Dela via


Designfas 3: Inkommande Internetanslutning

De val du gör under den här designfasen bestäms av kraven för de program som körs på Azure VMware Solution som måste kunna nås via offentliga IP-adresser. Nästan alltid publiceras internetuppkopplade program via nätverksenheter som ger säkerhet (nästa generations brandväggar, brandväggar för webbprogram) och belastningsutjämning (Layer 3- eller Layer 4-lastbalanserare, programleveranskontrollanter). Du kan distribuera dessa enheter i själva det privata molnet eller i ett virtuellt Azure-nätverk som är anslutet till det privata molnet. Ditt val baseras på följande överväganden:

  • För kostnadsoptimering och konsekvens kan du använda befintliga NVA:er som distribueras i virtuella Azure-nätverk (till exempel brandväggar och kontrollanter för programleverans) för att publicera program som körs i dina privata moln.
  • Azure PaaS-tjänster som kan användas för publicering av internetriktade program, till exempel Azure Firewall (både när de distribueras i ett kundhanterat virtuellt nätverk och när de distribueras i en Azure Virtual WAN-hubb) och Azure Application Gateway, kan bidra till att minska hanteringskostnaderna.
  • Du kan distribuera brandväggar och programleveranskontrollanter som virtuella installationer i Azure VMware Solution, om det stöds av leverantören.

Följande flödesschema sammanfattar hur du närmar dig den här fasen:

Flowchart that shows the design-decision making process for inbound internet connectivity.

NVA:er som finns i ett virtuellt Azure-nätverk

Publicering av Azure VMware Solution-program via Azure-tjänster (Azure Firewall, Application Gateway) eller nva:er från tredje part som finns i ett virtuellt nätverk kräver endast Layer 3-anslutning mellan det virtuella nätverket och det privata azure VMware Solution-molnet. Mer information finns i Designfas 2: Anslut ivitet med virtuella Azure-nätverk.

Följande avsnitt innehåller vägledning för varje alternativ.

Överväganden för Azure Firewall

Azure Firewall är det bästa alternativet för att exponera generiska TCP- eller UDP-slutpunkter via en Microsoft Layer 3- eller layer 4-enhet. Om du vill publicera ett Azure VMware Solution-program via Azure Firewall måste du konfigurera en DNAT-regel (Destination Network Address Translation) som mappar en av brandväggens offentliga IP-adresser till Azure VMware Solution-programslutpunktens privata IP-adress. Azure Firewall använder automatiskt SNAT (Source Network Address Translation) för att översätta IP-adresser som är inkommande från Internet till sin egen privata IP-adress. Därför tar virtuella Datorer i Azure VMware Solution emot trafik vars käll-IP-adress är brandväggens IP-adress. Mer information finns i Filtrera inkommande Internettrafik med Azure Firewall DNAT med hjälp av Azure-portalen.

Överväganden för Azure Application Gateway

Application Gateway är det föredragna alternativet för att exponera HTTP(S)-program som körs på Azure VMware Solution. Den här omvända Microsoft HTTP-proxyn tillhandahåller:

  • Routning av HTTP-begäranden.
  • WaF-funktioner (Web Application Firewall).

När du använder Application Gateway tar programservrar som körs i det privata Azure VMware Solution-molnet emot trafik vars käll-IP-adress är programgatewayens IP-adress. Klientens IP-adress kan överföras i HTTP-begäranden (vanligtvis som ett anpassat x-vidarebefordrat-för-huvud) om programlogik kräver åtkomst till den informationen. Mer information finns i den här artikeln om hur du publicerar ett Azure VMware Solution-program via Application Gateway.

Kommentar

Application Gateway är för närvarande den enda Microsoft-lastbalanserare som du kan använda för att exponera webbappar som körs på virtuella Azure VMware Solution-datorer. Det beror på att du kan peka direkt på de privata IP-adresserna för virtuella datorer som körs på Azure VMware Solution när du konfigurerar serverdelspoolerna för de virtuella datorerna.

