İki bölgeli Azure VMware Çözümü dağıtımlar için ağ konusunda dikkat edilmesi gerekenler

Bu makalede, olağanüstü durum dayanıklılığı amacıyla Azure VMware Çözümü özel bulutlar iki Azure bölgesine dağıtıldığında ağ bağlantısının nasıl yapılandırılacağı açıklanır. Kısmi veya tam bölgesel kesintiler varsa, bu makaledeki ağ topolojisi hayatta kalan bileşenlerin (özel bulutlar, Azure'a özel kaynaklar ve şirket içi siteler) birbiriyle ve İnternet ile bağlantıyı sürdürmesine olanak tanır.

Çift bölgeli senaryo

Bu makale, aşağıdaki Şekil 1'de gösterilen tipik bir çift bölgeli senaryoya odaklanır:

  • Her bölgede bir Azure hub ve uç ağı vardır.
  • ExpressRoute için olağanüstü durum dayanıklı bir yapılandırma (her iki bölgedeki merkez sanal ağlarına bağlı her bağlantı hattıyla iki farklı eşleme konumundaki iki bağlantı hattı) dağıtıldı. Geri dönüş VPN bağlantısının yapılandırılması durumunda aşağıdaki bölümlerde sağlanan yönergeler aynı kalır.
  • Her bölgede Azure VMware Çözümü özel bulut dağıtıldı.

Bu makalede ele alınan çift bölgeli senaryoyu gösteren Şekil 1'in diyagramı.

Not

Şekil 1'in başvuru senaryosunda, iki bölgesel merkez sanal ağı genel sanal ağ eşlemesi aracılığıyla bağlanır. İki bölgede Azure sanal ağları arasındaki trafik ExpressRoute bağlantıları üzerinden yönlendirilebileceği için kesinlikle gerekli olmasa da, bu yapılandırmayı kesinlikle öneririz. VNet Eşlemesi, ExpressRoute meet-me uç yönlendiricileri aracılığıyla trafiğin saçlarını kaldırma gereğini ortadan kaldırdıkça gecikme süresini en aza indirir ve aktarım hızını en üst düzeye çıkarır.

Çift bölgeli iletişim desenleri

Sonraki bölümlerde, başvuru çift bölge senaryosunda aşağıdaki iletişim desenlerini etkinleştirmek için gereken Azure VMware Çözümü ağ yapılandırması açıklanmaktadır:

Bölgeler arası bağlantıyı Azure VMware Çözümü

Birden çok Azure VMware Çözümü özel bulut mevcut olduğunda, bunlar arasında Katman 3 bağlantısı genellikle veri çoğaltmayı destekleme gibi görevler için bir gereksinimdir.

Azure VMware Çözümü, farklı Azure bölgelerinde dağıtılan iki özel bulut arasında doğrudan bağlantıyı yerel olarak destekler. Özel bulutlar, Platform tarafından yönetilen ve ayrılmış ExpressRoute buluşma konumlarında sonlandırılan ExpressRoute bağlantı hatları aracılığıyla kendi bölgesindeki Azure ağına bağlanır. Bu makale boyunca, bu devreler Azure VMware Çözümü yönetilen devreler olarak adlandırılır. Azure VMware Çözümü yönetilen devreler, müşterilerin şirket içi sitelerini Azure'a bağlamak için dağıttığı normal devrelerle karıştırılmamalıdır. Müşterilerin dağıttığı normal devreler , müşteri tarafından yönetilen devrelerdir (bkz. Şekil 2).

Özel bulutlar arasındaki doğrudan bağlantı, aşağıdaki diyagramdaki yeşil çizgide gösterildiği gibi Azure VMware Çözümü yönetilen bağlantı hatları arasındaki ExpressRoute Global Reach bağlantılarını temel alır. Daha fazla bilgi için bkz. Öğretici: Şirket içi ortamları Azure VMware Çözümü için eşleme. Makalede, Azure VMware Çözümü yönetilen bağlantı hattını müşteri tarafından yönetilen bir bağlantı hattına bağlama yordamı açıklanmaktadır. Aynı yordam, iki Azure VMware Çözümü yönetilen bağlantı hattını bağlamak için de geçerlidir.

Yönetilen ExpressRoute bağlantı hatları arasında Global Reach bağlantısı üzerinden bağlanan farklı bölgelerdeki özel bulutları gösteren Şekil 2'nin diyagramı.

Karma bağlantı

Azure VMware Çözümü özel bulutları şirket içi sitelere bağlamak için önerilen seçenek ExpressRoute Global Reach'tir. Müşteri tarafından yönetilen ExpressRoute bağlantı hatları ile Azure VMware Çözümü yönetilen ExpressRoute bağlantı hatları arasında Global Reach bağlantıları oluşturulabilir. Global Reach bağlantıları geçişli değildir, bu nedenle aşağıdaki Şekil 3'te (turuncu çizgilerle gösterilir) gösterildiği gibi olağanüstü durum dayanıklılığı için tam ağ (her Azure VMware Çözümü yönetilen bağlantı hattı her müşteri tarafından yönetilen bağlantı hattı) gereklidir.

