Dela via

Designfas 4: Utgående Internetanslutning

  • Artikel

De val du gör under den här designfasen bestäms av kraven på utgående internetanslutning för de program som distribueras i Azure VMware Solution. Grundläggande internetåtkomst kan vara tillräckligt för att aktivera virtuella datorer som finns i det privata molnet för att ladda ned programuppdateringar. B2B-samarbetsscenarier där åtkomst till ett API från tredje part endast tillåts från auktoriserade IP-adresser kan kräva detaljerad kontroll över NAT-poolen. I VDI-scenarier (Virtual Desktop Infrastructure) kan mängden internetbläddringssessioner som behöver stödjas kräva kontroll över NAT-poolens storlek.

Nästan alltid behöver du förbättra säkerheten för utgående Internetåtkomst genom att dirigera anslutningar via en brandvägg eller proxyenhet. Azure VMware Solution stöder distribution av sådana enheter i själva det privata molnet eller i ett virtuellt Azure-nätverk som är anslutet till det privata molnet. Att välja mellan dessa två alternativ är huvudmålet för den här designfasen. Ditt val bestäms av följande överväganden:

  • För kostnadsoptimering och konsekvens kan du använda befintliga NVA:er för förbättrad säkerhet för Internetåtkomst (till exempel brandväggar och proxyservrar) som distribueras i virtuella Azure-nätverk.
  • PaaS-lösningar (Plattform som en tjänst) i Azure kan minska hanteringskostnaderna. Du kan använda Azure Firewall för förbättrad internetåtkomst, särskilt om du aktiverar Premium SKU-funktioner.
  • Du kan distribuera brandväggar och/eller proxyenheter från tredje part som virtuella installationer i Azure VMware Solution. Se leverantörens dokumentation för installationsinstruktioner och rekommenderade topologier.

De val du gör under den här designfasen beror på vilka val du gör under fas 3. Om du väljer Offentlig IP på NSX-T Data Center Edge som alternativ för inkommande internetanslutning måste du också använda den för utgående anslutning. Alla utgående anslutningar som initieras av virtuella datorer i Azure VMware Solution hanteras på NSX-T-gränsen. Anslut ions översätts via SNAT (Source Network Address Translation) till adresser i Azures offentliga IP-prefix som är associerat med det privata molnets NSX-T-gräns.

Följande flödesschema sammanfattar hur du närmar dig den här designfasen:

Flowchart that shows the decision-making process for outbound internet connectivity.

Standardvägar och utgående Internetanslutning i Azure VMware Solution

Routning för utgående Internetanslutningar som initieras av virtuella datorer i ett privat Azure VMware Solution-moln bestäms av de konfigurerade standardvägarna. Olika standardvägar används för hanterings- och arbetsbelastningssegment:

  • Det privata molnets hanteringsnätverk (som är värd för vCenter Server- och NSX-T-hantering) använder alltid en standardväg som ger direkt internetåtkomst via ett plattformshanterat internet. Den här standardvägen kan inte åsidosättas. Du har ingen kontroll över SNAT-poolen för anslutningar som initieras från hanteringsnätverket.
  • Alla arbetsbelastningssegment har samma standardkonfiguration för routning. Routningskonfigurationen kan vara något av följande:
    • Internetåtkomst via en plattformshanterad breakout, med SNAT som tillhandahålls av plattformen. Användarna har ingen kontroll över de offentliga IP-adresserna i SNAT-poolen. Mer information finns i Hanterad SNAT för Azure VMware Solution.
    • Internetåtkomst via en plattformshanterad breakout med SNAT konfigurerat av användaren i NSX-T. Användarna ansvarar för:
    • En standardväg som meddelas via det privata molnets Azure ExpressRoute-krets. Den här standardvägen kan komma från en BGP-kompatibel enhet i ett virtuellt Azure-nätverk eller på en lokal plats. SNAT är användarens ansvar och måste utföras av nätverksenheter i virtuella Azure-nätverk eller lokalt. Mer information finns i Internettjänsten som finns i Azure.

Du kan konfigurera utgående Internetanslutning för arbetsbelastningssegment med hjälp av Azure-portalen. Välj något av de alternativ som beskrivs i nästa avsnitt. Mer information finns i Designöverväganden för Internetanslutning.

