Global Reach'e sahip olmayan tek bölgeli Azure VMware Çözümü tasarımı kullanma
Bu makalede, yönlendirme amacıyla güvenli Azure Sanal WAN kullandığınızda tek bir bölgedeki Azure VMware Çözümü için en iyi yöntemler açıklanmaktadır. Yönlendirme amacına sahip güvenli Sanal WAN için bağlantı ve trafik akışı önerileri sağlar. Bu makalede, Azure ExpressRoute Global Reach'i kullanmadığınızda Azure VMware Çözümü özel bulutlardaki, şirket içi sitelerdeki ve Azure'daki yerel kaynaklardaki tasarımlara yönelik topoloji açıklanmaktadır. Yönlendirme amacına sahip güvenli Sanal WAN uygulaması ve yapılandırması bu makalenin kapsamı dışındadır.
Global Reach'i desteklemeyen bir bölge kullanıyorsanız veya merkez güvenlik duvarında Azure VMware Çözümü ile şirket içi arasındaki trafiği incelemek için güvenlik gereksiniminiz varsa, ExpressRoute'dan ExpressRoute'a geçişi etkinleştirmek için bir destek bileti açmanız gerekir. Sanal WAN, ExpressRoute'un ExpressRoute'a geçişi varsayılan olarak desteklemez. Daha fazla bilgi için bkz . Yönlendirme amacına sahip ExpressRoute bağlantı hatları arasında geçiş bağlantısı.
Global Reach olmadan güvenli Sanal WAN kullanma
Yalnızca Sanal WAN Standart SKU'su yönlendirme amacına sahip güvenli Sanal WAN destekler. Azure Güvenlik Duvarı, Microsoft dışı bir ağ sanal gereci (NVA) veya hizmet olarak yazılım (SaaS) çözümü gibi tüm İnternet trafiğini ve özel ağ trafiğini (RFC 1918) bir güvenlik çözümüne göndermek için yönlendirme amacına sahip güvenli Sanal WAN kullanın.
Bu senaryonun hub'ı aşağıdaki yapılandırmaya sahiptir:
Tek bölgeli ağın bir Sanal WAN örneği ve bir hub'ı vardır.
Hub'ın dağıtılan bir Azure Güvenlik Duvarı örneği vardır ve bu da onu güvenli bir Sanal WAN hub'ı yapar.
Güvenli Sanal WAN hub'ına yönlendirme amacı etkindir.
Bu senaryoda şu bileşenler de vardır:
Tek bir bölgenin kendi Azure VMware Çözümü özel bulutu ve Azure sanal ağı vardır.
Şirket içi site hub'a geri bağlanır.
Not
Bağlı şirket içi kaynaklarınızda, sanal ağlarınızda veya Azure VMware Çözümü RFC 1918 dışı ön ekleri kullanıyorsanız, yönlendirme amacı özelliğinin Özel trafik ön ekleri alanında bu ön ekleri belirtin. Aralığınızı kapsayacak şekilde Özel trafik ön ekleri alanına özetlenmiş yollar girin. Bu belirtim yönlendirme sorunlarına yol açabileceğinden, Sanal WAN için tanıtılan aralığı tam olarak girmeyin. Örneğin, ExpressRoute bağlantı hattı şirket içinden 192.0.2.0/24 tanıtıyorsa, /23 Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) aralığı veya daha büyük bir aralık (örneğin, 192.0.2.0/23) girin. Daha fazla bilgi için bkz. Sanal WAN portalı aracılığıyla yönlendirme amacını ve ilkelerini yapılandırma.
Not
Güvenli Sanal WAN hub'larla Azure VMware Çözümü yapılandırırken hub'da en iyi yönlendirme sonuçlarını elde etmek için hub yönlendirme tercihi seçeneğini AS Yolu olarak ayarlayın. Daha fazla bilgi için bkz . Sanal hub yönlendirme tercihleri.
Aşağıdaki diyagramda bu senaryonun bir örneği gösterilmektedir.
Aşağıdaki tabloda, önceki diyagramda topoloji bağlantısı açıklanmaktadır.
| Connection | Açıklama |
|---|---|
| D | Merkezle özel bulut tarafından yönetilen ExpressRoute bağlantısını Azure VMware Çözümü |
| E | Hub'a şirket içi ExpressRoute bağlantısı |
Global Reach olmadan tek bölgeli Sanal WAN için trafik akışları
Aşağıdaki bölümlerde Azure VMware Çözümü, şirket içi, Azure sanal ağları ve İnternet için trafik akışları ve bağlantı açıklanmaktadır.
Özel bulut bağlantısını ve trafik akışlarını Azure VMware Çözümü
Aşağıdaki diyagramda Azure VMware Çözümü özel bulut için trafik akışları gösterilmektedir.
Aşağıdaki tabloda, önceki diyagramda trafik akışı açıklanmaktadır.
| Trafik akışı numarası | Kaynak | Hedef | Güvenli Sanal WAN hub güvenlik duvarı bu trafiği inceliyor mu? |
|---|---|---|---|
| 1 | Azure VMware Çözümü bulut | Sanal ağ | Yes |
| 2 | Azure VMware Çözümü bulut | Şirket içinde | Yes |
Azure VMware Çözümü özel bulutunun hub'a bir ExpressRoute bağlantısı (D bağlantısı) vardır.
Güvenli hub'da ExpressRoute'dan ExpressRoute'a geçiş özelliğini etkinleştirdiğinizde ve yönlendirme amacını etkinleştirdiğinizde, güvenli hub varsayılan RFC 1918 adreslerini (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) D bağlantısı üzerinden Azure VMware Çözümü gönderir. varsayılan RFC 1918 adreslerine ek olarak Azure VMware Çözümü, Azure sanal ağlarından ve S2S VPN, P2S VPN ve SD-WAN gibi dal ağlarından hub'a bağlanan daha özel yollar öğrenir. Azure VMware Çözümü şirket içi ağlardan belirli yolları öğrenmez. Trafiği şirket içi ağlara geri yönlendirmek için Azure VMware Çözümü, D bağlantısından öğrendiği varsayılan RFC 1918 adreslerini kullanır. Bu trafik merkez güvenlik duvarından geçer. Merkez güvenlik duvarı, trafiği E bağlantısı üzerinden hedeflere yönlendirmek için şirket içi ağlara yönelik belirli yolları kullanır. Azure VMware Çözümü sanal ağlara giden trafik merkez güvenlik duvarını geçer.
Şirket içi bağlantı ve trafik akışı
Aşağıdaki diyagramda şirket içi bağlantı için trafik akışları gösterilmektedir.
Aşağıdaki tabloda, önceki diyagramda trafik akışı açıklanmaktadır.
| Trafik akışı numarası | Kaynak | Hedef | Güvenli Sanal WAN hub güvenlik duvarı bu trafiği inceliyor mu? |
|---|---|---|---|
| 3 | Şirket içinde | Azure VMware Çözümü bulut | Yes |
| 4 | Şirket içinde | Sanal ağ | Yes |
Şirket içi site, ExpressRoute bağlantısı E aracılığıyla hub'a bağlanır.
Güvenli hub'da ExpressRoute'a ExpressRoute geçişini etkinleştirdiğinizde ve yönlendirme amacını etkinleştirdiğinizde, güvenli hub varsayılan RFC 1918 adreslerini E bağlantısı üzerinden şirket içi ortamına gönderir. Şirket içi, varsayılan RFC 1918 adreslerine ek olarak Azure sanal ağlarından ve hub'a bağlanan dal ağlarından daha özel yollar öğrenir. Şirket içi, Azure VMware Çözümü ağlardan belirli yolları öğrenmez. trafiği Azure VMware Çözümü ağlara geri yönlendirmek için Azure VMware Çözümü, E bağlantısından öğrendiği varsayılan RFC 1918 adreslerini kullanır. Bu trafik merkez güvenlik duvarından geçer. Merkez güvenlik duvarı, trafiği D bağlantısı üzerinden hedeflere yönlendirmek için Azure VMware Çözümü ağlara yönelik belirli yolları kullanır. Şirket içinden sanal ağlara giden trafik merkez güvenlik duvarını geçer.
