Aktivera anslutning från Azure VMware Solution
Introduktion
I det här designmönstret har trafiken en dedikerad sökväg över Microsofts stamnät från det lokala datacentret till det privata molnet Azure VMware Solution (AVS). Den här anslutningen sker via Expressroute Global Reach, en mekanism som tillhandahåller en direkt sökväg mellan den kundhanterade som sedan kan ansluta till AVS-dedikerade Expressroute-kretsar. Det privata molnet har också en separat, isolerad utbrytning från NSX Edge till Internet så att den här trafiken inte passerar över Expressroute.
Viktigt!
Om du i dag befinner dig i en region där Global Reach inte stöds kan du skicka från det lokala till det privata AVS-molnet genom att distribuera en Expressroute Gateway i Azure. För att tillhandahålla transitiviteten från slutpunkt till slutpunkt krävs en virtuell installation i det virtuella hubbnätverket (VNET). Se avsnittet Trafikinspektion och standardvägsannonsering.
Kundprofil
Den här arkitekturen är perfekt för:
- Låg svarstid, utgående internt från Azure VMware Solution SDDC (programvarudefinierade datacenter) till Internet.
- Dirigera trafik från en lokal plats direkt till Azure via Expressroute eller VPN.
- Inkommande L4/L7-tjänster för arbetsbelastningar i SDDC, till exempel HTTPS
Trafiken, som flödar genom AVS NSX-routrarna, som beskrivs i den här designen är:
- Azure VMware Solution to Azure native virtual networks (Azure VMware Solution to Azure native virtual networks)
- Azure VMware-lösning till Internet
- Azure VMware-lösning till lokala datacenter
Arkitekturkomponenter
Implementera det här scenariot med:
- En avancerad NSX-lastbalanserare
- Offentlig IP för Internet-breakout från Azure VMware Solution för både käll- och måladressöversättning (SNAT/DNAT)
Kommentar
Även om NSX Advanced Load Balancer (Avi) tillhandahåller inkommande funktioner direkt i NSX, är den här funktionen också möjlig med WAF eller App Gateway v2 i Azure.
Nyckelbeslut
Det här dokumentet förutsätter och rekommenderar standardvägsannonsering från antingen lokalt eller AVS. Om du behöver standardvägen för att komma från Azure kan du läsa avsnittet Trafikinspektion och Standardvägsannons.
Att tänka på
- Aktivera offentlig IP-adress till NSX Edge i Azure-portalen. Detta möjliggör direktanslutningar med låg latens till Azure VMware Solution och möjlighet att skala antalet utgående anslutningar.
- Använd skapande av NSX-brandväggens regel.
- Använd den avancerade NSX-lastbalanseraren för att jämnt distribuera trafik till arbetsbelastningar.
- Aktivera översvämningsskydd (distribuerad och gateway).
Utgående från AVS med NSX-T eller NVA
| Täckning för trafikkontroll | Rekommenderad lösningsdesign | Att tänka på | Internet Breakout |
|---|---|---|---|
| - Internet-ingress - Utgående internet – Trafik till lokalt datacenter – Trafik till Azure Virtual Network – Trafik i Azure VMware Solution |
Använd NSX-T eller en NVA-brandvägg från tredje part i Azure VMware Solution. Använd NSX-T Advanced Load Balancer för HTTPs eller NSX-T Firewall för icke-HTTP/S-trafik. Offentlig IP för Internet-utbrytning från Azure VMware Solution, SNAT och DNAT. |
Välj det här alternativet för att annonsera 0.0.0.0/0 vägen från azure VMware Solution Private Cloud. Aktivera offentlig IP-adress till NSX Edge i Azure-portalen. Det här alternativet möjliggör anslutningar med låg latens till Azure och möjlighet att skala antalet utgående anslutningar. |
Azure VMware Solution |
Utgående från Azure VMware Solution via 0.0.0.0/0-annons från en lokal plats
| Täckning för trafikkontroll | Rekommenderad lösningsdesign | Att tänka på | Internet Breakout |
|---|---|---|---|
| - Internet-ingress - Utgående internet – Till lokalt datacenter |
Använd en virtuell installation lokalt För HTTP/S-trafik använder du NSX Advanced Load Balancer eller Application Gateway i Azure. För icke-HTTP/S-trafik använder du den distribuerade NSX-brandväggen. Aktivera offentlig IP-adress i Azure VMware Solution. |
Välj det här alternativet för att annonsera 0.0.0.0/0 vägen från lokala datacenter. |
Lokal |
Viktigt!
