Designöverväganden för Internetanslutning

Det finns tre primära mönster för att skapa utgående åtkomst till Internet från Azure VMware Solution och för att aktivera inkommande Internetåtkomst till resurser i ditt privata Azure VMware Solution-moln.

Dina krav för säkerhetskontroller, synlighet, kapacitet och åtgärder styr valet av lämplig metod för leverans av Internetåtkomst till det privata azure VMware Solution-molnet.

Internettjänst som finns i Azure

Det finns flera sätt att generera en standardväg i Azure och skicka den till ditt privata Azure VMware Solution-moln eller lokalt. Alternativen är följande:

  • En Azure-brandvägg i en Virtuell WAN-hubb.
  • En virtuell nätverksinstallation från tredje part i ett virtuellt WAN Hub Spoke Virtual Network.
  • En virtuell nätverksinstallation från tredje part i ett internt virtuellt Azure-nätverk med Azure Route Server.
  • En standardväg från lokal överföring till Azure VMware Solution via Global Reach.

Använd något av dessa mönster för att tillhandahålla en utgående SNAT-tjänst med möjlighet att styra vilka källor som tillåts ut, visa anslutningsloggarna och för vissa tjänster utföra ytterligare trafikinspektion.

Samma tjänst kan också använda en offentlig IP-adress i Azure och skapa en inkommande DNAT från Internet mot mål i Azure VMware Solution.

En miljö kan också skapas som använder flera sökvägar för Internettrafik. En för utgående SNAT (till exempel en säkerhets-NVA från tredje part) och en annan för inkommande DNAT (t.ex. en NVA för lastbalanserare från tredje part som använder SNAT-pooler för returtrafik).

Azure VMware Solution Managed SNAT

En hanterad SNAT-tjänst tillhandahåller en enkel metod för utgående internetåtkomst från ett privat Azure VMware Solution-moln. Här är några av funktionerna i den här tjänsten.

  • Enkelt aktiverat – välj alternativknappen på fliken Internet Anslut ivity och alla arbetsbelastningsnätverk har omedelbar utgående åtkomst till Internet via en SNAT-gateway.
  • Ingen kontroll över SNAT-regler, alla källor som når SNAT-tjänsten tillåts.
  • Ingen insyn i anslutningsloggar.
  • Två offentliga IP-adresser används och roteras för att stödja upp till 128 000 samtidiga utgående anslutningar.
  • Det finns ingen inkommande DNAT-funktion med Azure VMware Solution Managed SNAT.

Offentlig IPv4-adress i Azure till NSX Edge

Det här alternativet ger en allokerad offentlig IPv4-adress i Azure direkt till NSX Edge för förbrukning. Det gör att det privata Azure VMware Solution-molnet direkt kan använda och tillämpa offentliga nätverksadresser i NSX efter behov. Dessa adresser används för följande typer av anslutningar:

  • Utgående SNAT
  • Inkommande DNAT
  • Belastningsutjämning med VMware NSX Advanced Load Balancer och andra virtuella nätverksinstallationer från tredje part
  • Program som är direkt anslutna till ett vm-gränssnitt för arbetsbelastningar.

Med det här alternativet kan du också konfigurera den offentliga adressen på en virtuell nätverksinstallation från tredje part för att skapa en DMZ i det privata Azure VMware Solution-molnet.

Funktionerna omfattar:

  • Skala – du kan begära att öka den mjuka gränsen på 64 offentliga IPv4-adresser i Azure till 1 000 azure-offentliga IP-adresser som allokerats om ett program kräver det.
  • Flexibilitet – en offentlig IPv4-adress i Azure kan tillämpas var som helst i NSX-ekosystemet. Den kan användas för att tillhandahålla SNAT eller DNAT, på lastbalanserare som VMwares NSX Advanced Load Balancer eller virtuella nätverksinstallationer från tredje part. Den kan också användas på virtuella nätverksinstallationer från tredje part i VMware-segment eller direkt på virtuella datorer.
  • Regionalitet – Azure Public IPv4-adressen till NSX Edge är unik för den lokala SDDC:n. För "flera privata moln i distribuerade regioner" med lokala avslut till Internet-avsikter är det enklare att dirigera trafik lokalt jämfört med att försöka kontrollera standarddirigering för en säkerhets- eller SNAT-tjänst som finns i Azure. Om du har två eller flera privata Azure VMware Solution-moln anslutna med en offentlig IP-adress konfigurerad kan båda ha en lokal utgång.

Överväganden för att välja ett alternativ

Vilket alternativ du väljer beror på följande faktorer:

  • Om du vill lägga till ett privat Azure VMware-moln till en säkerhetsinspektionsplats som etablerats i Azure som inspekterar all Internettrafik från azure-interna slutpunkter använder du en inbyggd Azure-konstruktion och läcker en standardväg från Azure till ditt privata Azure VMware Solution-moln.
  • Om du behöver köra en virtuell nätverksinstallation från tredje part för att följa befintliga standarder för säkerhetsinspektion eller effektiva driftskostnader har du två alternativ. Du kan köra din offentliga IPv4-adress i Azure med standardmetoden för routning eller köra den i Azure VMware Solution med azure public IPv4-adress till NSX Edge.
  • Det finns skalningsgränser för hur många offentliga IPv4-adresser i Azure som kan allokeras till en virtuell nätverksinstallation som körs i inbyggda Azure eller etableras i Azure Firewall. Alternativet Azure Public IPv4-adress till NSX Edge möjliggör högre allokeringar (1 000 s jämfört med 100 s).
  • Använd en offentlig Azure IPv4-adress till NSX Edge för en lokaliserad utgång till Internet från varje privat moln i den lokala regionen. Med flera privata Azure VMware Solution-moln i flera Azure-regioner som behöver kommunicera med varandra och Internet kan det vara svårt att matcha ett privat Azure VMware Solution-moln med en säkerhetstjänst i Azure. Svårigheten beror på hur en standardväg från Azure fungerar.

Viktigt!

Offentlig IPv4-adress med NSX tillåter inte utbyte av offentliga IP-adresser som ägs av Azure/Microsoft via ExpressRoute Private Peering-anslutningar. Det innebär att du inte kan annonsera offentliga IPv4-adresser till kundens virtuella nätverk eller lokala nätverk via ExpressRoute. Alla offentliga IPv4-adresser med NSX-trafik måste använda internetsökvägen även om det privata Azure VMware Solution-molnet är anslutet via ExpressRoute. Mer information finns i ExpressRoute-kretspeering.

Nästa steg

Aktivera hanterad SNAT för Azure VMware Solution-arbetsbelastningar

Aktivera offentlig IP-adress till NSX Edge för Azure VMware-lösningen

Inaktivera Internetåtkomst eller aktivera en standardväg