Condividi tramite

Architetture di esempio per la soluzione Azure VMware

  • Articolo

Quando si stabilisce una zona di destinazione della soluzione Azure VMware, è necessario progettare e implementare le funzionalità di rete. I prodotti e i servizi di rete di Azure supportano diversi scenari di rete. Questo articolo descrive i quattro scenari di rete più comuni.

  • Scenario 1: Un hub della rete WAN virtuale protetto con finalità di routing
  • Scenario 2: Un'appliance virtuale di rete (NVA) nella rete virtuale di Azure controlla tutto il traffico di rete
  • Scenario 3: Traffico in uscita dalla Soluzione Azure VMware con o senza NSX-T o appliance virtuali di rete
  • Scenario 4: Soluzioni firewall non Microsoft in una rete virtuale hub con server di route Azure

Per scegliere un'architettura appropriata e pianificare la struttura dei servizi, valutare i carichi di lavoro, la governance e i requisiti dell'organizzazione.

Considerazioni sugli scenari

Esaminare le considerazioni e i requisiti chiave seguenti prima di scegliere lo scenario di distribuzione della soluzione Azure VMware.

  • Requisiti per il traffico Internet che entra nelle applicazioni della soluzione Azure VMware

  • Considerazioni sul percorso per il traffico Internet che esce dalle applicazioni della soluzione Azure VMware

  • Estensione di rete L2 per le migrazioni

  • Utilizzo dell'NVA nell'architettura corrente

  • Connettività della soluzione Azure VMware a una rete virtuale hub standard o a un hub della rete WAN virtuale di Azure

  • Connettività di Azure ExpressRoute dai data center locali alla soluzione Azure VMware

  • Uso di Raggio Globale di ExpressRoute

  • Requisiti di ispezione del traffico per:

    • Accesso Internet alle applicazioni della soluzione Azure VMware
    • Accesso a Internet per Azure VMware Solution
    • Accesso della soluzione Azure VMware ai data center locali
    • Accesso della soluzione Azure VMware alla rete virtuale
    • Traffico all'interno del cloud privato della soluzione Azure VMware

La tabella seguente descrive le raccomandazioni e le considerazioni in base ai requisiti di ispezione del traffico della soluzione Azure VMware per ogni scenario.

Situazione Requisiti di ispezione del traffico Progettazione consigliata della soluzione Considerazioni
1 - Da Internet
- Alla Internet		 Usare un hub WAN Virtuale protetto con propagazione del gateway predefinita.

Usare il Gateway di applicazione di Azure per il traffico HTTP o HTTPS. Usare Firewall di Azure per il traffico non HTTP o HTTPS.

Distribuire un hub della rete WAN virtuale protetto con finalità di routing.		 Questa opzione utilizza Global Reach, che non è efficace per il filtraggio locale in quanto ignora gli hub della rete WAN virtuale.
2 - Dall'internet
- All'internet
- Per il data center locale
- A rete virtuale		 Usare soluzioni NVA firewall non Microsoft nella rete virtuale hub con server di instradamento.

Non usare Copertura globale.

Usa il gateway delle applicazioni per il traffico HTTP o HTTPS. Usare un'appliance virtuale di rete del firewall non Microsoft in Azure per il traffico non HTTP o HTTPS.		 Scegliere questa opzione se si vuole usare l'NVA esistente e centralizzare l'ispezione del traffico nella rete virtuale hub.
3 - Da Internet
- A l'internet
- Per il data center in sede
- A rete virtuale
- All'interno della soluzione Azure VMware		 Usare NSX-T Data Center o un firewall NVA non Microsoft nella soluzione Azure VMware.

Utilizzare il Gateway Applicativo per il traffico HTTPS. Usare Firewall di Azure per il traffico non HTTPS.

Distribuire l'hub della rete WAN virtuale protetta e abilitare un indirizzo IP pubblico nella soluzione Azure VMware.		 Scegliere questa opzione se è necessario esaminare il traffico da due o più cloud privati della soluzione Azure VMware.

Usare questa opzione per sfruttare le funzionalità native NSX-T. È anche possibile combinare questa opzione con le NVAs (appliance virtuali di rete) che eseguono su Azure VMware Solution.
4 - Dall'Internet
- All'Internet
- Per il data center locale
- A rete virtuale		 Usare soluzioni firewall non Microsoft in una rete virtuale hub con server di route.

Usare l'Application Gateway per il traffico HTTP o HTTPS. Usare un'appliance virtuale di rete del firewall non Microsoft in Azure per il traffico non HTTP o HTTPS.

Usare un'appliance virtuale di rete firewall non Microsoft in sede.

