İnternet bağlantısı tasarımında dikkat edilmesi gerekenler

  • Makale

Azure VMware Çözümü'dan İnternet'e giden erişim oluşturmak ve Azure VMware Çözümü özel bulutunızdaki kaynaklara gelen İnternet erişimini etkinleştirmek için üç birincil desen vardır.

Güvenlik denetimleri, görünürlük, kapasite ve operasyon gereksinimleriniz, İnternet erişiminin Azure VMware Çözümü özel buluta teslimi için uygun yöntemin seçilmesini sağlar.

Azure'da barındırılan İnternet Hizmeti

Azure'da varsayılan bir yol oluşturmanın ve bunu Azure VMware Çözümü özel bulutunuza veya şirket içi ortamınıza göndermenin birden çok yolu vardır. Seçenekler şunlardır:

  • Sanal WAN Hub'ında bir Azure güvenlik duvarı.
  • Sanal WAN Hub Uç Sanal Ağ üçüncü taraf Ağ Sanal Gereci.
  • Azure Route Server'ın kullanıldığı Yerel Azure Sanal Ağ üçüncü taraf Ağ Sanal Gereci.
  • Şirket içinden global erişim üzerinden Azure VMware Çözümü aktarılan varsayılan yol.

Giden SNAT hizmetine izin verilen kaynakları denetleme, bağlantı günlüklerini görüntüleme ve bazı hizmetler için daha fazla trafik denetimi yapma olanağı sağlamak için bu desenlerden herhangi birini kullanın.

Aynı hizmet ayrıca Azure Genel IP'sini kullanabilir ve İnternet'ten Azure VMware Çözümü hedeflerine doğru gelen BIR DNAT oluşturabilir.

İnternet trafiği için birden çok yol kullanan bir ortam da oluşturulabilir. Biri giden SNAT (örneğin, üçüncü taraf güvenlik NVA'sı) ve diğeri gelen DNAT için (dönüş trafiği için SNAT havuzlarını kullanan üçüncü taraf Load balancer NVA gibi).

Azure VMware Çözümü Yönetilen SNAT

Yönetilen SNAT hizmeti, Azure VMware Çözümü özel buluttan giden İnternet erişimi için basit bir yöntem sağlar. Bu hizmetin özellikleri şunlardır.

  • Kolayca etkinleştirilebilir – İnternet Bağlan ivity sekmesindeki radyo düğmesini seçin ve tüm iş yükü ağlarının SNAT ağ geçidi üzerinden İnternet'e anında giden erişimi olur.
  • SNAT kuralları üzerinde denetim yoktur, SNAT hizmetine ulaşan tüm kaynaklara izin verilir.
  • Bağlantı günlüklerine görünürlük yok.
  • 128 bine kadar eşzamanlı giden bağlantıyı desteklemek için iki Genel IP kullanılır ve döndürülür.
  • Azure VMware Çözümü Yönetilen SNAT ile gelen DNAT özelliği yoktur.

NSX Edge için Azure Genel IPv4 adresi

Bu seçenek, ayrılmış bir Azure Genel IPv4 adresini tüketim için doğrudan NSX Edge'e getirir. Azure VMware Çözümü özel bulutunun gerektiğinde NSX'te genel ağ adreslerini doğrudan kullanmasına ve uygulamasına olanak tanır. Bu adresler aşağıdaki bağlantı türleri için kullanılır:

  • Giden SNAT
  • Gelen DNAT
  • VMware NSX Gelişmiş Yük Dengeleyici ve diğer üçüncü taraf Ağ Sanal Gereçlerini kullanarak yük dengeleme
  • Bir iş yükü VM arabirimine doğrudan bağlı uygulamalar.

Bu seçenek, Azure VMware Çözümü özel bulut içinde bir DMZ oluşturmak için üçüncü taraf Ağ Sanal Gereci üzerindeki genel adresi yapılandırmanıza da olanak tanır.

