設計階段 1：內部部署網站的 連線 性

連線 內部部署數據中心是 Azure VMware 解決方案 網路最重要的設計區域。 必須解決的主要需求包括：

• 高輸送量：從內部部署 vSphere 環境和災害復原解決方案移轉，需要在內部部署網站與 Azure VMware 解決方案 私人雲端之間快速移動大量數據。
• 低延遲：分散式應用程式可能需要低延遲，Azure VMware 解決方案 虛擬機與內部部署系統之間的連線。
• 效能可預測性：若要達到可預測的輸送量和延遲，部署在 Azure VMware 解決方案 上的業務關鍵應用程式可能需要內部部署網站與 Microsoft 網路之間的專用連線服務 （Azure ExpressRoute）。

本文說明 Azure VMware 解決方案 支援與內部部署網站連線的選項：

• ExpressRoute Global Reach
• IPSec VPN
• 透過 ExpressRoute 私人對等互連傳輸

這些選項會以降低符合稍早所列關鍵需求的能力來呈現。 只有在選項與特定案例的非可談判條件約束衝突時，才應該捨棄選項，並考慮下一個選項。

此流程圖摘要說明為 Azure VMware 解決方案 選擇混合式連線選項的程式：

ExpressRoute Global Reach

ExpressRoute Global Reach 是 Azure VMware 解決方案 支援的預設混合式連線選項。 它在 Azure VMware 解決方案 私人雲端與連線至客戶管理的 ExpressRoute 線路的遠端月臺之間，提供最少的複雜度第 3 層連線。 您也可以使用客戶管理的 ExpressRoute 線路來連線到 Azure 原生服務。 若要改善安全性或保留頻寬，您也可以部署專用於 Azure VMware 解決方案 流量的個別客戶管理線路。

下圖顯示使用 Global Reach 與內部部署網站連線的網路拓撲。 Azure VMware 解決方案 私人雲端與內部部署網站之間的流量不會周遊 Azure 虛擬網路。

注意

為了達到最大的復原能力，應使用不同對等互連位置中的兩個客戶管理的 ExpressRoute 線路，將內部部署數據中心連線到 Microsoft 骨幹。 在此情況下，每個客戶管理的 ExpressRoute 線路都應該有全域觸達連線至 Azure VMware 解決方案 私人雲端（和 Azure 虛擬網絡）。 如需復原 ExpressRoute 實作的指引，請檢閱 本文 。

如需如何使用 Global Reach 將 Azure VMware 解決方案 私人雲端連線至客戶管理的 ExpressRoute 線路的指示，請參閱將內部部署環境對等互連至 Azure VMware 解決方案。

Global Reach 連線完全解決了三個主要需求：

• 高輸送量：ExpressRoute 可讓您透過專用線路從內部部署連線到 Microsoft 網路（針對提供者型 ExpressRoute 最多 10 Gbps，或 ExpressRoute Direct 為 100 Gbps）。
• 低延遲：Global Reach 可讓您直接從 Microsoft 網路的邊緣將流量路由傳送至 Azure VMware 解決方案 vSphere 叢集。 Global Reach 可將內部部署網站與私人雲端之間的網路躍點數目降至最低。
• 可預測的效能：當您使用 ExpressRoute Global Reach 時，流量會透過未遇到壅塞問題的連結路由傳送（最高布建容量上限）。 因此，在 Azure VMware 解決方案和內部部署主機上執行的虛擬機之間的來回時間 （RTT） 會隨著時間維持不變。

在下列一或多個條件約束套用的情況下，您無法使用 Global Reach：

• Azure VMware 解決方案 私人雲端的 Azure 區域或客戶自控 ExpressRoute 線路的 meet-me 位置無法使用 ExpressRoute Global Reach。 此限制沒有任何因應措施。 如需 Global Reach 可用性的最新資訊，請參閱 About ExpressRoute Global Reach 。

• 存在不可談判的網路安全性需求。 如果防火牆裝置無法部署在客戶管理的 ExpressRoute 線路的內部部署端，使用 Global Reach 會將所有 Azure VMware 解決方案 網路區段公開，包括管理網路（vCenter Server 和 NSX-T 管理），到連線到線路的整個網路。 發生此問題的最典型案例是在MPLS網路服務上實作客戶管理的ExpressRoute線路時（也稱為 ExpressRoute任意對任意連線模型）。 此案例如下所示：

  

  在 MPLS IPVPN 上實作 ExpressRoute 連線時，不可能在單一位置部署防火牆，以檢查所有來自 Azure VMware 解決方案 的流量。 一般而言，使用 MPLS 網路的組織會在大型數據中心部署防火牆，而不是在其所有站台中（可以是小型分公司、辦公室或商店）。

IPSec VPN

您可以透過 Azure 上的傳輸虛擬網路路由傳送流量，以實作 Azure VMware 解決方案 私人雲端與內部部署網站之間的連線。 傳輸網路會透過受控 ExpressRoute 線路連線到 Azure VMware 解決方案 私人雲端。 傳輸虛擬網路會透過IPSec VPN連線到內部部署網站，如下所示：

如果 VPN 裝置未提供防火牆功能，您可以強制執行內部部署網站與 Azure VMware 解決方案 私人雲端（圖表中的虛線）連線的安全策略。 此設定需要具有路由意圖的 Azure 虛擬 WAN，如本文決定在 Azure 上裝載虛擬設備的位置一節所述。

在內部部署網站與傳輸虛擬網路之間實作IPSec連線之前，您需要做出三個設計決策：

1. 判斷要作為IPSec通道底層的網路服務。 可用的選項包括因特網連線、ExpressRoute Microsoft 對等互連和 ExpressRoute 私人對等互連。
2. 決定在 Azure 端裝載終止 IPSec 通道的虛擬設備的位置。 可用的選項包括客戶管理的虛擬網路和虛擬 WAN 中樞。
3. 判斷哪個虛擬設備會終止 Azure 端的 IPSec 通道。 裝置的選擇也會決定IPSec通道與 Azure VMware 解決方案 受管理線路之間路由傳送流量所需的 Azure 組態。 可用的選項為原生 Azure VPN 閘道 和第三方 IPSec NVA（網路虛擬設備）。

此流程圖摘要說明決策程式：

下列各節將說明進行這些決策的準則。

選擇底版網路服務

強烈建議您考慮 VPN 下層的三個選項，其順序如下：

• 因特網連線。 指派給傳輸虛擬網路中裝載之 VPN 裝置的公用 IP 位址，可作為 IPSec 通道的遠端端點。 由於其複雜性和成本較低，您應該一律測試及評估效能的因特網連線能力（可達到的IPSec輸送量）。 只有當觀察到的效能太低或不一致時，才應該關閉此選項。 下圖說明此選項。

  

• ExpressRoute Microsoft 對等互連。 此選項提供透過專用連結對 Azure 公用端點的第 3 層連線。 就像因特網連線一樣，它可讓您連線到 VPN 裝置的公用 IP，該裝置可作為 IPSec 通道的遠端端端點，並裝載於傳輸虛擬網路中。 只有在無法符合 Microsoft 對等互連的路由需求時，才應該關閉此選項。 下圖說明此選項。

  

• ExpressRoute 私人對等互連。 此選項提供內部部署網站與 Azure 虛擬網路之間透過專用連結的第 3 層連線。 因此，它可讓您建立從內部部署網站到虛擬網路中裝載之 VPN 裝置的私人 IP 位址的 IPSec 通道。 ExpressRoute 私人對等互連可能會造成頻寬限制，因為 ExpressRoute 閘道位於數據路徑中。 您可以使用 ExpressRoute FastPath 解決此問題。 私人對等互連也需要內部部署端更複雜的路由設定。 如需詳細資訊，請參閱 透過 ExpressRoute 私人對等互連設定站對站 VPN 連線。 下圖說明此選項。

  

決定在 Azure 上裝載虛擬設備的位置

可用的選項包括客戶管理的虛擬網路和虛擬 WAN 中樞。 若要做出此決定，請考慮既有 Azure 環境的特性，如果有的話，以及您想要如何優先減少管理工作，以及根據特定需求量身打造組態的能力。 以下是一些重要考慮。

• 您應該使用預先存在的 Azure 網路基礎結構進行 Azure VMware 解決方案 連線。 如果客戶管理的中樞輪輻網路已存在於與 Azure VMware 解決方案 私人雲端相同的區域中，您應該在現有的中樞部署IPSec終止裝置。 如果以虛擬 WAN 為基礎的中樞輪輻網路存在於與 Azure VMware 解決方案 私人雲端相同的區域中，您應該使用虛擬 WAN 中樞進行 IPSec 終止。
• 在客戶管理的中樞輪輻網路中，若要路由傳送IPSec通道與ExpressRoute受控線路之間的流量，您必須在中樞虛擬網路中部署 Azure 路由伺服器實例 ，並將其設定為 允許分支對分支流量。 您無法透過虛擬網路中部署的防火牆裝置，將 Azure VMware 解決方案 私人雲端與內部部署網站之間的流量路由傳送。
• 虛擬 WAN 中樞原生支援連線至內部部署月臺的 IPSec 通道與 Azure VMware 解決方案 受控 ExpressRoute 線路之間的路由流量。
• 如果您使用虛擬 WAN，您可以設定 流量檢查的路由意圖和路由原則 。 您可以使用虛擬 WAN 支援的 Azure 防火牆 或第三方安全性解決方案。 建議您檢閱路由意圖的區域可用性和限制。

決定哪個虛擬設備終止IPSec通道

提供內部部署月台連線的IPSec通道可由 Azure VPN 閘道 或第三方 NVA 終止。 若要做出此決定，請考慮既有 Azure 環境的特性，如果有的話，以及您想要如何優先減少管理工作，以及根據特定需求量身打造組態的能力。 以下是一些重要考慮。

• 在客戶管理的中樞輪輻網路和以虛擬 WAN 為基礎的中樞輪輻網路中，您可以使用 Azure VPN 閘道 終止連線至內部部署網站的 IPSec 通道。 因為它們是平臺管理的，所以 Azure VPN 閘道需要最少的管理工作。 即使這些閘道支援其他連線案例，您也可以使用預先存在的閘道。 您應該檢閱這些文章，以取得支援設定和預期效能的相關信息：

  • VPN 閘道 SKU 和預期的效能等級 （獨立）
  • VPN 閘道 密碼編譯需求 （獨立）
  • VPN 閘道 設定 （虛擬 WAN）
  • VPN 閘道 密碼編譯需求 （虛擬 WAN）

• 第三方 NVA 通常用來在下列情況下終止來自內部部署網站的通道：

  • NVA 是 SDWAN 解決方案的 CPE（客戶單位設備），其部署於 Azure 和內部部署網站上。
  • NVA 是防火牆，會針對內部部署網站與 Azure VMware 解決方案 之間的連線強制執行必要的安全策略。

使用第三方裝置可能會提供更多彈性和存取原生 VPN 閘道不支援的進階網路功能，但會增加複雜性。 高可用性會成為您的責任。 您應該部署多個實例。

透過 ExpressRoute 私人對等互連傳輸

ExpressRoute 私人對等互連是企業案例中將內部部署網站連線到 Azure 虛擬網路（或中樞輪輻網路）最常見的選擇。 Azure 虛擬網路或中樞輪輻拓撲中的中樞虛擬網路包含 ExpressRoute 閘道，其已設定為與 ExpressRoute 線路的連線。 此設定提供虛擬網路（或整個中樞輪輻網路）與內部部署網站網路之間的第 3 層連線。 不過，它不會以原生方式提供第 3 層連線至透過受控 ExpressRoute 線路連線到相同虛擬網路（或中樞虛擬網路）的私人雲端 Azure VMware 解決方案 連線。 （請參閱ExpressRoute Global Reach 和 Azure VMware 解決方案 私人雲端。）

您可以在 Azure 虛擬網路中部署更多路由裝置，以解決此問題。 這麼做可讓您透過虛擬網路中裝載的防火牆 NVA 路由傳送流量。

透過 ExpressRoute 私人對等互連的傳輸似乎很理想，但它會增加複雜度並影響效能。 只有當 ExpressRoute Global Reach 和 IPSec VPN（如前幾節所述）不適用時，才應考慮它。

有兩個實作選項：

• 單一虛擬網路。 當您使用此選項時，客戶管理的和 Azure VMware 解決方案 受控線路會連線到相同的 ExpressRoute 閘道。
• 輔助傳輸虛擬網路。 當您使用此選項時，提供內部部署月台聯機的客戶管理的 ExpressRoute 線路會連線到中樞虛擬網路中的 ExpressRoute 閘道（通常是預先存在的）。 Azure VMware 解決方案 受控線路會連線到部署在輔助傳輸虛擬網路中的不同 ExpressRoute 閘道。

下列各節提供兩個實作選項的詳細數據，包括：

• 在效能、成本（所需的 Azure 資源）和管理額外負荷之間取捨。
• 控制平面實作（如何在內部部署網站與私人雲端之間交換路由）。
• 數據平面實作（如何在內部部署網站與私人雲端之間路由傳送網路封包）。

單一虛擬網路

當您使用單一虛擬網路方法時，Azure VMware 解決方案 私人雲端的受控線路和客戶擁有的線路都會連線到相同的 ExpressRoute 閘道，通常是中樞網路。 私人雲端與內部部署網站之間的流量可以透過部署在中樞網路中的防火牆 NVA 路由傳送。 單一虛擬網路架構如下所示：

控制平面和數據平面的實作方式如下所述：

• 控制平面。 部署在 Azure 虛擬網路中的 ExpressRoute 閘道無法傳播 Azure VMware 解決方案 受控線路與客戶管理的 ExpressRoute 線路之間的路由。 已啟用分支對分支設定的 Azure 路由伺服器會用於在兩個線路中插入超級網路的路由，包括私人雲端位址空間（管理網路和工作負載區段）和內部部署地址空間 Azure VMware 解決方案。

  必須宣告超級網路，而不是構成這些位址空間的確切前置詞，因為 Azure VMware 解決方案 私人雲端和內部部署網站已經以相反方向宣告確切的前置詞。 如果超網路與內部部署月臺的網路設定相容，您可以使用與 RFC 1918 前置詞一樣大。 在大部分情況下，您應該改用包含私人雲端位址空間和內部部署位址空間 Azure VMware 解決方案 最小的超級網路。 這樣做可將與內部部署月臺路由設定衝突的風險降到最低。

  超網路的路由是由支援 BGP 的 NVA 所產生。 NVA 已設定為使用 Azure 路由伺服器建立 BPG 工作階段。 NVA 只是控制平面的一部分，不會在內部部署網站與 Azure VMware 解決方案 私人雲端之間路由傳送實際流量。 控制平面實作是由上圖中的虛線表示。

• 數據平面。 先前所述的控制平面實作會吸引下列 ExpressRoute 閘道的流量：

  • 從目的地為私人雲端 Azure VMware 解決方案 內部部署網站的流量。
  • 來自 Azure VMware 解決方案 私人雲端的流量，其目的地為內部部署網站。

