因特網聯機設計考慮

有三個主要模式可從 Azure VMware 解決方案 建立因特網的輸出存取，以及啟用 Azure VMware 解決方案 私人雲端上資源的輸入因特網存取。

• 裝載在 Azure 中的因特網服務
• Azure VMware 解決方案 受控 SNAT
• NSX 數據中心 Edge 的 Azure 公用 IPv4 位址

您對安全性控制、可見度、容量和作業的需求，會選擇適當的方法來傳遞因特網存取 Azure VMware 解決方案 私人雲端。

裝載在 Azure 中的因特網服務

有多種方式可在 Azure 中產生預設路由，並將其傳送至您的 Azure VMware 解決方案 私人雲端或內部部署。 選項如下：

• 虛擬 WAN 中樞的 Azure 防火牆。
• 虛擬 WAN 中樞輪輻中的第三方網路虛擬設備 虛擬網絡。
• 使用 Azure 路由伺服器在原生 Azure 虛擬網絡 中的第三方網路虛擬設備。
• 從內部部署傳輸至全域觸達 Azure VMware 解決方案的預設路由。

使用上述任一模式來提供輸出 SNAT 服務，並能夠控制允許的來源、檢視連線記錄，以及針對某些服務執行進一步的流量檢查。

相同的服務也可以取用 Azure 公用 IP，並從因特網對 Azure VMware 解決方案 的目標建立輸入 DNAT。

您也可以建置環境，以利用多個路徑進行因特網流量。 一個用於輸出 SNAT（例如第三方安全性 NVA），另一個用於輸入 DNAT（例如使用 SNAT 集區傳回流量的第三方負載平衡器 NVA）。

Azure VMware 解決方案 受控 SNAT

受控 SNAT 服務提供從 Azure VMware 解決方案 私人雲端輸出因特網存取的簡單方法。 此服務的功能包括下列各項。

• 輕鬆啟用 – 選取 [因特網 連線 性] 索引卷標上的單選按鈕，而且所有工作負載網络都可以透過 SNAT 閘道立即存取因特網。
• 無法控制 SNAT 規則，允許到達 SNAT 服務的所有來源。
• 沒有連線記錄的可見度。
• 使用兩個公用IP並輪替，以支援最多128k個同時輸出連線。
• Azure VMware 解決方案 Managed SNAT 不提供任何輸入 DNAT 功能。

NSX Edge 的 Azure 公用 IPv4 位址

此選項會將配置的 Azure 公用 IPv4 位址直接帶入 NSX Edge 以供取用。 它可讓 Azure VMware 解決方案 私人雲端視需要在 NSX 中直接取用及套用公用網路位址。 這些位址用於下列類型的連線：

• 輸出 SNAT
• 輸入DNAT
• 使用 VMware NSX Advanced Load Balancer 和其他第三方網路虛擬設備進行負載平衡
• 直接連線到工作負載 VM 介面的應用程式。

此選項也可讓您在第三方網路虛擬設備上設定公用位址，以在 Azure VMware 解決方案 私人雲端內建立 DMZ。

功能包括：

• 調整 – 您可以要求將 64 個 Azure 公用 IPv4 位址的軟限制增加到應用程式需要時設定的 1,000 秒 Azure 公用 IP。
• 彈性 – 您可以在 NSX 生態系統中的任何位置套用 Azure 公用 IPv4 位址。 它可用來在 VMware 的 NSX 進階負載平衡器或第三方網路虛擬設備等負載平衡器上提供 SNAT 或 DNAT。 它也可用於 VMware 區段上的第三方網路虛擬安全性設備，或直接在 VM 上使用。
• 區域性 – NSX Edge 的 Azure 公用 IPv4 位址對本機 SDDC 而言是唯一的。 針對「分散式區域中的多私人雲端」，透過本機退出因特網意圖，相較於嘗試控制 Azure 中裝載之安全性或 SNAT 服務的預設路由傳播，更容易在本機導向流量。 如果您有兩個以上的 Azure VMware 解決方案 私人雲端已設定公用IP，則兩者都可以有本機結束。

選取選項的考慮

您選取的選項取決於下列因素：

• 若要將 Azure VMware 私人雲端新增至 Azure 原生中布建的安全性檢查點，以檢查來自 Azure 原生端點的所有因特網流量，請使用 Azure 原生建構，並將預設路由從 Azure 外泄至您的 Azure VMware 解決方案 私人雲端。
• 如果您需要執行第三方網路虛擬設備，以符合現有的安全性檢查標準或簡化的作業費用，您有兩個選項。 您可以使用預設路由方法，在 Azure 原生中執行 Azure 公用 IPv4 位址，或使用 Azure 公用 IPv4 位址對 NSX Edge Azure VMware 解決方案 執行。
• 在原生 Azure 中執行的網路虛擬設備配置多少個 Azure 公用 IPv4 位址，或在 Azure 防火牆 上布建的網路虛擬設備有規模限制。 NSX Edge 選項的 Azure 公用 IPv4 位址允許較高的配置（1,000 秒與 100 秒）。
• 使用 Azure 公用 IPv4 位址至 NSX Edge，從其本機區域中的每個私人雲端，從因特網進行本地化的結束。 在需要彼此和因特網通訊的數個 Azure 區域中，使用多個 Azure VMware 解決方案 私人雲端，將 Azure VMware 解決方案 私人雲端與 Azure 中的安全性服務相符可能會很困難。 困難是因為來自 Azure 的預設路由運作方式。

重要

根據設計，使用 NSX 的公用 IPv4 位址不允許透過 ExpressRoute 私人對等互連連線交換 Azure/Microsoft 擁有的公用 IP 位址。 這表示您無法透過 ExpressRoute 向客戶 VNet 或內部部署網路公告公用 IPv4 位址。 所有具有 NSX 流量的公用 IPv4 位址都必須採用因特網路徑，即使 Azure VMware 解決方案 私人雲端是透過 ExpressRoute 連線。 如需詳細資訊，請流覽 ExpressRoute 線路對等互連。

後續步驟

為 Azure VMware 解決方案 工作負載啟用受控 SNAT

為 NSX Edge 啟用公用 IP 以進行 Azure VMware 解決方案

停用因特網存取或啟用預設路由