Azure VMware Çözümü için örnek mimariler
Azure VMware Çözümü giriş bölgesi oluşturmak için önce ağ özelliklerini tasarlamanız ve uygulamanız gerekir. Azure ağ ürünleri ve hizmetleri çok çeşitli ağ senaryolarını destekler. Kuruluşunuzun iş yüklerini, idaresini ve gereksinimlerini değerlendirerek ihtiyaçlarınıza uygun bir mimari seçin ve hizmetleri yapılandırmayı planlayın.
Azure VMware Çözümü dağıtım kararınızı vermeden önce aşağıdaki önemli noktaları ve önemli gereksinimleri gözden geçirin.
- Azure VMware Çözümü uygulamalarına HTTP/S veya HTTP/S olmayan internet giriş gereksinimleri
- İnternet çıkış yolu ile ilgili dikkat edilmesi gerekenler
- Geçişler için L2 uzantısı
- Geçerli mimaride NVA kullanımı
- Standart hub sanal ağına veya Sanal WAN hub'ına bağlantıyı Azure VMware Çözümü
- Şirket içi veri merkezlerinden Azure VMware Çözümü özel ExpressRoute bağlantısı (ve ExpressRoute Global Reach'i etkinleştirmeniz gerekiyorsa)
- Trafik denetimi gereksinimleri:
- Azure VMware Çözümü uygulamalara İnternet girişi
- İnternet'e çıkış erişimini Azure VMware Çözümü
- Şirket içi veri merkezlerine erişimi Azure VMware Çözümü
- Azure Sanal Ağ erişimi Azure VMware Çözümü
- Azure VMware Çözümü özel bulut içindeki trafik
Aşağıdaki tabloda, en yaygın ağ senaryoları için öneriler ve dikkat edilmesi gerekenler sağlamak üzere VMware çözümü trafik denetimi gereksinimleri gerçekleştirilir.
| Senaryo | Trafik denetimi gereksinimleri | Önerilen çözüm tasarımı | Dikkat edilmesi gereken noktalar |
|---|---|---|---|
| 1 | - İnternet girişi - İnternet çıkışı |
Varsayılan ağ geçidi yayma özelliğine sahip Sanal WAN güvenli bir hub kullanın. HTTP/S trafiği için Azure Uygulaması lication Gateway kullanın. HTTP/S olmayan trafik için Azure Güvenlik Duvarı kullanın. Güvenli bir Sanal WAN hub'ı dağıtın ve Azure VMware Çözümü genel IP'yi etkinleştirin. |
Bu çözüm, şirket içi filtreleme için çalışmaz. Global Reach Sanal WAN hub'ları atlar. |
| 2 | - İnternet girişi - İnternet çıkışı - Şirket içi veri merkezine - Azure Sanal Ağ |
Azure Route Server ile hub sanal ağınızda üçüncü taraf güvenlik duvarı NVA çözümlerini kullanın. Global Reach'i devre dışı bırakın. HTTP/S trafiği için Azure Uygulaması lication Gateway kullanın. HTTP/S olmayan trafik için Azure'da üçüncü taraf güvenlik duvarı NVA'sını kullanın. |
Mevcut NVA'nızı kullanmak ve merkez sanal ağınızdaki tüm trafik denetimlerini merkezi hale getirmek istiyorsanız bu seçeneği belirleyin. |
| 3 | - İnternet girişi - İnternet çıkışı - Şirket içi veri merkezine - Azure Sanal Ağ Azure VMware Çözümü içinde |
Azure VMware Çözümü NSX-T Veri Merkezi'ni veya üçüncü taraf NVA güvenlik duvarını kullanın. HTTP'ler için Application Gateway'i veya HTTP olmayan trafik için Azure Güvenlik Duvarı kullanın. Güvenli Sanal WAN hub'ını dağıtın ve Azure VMware Çözümü genel IP'yi etkinleştirin. |
İki veya daha fazla Azure VMware Çözümü özel buluttan gelen trafiği incelemeniz gerekiyorsa bu seçeneği belirleyin. Bu seçenek NSX-T yerel özelliklerini kullanmanıza olanak tanır. Bu seçeneği L1 ile L0 arasında Azure VMware Çözümü üzerinde çalışan NVA'larla da birleştirebilirsiniz. |
| 4 | - İnternet girişi - İnternet çıkışı - Şirket içi veri merkezine - Azure Sanal Ağ |
Azure Route Server ile merkez sanal ağında üçüncü taraf güvenlik duvarı çözümlerini kullanın. HTTP ve HTTPS trafiği için Azure Uygulaması lication Gateway kullanın. HTTP/HTTPS olmayan trafik için Azure'da üçüncü taraf güvenlik duvarı NVA'sını kullanın. Şirket içi üçüncü taraf güvenlik duvarı NVA'sı kullanın. Azure Route Server ile bir merkez sanal ağına üçüncü taraf güvenlik duvarı çözümleri dağıtın. |
Azure hub sanal ağınızdaki bir NVA'dan bir Azure VMware Çözümü yol tanıtmak 0.0.0.0/0 için bu seçeneği belirleyin. |
Ağ senaryolarıyla ilgili önemli noktalar:
- Tüm senaryolar Application Gateway ve Azure Güvenlik Duvarı aracılığıyla benzer giriş desenlerine sahiptir.
- Azure VMware Çözümü L4-L7 yük dengeleyici NVA'larını kullanabilirsiniz.
- Bu senaryolardan herhangi biri için NSX-T Veri Merkezi Güvenlik Duvarı'nı kullanabilirsiniz.
Aşağıdaki bölümlerde Azure VMware Çözümü özel bulutlar için mimari desenler özetlenmiştir. Bu liste kapsamlı değildir. Daha fazla bilgi için bkz. Azure VMware Çözümü ağ ve bağlantı kavramları.
Varsayılan yol yayma ile güvenli Sanal WAN hub'ı
Bu senaryo aşağıdaki müşteri profilini, mimari bileşenleri ve dikkat edilmesi gerekenleri içerir.
Müşteri profili
Aşağıdaki durumlarda bu senaryo idealdir:
- Azure VMware Çözümü ile Azure Sanal Ağ arasında trafik denetimine ihtiyacınız yoktur.
- Azure VMware Çözümü ve şirket içi veri merkezleri arasında trafik denetimine ihtiyacınız yoktur.
- Azure VMware Çözümü iş yükleri ile İnternet arasında trafik denetimi yapmanız gerekir.
Bu senaryo için hizmet olarak platform (PaaS) teklifi gibi Azure VMware Çözümü kullanın. Bu senaryoda, genel IP adreslerine sahip değilsiniz. Gerekirse genel kullanıma yönelik L4 ve L7 gelen hizmetleri ekleyin. Şirket içi veri merkezleriyle Azure arasında ExpressRoute bağlantınız olabilir veya olmayabilir.
Üst düzey genel bakış
Aşağıdaki diyagramda senaryoya üst düzey bir genel bakış sağlanır.
Mimari bileşenler
Şu senaryoyla uygulayın:
- Güvenlik duvarları için güvenli bir Sanal WAN hub'ında Azure Güvenlik Duvarı
- L7 yük dengelemesi için Application Gateway
- Ağ giriş trafiğini çevirmek ve filtrelemek için Azure Güvenlik Duvarı ile L4 hedef ağ adresi çevirisi (DNAT)
- Sanal WAN hub'ınızdaki Azure Güvenlik Duvarı üzerinden giden internet
- Şirket içi veri merkezleri ile Azure VMware Çözümü arasında bağlantı için EXR, VPN veya SD-WAN
Dikkat edilmesi gereken noktalar
Var olan ortamınızla çakışıp Azure VMware Çözümü varsayılan yol 0.0.0.0/0 tanıtımını almak istemiyorsanız, bazı ek işler yapmanız gerekir.