  如果未將任何 UDR 套用至 GatewaySubnet，則流量會直接在內部部署網站與 Azure VMware 解決方案 私人雲端之間流動。 您可以將 UDR 套用至 GatewaySubnet，將流量路由傳送至中繼下一個躍點。 在內部部署網站與私人雲端之間的連線上強制執行網路安全策略的防火牆 NVA 是典型的範例。 數據平面實作是由上圖中的實線表示。

輔助虛擬網路

您可以使用輔助虛擬網路來裝載第二個僅連線到私人雲端受控線路 Azure VMware 解決方案 ExpressRoute 閘道。 如果您使用此方法，私人雲端的受控線路和客戶管理的線路會連線到不同的 ExpressRoute 閘道。 兩個 Azure 路由伺服器實例可用來宣告每個線路的適當路由，並控制私人雲端與內部部署網站之間的路由傳播。 您不需要宣告超網路，就像您在上一節所述的單一虛擬網路選項一樣。 GatewaySubnet 中的 UDR 管理額外負荷也會降低。 這種方法可讓您透過中樞虛擬網路中的防火牆 NVA，在私人雲端與內部部署網站之間路由傳送流量。 下圖顯示輔助虛擬網路實作：

控制平面和數據平面的實作方式如下所述：

• 控制平面。 若要啟用 Azure VMware 解決方案 私人雲端受控線路與客戶擁有線路之間的路由傳播，您需要每個虛擬網路中的 Azure 路由伺服器實例。 由於兩個 Azure 路由伺服器實例 無法建立 BGP 相鄰，因此需要具備 BGP 功能的 NVA，才能在它們之間傳播路由。 若要達到高可用性，您應該至少部署兩個 NVA 實例。 您可以新增更多實例來增加輸送量。 支援 BGP 的 NVA 必須有兩個連結至不同子網的 NIC。 必須在不同的 NIC 上建立兩個路由伺服器的 BGP 工作階段（在輔助虛擬網路和中樞虛擬網路中）。

  透過 ExpressRoute 線路瞭解源自 Azure VMware 解決方案 私人雲端和內部部署網站的路由。 其 AS 路徑包含 ASN 65515（ExpressRoute 閘道所使用的 Azure 保留 ASN）和 ASN 12076（Microsoft 企業邊緣路由器在所有對等互連位置中使用的 Microsoft 擁有 ASN）。 支援 BGP 的 NVA 必須移除 AS 路徑，以防止 BGP 循環偵測捨棄路由。 如需必要 BGP 組態的詳細資訊，請參閱 實作不含全域觸達之 AVS 的 Expressroute 連線。 控制平面實作是由上圖中的虛線表示。

• 數據平面。 在輔助虛擬網路中，Azure VMware 解決方案 私人雲端與內部部署網站之間的流量會透過支援 BGP 的 NVA 路由傳送。 私人雲端進出 Azure VMware 解決方案 流量會離開或透過 NIC 進入 NVA，該 NIC 是用於搭配輔助虛擬網路路由伺服器的 BGP 會話。 進出內部部署網站的流量會透過 NIC 離開或進入 NVA，該 NIC 是用於與中樞虛擬網路路由伺服器的 BGP 工作階段。 此 NIC 會附加至與自定義路由表相關聯的子網：：

  • 停用從路由伺服器學習 BGP 路由（以避免迴圈）。
  • 在數據路徑中插入中樞網路的防火牆。

  為了確保流量是透過中樞防火牆對稱路由傳送，Azure VMware 解決方案 私人雲端中使用的所有前置詞的 UDR 都必須在中樞的 GatewaySubnet 上設定。 如需詳細資訊，請參閱 實作不含全域觸達之 AVS 的 Expressroute 連線。 數據平面實作是由上圖中的實線表示。

下一步

瞭解 Azure VMware 解決方案 與 Azure 虛擬網路之間的連線。

Azure VMware 解決方案 與 Azure 虛擬網路之間的 連線 性