Considerações sobre design de conectividade com a Internet

Existem três padrões primários para criar acesso de saída à internet a partir da Solução VMware no Azure e para permitir o acesso de entrada à internet aos recursos na sua nuvem privada da Solução VMware no Azure.

Seus requisitos de controles de segurança, visibilidade, capacidade e operações impulsionam a seleção do método apropriado para a entrega de acesso à Internet à nuvem privada da Solução VMware no Azure.

Serviço de Internet hospedado no Azure

Há várias formas de gerar uma rota padrão no Azure e enviá-la para a sua nuvem privada ou local da Solução VMware no Azure. As opções são as seguintes:

  • Um Firewall do Azure em um hub de WAN Virtual.
  • Uma Solução de Virtualização de Rede de terceiros em um Rede Virtual do Hub WAN Virtual Spoke.
  • Um Solução de Virtualização de Rede de terceiros em uma Rede Virtual do Azure usando o Servidor de Rota do Azure.
  • Uma rota padrão do local transferida para a Solução VMware no Azure sobre o Alcance Global.

Use um desses padrões para fornecer um serviço SNAT de saída com a capacidade de controlar quais fontes são permitidas, exibir os logs de conexão e, para alguns serviços, fazer uma inspeção de tráfego adicional.

O mesmo serviço também pode consumir um IP público do Azure e criar um DNAT de entrada da Internet para destinos na Solução VMware no Azure.

Um ambiente também pode ser criado utilizando vários caminhos para o tráfego da Internet. Um para SNAT de saída (por exemplo, uma NVA de segurança de terceiros) e outro para DNAT de entrada (como um NVA de balanceador de carga de terceiros usando pools SNAT para tráfego retornado).

SNAT Gerenciado da Solução VMware no Azure

Um serviço SNAT gerenciado fornece um método simples para acesso à Internet de saída de uma nuvem privada da Solução VMware no Azure. Recursos desse serviço incluem o seguinte.

  • Ativação fácil – selecione o botão de opção na guia Conectividade com a internet e todas as redes de carga de trabalho terão acesso de saída à internet imediato por meio de um gateway SNAT.
  • Sem controle sobre regras SNAT, todas as fontes que chegam ao serviço SNAT são permitidas.
  • Nenhuma visibilidade dos logs de conexão.
  • Dois IPs públicos são usados e girados para dar suporte a conexões de saída simultâneas de até 128 mil.
  • Nenhuma funcionalidade DNAT de entrada está disponível com o SNAT gerenciado da Solução VMware no Azure.

Endereço IPv4 Público do Azure para o NSX Edge

Essa opção traz um endereço IPv4 público do Azure alocado diretamente para o NSX Edge para consumo. Ele permite que a nuvem privada da Solução VMware no Azure consuma e aplique endereços de rede públicos diretamente no NSX, conforme necessário. Esses endereços são usados para os seguintes tipos de conexões:

  • SNAT de saída
  • DNAT de entrada
  • Balanceamento de carga usando o VMware NSX Advanced Load Balancer e outras soluções de virtualização de rede de terceiros
  • Aplicativos conectados diretamente a uma interface de VM de carga de trabalho.

Essa opção também permite configurar o endereço público em uma Solução de Virtualização de Rede de terceiros para criar uma DMZ na nuvem privada da Solução VMware no Azure.

Os recursos incluem:

  • Escala – você pode solicitar o aumento do limite flexível de 64 endereços IPv4 públicos do Azure para 1.000 IPs públicos do Azure alocados, caso um aplicativo exija isso.
  • Flexibilidade – um endereço IPv4 público do Azure pode ser aplicado em qualquer lugar no ecossistema do NSX. Podem ser usados para fornecer SNAT ou DNAT, em balanceadores de carga como o NSX Advanced Load Balancer do VMware ou Soluções de Virtualização de Rede de terceiros. Também podem ser usados em dispositivos de segurança virtual de rede de terceiros em segmentos VMware ou diretamente em VMs.
  • Regionalidade – o endereço IPv4 público do Azure para o NSX Edge é exclusivo do SDDC local. Para "várias nuvens privadas em regiões distribuídas", com a intenção de saída local para a internet, é mais fácil direcionar o tráfego localmente em vez de tentar controlar a propagação da rota padrão para um serviço de segurança ou SNAT hospedado no Azure. Se você tem duas ou mais nuvens privadas da Solução VMware no Azure conectadas a um IP público configurado, as duas podem ter uma saída local.

Considerações para selecionar uma opção

A opção selecionada por você depende dos fatos a seguir:

  • Para adicionar uma nuvem privada do VMware do Azure a um ponto de inspeção de segurança provisionado no nativo do Azure que inspeciona todo o tráfego da Internet de pontos de extremidade nativos do Azure, use um constructo nativo do Azure e vaze uma rota padrão do Azure para a nuvem privada da Solução VMware no Azure.
  • Se você precisa executar uma Solução de Virtualização de Rede de terceiros para estar em conformidade com os padrões existentes de inspeção de segurança ou para otimizar as despesas operacionais, você tem duas opções. Você pode executar seu endereço IPv4 público do Azure no Azure nativo com o método de rota padrão ou executá-lo em Solução VMware no Azure usando o endereço IPv4 público do Azure para o NSX Edge.
  • Há limites de escala de quantos endereços IPv4 públicos do Azure podem ser alocados em uma Solução de Virtualização de Rede em execução no Azure nativo ou provisionado no Firewall do Azure. A opção de endereço IPv4 público do Azure para o NSX Edge permite alocações maiores (de centenas para milhares).
  • Use um endereço IPv4 público do Azure no NSX Edge para uma saída localizada para a internet de cada nuvem privada em sua região local. Usando várias nuvens privadas da Solução VMware no Azure em várias regiões do Azure que precisam se comunicar entre si e com a Internet, pode ser desafiador corresponder a uma nuvem privada da Solução VMware no Azure com um serviço de segurança no Azure. A dificuldade se deve à maneira como uma rota padrão do Azure funciona.

Importante

Por definição, o endereço IPv4 público com NSX não permite a troca de endereços IP públicos de propriedade do Azure/Microsoft por conexões de emparelhamento privado do ExpressRoute. Isso significa que você não pode anunciar os endereços IPv4 públicos para a VNet do cliente ou rede local por meio do ExpressRoute. Todo o tráfego de endereços IPv4 públicos com NSX devem seguir o caminho da internet mesmo que a nuvem privada da Solução VMware no Azure esteja conectada por meio do ExpressRoute. Para mais informações, acesso Emparelhamento de Circuito do ExpressRoute.

Próximas etapas

Habilitar o SNAT Gerenciado para cargas de trabalho da Solução VMware no Azure

Habilitar IP público para o NSX Edge para a Solução VMware no Azure

Desabilitar o acesso à Internet ou habilitar uma rota padrão