Hub'da ExpressRoute'dan ExpressRoute'a geçiş özelliğini etkinleştirdiğinizde, şirket içi ağınıza varsayılan RFC 1918 adreslerini gönderir. Bu nedenle RFC 1918 ön eklerini Azure'a tam olarak tanıtmamalısınız. Tam olarak aynı yolların tanıtilmesi, Azure'da yönlendirme sorunları oluşturur. Bunun yerine, şirket içi ağlarınız için Azure'a daha özel yollar tanıtmalısınız.
Not
Varsayılan RFC 1918 adreslerini şirket içinden Azure'a tanıtıyorsanız ve bu uygulamaya devam etmek istiyorsanız, her RFC 1918 aralığını iki eşit alt bölüme bölmeniz ve bu alt ayarları Azure'a geri tanıtmalısınız. Alt aralıklar 10.0.0.0/9'dır, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 ve 192.168.128.0/17.
Azure sanal ağ bağlantısı ve trafik akışı
Aşağıdaki diyagramda Azure sanal ağ bağlantısı için trafik akışları gösterilmektedir.
Aşağıdaki tabloda, önceki diyagramda trafik akışı açıklanmaktadır.
| Trafik akışı numarası | Kaynak | Hedef | Güvenli Sanal WAN hub güvenlik duvarı bu trafiği inceliyor mu? |
|---|---|---|---|
| 5 | Sanal ağ | Azure VMware Çözümü bulut | Yes |
| 6 | Sanal ağ | Şirket içinde | Yes |
Bu senaryoda, sanal ağ doğrudan hub'a eşler. Diyagramda, sanal ağdaki Azure yerel kaynaklarının yollarını nasıl öğrendikleri gösterilmektedir. Yönlendirme amacı etkinleştirilmiş güvenli bir hub, eşlenen sanal ağlara varsayılan RFC 1918 adreslerini gönderir. Sanal ağdaki Azure'a özel kaynaklar, sanal ağlarının dışından belirli yolları öğrenmez. Yönlendirme amacını etkinleştirdiğinizde, sanal ağdaki tüm kaynaklar varsayılan RFC 1918 adresine sahiptir ve sonraki atlama olarak hub güvenlik duvarını kullanır. Sanal ağlara giren ve çıkan tüm trafik hub güvenlik duvarını iletir.
İnternet bağlantısı
Bu bölümde, sanal ağlardaki Azure yerel kaynakları ve tek bir bölgedeki özel bulutlar Azure VMware Çözümü için İnternet bağlantısının nasıl sağlandığı açıklanmaktadır. Daha fazla bilgi için bkz . İnternet bağlantısı tasarımında dikkat edilmesi gerekenler. Azure VMware Çözümü İnternet bağlantısı sağlamak için aşağıdaki seçenekleri kullanabilirsiniz.
- 1. Seçenek: Azure tarafından barındırılan internet hizmeti
- Seçenek 2: Azure VMware Çözümü yönetilen Kaynak Ağ Adresi Çevirisi (SNAT)
- Seçenek 3: NSX-T Veri Merkezi kenarı için Azure genel IPv4 adresi
Yönlendirme amacına sahip tek bölgeli güvenli Sanal WAN tasarımı tüm seçenekleri destekler, ancak 1. seçeneği öneririz. Bu makalenin devamında yer alan senaryo, internet bağlantısı sağlamak için 1. seçeneği kullanır. Denetlenmesi, dağıtılması ve yönetilmesi kolay olduğundan, 1. seçenek güvenli Sanal WAN en iyi şekilde çalışır.
Güvenli hub'da yönlendirme amacını etkinleştirdiğinizde, RFC 1918 tüm eşlenen sanal ağlara tanıtılır. Ancak aşağı akış kaynaklarına İnternet bağlantısı için varsayılan 0.0.0.0/0 yolunu da tanıtabilirsiniz. Yönlendirme amacını kullandığınızda, merkez güvenlik duvarından varsayılan bir yol oluşturabilirsiniz. Bu varsayılan yol, sanal ağınıza ve Azure VMware Çözümü tanıtıyor.