Müşteri tarafından yönetilen ExpressRoute bağlantı hatlarını ve VMware Çözümü ExpressRoute bağlantı hatlarını bağlayan Global Reach bağlantılarını gösteren Şekil 3'ün diyagramı.

Azure Sanal Ağ bağlantısı

Azure Sanal Ağ, ExpressRoute Ağ Geçitleri ile Azure VMware Çözümü yönetilen bağlantı hatları arasındaki bağlantılar aracılığıyla Azure VMware Çözümü özel bulutlara bağlanabilir. Bu bağlantı, Azure Sanal Ağ'nin şirket içi sitelere müşteri tarafından yönetilen ExpressRoute bağlantı hatları üzerinden bağlanabildiği şekilde aynıdır. Yapılandırma yönergeleri için bkz. Özel buluta el ile bağlanma .

Çift bölgeli senaryolarda, Şekil 4'te (sarı çizgilerle gösterilir) gösterildiği gibi, iki bölgesel merkez Sanal Ağ ile özel bulutlar arasındaki ExpressRoute bağlantıları için tam bir ağ öneririz.

Her bölgedeki Azure yerel kaynaklarının Azure VMware Çözümü özel bulutlara doğrudan L3 bağlantısı olduğunu gösteren Şekil 4'ün diyagramı.

İnternet bağlantısı

Azure VMware Çözümü özel bulutları birden çok bölgede dağıtırken İnternet bağlantısı için yerel seçenekler (yönetilen kaynak ağ adresi çevirisi (SNAT) veya NSX-T'ye kadar olan genel IP'ler) önerilir. Her iki seçenek de aşağıdaki Şekil 5'te gösterildiği gibi dağıtım zamanında Azure portal (veya PowerShell, CLI veya ARM/Bicep şablonları aracılığıyla) yapılandırılabilir.

Azure portal internet bağlantısı için Azure VMware Çözümü yerel seçenekleri gösteren Şekil 5'in diyagramı.

Şekil 5'te vurgulanan her iki seçenek de her özel buluta kendi bölgesinde doğrudan bir İnternet tartışması sağlar. Aşağıdaki önemli noktalar, hangi yerel İnternet bağlantısı seçeneğinin kullanılacağına karar vermelidir:

  • Yönetilen SNAT, temel ve yalnızca giden gereksinimleri olan senaryolarda kullanılmalıdır (düşük hacimli giden bağlantılar ve SNAT havuzu üzerinde ayrıntılı denetime gerek yoktur).
  • Büyük hacimli giden bağlantıların olduğu senaryolarda veya NAT IP adresleri üzerinde ayrıntılı denetime ihtiyacınız olduğunda NSX-T kenarına kadar olan genel IP'ler tercih edilmelidir. Örneğin, Azure VMware Çözümü VM'ler arkasında IP adreslerinin bulunduğu SNAT kullanır. NSX-T uçlarına kadar olan genel IP'ler, DNAT aracılığıyla gelen bağlantıyı da destekler. Gelen internet bağlantısı bu makalede ele alınmıyor.

İlk dağıtımdan sonra özel bulut İnternet bağlantısı yapılandırmasını değiştirmek mümkündür. Ancak yapılandırma güncelleştirilirken özel bulut İnternet, Azure Sanal Ağ ve şirket içi sitelerle bağlantıyı kaybeder. Yukarıdaki Şekil 5'teki yerel İnternet bağlantısı seçeneklerinden biri kullanıldığında, çift bölgeli senaryolarda ek yapılandırma gerekmez (topoloji, Şekil 4'te gösterilenle aynı kalır). Azure VMware Çözümü için İnternet bağlantısı hakkında daha fazla bilgi için bkz. İnternet bağlantısı tasarımında dikkat edilmesi gerekenler.

Azure'da yerel İnternet tartışması

Azure VMware Çözümü benimsemeden önce Azure Sanal Ağ'de güvenli bir İnternet kenarı oluşturulduysa, özel bulutlar için Azure VMware Çözümü İnternet erişimi için bu uçta kullanılması gerekebilir. Ağ güvenlik ilkelerinin merkezi yönetimi, maliyet iyileştirmesi ve daha fazlası için güvenli bir İnternet kenarının bu şekilde kullanılması gerekir. Azure Sanal Ağ'daki İnternet güvenlik uçları, Azure Market bulunan Azure Güvenlik Duvarı veya üçüncü taraf güvenlik duvarı ve ara sunucu ağ sanal gereçleri (NVA) kullanılarak uygulanabilir.