Använda Azure VMware Solution managed SNAT

Hanterad SNAT är det enklaste sättet att implementera utgående internetåtkomst i Azure VMware Solution. När du aktiverar det här alternativet i ett privat moln installeras en standardväg på T0/T1-gatewayer. Vägen vidarebefordrar internetbunden trafik till en plattformshanterad kant. Plattformen managed-edge utför SNAT. Du har ingen kontroll över NAT-poolen. Du kan använda hanterad SNAT för att ge direkt internetåtkomst till virtuella Azure VMware Solution-datorer. Du kan också definiera NSX-T-topologier där internetbundna anslutningar som initieras av virtuella datorer dirigeras till internet edge-enheter med förbättrad säkerhet (brandväggar eller vidarebefordrade proxyservrar) som distribueras som virtuella enheter i själva det privata molnet. Följande är några vanliga orsaker till att besluta att inte använda det här alternativet för utgående anslutning:

  • Du behöver detaljerad kontroll över NAT-poolen. Om du till exempel behöver använda SNAT för att översätta anslutningar som initierats av specifika virtuella datorer via offentliga IP-adresser för att peka mot specifika offentliga slutpunkter. I det här fallet bör du överväga att använda offentlig IP-adress på NSX-T Data Center Edge.
  • Du valde Offentlig IP på NSX-T Data Center Edge för inkommande internetanslutning under designfas 3. I det här fallet måste du också använda offentlig IP-adress på NSX-T Data Center Edge för utgående Internetanslutning. Mer information finns i nästa avsnitt.
  • Du vill dirigera utgående Internetanslutningar via en förbättrad säkerhetsinternet som finns i ett virtuellt Azure-nätverk (eller på en lokal plats). I det här fallet måste en standardväg komma från Internet edge i Azure och annonseras till det privata molnet. Mer information finns i avsnittet Originate a default route from Azure (Påbörja en standardväg från Azure ) i den här artikeln.

Distribuera offentlig IP-adress på NSX-T Data Center Edge

När du använder offentlig IP på NSX-T Data Center Edge finns det en standardväg som vidarebefordrar trafik från T1/T0-gatewayer mot Azure-nätverkets Internet edge i det privata molnet. Utgående internetanslutningar på T1-gatewayer måste översättas via SNAT för att använda en av de offentliga IP-adresser som är associerade med det privata molnet. Information om hur du konfigurerar NAT-regler på T1-gatewayer finns i Utgående internetåtkomst för virtuella datorer. Du kan använda det här alternativet för att ge direkt internetåtkomst till virtuella Azure VMware Solution-datorer. Du kan också definiera NSX-T-topologier som dirigerar internetbundna anslutningar som initieras av virtuella Azure VMware Solution-datorer till förbättrade internet edge-enheter (brandväggar eller vidarebefordra proxyservrar) som distribueras som virtuella enheter i det privata molnet.

Påbörja en standardväg från Azure (kundhanterat virtuellt nätverk eller Azure Virtual WAN)

Du kan dirigera internetbunden trafik som initieras av virtuella Azure VMware Solution-datorer till en Azure-intern NVA genom att tillkännage en standardväg över det privata molnets hanterade ExpressRoute-krets. Det privata molnets T0-gatewayer använder standardvägen som tas emot från Azure och skickar internetbunden trafik till nästa hopp som anges av den mottagna standardvägen. Om internet-edge NVA:erna i Azure stöder BGP kan du använda dem som BGP-högtalare för att komma från standardvägen. Om NVA:erna inte stöder BGP (eller inte kan användas som BGP-talare på grund av säkerhetsbegränsningar) kan du distribuera andra NVA:er för att fungera som BGP-talare. Ett typiskt scenario som kräver extra BGP-kompatibla NVA:er är när du använder Azure Firewall på Azure Internet Edge. (Azure Firewall stöder inte BGP.) Den resulterande nätverkstopologin visas här:

Diagram that shows a default route origination from Azure virtual networks.

Nästa steg

Lär dig mer om styrning för Azure VMware Solution.

Styrning för Azure VMware-lösning