограничениях при выборе этой реализации. Например, на виртуальной машине существует ограничение до восьми карт виртуальной сети. Дополнительные сведения о том, как разместить NVA в AVS, см. в статье " Шаблоны брандмауэра NSX-T"

Примечание.

Корпорация Майкрософт не поддерживает использование оптимизированных для мобильности сетей при использовании сторонних NVAs.

Рекомендации по использованию целевых зон

В этом разделе приведены рекомендации по интеграции AVS с целевой зоной Azure.

Сервер маршрутизации Azure

Сервер маршрутизации Azure (ARS) используется для динамического распространения полученных маршрутов из AVS и предоставления подключения "ветвь — ветвь" к VPN-шлюз. Виртуальные сети, пиринговые с виртуальной сетью, где ARS также динамически изучают маршруты, что позволяет узнать маршруты из AVS в центры и периферийные среды в Azure. Варианты использования для сервера маршрутизации Azure:

Динамическое распространение маршрутов:

• Сведения о конкретных маршрутах из AVS в локальные виртуальные сети через BGP (протокол пограничного шлюза). Одноранговые виртуальные сети могут также узнать маршруты.
• Интеграция сторонних NVA
  • Одноранговые службы ARS с NVAs, чтобы для каждого сегмента AVS не требуется UDR для фильтрации трафика.
  • Для возврата трафика из одноранговых виртуальных сетей требуется UDR (определяемые пользователем маршруты) обратно в локальный интерфейс брандмауэра.
• Механизм транзита из Expressroute в VPN-шлюз
• VPN-шлюз должен быть типом "сеть — сеть" и настроен в Active-Active

Чтобы использовать сервер маршрутизации Azure, необходимо:

• Включение ветви в ветвь

• Используйте сводку маршрутов для > 1000 маршрутов или используйте NO_ADVERTISE BGP communities флаг, на который часто задаваемые вопросы и ответы на сервере маршрутов Azure

• Одноранговая NVA с определенными, не относящихся к Azure ASN. Например, так как ARS использует 65515, ни один другой модуль в виртуальной сети не может использовать это ASN (номер автономной системы).

• Поддержка IPV6 не поддерживается

Интеграция с Azure NetApp Files

Azure NetApp Files (ANF) предоставляет хранилище данных, подключенное к сети, через протокол NFS. ANF находится в виртуальной сети Azure и подключается к рабочим нагрузкам в AVS. Используя хранилища данных NFS, поддерживаемые Azure NetApp Files, вы можете расширить хранилище вместо масштабирования кластеров.

• Создание томов Azure NetApp Files с помощью стандартных сетевых функций для обеспечения оптимизированного подключения из частного облака AVS через ExpressRoute FastPath
• Развертывание ANF в делегированной подсети
• Развертывание Hub &Spoke поддерживает SKU ER GW до 10 Гбит/с
• SKU Ultra и ErGw3AZ требуется для обхода ограничений скорости порта шлюза
• Считывание трафика входящего трафика и трафик записи является исходящим через Expressroute. Исходящий трафик через каналы Expressroute проходит шлюз и переходит непосредственно к пограничному маршрутизатору.
• Плата за входящий трафик и исходящий трафик подавляется из AVS, однако при переходе данных через одноранговые виртуальные сети взимается плата за исходящий трафик.
• Сейчас поддерживается только NFS версии 3.

Если вы видите непредвиденная задержка, убедитесь, что частное облако AVS и развертывание ANF закреплено в том же az (Azure Зоны доступности). Для обеспечения высокой доступности создайте тома ANF в отдельных AZ и включите Cross Zone Replication

Внимание

Корпорация Майкрософт не поддерживает Fastpath для защищенного концентратора виртуальной глобальной сети Azure, где максимальная скорость порта может превышать 20 Гбит/с. Если требуется большая пропускная способность, рассмотрите возможность использования концентратора и периферийной виртуальной сети. Узнайте, как подключить хранилища данных Azure Netapp Files к Решение Azure VMware узлам здесь

VPN-подключение из локальной среды

Хотя рекомендуется использовать канал Expressroute, подключение к AVS из локальной среды с ПОМОЩЬЮ IPSEC с помощью виртуальной сети транзитного концентратора в Azure также возможно. Для этого сценария требуется VPN-шлюз и сервер маршрутизации Azure. Как упоминалось ранее, Azure Route Server обеспечивает транзитивность между VPN-шлюзом и шлюзом AVS Expressroute.

Проверка трафика

Как было показано ранее, реклама маршрутов по умолчанию происходит с AVS с общедоступным IP-адресом до параметра NSX Edge, но также можно продолжать рекламу маршрута по умолчанию из локальной среды. Сквозная фильтрация трафика из локальной среды в AVS возможна с помощью брандмауэра, размещенного на любой из этих конечных точек.

Реклама маршрутов по умолчанию из Azure возможна с помощью стороннего NVA в виртуальной сети Концентратора или при использовании виртуальной сети Azure vWAN. В развертывании Концентратора и периферийных устройств Брандмауэр Azure невозможно, так как он не говорит BGP, однако вы можете использовать стороннее устройство, поддерживающее BGP. Этот сценарий работает для проверки трафика из:

• Локальная среда в Azure
• Azure в Интернете
• AVS в Интернет
• AVS в Azure

Сторонний NVA в виртуальной сети концентратора проверяет трафик между AVS и Интернетом, а также между ВИРТУАЛЬНЫми сетями Azure и AVS

Требования к проверке трафика	Проектирование рекомендуемого решения	Рекомендации	Интернет-прорыв
- Интернет-входящий трафик — Исходящий трафик Из Интернета в локальный центр обработки данных — в Azure виртуальная сеть	Используйте сторонние решения брандмауэра в концентраторе виртуальной сети с сервером Маршрутизации Azure. Для трафика HTTP/S используйте Шлюз приложений Azure. Для трафика, отличного от HTTP/S, используйте сторонний брандмауэр NVA в Azure. Используйте локальный сетевой брандмауэр стороннего поставщика. Разверните сторонние решения брандмауэра в концентраторе виртуальной сети с помощью Сервера маршрутизации Azure.	Выберите этот параметр, чтобы объявить 0.0.0.0/0 маршрут из NVA в виртуальной сети Центра Azure в Решение Azure VMware.	Azure

Дополнительная информация

• Доступ к vCenter с помощью виртуальной машины Бастиона + Jumpbox. При доступе к vCenter из локальной сети убедитесь, что у вас есть маршрут из локальных сетей в сеть управления /22 AVS. Убедитесь, что маршрут в CLI введите Test-NetConnection x.x.x.2 -port 443
• Рекомендации по DNS. При использовании частных конечных точек следуйте инструкциям ниже: конфигурация DNS частной конечной точки Azure | Microsoft Learn

Следующие шаги

• Дополнительные сведения о передаче из локального VPN в Решение Azure VMware см. в следующей статье:
• Дополнительные сведения о решении Azure VMware в сетях с топологией звезды см. в статье Интеграция Решения VMware Azure с архитектурой звезды.
• Дополнительные сведения о сетевых сегментах центра обработки данных VMware NSX-T см. в разделе "Настройка сетевых компонентов NSX-T Центра обработки данных" с помощью Решение Azure VMware.
• Дополнительные сведения о сервере маршрутизатора Azure см. в разделе " Что такое сервер маршрутизации Azure"?

Затем обратите внимание на другие шаблоны проектирования для установления подключения к Решение Azure VMware

Топология сети в нескольких регионах