Vissa traditionella VMware-enheter använder tjänstinfogning för att placera apparater på nivå 0-routern. Nivå 0-routrarna etableras och hanteras av Microsoft och kan inte användas av slutanvändare. Alla nätverksinstallationer och lastbalanserare måste placeras på nivå 1. I nästa avsnitt beskrivs standardspridning av vägar från en partenhet i AVS.
NVA-integrering från tredje part i AVS
Integrering med tredjepartsutrustning är möjlig med noggrant övervägande. I den här designen sitter nva:er från tredje part bakom en eller flera T-1-kantroutrar.
Det är användarnas ansvar att ta med en licens och implementera alla funktioner för hög tillgänglighet som är inbyggda på enheten.
Tänk på gränserna när du väljer den här implementeringen. Det finns till exempel en gräns på upp till åtta nätverkskort (NIC) på en virtuell dator. Mer information om hur du placerar NVA:er i AVS finns i: NSX-T-brandväggsmönster
Kommentar
Microsoft stöder inte användning av mobilitetsoptimerade nätverk när nva:er från tredje part används.
Överväganden för landningszon
Det här avsnittet refererar till metodtips för att integrera AVS med azure-landningszonen.
Azure Route Server
Azure Route Server (ARS) används för att dynamiskt sprida inlärda vägar från AVS och tillhandahålla branch-till-gren-anslutning till VPN-gatewayer. Virtuella nätverk som är peer-kopplade till det virtuella nätverket där ARS bor lär sig också dynamiskt vägarna, vilket gör det möjligt att lära sig vägar från AVS till hubb- och ekermiljöer i Azure. Användningsfall för Azure Route Server är:
Dynamisk routningsspridning:
- Lär dig specifika vägar från AVS till lokala virtuella nätverk via BGP (Border Gateway Protocol). De peerkopplade virtuella nätverken kan sedan också lära sig vägarna.
- NVA-integrering från tredje part
- Peer ARS med NVA:er så att du inte behöver UDR för varje AVS-segment för att filtrera trafik.
- Returnera trafik från peer-kopplade virtuella nätverk behöver en UDR (användardefinierade vägar) tillbaka till brandväggens lokala gränssnitt
- Överföringsmekanism från Expressroute till VPN Gateways
- VPN Gateway måste vara av typen Plats-till-plats och konfigurerad i Active-Active
Om du vill använda Azure Route Server måste du:
Aktivera gren till gren
Använd routningssammanfattning för > 1 000 vägar eller använd
NO_ADVERTISE BGP communitiesflaggan refenced i vanliga frågor och svar om Azure Route ServerPeer-NVA med specifika asn-nätverk som inte är Azure. Eftersom ARS till exempel använder 65515 kan ingen annan installation i det virtuella nätverket använda asn (autonomt systemnummer).
Inget stöd för IPV6
Integrering med Azure NetApp Files
Azure NetApp Files (ANF) tillhandahåller ett nätverksanslutet datalager via NFS-protokollet. ANF finns i ett virtuellt Azure-nätverk och ansluter till arbetsbelastningar i AVS. Genom att använda NFS-datalager som backas upp av Azure NetApp Files kan du expandera lagringen i stället för att skala klustren.
- Skapa Azure NetApp Files-volymer med standardnätverksfunktioner för att aktivera optimerad anslutning från ditt privata AVS-moln via ExpressRoute FastPath
- Distribuera ANF i ett delegerat undernät
- Hub &spoke-distribution stöder ER GW SKU på upp till 10 Gbit/s
- Ultra & ErGw3AZ SKU krävs för att kringgå gatewayportens hastighetsgränser
- Lästrafik-ingresser och skrivtrafik är utgående över Expressroute. Utgående trafik över Expressroute-kretsar kringgår gatewayen och går direkt till gränsroutern
- Avgifter för inkommande/utgående trafik undertrycks från AVS, men det finns en utgående avgift om data går över peer-kopplade virtuella nätverk.
