通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure VMware 解决方案的示例体系结构

  • 项目

若要建立 Azure VMware 解决方案登陆区域,首先需要设计和实现网络功能。 Azure 网络产品和服务支持多种网络方案。 通过评估组织的工作负载、治理和要求,选择适当的体系结构和计划来根据需求构建服务。

在做出 Azure VMware 解决方案部署决策之前,请查看以下注意事项和关键要求。

  • 进入 Azure VMware 解决方案应用程序的 HTTP/S 或非 HTTP/S Internet 流入量要求
  • Internet 出口路径注意事项
  • 用于迁移的 L2 扩展
  • 当前体系结构中的 NVA 使用
  • 与标准中心虚拟网络或虚拟 WAN 中心的 Azure VMware 解决方案连接
  • 从本地数据中心到 Azure VMware 解决方案的专用 ExpressRoute 连接(以及是否应启用 ExpressRoute Global Reach)
  • 流量检查要求:
    • 进入 Azure VMware 解决方案应用程序的 Internet 流入量
    • 到 Internet 的 Azure VMware 解决方案出口访问
    • 对本地数据中心的 Azure VMware 解决方案访问
    • 对 Azure 虚拟网络的 Azure VMware 解决方案访问
    • Azure VMware 解决方案私有云中的流量

下表使用 VMware 解决方案流量检查要求来提供有关最常见网络方案的建议和注意事项。

场景 流量检查要求 建议的解决方案设计 注意事项
1 - Internet 入口
- Internet 出口		 将受保护的虚拟 WAN 中心与默认网关传播一起使用。

对于 HTTP/S 流量,请使用Azure 应用程序网关。 对于非 HTTP/S 流量,请使用 Azure 防火墙。

部署受保护的虚拟 WAN中心并在Azure VMware 解决方案中启用公共 IP。		 此解决方案不适用于本地筛选。 Global Reach 会绕过虚拟 WAN 中心。
2 - Internet 入口
- Internet 出口
- 到本地数据中心
- 到 Azure 虚拟网络		 通过 Azure 路由服务器在中心虚拟网络中使用第三方防火墙 NVA 解决方案。

禁用 Global Reach。

对于 HTTP/S 流量,请使用Azure 应用程序网关。 对于非 HTTP/S 流量,请使用 Azure 上的第三方防火墙 NVA。		 如果要使用现有的 NVA 并集中管理中心虚拟网络中的所有流量检查,请选择此选项。
3 - Internet 入口
- Internet 出口
- 到本地数据中心
- 到 Azure 虚拟网络
在Azure VMware 解决方案
在 Azure VMware 解决方案 中使用 NSX-T 数据中心或第三方 NVA 防火墙。

对 HTTP 使用应用程序网关,或对非 HTTP 流量使用Azure 防火墙。

部署受保护的虚拟 WAN中心并在Azure VMware 解决方案中启用公共 IP。		 如果需要检查来自两个或更多个 Azure VMware 解决方案私有云的流量,请选择此选项。

此选项允许使用 NSX-T 本机功能。 还可以将此选项与 L1 和 L0 之间的 Azure VMware 解决方案上运行的 NVA 组合在一起。
4 - Internet 入口
- Internet 出口
- 本地数据中心
- 到 Azure 虚拟网络
将中心虚拟网络中的第三方防火墙解决方案与 Azure 路由服务器配合使用。

对于 HTTP 和 HTTPS 流量,请使用Azure 应用程序网关。 对于非 HTTP/HTTPS 流量,请使用 Azure 上的第三方防火墙 NVA。

使用本地第三方防火墙 NVA。

使用 Azure 路由服务器在中心虚拟网络中部署第三方防火墙解决方案。		 选择此选项可将 0.0.0.0/0 路由从 Azure 中心虚拟网络中的 NVA 播发到 Azure VMware 解决方案。

有关网络方案的要点:

  • 所有方案具有类似的通过应用程序网关和 Azure 防火墙的入口模式。
  • 可在 Azure VMware 解决方案中使用 L4-L7 负载均衡器 NVA。
  • 对于上述任何方案,可以使用 NSX-T 数据中心防火墙。

以下部分概述了Azure VMware 解决方案私有云的体系结构模式。 此列表并未囊括所有方式。 有关详细信息,请参阅Azure VMware 解决方案网络和互连概念

具有默认路由传播的安全虚拟 WAN中心

此方案涉及以下客户配置文件、体系结构组件和注意事项。

客户配置文件

此方案非常适合以下情况:

  • 你不需要在 Azure VMware 解决方案和 Azure 虚拟网络之间执行流量检查。
  • 你不需要在 Azure VMware 解决方案和本地数据中心之间执行流量检查。
  • 需要在 Azure VMware 解决方案和 Internet 之间执行流量检查。

对于此方案,请使用平台即服务 (PaaS) 产品等 Azure VMware 解决方案。 在这种情况下,你不拥有公共 IP 地址。 根据需要添加面向公众的 L4 和 L7 入站服务。 你可能已在本地数据中心与 Azure 之间建立了 ExpressRoute 连接,也可能没有建立此连接。

综合概述

下图提供了方案的高级概述。

Diagram of overview of scenario 1 with secured Virtual WAN hub with default route propagation.

体系结构组件

通过以下方式实现此方案:

  • 受保护的虚拟 WAN 中心内用于防火墙的 Azure 防火墙
  • 用于 L7 负载均衡的应用程序网关
  • 具有 Azure 防火墙的 L4 目标网络地址转换 (DNAT),用于转换和筛选网络入口流量
  • 虚拟 WAN 中心内通过 Azure 防火墙的出站 Internet
  • 用于在本地数据中心与 Azure VMware 解决方案之间建立连接的 EXR、VPN 或 SD-WAN

Diagram of scenario 1 with secured Virtual WAN hub with default route propagation.

注意事项

如果由于来自 Azure VMware 解决方案的默认路由 0.0.0.0/0 播发与你的现有环境冲突,因此你不想接收它,那么你需要执行更多操作。

受保护的虚拟 WAN 中心内的 Azure 防火墙会播发到 Azure VMware 解决方案的 0.0.0.0/0 路由。 还会通过 Global Reach 在本地播发此路由。 实现本地路由筛选器以防止 0.0.0.0/0 路由学习。 使用 SD-WAN 或 VPN 来避免此问题。

如果当前通过 ExpressRoute 网关连接到基于虚拟网络的中心辐射型拓扑,而不是直接连接,则来自虚拟 WAN 中心的默认 0.0.0.0/0 路由将传播到网关,并优先于内置在虚拟网络中的 Internet 系统路由。 若要避免此问题,请在虚拟网络中实现0.0.0.0/0用户定义的路由来替代已获知的默认路由。

如果与不需要 0.0.0.0/0 播发的安全虚拟 WAN 中心建立 VPN、ExpressRoute 或虚拟网络连接,也仍会接收播发。 若要防止这种情况,可以采取以下任一措施:

  • 使用本地边缘设备筛选出 0.0.0.0/0 路由。
  • 对特定连接禁用 0.0.0.0/0 传播。
    1. 断开 ExpressRoute、VPN 或虚拟网络连接。
    2. 启用 0.0.0.0/0 传播。
    3. 对这些特定连接禁用 0.0.0.0/0 传播。
    4. 重新连接这些连接。

可将应用程序网关托管在连接到中心的支路虚拟网络上,也可托管在中心虚拟网络上。

Azure 中的网络虚拟设备虚拟网络检查所有网络流量

此方案涉及以下客户配置文件、体系结构组件和注意事项。

客户配置文件

此方案非常适合以下情况:

  • 需要在中心虚拟网络中使用第三方防火墙 NVA 来检查所有流量,并且不能出于地缘政治或其他原因使用 Global Reach。
    • 你处于本地数据中心和 Azure VMware 解决方案之间。
    • 你处于 Azure 虚拟网络和 Azure VMware 解决方案之间。
    • 你需要通过 Internet 从 Azure VMware 解决方案传入数据。
    • 你需要通过 Internet 向 Azure VMware 解决方案传出数据。
  • 你需要对 Azure VMware 解决方案私有云以外的防火墙进行精细控制。
  • 你需要为入站服务提供多个公共 IP 地址,并在 Azure 中需要一个预定义的 IP 地址块。 在这种情况下,你不拥有公共 IP 地址。

此方案假设你已经在本地数据中心与 Azure 之间建立了 ExpressRoute 连接。

综合概述

下图提供了方案的高级概述。

Diagram of overview of scenario 2 with third-party NVA in hub Azure Virtual Network inspecting all network traffic.

体系结构组件

通过以下方式实现此方案:

  • 托管在虚拟网络中的第三方防火墙 NVA,用于检查流量和实现其他网络功能。
  • Azure 路由服务器,用于路由 Azure VMware 解决方案、本地数据中心和虚拟网络之间的流量。
  • 用于提供 L7 HTTP/S 负载均衡的应用程序网关。

在此方案中,必须禁用 ExpressRoute Global Reach。 第三方 NVA 负责向 Azure VMware 解决方案提供出站 Internet。

Diagram of scenario 2 with third-party NVA in hub Azure Virtual Network inspecting all network traffic.