Güvenli bir Sanal WAN hub'ında Azure Güvenlik Duvarı, yolu Azure VMware Çözümü olarak tanıtıyor0.0.0.0/0. Bu yol, Global Reach aracılığıyla şirket içinde de tanıtılır. Yol öğrenmesini önlemek 0.0.0.0/0 için şirket içi yol filtresi uygulayın. SD-WAN veya VPN kullanarak bu sorundan kaçının.
Şu anda doğrudan bağlanmak yerine ExpressRoute ağ geçidi üzerinden sanal ağ tabanlı merkez-uç topolojisine bağlanıyorsanız, Sanal WAN hub'ından gelen varsayılan 0.0.0.0/0 yol bu ağ geçidine yayılır ve sanal ağınızda yerleşik olarak bulunan İnternet sistem yolu üzerinde önceliklidir. Öğrenilen varsayılan yolu geçersiz kılmak için sanal ağınızda kullanıcı tanımlı bir 0.0.0.0/0 yol uygulayarak bu sorundan kaçının.
Reklam gerektirmeyen 0.0.0.0/0 güvenli bir Sanal WAN hub'ına kurulan VPN, ExpressRoute veya sanal ağ bağlantıları yine de reklamı alır. Bunu önlemek için şunları yapabilirsiniz:
0.0.0.0/0Şirket içi uç cihazıyla yolu filtreleyin.- Belirli bağlantılarda yayma özelliğini devre dışı bırakın
0.0.0.0/0.- ExpressRoute, VPN veya sanal ağın bağlantısını kesin.
- Yayma özelliğini etkinleştirin
0.0.0.0/0. - Bu belirli bağlantılarda yayma özelliğini devre dışı bırakın
0.0.0.0/0. - Bu bağlantıları yeniden bağlayın.
Application Gateway'i hub'ınıza bağlı uç sanal ağında veya merkez sanal ağında barındırabilirsiniz.
Tüm ağ trafiğini incelemek için Azure Sanal Ağ'da Ağ Sanal Gereci
Bu senaryo aşağıdaki müşteri profilini, mimari bileşenleri ve dikkat edilmesi gerekenleri içerir.
Müşteri profili
Aşağıdaki durumlarda bu senaryo idealdir:
- Tüm trafiği incelemek için merkez sanal ağında üçüncü taraf güvenlik duvarı NVA'larınızı kullanmanız gerekir ve Global Reach'i jeopolitik veya başka nedenlerle kullanamazsınız.
- Şirket içi veri merkezleriyle Azure VMware Çözümü arasındasınız.
- Azure Sanal Ağ ile Azure VMware Çözümü arasındasınız.
- Azure VMware Çözümü'dan internet girişi yapmanız gerekir.
- Azure VMware Çözümü için internet çıkışı gerekir.
- Azure VMware Çözümü özel bulut dışındaki güvenlik duvarları üzerinde ayrıntılı denetime ihtiyacınız vardır.
- Gelen hizmetler için birden çok genel IP adresine ve Azure'da önceden tanımlanmış IP adresleri bloğuna ihtiyacınız vardır. Bu senaryoda, genel IP adreslerine sahip değilsiniz.
Bu senaryoda şirket içi veri merkezleriyle Azure arasında ExpressRoute bağlantınız olduğu varsayılır.
Üst düzey genel bakış
Aşağıdaki diyagramda senaryoya üst düzey bir genel bakış sağlanır.
Mimari bileşenler
Şu senaryoyla uygulayın:
- Trafik denetimi ve diğer ağ işlevleri için sanal ağda barındırılan üçüncü taraf güvenlik duvarı NVA'ları.
- Azure VMware Çözümü, şirket içi veri merkezleri ve sanal ağlar arasındaki trafiği yönlendirmek için Azure Route Server.