- Endast NFS v3 stöds idag.
Om du får oväntade svarstider kontrollerar du att ditt privata AVS-moln och ANF-distributionen är fästa på samma AZ (Azure-tillgänglighetszoner). För hög tillgänglighet skapar du ANF-volymer i separata AZs och aktiverar Cross Zone Replication
Viktigt!
Microsoft stöder inte Fastpath for Secured Azure VWAN Hub där maximal porthastighet är 20 Gbps. Överväg att använda virtuella hubb- och ekernätverk om större dataflöde krävs. Se hur du kopplar Azure Netapp Files-datalager till Azure VMware Solution-värdar här
VPN-anslutning från lokal plats
En Expressroute-krets rekommenderas, men det är också möjligt att ansluta till AVS lokalt med IPSEC med hjälp av ett virtuellt transithubbnätverk i Azure. Det här scenariot kräver en VPN-gateway och Azure Route Server. Som tidigare nämnts möjliggör Azure Route Server transitivitet mellan VPN-gatewayen och AVS Expressroute-gatewayen.
Trafikkontroll
Som vi såg tidigare sker standardvägsannonseringen från AVS med den offentliga IP-adressen ned till alternativet NSX Edge, men det är också möjligt att fortsätta annonsera standardvägen lokalt. Slutpunkt till slutpunkt-trafikfiltrering från lokal till AVS är möjlig med brandväggen placerad på någon av dessa slutpunkter.
Standardvägannonsering från Azure är möjlig med en NVA från tredje part i antingen ett virtuellt hubbnätverk eller när du använder Azure vWAN. I en hubb- och ekerdistribution är Azure Firewall inte möjligt eftersom den inte talar BGP, men du kan använda en BGP-kompatibel enhet från tredje part. Det här scenariot fungerar för att inspektera trafik från:
- Lokalt till Azure
- Azure till Internet
- AVS till Internet
- AVS till Azure
En nva från tredje part i det virtuella hubbnätverket inspekterar trafik mellan AVS och Internet och mellan AVS och virtuella Azure-nätverk
| Krav för trafikkontroll | Rekommenderad lösningsdesign | Att tänka på | Internet Breakout |
|---|---|---|---|
| - Internet-ingress – Utgående internet – Till lokalt datacenter – Till Azure Virtual Network |
Använd brandväggslösningar från tredje part i ett virtuellt navnätverk med Azure Route Server. För HTTP/S-trafik använder du Azure Application Gateway. För icke-HTTP/S-trafik använder du en brandväggs-NVA från tredje part i Azure. Använd en lokal brandväggs-NVA från tredje part. Distribuera brandväggslösningar från tredje part i ett virtuellt navnätverk med Azure Route Server. |
Välj det här alternativet om du vill annonsera 0.0.0.0/0 vägen från en NVA i ditt virtuella Azure Hub-nätverk till en Azure VMware-lösning. |
Azure |
Ytterligare Information
- Få åtkomst till vCenter med hjälp av den virtuella datorn Bastion + Jumpbox – Om du använder vCenter lokalt måste du ha en väg från dina lokala nätverk till avs-hanteringsnätverket /22. Verifiera att vägen i CLI genom att skriva
Test-NetConnection x.x.x.2 -port 443 - DNS-överväganden – Om du använder privata slutpunkter följer du anvisningarna här: DNS-konfiguration för privat slutpunkt i Azure | Microsoft Learn
Nästa steg
- Mer information om hur du överför från lokal VPN till Azure VMware Solution finns i artikeln om följande VPN till ExR-överföring:
- Mer information om Azure VMware Solution i hub-and-spoke-nätverk finns i Integrera Azure VMware Solution i en hubb- och ekerarkitektur.
- Mer information om VMware NSX-T Data Center-nätverkssegment finns i Konfigurera NSX-T Data Center-nätverkskomponenter med Azure VMware Solution.
- Mer information om Azure Router Server finns i produktöversikten Vad är Azure Route Server?
Observera sedan andra designmönster för att upprätta anslutning till Azure VMware-lösningen