Azure VMware Çözümü sanal makineleri tarafından yayılan İnternet'e bağlı trafik, özel bulutun yönetilen ExpressRoute bağlantı hattına sınır ağ geçidi protokolü (BGP) üzerinden varsayılan bir yol oluşturup duyurularak azure sanal ağından etkilenebilir. Bu İnternet bağlantısı seçeneği, aşağıdaki Şekil 6'da gösterildiği gibi dağıtım zamanında Azure portal (veya PowerShell, CLI veya ARM/Bicep şablonları aracılığıyla) yapılandırılabilir. Daha fazla bilgi için bkz. İnternet erişimini devre dışı bırakma veya varsayılan yolu etkinleştirme.

Azure Sanal Ağ'da İnternet kenarları üzerinden internet bağlantısını etkinleştirmek için Azure VMware Çözümü yapılandırmasını gösteren Şekil 6'nın diyagramı.

İNTERNET uç NVA'ları BGP'yi destekliyorsa varsayılan yolu oluşturabilir. Aksi takdirde, diğer BGP özellikli NVA'ları dağıtmanız gerekir. tek bir bölgede Azure VMware Çözümü için İnternet giden bağlantısını uygulama hakkında daha fazla bilgi için bkz. Azure NVA'larla Azure VMware Çözümü için İnternet bağlantısı uygulama. Bu makalede açıklanan çift bölgeli senaryoda, aynı yapılandırma her iki bölgeye de uygulanmalıdır.

İki bölgeli senaryolarda dikkat edilmesi gereken önemli nokta, her bölgeden kaynaklanan varsayılan yolun ExpressRoute üzerinden yalnızca aynı bölgedeki Azure VMware Çözümü özel buluta yayılması gerektiğidir. Bu yayma, Azure VMware Çözümü iş yüklerinin yerel (bölge içi) bir tartışma aracılığıyla İnternet'e erişmesini sağlar. Bununla birlikte, Şekil 4'te gösterilen topolojiyi kullanırsanız, her Azure VMware Çözümü özel bulut da uzak bölgeden bölgeler arası ExpressRoute bağlantıları üzerinden eşit maliyetli bir varsayılan yol alır. Kırmızı kesikli çizgiler, Şekil 7'de bu istenmeyen bölgeler arası varsayılan rota yayma özelliğini gösterir.

ExpressRoute Ağ Geçitleri ile VMware Çözümü tarafından yönetilen ExpressRoute bağlantı hatları arasındaki bölgeler arası bağlantıları gösteren Şekil 7 diyagramı kaldırılmalıdır.

Bölgeler arası Azure VMware Çözümü ExpressRoute bağlantılarının kaldırılması, her özel buluta İnternet'e bağlı bağlantıları yerel bölgedeki Azure internet ucuna iletmek için varsayılan bir yol olan ekleme hedefine ulaşır.

Bölgeler arası ExpressRoute bağlantıları (Şekil 7'de kırmızı kesik çizgiler) kaldırılırsa, varsayılan yolun bölgeler arası yayılmasının Global Reach üzerinden yine de gerçekleştiği belirtilmelidir. Ancak Global Reach'e yayılan yolların as yolu yerel kaynaklardan daha uzundur ve BGP yol seçimi işlemi tarafından atılır.

Daha az tercih edilen bir varsayılan yolun Global Reach'e bölgeler arası yayılması, yerel internet kenarının hatalarına karşı dayanıklılık sağlar. Bir bölgenin İnternet kenarı çevrimdışı olursa, varsayılan yolu oluşturmayı durdurur. Bu durumda, uzak bölgeden öğrenilen daha az tercih edilen varsayılan yol, Azure VMware Çözümü özel buluta yüklenir ve böylece İnternet'e bağlı trafik uzak bölgenin tartışması üzerinden yönlendirilir.

Azure VNet'lerinde İnternet tartışmaları olan çift bölgeli dağıtımlar için önerilen topoloji aşağıdaki Şekil 8'de gösterilmiştir.

İnternet uçları üzerinden İnternet'e giden erişime sahip çift bölgeli dağıtımlar için önerilen topolojiyi gösteren Şekil 8'in diyagramı.

Azure'da varsayılan yolların kaynağı olduğunuzda, Şirket içi sitelere Azure'daki bir İnternet kenarı üzerinden İnternet erişimi sağlama gereksinimi olmadığı sürece şirket içi sitelere yayılmayı önlemek için özel özen gösterilmelidir. Müşteri tarafından yönetilen ExpressRoute bağlantı hatlarını sonlandıran müşteri tarafından çalıştırılan cihazların, Şekil 9'da gösterildiği gibi Azure'dan alınan varsayılan yolları filtreleyebilecek şekilde yapılandırılması gerekir. Bu yapılandırma, şirket içi sitelerde İnternet erişimini kesintiye uğratmamak için gereklidir.

Müşteri tarafından yönetilen ExpressRoute bağlantı hatlarını sonlandıran BGP hoparlörlerinin Azure NVA'ların varsayılan yollarını filtrelediğini gösteren Şekil 9 diyagramı.

Sonraki adımlar