Distribuire soluzioni firewall non Microsoft in una rete virtuale hub con Route Server.		 Scegliere questa opzione per pubblicizzare la route 0.0.0.0/0 da un NVA (Network Virtual Appliance) nella rete virtuale dell'hub di Azure alla soluzione Azure VMware.

Considerare questi punti chiave sugli scenari di rete:

  • Tutti gli scenari hanno modelli di ingresso simili attraverso il Gateway Applicazione e il Firewall Azure.

  • È possibile usare soluzioni di bilanciamento del carico da L4 a L7 nella soluzione Azure VMware.

  • È possibile usare il firewall distribuito NSX-T per uno di questi scenari.

Le sezioni seguenti illustrano i modelli di architettura per i cloud privati della soluzione Azure VMware. Per altre informazioni, vedere concetti di rete e interconnettività della soluzione Azure VMware.

Scenario 1: Hub della rete WAN virtuale protetta con finalità di routing

Questo scenario include i componenti e le considerazioni seguenti sull'architettura.

Quando usare questo scenario

Usare questo scenario se:

  • Non è necessaria l'ispezione del traffico tra la soluzione Azure VMware e i data center locali.

  • È necessaria l'ispezione del traffico tra i carichi di lavoro della soluzione Azure VMware e Internet.

  • È necessario proteggere il traffico in ingresso pubblico ai carichi di lavoro della soluzione Azure VMware.

Considerare anche questi altri fattori:

  • In questo scenario è possibile possedere gli indirizzi IP pubblici. Per altre informazioni, vedere Prefisso indirizzo IP personalizzato.

  • Se necessario, è possibile aggiungere servizi in ingresso rivolti al pubblico L4 o L7.

  • È possibile che si disponga o meno di connettività ExpressRoute tra i data center locali e Azure.

Panoramica

Il diagramma seguente offre una panoramica generale dello scenario 1.

Diagramma che mostra una panoramica dello scenario 1 con un hub della rete WAN virtuale protetto con finalità di routing.

Scarica un file PowerPoint di questa architettura.

Componenti

Questo scenario è costituito dai componenti seguenti:

  • Firewall di Azure in un hub della rete WAN virtuale protetto per i firewall

  • Application Gateway per il bilanciamento del carico L7 e il Firewall per applicazioni Web di Azure

  • Traduzione dell'indirizzo di rete di destinazione (DNAT) L4 con Azure Firewall per tradurre e filtrare il traffico di rete in ingresso.

  • Internet in uscita tramite Firewall di Azure nell'hub WAN virtuale della tua rete

  • EXR, VPN o SD-WAN per la connettività tra data center locali e la soluzione Azure VMware

Diagramma che mostra lo scenario 1 con un hub della rete WAN virtuale protetto con finalità di routing.

Scarica un file Visio di questa architettura.

Considerazioni

  • Azure Firewall in un hub della rete WAN virtuale protetta annuncia la route 0.0.0.0/0 ad Azure VMware Solution. Questa rotta viene anche pubblicizzata in sede tramite Global Reach. È possibile utilizzare SD-WAN o VPN per implementare un filtro di route interno per impedire l'apprendimento delle rotte 0.0.0.0/0.

  • Connessioni stabilite tramite VPN, ExpressRoute o reti virtuali a un hub di rete WAN virtuale sicura che non necessitano dell'annuncio 0.0.0.0/0 lo ricevono comunque. Per evitare questa azione, è possibile:

    • Utilizzare un dispositivo perimetrale in loco per filtrare la route 0.0.0.0/0.

    • Disabilitare la propagazione di 0.0.0.0/0 su connessioni specifiche.

      1. Disconnettere le connessioni di rete virtuale, VPN o ExpressRoute.
      2. Abilitare la propagazione di 0.0.0.0/0.
      3. Disabilitare la propagazione di 0.0.0.0/0 su quelle connessioni specifiche.
      4. Riconnettere tali connessioni.

  • È possibile ospitare il gateway dell'applicazione in una rete virtuale spoke che si connette all'hub della WAN virtuale.

Abilitare la soluzione Azure VMware per esaminare il traffico locale tramite Firewall di Azure

Per abilitare la soluzione Azure VMware per esaminare il traffico locale tramite Firewall di Azure, seguire questa procedura:

  1. Rimuovere la connessione Global Reach tra la Soluzione Azure VMware e l'ambiente locale.
  2. Aprire un caso di supporto con Microsoft Support per abilitare la connettività di transito da ExpressRoute a ExpressRoute tramite un'appliance Azure Firewall nell'hub configurato con i criteri di routing privato.

Scenario 2: Un appliance virtuale di rete (NVA) nella rete virtuale controlla tutto il traffico della rete.

Questo scenario include i componenti e le considerazioni seguenti sull'architettura.

Quando usare questo scenario

Usare questo scenario se:

  • Devi usare i firewall NVAs non Microsoft in una rete virtuale hub per ispezionare tutto il traffico e non puoi usare Global Reach per ragioni geopolitiche o altre ragioni.

    • È disponibile la connettività tra i data center locali e la soluzione Azure VMware.
    • È disponibile la connettività tra la rete virtuale e la soluzione Azure VMware.
    • È necessario l'accesso a Internet dalla soluzione Azure VMware.
    • È necessario l'accesso a Internet alla soluzione Azure VMware.

  • È necessario un controllo granulare sui firewall esterni al cloud privato della soluzione Azure VMware.

  • Sono necessari più indirizzi IP pubblici per i servizi in ingresso e sono necessari un blocco di indirizzi IP predefiniti in Azure. In questo scenario non si possiedono indirizzi IP pubblici.

Questo scenario presuppone che si disponga della connettività ExpressRoute tra i data center locali e Azure.

Panoramica

Il diagramma seguente offre una panoramica generale dello scenario 2.

Diagramma che mostra una panoramica dello scenario 2 con NVA non Microsoft nella rete virtuale hub che controlla tutto il traffico di rete.

Scaricare un file di Visio di questa architettura.

Componenti

Questo scenario è costituito dai componenti seguenti:

  • Appliance virtuali di rete non Microsoft firewall ospitate in una rete virtuale per fornire l'ispezione del traffico e altre funzioni di rete.

  • Server di rotta per instradare il traffico tra la Soluzione Azure VMware, i data center locali e le reti virtuali.

  • Gateway applicativo per fornire il bilanciamento del carico L7 su HTTP o HTTPS.

In questo scenario è necessario disabilitare Copertura globale di ExpressRoute. Le appliance virtuali di rete non Microsoft forniscono l'accesso a Internet in uscita alla soluzione Azure VMware.

Diagramma che mostra lo scenario 2 con NVA non-Microsoft nella rete virtuale hub che ispeziona tutto il traffico di rete.

Scaricare un file di Visio di questa architettura.

Considerazioni

  • Non configurare ExpressRoute Global Reach per questo scenario perché il traffico di Azure VMware Solution passa direttamente tra i router ExpressRoute di Microsoft Enterprise Edge (MSEE). Il traffico bypassa la rete virtuale hub.

  • Distribuire il Route Server nella rete virtuale del tuo hub. Il server di route deve avere il peering mediante il protocollo BGP (Border Gateway Protocol) con le appliance virtuali di rete nella rete virtuale di transito. Configurare il server di route per consentire connettività da ramo a ramo.

  • Usare tabelle di route personalizzate e route definite dall'utente per instradare il traffico in entrambe le direzioni tra la soluzione Azure VMware e il servizio di bilanciamento del carico delle appliance virtuali di rete non Microsoft firewall. Questa configurazione supporta tutte le modalità a disponibilità elevata, tra cui attivo/attivo e attivo/standby, e aiuta a garantire la simmetria del routing.

  • Se è necessaria la disponibilità elevata per le appliance virtuali di rete, vedere la documentazione del fornitore dell'appliance virtuale di rete e distribuire appliance virtuali di rete a disponibilità elevata.

Scenario 3: Traffico in uscita dalla soluzione Azure VMware con o senza NSX-T o appliance virtuali di rete

Questo scenario include i componenti e le considerazioni seguenti sull'architettura.

Quando usare questo scenario

Usare questo scenario se:

  • Si usa la piattaforma nativa NSX-T Data Center, quindi è necessaria una distribuzione PaaS (Platform as a Service) per la soluzione Azure VMware.

  • È necessaria un'appliance virtuale di rete BYOL (Bring Your Own License) all'interno della soluzione Azure VMware per l'ispezione del traffico.

  • Sono necessari servizi HTTP, HTTPS o L4 in ingresso.

È possibile che si disponga o meno di connettività ExpressRoute tra i data center locali e Azure. Tutto il traffico dalla soluzione Azure VMware verso la rete virtuale, da Azure VMware Solution a Internet e da Azure VMware Solution ai data center locali viene instradato attraverso i gateway Tier-0 o Tier-1 del data center NSX-T o le NVAs (appliance virtuali di rete).

Panoramica

Il diagramma seguente offre una panoramica generale dello scenario 3.

Diagramma che mostra una panoramica dello scenario 3 con il traffico in uscita dalla soluzione Azure VMware con o senza NSX-T data center o appliance virtuali di rete.