Azure VMware Çözümü ve sanal ağ İnternet bağlantısı
İnternet trafiği için yönlendirme amacını etkinleştirdiğinizde, güvenli Sanal WAN hub'ı varsayılan yolu ExpressRoute bağlantı hatları arasında tanıtmaz. Varsayılan yolun Sanal WAN'den Azure VMware Çözümü yayılmasını sağlamaya yardımcı olmak için, Azure VMware Çözümü ExpressRoute bağlantı hatlarınızda varsayılan yol yayma özelliğini etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Varsayılan yol 0.0.0.0/0'ı uç noktalara tanıtma.
Aşağıdaki diyagramda sanal ağ için trafik akışları ve İnternet bağlantısı Azure VMware Çözümü gösterilmektedir.
Aşağıdaki tabloda, önceki diyagramda trafik akışı açıklanmaktadır.
| Trafik akışı numarası | Kaynak | Hedef | Güvenli Sanal WAN hub güvenlik duvarı bu trafiği inceliyor mu? |
|---|---|---|---|
| 7 | Sanal ağ | İnternet | Yes |
| 8 | Azure VMware Çözümü bulut | İnternet | Yes |
Varsayılan yol yayma özelliğini etkinleştirdikten sonra, D bağlantısı hub'dan varsayılan 0.0.0.0/0 yolunu tanıtıyor. Şirket içi ExpressRoute bağlantı hatları için bu ayarı etkinleştirmeyin. Şirket içi donanımınıza bir Sınır Ağ Geçidi Protokolü (BGP) filtresi uygulamanızı öneririz. BGP filtresi, kaynakların yanlışlıkla varsayılan yolu öğrenmesini önler, ek bir önlem katmanı ekler ve yapılandırmanızın şirket içi İnternet bağlantısını etkilememesini sağlamaya yardımcı olur.
İnternet erişimi için yönlendirme amacını etkinleştirdiğinizde, güvenli Sanal WAN hub'ından oluşturulan varsayılan yol otomatik olarak merkez eşlemeli sanal ağ bağlantılarına tanıtılır. Sanal ağdaki sanal makinelerin NIC'lerinde 0.0.0.0/0 sonraki atlamanın merkez güvenlik duvarı olduğunu unutmayın. Sonraki atlamayı bulmak için NIC'de Geçerli yollar'ı seçin.
Global Reach olmadan VMware HCX Mobility için İyileştirilmiş Ağ (MON) kullanma
HCX Ağ Uzantısı'nı kullanırken HCX Mobility için İyileştirilmiş Ağ (MON) özelliğini etkinleştirebilirsiniz. MON, ağların genişletilmiş ağlardaki şirket içi ve bulut tabanlı kaynaklar arasında çakışmasını veya döngüye girmesini önlemek için belirli senaryolarda en iyi trafik yönlendirmesini sağlar.
Azure VMware Çözümü çıkış trafiği
Belirli bir genişletilmiş ağ ve sanal makine için MON'yi etkinleştirdiğinizde trafik akışı değişir. MON'yi uyguladıktan sonra sanal makineden gelen çıkış trafiği şirket içi döngüye geri dönmez. Bunun yerine, Ağ Uzantısı IPSec tünelini atlar. Sanal makinenin trafiği Azure VMware Çözümü NSX-T Katman-1 ağ geçidinden çıkar, NSX-T Tier-0 ağ geçidine gider ve ardından Sanal WAN gider.
Azure VMware Çözümü giriş trafiği
Belirli bir genişletilmiş ağ ve sanal makine için MON'yi etkinleştirdiğinizde, aşağıdaki değişiklikleri eklersiniz. Azure VMware Çözümü NSX-T'den MON, Sanal WAN'a bir /32 ana bilgisayar yolu ekler. Sanal WAN bu /32 yolunu şirket içi, sanal ağlara ve dal ağlarına geri duyurur. Bu /32 konak yolu, şirket içi, sanal ağlardan ve dal ağlarından gelen trafiğin MON özellikli sanal makineye gittiğinde Ağ Uzantısı IPSec tünelini kullanmamasını sağlar. Kaynak ağlardan gelen trafik, /32 yolunu öğrendiğinden doğrudan MON özellikli sanal makineye gider.
