Sanal WAN ve Global Reach'e sahip tek bölgeli Azure VMware Çözümü tasarımı kullanma
Bu makalede, yönlendirme amacıyla güvenli Azure Sanal WAN kullandığınızda tek bir bölgedeki Azure VMware Çözümü için en iyi yöntemler açıklanmaktadır. Yönlendirme amacı ve Azure ExpressRoute Global Reach ile güvenli Sanal WAN için bağlantı ve trafik akışı önerileri sağlar. Bu makalede Azure VMware Çözümü özel bulutlardaki, şirket içi sitelerdeki ve Azure'daki yerel kaynaklardaki tasarımlara yönelik topoloji açıklanmaktadır. Yönlendirme amacına sahip güvenli Sanal WAN uygulaması ve yapılandırması bu makalenin kapsamı dışındadır.
Tek bir bölgede güvenli Sanal WAN kullanma
Yalnızca Sanal WAN Standart SKU'su yönlendirme amacına sahip güvenli Sanal WAN destekler. Azure Güvenlik Duvarı, Microsoft dışı bir ağ sanal gereci (NVA) veya hizmet olarak yazılım (SaaS) çözümü gibi tüm internet trafiğini ve özel ağ trafiğini bir güvenlik çözümüne göndermek için yönlendirme amacına sahip güvenli Sanal WAN kullanın. Yönlendirme amacı kullanıyorsanız güvenli bir Sanal WAN hub'ına sahip olmanız gerekir.
Not
Güvenli Sanal WAN hub'larla Azure VMware Çözümü yapılandırırken hub'da en iyi yönlendirme sonuçlarını elde etmek için hub yönlendirme tercihi seçeneğini AS Yolu olarak ayarlayın. Daha fazla bilgi için bkz . Sanal hub yönlendirme tercihleri.
Bu senaryonun hub'ı aşağıdaki yapılandırmaya sahiptir:
Tek bölgeli ağın bir Sanal WAN örneği ve bir hub'ı vardır.
Hub'ın dağıtılan bir Azure Güvenlik Duvarı örneği vardır ve bu da onu güvenli bir Sanal WAN hub'ı yapar.
Güvenli Sanal WAN hub'ına yönlendirme amacı etkindir.
Bu senaryoda şu bileşenler de vardır:
Tek bir bölgenin kendi Azure VMware Çözümü özel bulutu ve Azure sanal ağı vardır.
Şirket içi site hub'a geri bağlanır.
Ortamın Global Reach bağlantısı vardır.
Global Reach, Azure VMware Çözümü şirket içi ağa bağlayan Microsoft omurgası aracılığıyla doğrudan bir mantıksal bağlantı kurar.
Global Reach bağlantıları hub güvenlik duvarını taşımaz. Bu nedenle şirket içi ile Azure VMware Çözümü arasında her iki yoldan da geçen Global Reach trafiği denetlenmiyor.
Not
Global Reach siteleri arasındaki güvenliği artırmak için Azure VMware Çözümü ortamının NSX-T veya şirket içi güvenlik duvarı içindeki trafiği incelemeyi göz önünde bulundurun.
Aşağıdaki diyagramda bu senaryonun bir örneği gösterilmektedir.
Aşağıdaki tabloda, önceki diyagramda topoloji bağlantısı açıklanmaktadır.
| Connection | Açıklama |
|---|---|
| D | Merkezle özel bulut tarafından yönetilen ExpressRoute bağlantısını Azure VMware Çözümü |
| A | Şirket içi ile Global Reach bağlantısını Azure VMware Çözümü |
| E | Hub'a şirket içi ExpressRoute bağlantısı |
Tek bölgeli güvenli Sanal WAN trafik akışları
Aşağıdaki bölümlerde Azure VMware Çözümü, şirket içi, Azure sanal ağları ve İnternet için trafik akışları ve bağlantı açıklanmaktadır.
Özel bulut bağlantısını ve trafik akışlarını Azure VMware Çözümü
Aşağıdaki diyagramda Azure VMware Çözümü özel bulut için trafik akışları gösterilmektedir.
Aşağıdaki tabloda, önceki diyagramda trafik akışı açıklanmaktadır.
| Trafik akışı numarası | Kaynak | Hedef | Güvenli Sanal WAN hub güvenlik duvarı bu trafiği inceliyor mu? |
|---|---|---|---|
| 1 | Azure VMware Çözümü bulut | Sanal ağ | Yes |
| 2 | Azure VMware Çözümü bulut | Şirket içinde | Hayır |
Azure VMware Çözümü özel bulut, ExpressRoute bağlantısı D aracılığıyla hub'ına bağlanır. Azure VMware Çözümü bulut bölgesi, ExpressRoute Global Reach bağlantısı A aracılığıyla şirket içi bağlantı kurar. Global Reach üzerinden seyahat eden trafik merkez güvenlik duvarını geçmiyor.
Senaryonuz için, şirket içi ile Azure VMware Çözümü arasındaki bağlantı sorunlarını önlemek için Global Reach'i yapılandırın.
Şirket içi bağlantı ve trafik akışı
Aşağıdaki diyagramda hub'a ExpressRoute bağlantısı E aracılığıyla bağlanan şirket içi site gösterilmektedir. Şirket içi sistemler, Global Reach bağlantısı A aracılığıyla Azure VMware Çözümü ile iletişim kurabilir.
Senaryonuz için, şirket içi ile Azure VMware Çözümü arasındaki bağlantı sorunlarını önlemek için Global Reach'i yapılandırın.