Scaricare un file di Visio di questa architettura.

Componenti

Questo scenario è costituito dai componenti seguenti:

  • Un firewall distribuito NSX o un'appliance virtuale di rete dietro il livello 1 nella soluzione Azure VMware.
  • Gateway delle applicazioni per fornire il bilanciamento del carico L7.
  • DNAT L4 tramite Firewall di Azure.
  • Uscita Internet dalla soluzione Azure VMware.

Diagramma che mostra lo scenario 3 con uscita dalla soluzione Azure VMware con o senza NSX-T Data Center o Appliance Virtuale di Rete.

Scarica un file Visio di questa architettura.

Considerazioni

  • Abilitare l'accesso a Internet nel portale di Azure. Per questo scenario, un indirizzo IP in uscita può cambiare e non è deterministico. Gli indirizzi IP pubblici si trovano all'esterno dell'NVA. L'NVA nella soluzione Azure VMware ha ancora indirizzi IP privati e non determina l'indirizzo IP pubblico in uscita.

  • La NVA è BYOL, il che significa che si porta una licenza e si implementa l'alta disponibilità per la NVA.

  • Consultare la documentazione di VMware per le opzioni di posizionamento dell'NVA (appliance virtuale di rete) e informazioni sul limite di VMware di otto schede di interfaccia di rete virtuali in una macchina virtuale. Per altre informazioni, vedere integrazione del firewall nella soluzione Azure VMware.

Scenario 4: soluzioni firewall non Microsoft in una rete virtuale hub con server di route

Questo scenario include i componenti e le considerazioni seguenti sull'architettura.

Quando usare questo scenario

Usare questo scenario se:

  • Si vuole abilitare l'accesso a Internet della soluzione Azure VMware tramite la NVA non Microsoft in un hub di rete virtuale di Azure. Si vuole controllare il traffico tra la soluzione Azure VMware e la rete virtuale.

  • Si vuole controllare il traffico tra data center locali e Azure tramite l'appliance virtuale di rete locale non Microsoft.

  • Sono necessari più indirizzi IP pubblici per i servizi in ingresso e sono necessari un blocco di indirizzi IP predefiniti in Azure. In questo scenario non si possiedono indirizzi IP pubblici.

  • È necessario un controllo granulare sui firewall all'esterno del cloud privato della soluzione Azure VMware.

Panoramica

Il diagramma seguente offre una panoramica generale dello scenario 4.

Diagramma che mostra una panoramica dello scenario 4 con un'appliance virtuale di rete non Microsoft nella rete virtuale hub.

Scarica un file Visio di questa architettura.

Componenti

Questo scenario è costituito dai componenti seguenti:

  • Appliance virtuali di rete non Microsoft, configurate in modalità attiva/attiva o attiva/standby, ospitate in una rete virtuale per eseguire il firewall e altre funzioni di rete.

  • Route Server per scambiare route tra Azure VMware Solution, i data center locali e le reti virtuali.

  • Appliance virtuali di rete non Microsoft nell'hub della rete virtuale di Azure per fornire l'accesso a Internet in uscita alla soluzione Azure VMware.

  • ExpressRoute per la connettività tra data center locali e la soluzione Azure VMware.

Diagramma che mostra lo scenario 4 con un NVA non Microsoft nella rete virtuale hub.

Scarica il file Visio di questa architettura.

Considerazioni

  • Per questo scenario, gli indirizzi IP pubblici in uscita vengono assegnati alle NVA nella rete virtuale di Azure.

  • Le appliance virtuali di rete non Microsoft nell'hub di rete virtuale sono configurate per eseguire il peering con il Servizio di Routing tramite BGP e Equal-Cost Instradamento Multi-Path (ECMP). Queste appliance virtuali di rete annunciano la route predefinita0.0.0.0/0 per Azure VMware Solution.

  • L'instradamento predefinito 0.0.0.0/0 viene pubblicizzato anche nel sito locale tramite Global Reach. Implementare un filtro di rotta locale per impedire l'apprendimento della rotta predefinita 0.0.0.0/0.

  • Il traffico tra la soluzione Azure VMware e la rete locale passa attraverso Copertura globale di ExpressRoute. Per ulteriori informazioni, vedere Connettere gli ambienti locali peer alla Azure VMware Solution. L'appliance virtuale di rete non Microsoft locale esegue l'ispezione del traffico tra la soluzione locale e la soluzione Azure VMware anziché le appliance virtuali di rete non Microsoft nell'hub di rete virtuale di Azure.

  • È possibile ospitare Application Gateway in una rete virtuale spoke che si connette a un hub o sulla rete virtuale hub.

Passaggi successivi