Aspekty návrhu připojení k internetu

Existují tři primární vzory pro vytvoření odchozího přístupu k internetu z řešení Azure VMware Solution a povolení příchozího přístupu k internetu k prostředkům v privátním cloudu Azure VMware Solution.

Vaše požadavky na kontrolní mechanismy zabezpečení, viditelnost, kapacitu a provoz řídí výběr vhodné metody pro doručování přístupu k internetu do privátního cloudu Azure VMware Solution.

Internetová služba hostovaná v Azure

Existuje několik způsobů, jak vygenerovat výchozí trasu v Azure a odeslat ji do privátního cloudu Azure VMware Solution nebo do místního prostředí. Možnosti jsou tyto:

  • Brána firewall Azure v centru Virtual WAN.
  • Síťové virtuální zařízení třetí strany ve virtuální síti Virtual WAN s paprskovou hvězdicovou sítí.
  • Síťové virtuální zařízení třetí strany v nativní virtuální síti Azure s využitím Azure Route Serveru.
  • Výchozí trasa z místního prostředí přenesená do služby Azure VMware Solution přes Global Reach

Pomocí některého z těchto vzorů můžete poskytovat odchozí službu SNAT s možností řídit, jaké zdroje jsou povolené, zobrazit protokoly připojení a u některých služeb provádět další kontrolu provozu.

Stejná služba může také využívat veřejnou IP adresu Azure a vytvořit příchozí DNAT z internetu směrem k cílům ve službě Azure VMware Solution.

Můžete také vytvořit prostředí, které využívá více cest pro internetový provoz. Jeden pro odchozí síťové virtuální zařízení SNAT (například síťové virtuální zařízení zabezpečení třetí strany) a druhý pro příchozí DNAT (například síťové virtuální zařízení nástroje pro vyrovnávání zatížení třetí strany využívající fondy SNAT pro návratový provoz).

Azure VMware Solution Managed SNAT

Spravovaná služba SNAT poskytuje jednoduchou metodu odchozího přístupu k internetu z privátního cloudu Azure VMware Solution. Mezi funkce této služby patří:

  • Snadné povolení – vyberte přepínač na kartě Internet Připojení ivity a všechny sítě úloh mají okamžitý odchozí přístup k internetu přes bránu SNAT.
  • Žádná kontrola nad pravidly SNAT, všechny zdroje, které se dostanou do služby SNAT, jsou povoleny.
  • V protokolech připojení není žádný přehled.
  • Používají se dvě veřejné IP adresy, které podporují až 128 tisíc souběžných odchozích připojení.
  • U spravovaného SNAT ve službě Azure VMware Solution Managed SNAT není k dispozici žádná možnost příchozího DNAT.

Veřejná IPv4 adresa Azure na NSX Edge

Tato možnost přináší přidělenou veřejnou IPv4 adresu Azure přímo do hraniční sítě NSX pro využití. Umožňuje privátnímu cloudu Azure VMware Solution přímo využívat a používat veřejné síťové adresy v NSX podle potřeby. Tyto adresy se používají pro následující typy připojení:

  • Odchozí SNAT
  • Příchozí DNAT
  • Vyrovnávání zatížení s využitím nástroje pro vyrovnávání zatížení VMware NSX Advanced Load Balancer a dalších síťových virtuálních zařízení třetích stran
  • Aplikace jsou přímo připojené k rozhraní virtuálního počítače úloh.

Tato možnost také umožňuje nakonfigurovat veřejnou adresu na síťovém virtuálním zařízení třetí strany a vytvořit DMZ v privátním cloudu Azure VMware Solution.

Mezi funkce patří:

  • Škálování – pokud to aplikace vyžaduje, můžete požádat o navýšení obnovitelného limitu 64 veřejných IPv4 adres Azure na 1 000 s veřejných IP adres Azure.
  • Flexibilita – veřejná IPv4 adresa Azure se dá použít kdekoli v ekosystému NSX. Dá se použít k poskytování SNAT nebo DNAT v nástrojích pro vyrovnávání zatížení, jako je NSX NSX Advanced Load Balancer VMware nebo síťových virtuálních zařízení třetích stran. Dá se také použít na zařízeních síťového virtuálního zabezpečení třetích stran v segmentech VMware nebo přímo na virtuálních počítačích.
  • Regionalita – veřejná IPv4 adresa Azure pro NSX Edge je jedinečná pro místní SDDC. U "více privátních cloudů v distribuovaných oblastech" se záměry místního opuštění internetu je jednodušší směrovat provoz místně a nesměrovat výchozí šíření tras pro zabezpečení nebo službu SNAT hostovanou v Azure. Pokud máte dva nebo více privátních cloudů Azure VMware Solution připojených s nakonfigurovanou veřejnou IP adresou, můžou mít oba místní ukončení.

Důležité informace o výběru možnosti

Možnost, kterou vyberete, závisí na následujících faktorech:

  • Pokud chcete přidat privátní cloud Azure VMware do bodu kontroly zabezpečení zřízeného v nativním prostředí Azure, který kontroluje veškerý internetový provoz z nativních koncových bodů Azure, použijte nativní konstruktor Azure a únik výchozí trasy z Azure do privátního cloudu Azure VMware Solution.
  • Pokud potřebujete spustit síťové virtuální zařízení třetí strany tak, aby vyhovovalo stávajícím standardům pro kontrolu zabezpečení nebo zjednodušené provozní výdaje, máte dvě možnosti. Veřejnou IPv4 adresu Azure můžete spustit nativně v Azure pomocí výchozí metody trasy nebo ji spustit v řešení Azure VMware pomocí veřejné IPv4 adresy Azure na NSX Edge.
  • Existuje omezení škálování, kolik veřejných IPv4 adres Azure je možné přidělit síťovému virtuálnímu zařízení běžícímu v nativním Azure nebo zřízenému ve službě Azure Firewall. Veřejná IPv4 adresa Azure na NSX Edge umožňuje vyšší přidělení (1 000 s oproti 100 s).
  • Pro lokalizovaný východ k internetu z každého privátního cloudu v místní oblasti použijte veřejnou IPv4 adresu Azure k edgi NSX Edge. Použití několika privátních cloudů Azure VMware Solution v několika oblastech Azure, které potřebují komunikovat mezi sebou a internetem, může být obtížné spárovat privátní cloud Azure VMware Solution se službou zabezpečení v Azure. Potíže jsou způsobené tím, jak funguje výchozí trasa z Azure.

Důležité

Veřejná IPv4 adresa s NSX záměrně neumožňuje výměnu veřejných IP adres vlastněných Azure nebo Microsoftem přes privátní partnerské vztahy ExpressRoute. To znamená, že prostřednictvím ExpressRoute nemůžete inzerovat veřejné IPv4 adresy do virtuální sítě zákazníka nebo místní sítě. Všechny veřejné IPv4 adresy s provozem NSX musí přebírat internetovou cestu, i když je privátní cloud Azure VMware Solution připojený přes ExpressRoute. Další informace najdete v partnerském vztahu okruhu ExpressRoute.

Další kroky

Povolení spravovaného SNAT pro úlohy řešení Azure VMware

Povolení veřejné IP adresy k edici NSX Edge pro řešení Azure VMware

Zakázání přístupu k internetu nebo povolení výchozí trasy