Överväganden för nva från tredje part

Nva:er från tredje part kan tillhandahålla layer 3- eller Layer 4-brandväggsfunktioner eller layer 7-funktioner för omvänd proxy/WAF. Följ vägledningen från NVA-leverantören för att distribuera enheten i virtuella Azure-nätverk. Detaljerad vägledning om hur du skapar kluster med hög tillgänglighet av NVA:er i Azure ligger utanför den här guidens omfång. Följande övergripande överväganden är tillräckligt allmänna för att gälla för alla NVA-tekniker:

  • Hög tillgänglighet (HA) är ditt ansvar. NVA-kluster bör innehålla två eller flera aktiva NVA-instanser (N-active HA-modellen). Du bör undvika aktiv-passiv ha eftersom det förhindrar horisontell skalbarhet.
  • Du bör distribuera alla inkommande Internetanslutningar till alla instanser som körs med hjälp av en Standard SKU Azure Load Balancer.
  • Layer 3 och Layer 4 NVA måste konfigureras för att använda DNAT för att översätta inkommande internetanslutningar till den privata IP-adressen för Azure VMware Solution-programmet som du vill publicera.
  • För att bevara flödessymmetrin måste du konfigurera NVA:er för Layer 3 och Layer 4 för att använda SNAT för att översätta inkommande internetanslutningar till deras utgående gränssnitts privata IP-adress.
  • Layer 7 NVA fungerar som omvända proxyservrar och upprätthåller två distinkta TCP-sessioner för varje inkommande klientanslutning: en mellan klienten och NVA och en mellan NVA och den överordnade programservern. Den senare sessionen kommer från NVA-utgående gränssnitts privata IP-adress. MED HTTP(S)-program kan Layer 7 NVA skicka klientens offentliga IP-adress till programservrarna i HTTP-begärandehuvuden.

NVA:er som finns i Azure VMware Solution (offentlig IP på NSX-T Data Center Edge)

Om du vill publicera Azure VMware Solution-program via nva från tredje part som distribueras i Azure VMware Solution måste du aktivera offentlig IP på NSX-T Data Center Edge för det privata molnet. Den här funktionen associerar offentliga IP-adresser i Azure från ett offentligt IP-prefix i Azure med det privata molnet och konfigurerar Microsofts stamnät för att dirigera internettrafik som är avsedd för dessa IP-adresser till det privata molnets NSX-T T0- eller T1-gatewayer. T1-gatewayer kan sedan konfigureras för att använda DNAT för att översätta inkommande anslutningar till privata IP-adresser för NVA:er som är kopplade till NSX-T-segment. Vägledning om hur du konfigurerar offentlig IP på NSX-T Data Center Edge och konfigurerar DNAT-regler för inkommande internetanslutning finns i Aktivera offentlig IP på NSX-T Data Center Edge. När du använder Azure VMware Solution med offentlig IP på NSX-T Data Center Edge gäller följande överväganden:

  • Utför NAT på T1-gatewayer, inte på T0-gatewayer. I privata moln i Azure VMware Solution är T0-gatewayer aktiva enhetspar, så de kan inte hantera tillståndskänsliga NAT-sessioner.
  • Du måste associera offentliga IP-adresser med ett offentligt IP-prefix i Azure. Användning av IP-adresser från anpassade IP-adressprefix (BYOIP) stöds inte för närvarande.
  • När ett privat Azure VMware Solution-moln konfigureras med offentlig IP på NSX-T Data Center Edge installeras en standardväg i T0/T1-gatewayer. Den dirigerar utgående Internetanslutningar via Microsoft-stamnätets gräns. Därför avgör användningen av offentlig IP på NSX-T Data Center Edge för inkommande internetanslutning även implementeringsalternativet för utgående anslutning, som beskrivs i nästa artikel i den här guiden.

Nästa steg

Lär dig mer om utgående Internetanslutning.