Azure VMware 解決方案 的範例架構
若要建立 Azure VMware 解決方案 登陸區域,您需要先設計和實作網路功能。 Azure 網路產品和服務支持各種不同的網路案例。 藉由評估組織的工作負載、治理和需求,選擇適當的架構和規劃,以針對您的需求建構服務。
在做出 Azure VMware 解決方案 部署決策之前,請先檢閱下列考慮和重要需求。
- #D4B2987D532804D1DA5B87ABE2169F7B0 應用程式中的 HTTP/S 或非 HTTP/S 因特網輸入需求
- 因特網輸出路徑考慮
- 移轉的 L2 擴充功能
- NVA 在目前的架構中使用
- Azure VMware 解決方案 連線到標準中樞虛擬網路或虛擬 WAN 中樞
- 私人 ExpressRoute 從內部部署資料中心連線到 Azure VMware 解決方案 (如果您應該啟用 ExpressRoute Global Reach 或否)
- 流量檢查需求:
- 因特網輸入至 Azure VMware 解決方案 應用程式
- Azure VMware 解決方案 對因特網的輸出存取
- Azure VMware 解決方案 內部部署數據中心的存取權
- Azure VMware 解決方案 Azure 虛擬網絡 的存取權
- Azure VMware 解決方案 私人雲端內的流量
下表使用 VMware 解決方案流量檢查需求來提供最常見網路案例的建議和考慮。
| 案例 | 交通檢查需求 | 建議的解決方案設計 | 考量 |
|---|---|---|---|
| 1 | - 因特網輸入 - 因特網輸出 |
使用具有預設閘道傳播的虛擬 WAN 安全中樞。 針對 HTTP/S 流量,請使用 Azure 應用程式閘道。 針對非 HTTP/S 流量,請使用 Azure 防火牆。 部署安全的虛擬 WAN 中樞,並在 Azure VMware 解決方案 中啟用公用 IP。 |
此解決方案不適用於內部部署篩選。 Global Reach 會略過虛擬 WAN 中樞。 |
| 2 | - 因特網輸入 - 因特網輸出 - 至內部部署數據中心 - 至 Azure 虛擬網絡 |
在中樞虛擬網路中搭配 Azure 路由伺服器使用第三方防火牆 NVA 解決方案。 停用 Global Reach。 針對 HTTP/S 流量,請使用 Azure 應用程式閘道。 針對非 HTTP/S 流量,請在 Azure 上使用第三方防火牆 NVA。 |
如果您想要使用現有的 NVA,並將中樞虛擬網路中的所有流量檢查集中,請選擇此選項。 |
| 3 | - 因特網輸入 - 因特網輸出 - 至內部部署數據中心 - 至 Azure 虛擬網絡 在 Azure VMware 解決方案 |
在 Azure VMware 解決方案 中使用 NSX-T 數據中心或第三方 NVA 防火牆。 針對 HTTP 使用 應用程式閘道,或針對非 HTTP 流量使用 Azure 防火牆。 部署受保護的虛擬 WAN 中樞,並在 Azure VMware 解決方案 中啟用公用 IP。 |
如果您需要檢查來自兩個或更多 Azure VMware 解決方案 私人雲端的流量,請選擇此選項。 此選項可讓您使用 NSX-T 原生功能。 您也可以將此選項與 L1 與 L0 之間的 Azure VMware 解決方案 上執行的 NVA 合併。 |
| 4 | - 因特網輸入 - 因特網輸出 - 至內部部署資料中心 - 至 Azure 虛擬網絡 |
在中樞虛擬網路中搭配 Azure 路由伺服器使用第三方防火牆解決方案。 針對 HTTP 和 HTTPS 流量,請使用 Azure 應用程式閘道。 針對非 HTTP/HTTPS 流量,請在 Azure 上使用第三方防火牆 NVA。 使用內部部署第三方防火牆 NVA。 使用 Azure Route Server 在中樞虛擬網路中部署第三方防火牆解決方案。 |
選擇此選項,即可將路由從 Azure 中樞虛擬網路中的 NVA 公告0.0.0.0/0至 Azure VMware 解決方案。 |
網路案例的要點:
- 所有案例都有類似的輸入模式,透過 應用程式閘道 和 Azure 防火牆。
- 您可以在 Azure VMware 解決方案 中使用 L4-L7 負載平衡器 NVA。
- 您可以針對上述任何案例使用 NSX-T 數據中心防火牆。
下列各節概述 Azure VMware 解決方案 私人雲端的架構模式。 此清單並不完整。 如需詳細資訊,請參閱 Azure VMware 解決方案 網路和互連性概念。
具有預設路由傳播的安全虛擬 WAN 中樞
此案例牽涉到下列客戶配置檔、架構元件和考慮。
客戶設定檔
如果:
- 您不需要 Azure VMware 解決方案 與 Azure 虛擬網絡 之間的流量檢查。