Şu özellikler mevcuttur:

  • Ölçek: 64 Azure Genel IPv4 adresinin geçici sınırını, bir uygulama gerektiriyorsa ayrılan 1.000 sn Azure Genel IP'sine artırma isteğinde bulunabilirsiniz.
  • Esneklik: Azure Genel IPv4 adresi NSX ekosisteminin herhangi bir yerinde uygulanabilir. VMware'in NSX Gelişmiş Yük Dengeleyicisi veya üçüncü taraf Ağ Sanal Gereçleri gibi yük dengeleyicilerde SNAT veya DNAT sağlamak için kullanılabilir. Ayrıca VMware segmentlerindeki üçüncü taraf Ağ Sanal Güvenlik Gereçlerinde veya doğrudan VM'lerde kullanılabilir.
  • Bölgesellik: NSX Edge'e yönelik Azure Genel IPv4 adresi yerel SDDC'ye özgüdür. "Dağıtılmış bölgelerdeki çok özel bulut" için, İnternet amaçlarına yerel çıkışla trafiği yerel olarak yönlendirmek, Azure'da barındırılan bir güvenlik veya SNAT hizmeti için varsayılan yol yayılmasını denetlemeye çalışmak yerine daha kolaydır. Yapılandırılmış bir Genel IP ile bağlı iki veya daha fazla Azure VMware Çözümü özel bulutlarınız varsa, her ikisinin de yerel çıkışı olabilir.

Seçenek belirlemeyle ilgili dikkat edilmesi gerekenler

Seçtiğiniz seçenek aşağıdaki faktörlere bağlıdır:

  • Azure'da yerel olarak sağlanan ve Azure yerel uç noktalarından gelen tüm İnternet trafiğini inceleyen bir güvenlik denetleme noktasına Azure VMware özel bulutu eklemek için azure yerel yapısını kullanın ve Azure'dan Azure VMware Çözümü özel bulutunuza varsayılan bir yol sızdırın.
  • Güvenlik denetimi veya kolaylaştırılmış işletim giderleri için mevcut standartlara uygun bir üçüncü taraf Ağ Sanal Gereci çalıştırmanız gerekiyorsa iki seçeneğiniz vardır. Azure Genel IPv4 adresinizi varsayılan yol yöntemiyle Azure'da yerel olarak çalıştırabilir veya Azure Genel IPv4 adresini kullanarak NSX Edge'de Azure VMware Çözümü çalıştırabilirsiniz.
  • Yerel Azure'da çalışan veya Azure Güvenlik Duvarı üzerinde sağlanan bir Ağ Sanal Gereci'ne kaç Azure Genel IPv4 adresi ayrılabileceğine ilişkin ölçek sınırları vardır. Azure Genel IPv4'ün NSX Edge adresi seçeneği daha yüksek ayırmalara (1.000 sn ile 100 sn) olanak tanır.
  • Yerel bölgesindeki her özel buluttan İnternet'e yerelleştirilmiş bir çıkış için NSX Edge'e bir Azure Genel IPv4 adresi kullanın. Birbiriyle ve İnternet ile iletişim kurması gereken birkaç Azure bölgesinde birden çok Azure VMware Çözümü özel bulut kullanmak, Azure VMware Çözümü özel bulutu Azure'daki bir güvenlik hizmetiyle eşleştirmek zor olabilir. Zorluk, Azure'dan gelen varsayılan bir yolun çalışma şeklinden kaynaklanır.

Önemli

Tasarım gereği, NSX ile Genel IPv4 Adresi, ExpressRoute Özel Eşleme bağlantıları üzerinden Azure/Microsoft'a ait Genel IP Adreslerinin değişimine izin vermez. Bu, Genel IPv4 adreslerini ExpressRoute aracılığıyla müşteri sanal ağınıza veya şirket içi ağınıza tanıtamayacağınız anlamına gelir. NSX trafiğine sahip tüm Genel IPv4 Adresleri, Azure VMware Çözümü özel bulut ExpressRoute aracılığıyla bağlansa bile internet yolunu almalıdır. Daha fazla bilgi için ExpressRoute Bağlantı Hattı Eşlemesi'ne bakın.

Sonraki Adımlar

Azure VMware Çözümü İş Yükleri için Yönetilen SNAT'yi Etkinleştirme

Azure VMware Çözümü için NSX Edge'de Genel IP'yi etkinleştirme

İnternet erişimini devre dışı bırakma veya varsayılan yolu etkinleştirme