- L7 HTTP/S yük dengelemesi sağlamak için Application Gateway.
Bu senaryoda ExpressRoute Global Reach'i devre dışı bırakmanız gerekir. Üçüncü taraf NVA'lar Azure VMware Çözümü giden İnternet sağlamaktan sorumludur.
Dikkat edilmesi gereken noktalar
- Doğrudan Microsoft Enterprise Edge (MSEE) ExpressRoute yönlendiricileri arasında trafik akışının Azure VMware Çözümü olanak sağladığından, merkez sanal ağını atlayarak ExpressRoute Global Reach'i bu senaryo için asla yapılandırmayın.
- Azure Route Server, hub sanal ağınızda dağıtılmalı ve bgp ile aktarım sanal ağındaki NVA'larla eşlenmelidir. Azure Route Server'ı daldan dala bağlantıya izin verecek şekilde yapılandırın.
- Özel rota tabloları ve kullanıcı tanımlı yollar, trafiği Azure VMware Çözümü üçüncü taraf güvenlik duvarı NVA'larının yük dengeleyicisine yönlendirmek için kullanılır. Tüm HA modları (etkin/etkin ve etkin/bekleme) desteklenir ve yönlendirme simetrisi garanti edilir.
- NVA'lar için yüksek kullanılabilirliğe ihtiyacınız varsa NVA satıcınızın belgelerine başvurun ve yüksek oranda kullanılabilir NVA'lar dağıtın.
NSX-T veya NVA ile veya NVA olmadan Azure VMware Çözümü çıkış
Bu senaryo aşağıdaki müşteri profilini, mimari bileşenleri ve dikkat edilmesi gerekenleri içerir.
Müşteri profili
Aşağıdaki durumlarda bu senaryo idealdir:
- Yerel NSX-T Veri Merkezi platformunu kullanmanız gerekir, bu nedenle Azure VMware Çözümü için bir PaaS dağıtımına ihtiyacınız vardır.
- Trafik denetimi için Azure VMware Çözümü içinde kendi lisansını getir (KLG) NVA'sı gerekir.
- Şirket içi veri merkezleriyle Azure arasında ExpressRoute bağlantınız olabilir veya olmayabilir.
- Gelen HTTP/S veya L4 hizmetlerine ihtiyacınız vardır.
Azure VMware Çözümü'dan Azure Sanal Ağ'e, Azure VMware Çözümü İnternet'e ve Azure VMware Çözümü'dan şirket içi veri merkezlerine kadar tüm trafik NSX-T Veri Merkezi Katman 0/Katman-1 ağ geçitleri veya NVA'lar aracılığıyla hunilenir.
Üst düzey genel bakış
Aşağıdaki diyagramda senaryoya üst düzey bir genel bakış sağlanır.
Mimari bileşenler
Şu senaryoyla uygulayın:
- NSX dağıtılmış güvenlik duvarı (DFW) veya Azure VMware Çözümü katman 1'in arkasında bir NVA.
- L7 yük dengelemesi sağlamak için Application Gateway.
- Azure Güvenlik Duvarı kullanan L4 DNAT.
- Azure VMware Çözümü'dan internet tartışması.
Dikkat edilmesi gereken noktalar
Azure portalında İnternet erişimini etkinleştirin. Bu tasarımda, giden IP adresi değişebilir ve belirlenimci değildir. Genel IP adresleri NVA dışında bulunur. Azure VMware Çözümü'daki NVA hala özel IP adreslerine sahiptir ve giden genel IP adresini belirlemez.
NVA, KLG'dir. Bir lisans getirmek ve NVA için yüksek kullanılabilirlik uygulamak sizin sorumluluğunuzdadır.
NVA yerleştirme seçenekleri için VMware belgelerine bakın ve bir VM'de en fazla sekiz sanal ağ arabirimi kartının (NIC) VMware sınırlaması hakkında bilgi için. Daha fazla bilgi için bkz. Azure VMware Çözümü'de güvenlik duvarı tümleştirmesi.