Global Reach olmadan güvenli Sanal WAN için HCX MON sınırlaması
Güvenli hub'da ExpressRoute'dan ExpressRoute'a geçiş özelliğini etkinleştirdiğinizde ve yönlendirme amacını etkinleştirdiğinizde, güvenli hub hem şirket içi hem de Azure VMware Çözümü varsayılan RFC 1918 adreslerini gönderir. Hem şirket içi hem de Azure VMware Çözümü, varsayılan RFC 1918 adreslerine ek olarak, Hub'a bağlanan Azure sanal ağlarından ve dal ağlarından daha özel yollar öğrenin.
Ancak şirket içi ağlar Azure VMware Çözümü belirli yolları öğrenmez ve Azure VMware Çözümü şirket içi ağlardan belirli yolları öğrenmez. Bunun yerine, her iki ortam da hub güvenlik duvarı aracılığıyla birbirine geri yönlendirmeyi kolaylaştırmak için varsayılan RFC 1918 adreslerini kullanır. Bu nedenle MON ana bilgisayar yolları gibi daha belirli yollar, Azure VMware Çözümü ExpressRoute'tan şirket içi tabanlı ExpressRoute bağlantı hattına tanıtılamaz. Bunun tersi de geçerlidir. Belirli yolları öğrenememe, asimetrik trafik akışlarını ortaya çıkartır. Trafik çıkışları NSX-T Tier-0 ağ geçidi üzerinden Azure VMware Çözümü, ancak şirket içinden gelen trafik, Ağ Uzantısı IPSec tüneli üzerinden döndürülüyor.
Trafik asimetrisini düzeltme
Trafik asimetrisini düzeltmek için MON ilkesi yollarını ayarlamanız gerekir. MON ilke yolları, bir L2 uzantısı aracılığıyla hangi trafiğin şirket içi ağ geçidine geri döneceğini belirler. Ayrıca Azure VMware Çözümü NSX Tier-0 ağ geçidinden hangi trafiğin geçeceğine de karar verir.
Hedef IP eşleşirse ve MON ilke yapılandırmasında izin verecek şekilde ayarlarsanız iki eylem gerçekleşir. İlk olarak, sistem paketi tanımlar. İkincisi, sistem paketi Ağ Uzantısı aleti aracılığıyla şirket içi ağ geçidine gönderir.
Hedef IP eşleşmiyorsa veya MON ilkesinde reddetmek üzere ayarlarsanız, sistem paketi yönlendirme için Azure VMware Çözümü Tier-0 ağ geçidine gönderir.
Aşağıdaki tabloda HCX ilke yolları açıklanmaktadır.
| Ağ | Eşe yeniden yönlendirme | Not |
|---|---|---|
| Azure sanal ağ adres alanı | Reddet | Tüm sanal ağlarınızın adres aralıklarını açıkça ekleyin. Azure'a yönelik trafik, Azure VMware Çözümü üzerinden gidenleri yönlendirir ve şirket içi ağa geri dönmez. |
| Varsayılan RFC 1918 adres alanları | İzin Ver | Varsayılan RFC 1918 adreslerini ekleyin. Bu yapılandırma, önceki ölçütlerle eşleşmeyen tüm trafiğin şirket içi ağa yeniden yönlendirilmesini sağlar. Şirket içi kurulumunuz RFC 1918'in parçası olmayan adresleri kullanıyorsa, bu aralıkları açıkça eklemeniz gerekir. |
| 0.0.0.0/0 adres alanı | Reddet | RFC 1918'in kapsamadığı, İnternet'e yönlendirilebilen IP'ler veya belirtilen girişlerle eşleşmeyen trafik gibi adresler, doğrudan Azure VMware Çözümü üzerinden çıkın ve şirket içi ağa geri yönlendirilmez. |