分享方式:

設計階段 2:使用 Azure 虛擬網路連線

  • 文章

Azure VMware 解決方案私人雲端會透過受控 Azure ExpressRoute 線路連線到 Azure 虛擬網路。 如需詳細資訊,請參閱 ExpressRoute 線路和Azure VMware 解決方案私人雲端 。 在中樞輪輻 Azure 網路中(包括使用 Azure 虛擬 WAN 建置的網路),將私人雲端的受控線路連線到中樞網路(或虛擬 WAN 中樞)中的 ExpressRoute 閘道,可提供與私人雲端的第 3 層連線。 不過,強制執行安全性原則以選擇性地允許或拒絕資源之間的連線通常是必要條件。 此需求可在下列兩者之間存在:

  • 在Azure VMware 解決方案私人雲端中執行的 Azure 虛擬網路和 VM。
  • Azure 虛擬網路和Azure VMware 解決方案私人雲端的管理端點。

雖然 Azure 虛擬網路和 vSphere/NSX-T 都提供網路分割的原生建構,但部署為 Azure 虛擬網路中網路虛擬裝置 (NVA) 的防火牆解決方案通常是企業級環境中的慣用選項。 本文著重于虛擬網路組態,可讓您使用自訂的下一個躍點,例如防火牆 NVA,在私人雲端與 Azure 虛擬網路之間路由傳送流量。

您在此設計階段所做的選擇取決於您在設計階段 1 為內部部署連線選取的選項。 事實上,將私人雲端連線到 Azure 虛擬網路的受控 ExpressRoute 線路也可以扮演與內部部署網站連線的角色。 如果您選擇在設計階段 1 期間透過 ExpressRoute 私人對等互連 進行 傳輸,就會發生這種情況。 此流程圖顯示選擇與 Azure 虛擬網路連線選項的程式:

Flowchart that shows the design decision making process for connectivity to Azure virtual networks.

如需與 Azure 虛擬網路連線的詳細資訊,請參閱下列其中一節。 選擇符合您在設計階段 1 期間選取之混合式連線選項的區段。

透過 ExpressRoute 私人對等互連的傳輸會用於內部部署流量

當您使用 透過 ExpressRoute 私人對等互連 進行傳輸以與內部部署網站連線時,流量會透過中樞網路中的 NVA 路由傳送(通常是Azure 防火牆或協力廠商防火牆解決方案)。 來自內部部署網站的流量會透過 ExpressRoute 閘道進入 Azure 虛擬網路(連線至客戶擁有的線路),並路由傳送至防火牆 NVA。 檢查之後,流量會透過受控 ExpressRoute 線路轉送至私人雲端(如果防火牆未捨棄)。

相反的方向是,來自私人雲端的流量會進入中樞虛擬網路或輔助虛擬網路,視設計階段 1( 一虛擬網路或 輔助虛擬網路 )選擇的實作選項而定。 然後,它會透過連線到受控線路和防火牆 NVA 的 ExpressRoute 閘道進行路由傳送。 檢查之後,流量會透過客戶擁有的 ExpressRoute 線路,將流量轉送至內部部署目的地(如果防火牆未卸載)。

單一虛擬網路和輔助虛擬網路選項都包含路由組態,可讓來自私人雲端的所有流量轉送至中樞網路中防火牆 NVA,而不論其目的地(Azure 虛擬網路或內部部署網站)。 在私人雲端和 Azure 資源中執行的虛擬機器之間允許或卸載連線的防火牆規則,必須新增至防火牆原則。

ExpressRoute Global Reach 用於內部部署流量

當您使用 ExpressRoute Global Reach 與內部部署網站連線時,中樞網路與私人雲端之間的 ExpressRoute 閘道連線只會承載目的地為 Azure 資源的流量。 若要透過防火牆裝置路由傳送此流量,您需要實作下列設定:

  • 在傳統的中樞輪輻網路中,您必須將使用者定義路由(UDR)新增至 Azure 上所有目的地的閘道Subnet,這些目的地(IP 首碼)都必須透過 NVA 連線。 UDR 的下一個躍點 IP 位址是防火牆的 VIP(當您使用 Azure 防火牆 時,防火牆的私人 IP 位址)。
  • 在以中樞整合 NVA 的虛擬 WAN 為基礎的中樞輪輻網路(Azure 防火牆或協力廠商安全性解決方案),您需要將自訂靜態路由新增至虛擬 WAN 中樞的預設路由表。 每個需要透過 NVA 從 Azure VMware 解決方案連線到的 IP 前置詞都需要 UDR。 這些 UDR 的下一個躍點必須是防火牆或 NVA 的 VIP。 或者,您可以在受保護的虛擬 WAN 中樞上啟用和設定 虛擬 WAN 路由意圖和路由原則

IPSec VPN 用於內部部署流量

當您使用 IPSec VPN 與內部部署網站連線時,您必須設定其他路由,以透過防火牆 NVA 在 Azure 虛擬網路中的私人雲端和資源之間路由連線:

  • 在傳統中樞輪輻網路中,您必須將 UDR 新增至中樞網路的 GatewaySubnet,以供 Azure 上需要透過 NVA 連線的所有目的地(IP 首碼)。 UDR 的下一個躍點 IP 位址是防火牆的 VIP(當您使用 Azure 防火牆 時,防火牆的私人 IP 位址)。
  • 在以具有中樞整合 NVA 的虛擬 WAN 為基礎的中樞輪輻網路(Azure 防火牆或協力廠商安全性解決方案),您必須針對需要透過來自 Azure VMware 解決方案 的 NVA 連線到虛擬 WAN 中樞的預設路由表,將自訂靜態路由新增至虛擬 WAN 中樞的預設路由表。 針對每個 UDR,下一個躍點必須是防火牆或 NVA 的 VIP。 或者,您可以在受保護的虛擬 WAN 中樞上啟用和設定 虛擬 WAN 路由意圖和路由原則

下一步

瞭解輸入網際網路連線能力。

輸入網際網路連線能力