Azure Route Server ile merkez sanal ağında üçüncü taraf güvenlik duvarı çözümleri
Bu senaryoda aşağıdaki müşteri profili, mimari bileşenler ve dikkat edilmesi gerekenler vardır:
Müşteri profili
Aşağıdaki durumlarda bu senaryo idealdir:
- Azure VNet hub'ında üçüncü taraf NVA'nızı kullanarak İnternet çıkışını Azure VMware Çözümü ve Azure VMware Çözümü ile Azure Sanal Ağ arasındaki trafiği incelemek istiyorsunuz.
- Şirket içi üçüncü taraf NVA'nızı kullanarak şirket içi veri merkezleriyle Azure arasındaki trafiği incelemek istiyorsunuz.
- Gelen hizmetler için birden çok genel IP adresine ve Azure'da önceden tanımlanmış IP adresleri bloğuna ihtiyacınız vardır. Bu senaryoda genel IP'lere sahip değilsiniz.
- Azure VMware Çözümü özel bulut dışındaki güvenlik duvarları üzerinde ayrıntılı denetime ihtiyacınız vardır.
Üst düzey genel bakış
Aşağıdaki diyagramda senaryoya üst düzey bir genel bakış sağlanır.
Mimari bileşenler
Şu senaryoyla uygulayın:
- Güvenlik duvarları ve diğer ağ işlevleri için bir sanal ağda barındırılan üçüncü taraf NVA'lar etkin-etkin veya etkin-bekleme.
- Azure VMware Çözümü, şirket içi veri merkezleri ve sanal ağlar arasında yol alışverişi yapmak için Azure Route Server.
- Azure VMware Çözümü giden İnternet sağlamak için Azure Sanal Ağ hub'ınızdaki üçüncü taraf NVA'larınız.
- Şirket içi veri merkezleri ile Azure VMware Çözümü arasında bağlantı için ExpressRoute.
Dikkat edilmesi gereken noktalar
- Bu tasarımda, giden genel IP adresleri Azure VNet'teki NVA'larla birlikte bulunur.
- Sanal ağ hub'ında BGP'deki üçüncü taraf NVA'lar Azure Route Server (ECMP) ile eşlenir ve varsayılan yolu
0.0.0.0/0Azure VMware Çözümü olarak tanıtılır. - Varsayılan yol
0.0.0.0/0, Global Reach aracılığıyla şirket içinde de tanıtılır. Varsayılan yol öğrenmesini önlemek için şirket içinde bir yol0.0.0.0/0filtresi uygulayın. - Azure VMware Çözümü ile şirket içi ağınız arasındaki trafik, Şirket içi ortamları Azure VMware Çözümü eşleme bölümünde açıklandığı gibi ExpressRoute Global Reach üzerinden akar. Şirket içi ile Azure VMware Çözümü arasındaki trafik denetimi, Azure Sanal Ağ hub'ında üçüncü taraf NVA'larınız tarafından değil, şirket içi üçüncü taraf NVA'nız tarafından gerçekleştirilir.
- Application Gateway'i bir hub'a bağlı uç sanal ağında veya merkez sanal ağında barındırabilirsiniz.
Sonraki adımlar
Merkez-uç ağlarındaki Azure VMware Çözümü hakkında daha fazla bilgi için bkz. Merkez-uç mimarisinde Azure VMware Çözümü tümleştirme.
VMware NSX-T Veri Merkezi ağ kesimleri hakkında daha fazla bilgi için bkz. Azure VMware Çözümü kullanarak NSX-T Veri Merkezi ağ bileşenlerini yapılandırma.
kurumsal ölçekli giriş bölgesi mimari ilkelerini, çeşitli tasarım konularını ve Azure VMware Çözümü için en iyi yöntemleri Bulut Benimseme Çerçevesi öğrenmek için bu serinin sonraki makalesine bakın: