透過 Azure VMware 解決方案向外存取網際網路,以及從網際網路向內存取 Azure VMware 解決方案私人雲端資源的主要模式有三種。
根據您對安全控制、可見度、容量和作業的需求,您會選擇適當的方法將網際網路存取提供給 Azure VMware 解決方案的私人雲端。
Azure 中裝載的網際網路服務
有多種方式可在 Azure 中產生預設路由,並將其傳送至您的 Azure VMware 解決方案私人雲端或內部部署。 選項如下:
- 虛擬 WAN 中樞的 Azure 防火牆。
- Virtual WAN 中樞輪輻虛擬網路中的協力廠商網路虛擬設備。
- 使用 Azure 路由伺服器的原生 Azure 虛擬網路中的協力廠商網路虛擬設備。
- 從內部部署經由 Global Reach 轉到 Azure VMware 解決方案的預設路由。
使用上述任一模式來提供輸出 SNAT 服務,並能夠控制允許的來源、檢視連線記錄,以及針對某些服務執行進一步的流量檢查。
相同的服務也可以取用 Azure 公用 IP,並從因特網建立輸入 DNAT,以指向 Azure VMware 解決方案中的目標。
可以建構一個環境,利用多條路徑來處理網際網路流量。 一個用於出站 SNAT(例如第三方安全性 NVA),另一個用於入站 DNAT(例如使用 SNAT 集合處理返回流量的第三方負載平衡器 NVA)。
Azure VMware 解決方案受控 SNAT
受控 SNAT 服務提供簡單的方法支援從 Azure VMware 解決方案私人雲端向外存取網際網路。 此服務的功能包括下列各項。
- 輕鬆啟用:選取 [網際網路連線] 索引標籤上的選項按鈕,所有工作負載網路立即可透過 SNAT 閘道向外存取網際網路。
- 不必控制 SNAT 規則,允許所有到達 SNAT 服務的來源。
- 不必查看連線記錄。
- 使用和輪換兩個公用 IP,支援多達 128k 個同時輸出連線。
- Azure VMware 解決方案受控 SNAT 不提供輸入 DNAT 功能。
NSX Edge 的 Azure 公用 IPv4 位址
此選項會將配置的 Azure 公用 IPv4 位址直接帶入 NSX Edge 以供取用。 可讓 Azure VMware 解決方案私人雲端視需要在 NSX 中直接取用和套用公用網路位址。 這些位址用於下列類型的連線:
- 輸出 SNAT
- 輸入 DNAT
- 使用 VMware NSX Advanced Load Balancer 和其他協力廠商網路虛擬設備進行負載平衡
- 直接連線到工作負載 VM 介面的應用程式。
此選項也可讓您在第三方網路虛擬設備上設定公用位址,以在 Azure VMware 解決方案私人雲端內建立 DMZ。
功能包括:
- 調整 – 您可以要求將 64 個 Azure 公用 IPv4 位址的軟限制增加到應用程式需要時設定的 1,000 秒 Azure 公用 IP。
- 彈性 – 您可以在 NSX 生態系統中的任何位置套用 Azure 公用 IPv4 位址。 它可用來在 VMware 的 NSX 進階負載平衡器或第三方網路虛擬設備等負載平衡器上提供 SNAT 或 DNAT。 它也可用於 VMware 區段上的第三方網路虛擬安全性設備,或直接在 VM 上使用。
- 區域性 – NSX Edge 的 Azure 公用 IPv4 位址對本機 SDDC 而言是唯一的。 針對「分佈區域中的多個私人雲端」,在意圖透過本地出口到互聯網時,比起嘗試控制裝載於 Azure 的安全性或 SNAT 服務的預設路由傳播,更容易在本地引導流量。 如果您有兩個或以上的 Azure VMware 解決方案私有雲設置了公用 IP 配置,那麼它們都可以有本地出口。
選取選項的考慮
您選取的選項取決於下列因素:
- 若要將 Azure VMware 私人雲端新增至 Azure 原生中布建的安全性檢查點,以檢查來自 Azure 原生端點的所有因特網流量,請使用 Azure 原生建構,並將預設路由從 Azure 外泄至 Azure VMware 解決方案私人雲端。
- 如果您需要執行第三方網路虛擬設備,以符合現有的安全性檢查標準或簡化的作業費用,您有兩個選項。 您可以在 Azure 原生環境中使用預設路由策略來執行 Azure 公用 IPv4 位址,或者透過 Azure 公用 IPv4 位址將其應用到 NSX Edge,在 Azure VMware 解決方案中運行。
- Azure 公用 IPv4 位址的配置在數量上有規模限制,不論是配置給在原生 Azure 上執行的網路虛擬設備,或者是在 Azure 防火牆上佈建的網路虛擬設備。 NSX Edge 選項的 Azure 公用 IPv4 位址允許較高的配置(1,000 秒與 100 秒)。
- 使用 Azure 公用 IPv4 位址至 NSX Edge,以便在本地區的每個私人雲端進行網際網路的本地化出口。 在需要彼此和因特網通訊的數個 Azure 區域中,使用多個 Azure VMware 解決方案私人雲端,將 Azure VMware 解決方案私人雲端與 Azure 中的安全性服務相符可能會很困難。 困難是因為來自 Azure 的預設路由運作方式。
這很重要
根據設計,使用 NSX 的公用 IPv4 位址不允許透過 ExpressRoute 私人對等互連連線交換 Azure/Microsoft 擁有的公用 IP 位址。 這表示您無法透過 ExpressRoute 向客戶 VNet 或內部部署網路公告公用 IPv4 位址。 所有具有 NSX 流量的公用 IPv4 位址都必須採用因特網路徑,即使 Azure VMware 解決方案私人雲端是透過 ExpressRoute 連線。 如需詳細資訊,請流覽 ExpressRoute 線路對等互連。
後續步驟
為 Azure VMware 解決方案工作負載啟用受控 SNAT