注意事项

  • 切勿为此方案配置 ExpressRoute Global Reach,因为它允许 Azure VMware 解决方案流量跳过中心虚拟网络直接在 Microsoft Enterprise Edge (MSEE) ExpressRoute 路由器之间流动。
  • Azure 路由服务器必须部署在中心 VNet 中,并与传输 VNet 中的 NVA 建立 BGP 对等互连。 配置 Azure 路由服务器以允许分支到分支连接。
  • 自定义路由表和用户定义的路由用于将流量路由到Azure VMware 解决方案到第三方防火墙 NVA 的负载均衡器。 支持所有 HA 模式(主动/主动和主动/备用),并保证路由对称性。
  • 如果需要 NVA 的高可用性,请查阅 NVA 供应商文档并部署高可用性 NVA

使用或不使用 NSX-T 或 NVA 从 Azure VMware 解决方案出口

此方案涉及以下客户配置文件、体系结构组件和注意事项。

客户配置文件

此方案非常适合以下情况:

  • 必须使用本机 NSX-T 数据中心平台,因此需要一个 PaaS 部署才能Azure VMware 解决方案。
  • 需要在 Azure VMware 解决方案中使用自带许可 (BYOL) NVA 来进行流量检查。
  • 你可能已在本地数据中心与 Azure 之间建立了 ExpressRoute 连接,也可能没有建立此连接。
  • 需要入站 HTTP/S 或 L4 服务。

从Azure VMware 解决方案到 Azure 虚拟网络、从Azure VMware 解决方案到 Internet 以及从Azure VMware 解决方案流向本地数据中心的所有流量通过 NSX-T 数据中心第 0 层/第 1 层网关或 NVA 进行漏斗。

综合概述

下图提供了方案的高级概述。

Diagram of overview of scenario 3 with egress from Azure VMware Solution with or without NSX-T Data Center or NVA.

体系结构组件

通过以下方式实现此方案:

  • NSX 分布式防火墙 (DFW),或者 Azure VMware 解决方案中第 1 层背后的 NVA。
  • 用于提供 L7 负载均衡的应用程序网关。
  • 使用 Azure 防火墙的 L4 DNAT。
  • 从 Azure VMware 解决方案的 Internet 突破。

Diagram of scenario 3 with egress from Azure VMware Solution with or without NSX-T Data Center or NVA.

注意事项

在 Azure 门户上启用 Internet 访问。 在此设计中,出站 IP 地址可能会更改,并且不确定。 公共 IP 地址位于 NVA 外部。 Azure VMware 解决方案中的 NVA 仍然具有专用 IP 地址,并且无法确定出站公共 IP 地址。

NVA 是 BYOL。 由你负责获取许可证并针对 NVA 实现高可用性。

请查看 VMware 文档,了解 NVA 放置选项,并了解 VM 上最多 8 个虚拟网络接口卡 (NIC) 这一 VMware 限制。 有关详细信息,请参阅 Azure VMware 解决方案中的防火墙集成

使用 Azure 路由服务器在中心虚拟网络中的第三方防火墙解决方案

此方案具有以下客户配置文件、体系结构组件和注意事项:

客户配置文件

此方案非常适合以下情况:

  • 需要 Azure VMware 解决方案 Internet 出口在 Azure VNet 中心使用第三方 NVA,并且需要检查 Azure VMware 解决方案和 Azure 虚拟网络之间的流量。
  • 需要使用本地第三方 NVA 检查本地数据中心和 Azure 之间的流量。
  • 你需要为入站服务提供多个公共 IP 地址,并在 Azure 中需要一个预定义的 IP 地址块。 在这种情况下,你不拥有公共 IP。
  • 你需要对 Azure VMware 解决方案私有云以外的防火墙进行精细控制。

综合概述

下图提供了方案的高级概述。

Diagram of overview of scenario 4 with a third-party N V A in the hub V Net inspecting traffic between Azure VMware Solution and the internet and between Azure VMware Solution and Azure Virtual Network.

体系结构组件

通过以下方式实现此方案:

  • 托管在 VNet 中的第三方 NVA 主动-主动或主动-备用组件,用于防火墙和其他网络功能。
  • Azure 路由服务器,用于在 Azure VMware 解决方案、本地数据中心和虚拟网络之间交换路由。
  • Azure 虚拟网络中心中的第三方 NVA,用于向 Azure VMware 解决方案提供出站 Internet。
  • 用于在本地数据中心与 Azure VMware 解决方案之间建立连接的 ExpressRoute。

Diagram of scenario 4 with a third-party N V A in the hub V Net inspecting traffic between Azure VMware Solution and the internet and between Azure VMware Solution and Azure Virtual Network.

注意事项

  • 在此设计中,出站公共 IP 地址与 NVA 一起驻留在 Azure VNet 中。
  • 虚拟网络中心 BGP 中的第三方 NVA 与 Azure 路由服务器 (ECMP) 对等互连,并向 Azure VMware 解决方案播发默认路由0.0.0.0/0
  • 还会通过 Global Reach 在本地播发默认路由 0.0.0.0/0。 在本地实施路由筛选器以防止默认路由 0.0.0.0/0 获知。
  • Azure VMware 解决方案与本地网络之间的流量通过 ExpressRoute Global Reach 流动,如将本地环境与 Azure VMware 解决方案对等互连中所述。 本地和 Azure VMware 解决方案之间的流量检查由本地第三方 NVA 执行,而不是由 Azure 虚拟网络中心中的第三方 NVA 执行。
  • 可将应用程序网关托管在连接到中心的支路虚拟网络上,也可托管在中心虚拟网络上。

后续步骤