- 您不需要 Azure VMware 解決方案 與內部部署資料中心之間的流量檢查。
- 您需要 Azure VMware 解決方案 工作負載與因特網之間的流量檢查。
在此案例中,取用 Azure VMware 解決方案,例如平臺即服務 (PaaS) 供應專案。 在此案例中,您不擁有公用IP位址。 視需要新增公開的 L4 和 L7 輸入服務。 您可能或可能還沒有內部部署數據中心與 Azure 之間的 ExpressRoute 連線能力。
高階概述
下圖提供案例的高階概觀。
架構元件
使用下列項目實作此案例:
- 在防火牆的安全虛擬 WAN 中樞內 Azure 防火牆
- L7 負載平衡的 應用程式閘道
- L4 目的地網路位址轉換 (DNAT) 與 Azure 防火牆 來翻譯和篩選網路輸入流量
- 透過虛擬 WAN 中樞 Azure 防火牆 的輸出因特網
- EXR、VPN 或 SD-WAN,用於內部部署數據中心與 Azure VMware 解決方案
考量
如果您不想從 Azure VMware 解決方案 收到預設路由0.0.0.0/0公告,因為它與現有的環境發生衝突,您需要執行一些額外的工作。
Azure 防火牆 安全虛擬 WAN 中樞會公告0.0.0.0/0路由至 Azure VMware 解決方案。 此路由也會透過 Global Reach 在內部部署公告。 實作內部部署路由篩選,以防止 0.0.0.0/0 路由學習。 使用 SD-WAN 或 VPN 來避免此問題。
如果您目前透過 ExpressRoute 網關聯機到虛擬網路型中樞和輪輻拓撲,而不是直接連線,則虛擬 WAN 中樞的預設 0.0.0.0/0 路由會傳播至該網關,並優先於虛擬網路內建的因特網系統路由。 在虛擬網路中實0.0.0.0/0作使用者定義的路由來覆寫學習的預設路由,以避免此問題。
已建立 VPN、ExpressRoute 或虛擬網路連線到安全虛擬 WAN 中樞,而不需要 0.0.0.0/0 公告無論如何都會收到公告。 若要避免這種情況,您可以:
- 使用內部部署邊緣裝置篩選出
0.0.0.0/0路由。 - 停用
0.0.0.0/0特定連線上的傳播。- 中斷 ExpressRoute、VPN 或虛擬網路的連線。
- 啟用
0.0.0.0/0傳播。 - 停用
0.0.0.0/0這些特定連線的傳播。 - 重新連線這些連線。
您可以在連線至中樞的輪輻虛擬網路或中樞虛擬網路上裝載 應用程式閘道。
Azure 中的網路虛擬設備 虛擬網絡 來檢查所有網路流量
此案例牽涉到下列客戶配置檔、架構元件和考慮。
客戶設定檔
如果:
- 您需要在中樞虛擬網路中使用第三方防火牆 NVA 來檢查所有流量,而且基於地緣政治或其他原因而無法使用 Global Reach。
- 您位於內部部署資料中心與 Azure VMware 解決方案 之間。
- 您在 Azure 虛擬網絡 與 Azure VMware 解決方案 之間。
- 您需要來自 Azure VMware 解決方案 的因特網輸入。
- 您需要因特網輸出才能 Azure VMware 解決方案。
- 您需要對 Azure VMware 解決方案 私人雲端外部的防火牆進行更細緻的控制。
- 您需要多個輸入服務的公用IP位址,而且需要在Azure 中封鎖預先定義的IP位址。 在此案例中,您不擁有公用IP位址。
此案例假設您在內部部署數據中心與 Azure 之間具有 ExpressRoute 連線能力。
高階概述
下圖提供案例的高階概觀。
架構元件
使用下列項目實作此案例:
- 裝載於虛擬網路中的第三方防火牆 NVA,以進行流量檢查和其他網路功能。
- Azure 路由伺服器,以路由傳送 Azure VMware 解決方案、內部部署數據中心和虛擬網路之間的流量。
- 應用程式閘道 提供 L7 HTTP/S 負載平衡。
在此案例中,您必須停用 ExpressRoute Global Reach。 第三方 NVA 負責提供輸出因特網給 Azure VMware 解決方案。
考量
- 請勿針對此案例設定 ExpressRoute Global Reach,因為它可讓 Azure VMware 解決方案 流量直接流向 Microsoft Enterprise Edge (MSEE) ExpressRoute 路由器,略過中樞虛擬網路。
- Azure 路由伺服器必須在中樞 VNet 中部署,並以傳輸 VNet 中的 NVA 對等互連 BGP。 設定 Azure Route Server 以允許 分支對分支 連線。
- 自定義路由表和使用者定義的路由可用來將流量路由傳送至 Azure VMware 解決方案 至第三方防火牆 NVA 的負載平衡器。 支援所有HA模式(主動/主動和主動/待命),並保證路由對稱。
