Nätverksöverväganden för Azure VMware Solution distributioner med dubbla regioner

Den här artikeln beskriver hur du konfigurerar nätverksanslutningar när Azure VMware Solution privata moln distribueras i två Azure-regioner i katastrofåterhämtningssyfte. Om det uppstår partiella eller fullständiga regionala avbrott tillåter nätverkstopologin i den här artikeln att de kvarvarande komponenterna (privata moln, Azure-interna resurser och lokala platser) upprätthåller anslutningen till varandra och med Internet.

Scenario med dubbla regioner

Den här artikeln fokuserar på ett typiskt scenario med dubbla regioner som visas i följande bild 1:

• Det finns ett Azure-nav- och ekernätverk i varje region.
• En katastrofåterhållbar konfiguration för ExpressRoute (två kretsar på två olika peeringplatser, där varje krets är ansluten till virtuella hubbnätverk i båda regionerna) har distribuerats. Vägledningen i följande avsnitt förblir densamma om återställning av VPN-anslutningen har konfigurerats.
• Ett Azure VMware Solution privat moln har distribuerats i varje region.

Anteckning

I referensscenariot för bild 1 är de två regionala virtuella hubbnätverken anslutna via global VNet-peering. Även om det inte är absolut nödvändigt, eftersom trafik mellan virtuella Azure-nätverk i de två regionerna kan dirigeras via ExpressRoute-anslutningar, rekommenderar vi starkt den här konfigurationen. VNet-peering minimerar svarstiden och maximerar dataflödet, eftersom det eliminerar behovet av att hårnålstrafik via ExpressRoute meet-me-gränsroutrarna.

Kommunikationsmönster med dubbla regioner

I nästa avsnitt beskrivs den Azure VMware Solution nätverkskonfiguration som krävs för att aktivera följande kommunikationsmönster i referensscenariot med dubbla regioner:

• Azure VMware Solution till Azure VMware Solution (beskrivs i avsnittet Azure VMware Solution anslutningar mellan regioner).
• Azure VMware Solution till lokala platser som är anslutna via ExpressRoute (beskrivs i avsnittet Hybridanslutning);
• Azure VMware Solution till Azure Virtual Network (beskrivs i avsnittet Azure Virtual Network-anslutning);
• Azure VMware Solution till Internet (beskrivs i avsnittet Internetanslutning).

Azure VMware Solution anslutningar mellan regioner

När det finns flera Azure VMware Solution privata moln är Layer 3-anslutning mellan dem ofta ett krav för uppgifter som att stödja datareplikering.

Azure VMware Solution har inbyggt stöd för direktanslutning mellan två privata moln som distribueras i olika Azure-regioner. Privata moln ansluter till Azure-nätverket i sin egen region via ExpressRoute-kretsar, hanteras av plattformen och avslutas på dedikerade ExpressRoute meet-me-platser. I den här artikeln kallas dessa kretsar för Azure VMware Solution hanterade kretsar. Azure VMware Solution hanterade kretsar bör inte förväxlas med de normala kretsar som kunder distribuerar för att ansluta sina lokala platser till Azure. De normala kretsar som kunder distribuerar är kundhanterade kretsar (se bild 2).

Direktanslutning mellan privata moln baseras på ExpressRoute Global Reach-anslutningar mellan Azure VMware Solution hanterade kretsar, enligt den gröna linjen i följande diagram. Mer information finns i Självstudie: Peera lokala miljöer för att Azure VMware Solution. Artikeln beskriver proceduren för att ansluta en Azure VMware Solution hanterad krets med en kundhanterad krets. Samma procedur gäller för att ansluta två Azure VMware Solution hanterade kretsar.

Diagram över bild 2, som visar Azure VMware Solution privata moln i olika regioner är direkt anslutna till varandra via en Global Reach-anslutning mellan de privata molnens hanterade ExpressRoute-kretsar. I varje Azure-region där Azure VMware Solution är tillgängligt finns nätverksinfrastruktur som avslutar Azure VMware Solution sidan av de Azure VMware Solution hanterade kretsarna. Det kallas för en dedikerad ExpressRoute-mötesplats i bilden.

Hybridanslutning

Det rekommenderade alternativet för att ansluta Azure VMware Solution privata moln till lokala platser är ExpressRoute Global Reach. Globala Reach-anslutningar kan upprättas mellan kundhanterade ExpressRoute-kretsar och Azure VMware Solution hanterade ExpressRoute-kretsar. Global Reach-anslutningar är inte transitiva, och därför krävs ett fullständigt nät (varje Azure VMware Solution hanterad krets som är ansluten till varje kundhanterad krets) för katastrofåterhämtning, som du ser i följande bild 3 (representeras av orange linjer).

Diagram över bild 3, som visar att Global Reach-anslutningar kan upprättas mellan kundhanterade ExpressRoute-kretsar och Azure VMware Solution hanterade ExpressRoute-kretsar.

Azure Virtual Network-anslutning

Azure Virtual Network kan anslutas till Azure VMware Solution privata moln via anslutningar mellan ExpressRoute-gatewayer och Azure VMware Solution hanterade kretsar. Den här anslutningen är exakt på samma sätt som Azure Virtual Network kan anslutas till lokala platser via kundhanterade ExpressRoute-kretsar. Konfigurationsinstruktioner finns i Ansluta till det privata molnet manuellt .

I scenarier med dubbla regioner rekommenderar vi ett fullständigt nät för ExpressRoute-anslutningarna mellan de två regionala hubben Virtual Network och privata moln, enligt bild 4 (representeras av gula linjer).

Diagram över bild 4, som visar att inbyggda Azure-resurser i varje region har direkt L3-anslutning till Azure VMware Solution privata moln som ett resultat av att ansluta varje virtuellt hubbnätverks ExpressRoute-gateway till varje Azure VMware Solution privata molnets hanterade ExpressRoute-krets. (Den globala peering-anslutningen för virtuella nätverk mellan de två virtuella hubbnätverken, som visas i föregående diagram, har utelämnats för tydlighetens skull.)

Internetanslutning

När du distribuerar Azure VMware Solution privata moln i flera regioner rekommenderar vi interna alternativ för Internetanslutning (SNAT (Managed Source Network Address Translation) eller offentliga IP-adresser ned till NSX-T). Båda alternativen kan konfigureras via Azure Portal (eller via PowerShell-, CLI- eller ARM/Bicep-mallar) vid distributionstillfället, enligt följande bild 5.

Båda alternativen som är markerade i bild 5 ger varje privat moln en direkt internetsession i sin egen region. Följande överväganden bör informera beslutet om vilket internetanslutningsalternativ som ska användas:

• Hanterad SNAT bör användas i scenarier med grundläggande och utgående krav (låga volymer av utgående anslutningar och inget behov av detaljerad kontroll över SNAT-poolen).
• Offentliga IP-adresser ned till NSX-T-gränsen bör föredras i scenarier med stora volymer av utgående anslutningar eller när du behöver detaljerad kontroll över NAT IP-adresser. Till exempel, som Azure VMware Solution virtuella datorer använder SNAT bakom vilka IP-adresser. Offentliga IP-adresser ned till NSX-T-gränsen stöder också inkommande anslutningar via DNAT. Inkommande Internetanslutning beskrivs inte i den här artikeln.

Det går att ändra konfigurationen för ett privat molns Internetanslutning efter den första distributionen. Men det privata molnet förlorar anslutningen till Internet, Azure Virtual Network och lokala platser medan konfigurationen uppdateras. När något av alternativen för internetanslutning i föregående bild 5 används behövs ingen extra konfiguration i scenarier med dubbla regioner (topologin förblir densamma som den som visas i bild 4). Mer information om Internetanslutning för Azure VMware Solution finns i Designöverväganden för Internetanslutning.

Azure-inbyggt internetuppbrytande

Om en säker Internet-edge skapades i Azure Virtual Network innan Azure VMware Solution införande, kan det vara nödvändigt att använda den för internetåtkomst för Azure VMware Solution privata moln. Det är nödvändigt att använda en säker Internet-edge på det här sättet för centraliserad hantering av nätverkssäkerhetsprinciper, kostnadsoptimering med mera. Internetsäkerhetskanter i Azure Virtual Network kan implementeras med hjälp av Azure Firewall eller virtuella nätverksinstallationer från tredje part som är tillgängliga på Azure Marketplace.

Internetbunden trafik som genereras av Azure VMware Solution virtuella datorer kan lockas till ett virtuellt Azure-nätverk genom att skapa en standardväg och meddela den via BGP (Border Gateway Protocol) till det privata molnets hanterade ExpressRoute-krets. Det här internetanslutningsalternativet kan konfigureras via Azure Portal (eller via PowerShell-, CLI- eller ARM/Bicep-mallar) vid distributionstillfället, enligt följande bild 6. Mer information finns i Inaktivera Internetåtkomst eller aktivera en standardväg.

Internet edge NVA:erna kan komma från standardvägen om de stöder BGP. Annars måste du distribuera andra BGP-kompatibla NVA:er. Mer information om hur du implementerar utgående Internet-anslutningar för Azure VMware Solution i en enda region finns i Implementera Internetanslutning för Azure VMware Solution med Azure NVA. I scenariot med dubbla regioner som beskrivs i den här artikeln måste samma konfiguration tillämpas på båda regionerna.

Det viktigaste övervägandet i scenarier med dubbla regioner är att standardvägen som kommer från varje region endast ska spridas över ExpressRoute till Azure VMware Solution privata molnet i samma region. Den här spridningen gör att Azure VMware Solution arbetsbelastningar kan komma åt Internet via en lokal grupp (i regionen). Men om du använder topologin som visas i bild 4 får varje Azure VMware Solution privat moln också en standardväg med samma kostnad från fjärrregionen över ExpressRoute-anslutningarna mellan regioner. De röda streckade linjerna representerar den här oönskade vägspridningen mellan regioner i bild 7.

Diagram över bild 7 som visar anslutningar mellan olika regioner mellan ExpressRoute-gatewayer och Azure VMware Solution hanterade ExpressRoute-kretsar måste tas bort för att undvika spridning mellan regioner av standardvägen.

Om du tar bort Azure VMware Solution ExpressRoute-anslutningar mellan regioner uppnår du målet att i varje privat moln mata in en standardväg för att vidarebefordra Internet-bundna anslutningar till Azure Internet Edge i den lokala regionen.

Det bör noteras att om ExpressRoute-anslutningar mellan regioner (röda streckade linjer i bild 7) tas bort, sker spridning mellan regioner av standardvägen fortfarande över Global Räckvidd. Vägar som sprids via Global Reach har dock en längre AS-sökväg än de som har sitt ursprung lokalt och ignoreras av BGP-vägens urvalsprocess.

Spridningen mellan regioner över Global Räckvidd för en mindre prioriterad standardväg ger återhämtning mot fel på den lokala Internet-gränsen. Om en regions Internet-kant kopplas från slutar den att komma från standardvägen. I så fall installeras den mindre föredragna standardvägen från fjärrregionen i det Azure VMware Solution privata molnet, så att internetbunden trafik dirigeras via fjärrregionens gruppsession.

Den rekommenderade topologin för distributioner med dubbla regioner med internetbrytningar i virtuella Azure-nätverk visas i följande bild 8.

Diagram över bild 8, som visar den rekommenderade topologin för distributioner med dubbla regioner Azure VMware Solution med utgående internetåtkomst via Internet-kanter i Azure Virtual Network. Anslutningar mellan flera regioner mellan ExpressRoute-gatewayer och Azure VMware Solution hanterade kretsar får inte upprättas för att förhindra oönskad spridning mellan regioner av standardvägen.

När du kommer från standardvägar i Azure måste särskild försiktighet iakttas för att undvika spridning till lokala platser, såvida det inte finns ett krav på att tillhandahålla Internetåtkomst till lokala platser via en Internet-edge i Azure. De kundhanterade enheter som avslutar de kundhanterade ExpressRoute-kretsarna måste konfigureras för att filtrera standardvägar som tas emot från Azure, enligt bild 9. Den här konfigurationen är nödvändig för att undvika att störa Internetåtkomsten för de lokala platserna.

Nästa steg

• Mer information om Azure VMware Solution nätverksfunktioner finns i Azure VMware Solution nätverks- och sammankopplingskoncept.

• Mer information om Internetanslutning för Azure VMware Solution finns i Designöverväganden för Internetanslutning.

  Exempelarkitekturer för Azure VMware Solutions