Aşağıdaki tabloda, önceki diyagramda trafik akışı açıklanmaktadır.
| Trafik akışı numarası | Kaynak | Hedef | Güvenli Sanal WAN hub güvenlik duvarı bu trafiği inceliyor mu? |
|---|---|---|---|
| 3 | Şirket içinde | Azure VMware Çözümü bulut | Hayır |
| 4 | Şirket içinde | Sanal ağ | Yes |
Azure sanal ağ bağlantısı ve trafik akışı
Yönlendirme amacı etkinleştirilmiş bir güvenli hub, eşlenmiş sanal ağlara varsayılan RFC 1918 adreslerini (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16) ve özel trafik ön ekleri olarak eklenen diğer ön ekleri gönderir. Daha fazla bilgi için bkz . Yönlendirme amacı özel adres ön ekleri. Bu senaryoda yönlendirme amacı etkinleştirildiğinden, sanal ağdaki tüm kaynaklar varsayılan RFC 1918 adreslerine sahiptir ve sonraki atlama olarak hub güvenlik duvarını kullanır. Sanal ağa giren ve sanal ağdan çıkan tüm trafik hub güvenlik duvarını içeri aktarıyor.
Aşağıdaki diyagramda sanal ağın doğrudan hub'a nasıl eş olduğu gösterilmektedir.
Aşağıdaki tabloda, önceki diyagramda trafik akışı açıklanmaktadır.
| Trafik akışı numarası | Kaynak | Hedef | Güvenli Sanal WAN hub güvenlik duvarı bu trafiği inceliyor mu? |
|---|---|---|---|
| 5 | Sanal ağ | Azure VMware Çözümü bulut | Yes |
| 6 | Sanal ağ | Azure VMware Çözümü bulut | Yes |
İnternet bağlantısı
Bu bölümde, bir sanal ağdaki ve Azure VMware Çözümü özel buluttaki Azure yerel kaynaklarına İnternet bağlantısı sağlama açıklanmaktadır. Daha fazla bilgi için bkz . İnternet bağlantısı tasarımında dikkat edilmesi gerekenler. Azure VMware Çözümü İnternet bağlantısı sağlamak için aşağıdaki seçenekleri kullanabilirsiniz.
- 1. Seçenek: Azure tarafından barındırılan internet hizmeti
- Seçenek 2: Azure VMware Çözümü yönetilen Kaynak Ağ Adresi Çevirisi (SNAT)
- Seçenek 3: NSX-T Veri Merkezi kenarı için Azure genel IPv4 adresi
Yönlendirme amacına sahip tek bölgeli güvenli Sanal WAN tasarımı tüm seçenekleri destekler, ancak 1. seçeneği öneririz. Bu makalenin devamında yer alan senaryo, internet bağlantısı sağlamak için 1. seçeneği kullanır. Denetlenmesi, dağıtılması ve yönetilmesi kolay olduğundan, 1. seçenek güvenli Sanal WAN en iyi şekilde çalışır.
Yönlendirme amacını kullandığınızda, merkez güvenlik duvarından varsayılan bir yol oluşturabilirsiniz. Bu varsayılan yol, sanal ağınıza ve Azure VMware Çözümü tanıtıyor.
Azure VMware Çözümü ve sanal ağ İnternet bağlantısı
İnternet trafiği için yönlendirme amacını etkinleştirdiğinizde, güvenli Sanal WAN hub'ı varsayılan yolu ExpressRoute bağlantı hatları arasında tanıtmaz. Varsayılan yolun Sanal WAN'den Azure VMware Çözümü yayılmasını sağlamaya yardımcı olmak için, Azure VMware Çözümü ExpressRoute bağlantı hatlarınızda varsayılan yol yayma özelliğini etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Varsayılan yol 0.0.0.0/0'ı uç noktalara tanıtma.
Varsayılan yol yayma özelliğini etkinleştirdikten sonra, D bağlantısı hub'dan varsayılan 0.0.0.0/0 yolunu tanıtıyor. Şirket içi ExpressRoute bağlantı hatları için bu ayarı etkinleştirmeyin. Bağlantı D, varsayılan 0.0.0.0/0 yolunu Azure VMware Çözümü olarak tanıtsa da Global Reach (A bağlantısı) varsayılan yolu şirket içi kullanıma da duyurur. Sonuç olarak, varsayılan yolu öğrenmemesi için şirket içi donanımınıza bir Sınır Ağ Geçidi Protokolü (BGP) filtresi uygulamanızı öneririz. Bu adım, yapılandırmanızın şirket içi İnternet bağlantısını etkilememesini sağlamaya yardımcı olur.
Aşağıdaki tabloda, önceki diyagramda trafik akışı açıklanmaktadır.
| Trafik akışı numarası | Kaynak | Hedef | Güvenli Sanal WAN hub güvenlik duvarı bu trafiği inceliyor mu? |
|---|---|---|---|
| 7 | Azure VMware Çözümü bulut | İnternet | Yes |
| 8 | Sanal ağ | İnternet | Yes |
İnternet erişimi için yönlendirme amacını etkinleştirdiğinizde, güvenli Sanal WAN hub'ından oluşturulan varsayılan yol otomatik olarak merkez eşlemeli sanal ağ bağlantılarına tanıtılır. Sanal ağdaki sanal makinelerin ağ arabirim kartlarında (NIC) 0.0.0.0/0 sonraki atlamanın merkez güvenlik duvarı olduğunu unutmayın. Sonraki atlamayı bulmak için NIC'de Geçerli yollar'ı seçin.