- 如果您需要 NVA 的高可用性,請參閱 NVA 廠商檔,並 部署高可用性 NVA。
具有或不含 NSX-T 或 NVA 的 Azure VMware 解決方案 輸出
此案例牽涉到下列客戶配置檔、架構元件和考慮。
客戶設定檔
如果:
- 您必須使用原生 NSX-T 數據中心平臺,因此您需要 Azure VMware 解決方案 的 PaaS 部署。
- 您需要 Azure VMware 解決方案 內的自備授權 (BYOL) NVA 進行交通檢查。
- 您可能或可能還沒有內部部署數據中心與 Azure 之間的 ExpressRoute 連線能力。
- 您需要輸入 HTTP/S 或 L4 服務。
從 Azure VMware 解決方案 到 Azure 虛擬網絡、從 Azure VMware 解決方案 到因特網,以及從 Azure VMware 解決方案 到內部部署資料中心的所有流量都會透過 NSX-T 數據中心第 0/第 1 層網關或 NVA 進行漏鬥。
高階概述
下圖提供案例的高階概觀。
架構元件
使用下列項目實作此案例:
- NSX 分散式防火牆 (DFW),或位於第 1 層後方的 NVA Azure VMware 解決方案。
- 應用程式閘道 提供 L7 負載平衡。
- 使用 Azure 防火牆 的 L4 DNAT。
- 來自 Azure VMware 解決方案 的因特網突破。
考量
在 Azure 入口網站 上啟用因特網存取。 在此設計中,輸出IP位址可以變更,而且不具決定性。 公用IP位址位於 NVA 外部。 Azure VMware 解決方案 中的 NVA 仍然具有私人 IP 位址,且不會判斷輸出公用 IP 位址。
NVA 是 BYOL。 您有責任為 NVA 帶來授權並實作高可用性。
如需 VM 上最多八張虛擬網路適配器之 VMware 限制的資訊,請參閱 NVA 放置選項的 VMware 檔。 如需詳細資訊,請參閱 Azure VMware 解決方案 中的防火牆整合。
使用 Azure 路由伺服器在中樞虛擬網路中的第三方防火牆解決方案
此案例具有下列客戶配置檔、架構元件和考慮:
客戶設定檔
如果:
- 您想要在 Azure VNet 中樞中使用第三方 NVA 來 Azure VMware 解決方案 因特網輸出,而且您想要檢查 Azure VMware 解決方案 與 Azure 虛擬網絡 之間的流量。
- 您想要使用內部部署第三方 NVA 來檢查內部部署資料中心與 Azure 之間的流量。
- 您需要多個輸入服務的公用IP位址,而且需要在Azure 中封鎖預先定義的IP位址。 在此案例中,您不擁有公用IP。
- 您需要對私人雲端外部 Azure VMware 解決方案 防火牆進行更細緻的控制。
高階概述
下圖提供案例的高階概觀。
架構元件
使用下列項目實作此案例:
- 針對防火牆和其他網路功能,裝載於 VNet 中的第三方 NVA 主動-主動或主動-待命。
- Azure 路由伺服器,以在 Azure VMware 解決方案、內部部署數據中心和虛擬網路之間交換路由。
- 您在 Azure 虛擬網絡 中樞的第三方 NVA,以提供輸出因特網給 Azure VMware 解決方案。
- ExpressRoute 用於內部部署數據中心與 Azure VMware 解決方案 之間的連線。
考量
- 在此設計中,輸出公用IP位址位於 Azure VNet 中的 NVA。
- 虛擬網路中樞 BGP 中的第三方 NVA 會與 Azure 路由伺服器 (ECMP)
0.0.0.0/0對等互連,並將預設路由公告至 Azure VMware 解決方案。 - 默認路由
0.0.0.0/0也會透過 Global Reach 公告內部部署。 實作內部部署路由篩選,以防止預設路由0.0.0.0/0學習。 - Azure VMware 解決方案 與內部部署網路之間的流量會流經 ExpressRoute Global Reach,如將內部部署環境對等互連至 Azure VMware 解決方案 中所述。 內部部署與 Azure VMware 解決方案 之間的流量檢查是由內部部署第三方 NVA 執行,而不是 Azure 虛擬網絡 中樞中的第三方 NVA。
- 您可以在連線到中樞或中樞虛擬網路的輪輻虛擬網路上裝載 應用程式閘道。
下一步
如需中樞和輪輻網路中 Azure VMware 解決方案 的詳細資訊,請參閱在中樞和輪輻架構中整合 Azure VMware 解決方案。
如需 VMware NSX-T 資料中心網路區段的詳細資訊,請參閱使用 Azure VMware 解決方案 設定 NSX-T 資料中心網路元件。
若要瞭解 雲端採用架構 企業級登陸區域架構原則、各種設計考慮,以及 Azure VMware 解決方案 的最佳做法,請參閱本系列中的下一篇文章: