Use um design de solução VMware do Azure de região única que tenha WAN virtual e alcance global
Este artigo descreve as práticas recomendadas para a Solução VMware do Azure em uma única região quando você usa a WAN Virtual do Azure segura com intenção de roteamento. Ele fornece recomendações de conectividade e fluxo de tráfego para WAN Virtual segura com intenção de roteamento e Alcance Global do Azure ExpressRoute. Este artigo descreve a topologia para designs em nuvens privadas da Solução VMware do Azure, sites locais e recursos nativos do Azure. A implementação e configuração de WAN virtual segura com intenção de roteamento estão além do escopo deste artigo.
Usar WAN virtual segura em uma única região
Somente a SKU padrão da WAN Virtual suporta WAN virtual segura com intenção de roteamento. Use a WAN Virtual segura com intenção de roteamento para enviar todo o tráfego da Internet e o tráfego da rede privada para uma solução de segurança, como o Firewall do Azure, um dispositivo virtual de rede (NVA) que não seja da Microsoft ou uma solução de software como serviço (SaaS). Você deve ter um hub WAN virtual seguro se usar a intenção de roteamento.
Nota
Ao configurar a Solução VMware do Azure com hubs WAN virtuais seguros, defina a opção de preferência de roteamento de hub como Caminho AS para garantir resultados de roteamento ideais no hub. Para obter mais informações, consulte Preferências de roteamento de hub virtual.
O hub deste cenário tem a seguinte configuração:
A rede de região única tem uma instância de WAN virtual e um hub.
O hub tem uma instância do Firewall do Azure implantada, o que o torna um hub WAN Virtual seguro.
O hub WAN virtual seguro tem a intenção de roteamento habilitada.
Este cenário também tem estes componentes:
Uma única região tem sua própria nuvem privada Azure VMware Solution e uma rede virtual do Azure.
Um site local se conecta novamente ao hub.
O ambiente tem conectividade de alcance global.
O Global Reach estabelece uma ligação lógica direta através do backbone da Microsoft, que liga a Solução VMware do Azure ao local.
As conexões de alcance global não transitam pelo firewall do hub. Portanto, o tráfego do Global Reach que vai nos dois sentidos entre o local e a Solução VMware do Azure não é inspecionado.
Nota
Para melhorar a segurança entre sites do Global Reach, considere inspecionar o tráfego no NSX-T do ambiente da Solução VMware do Azure ou em um firewall local.
O diagrama a seguir mostra um exemplo desse cenário.
A tabela a seguir descreve a conectividade de topologia no diagrama anterior.
| Connection | Description |
|---|---|
| D | Conexão ExpressRoute gerenciada pela nuvem privada da Solução VMware do Azure com o hub |
| A | Conexão do Azure VMware Solution Global Reach com o local |
| E | Conexão de Rota Expressa local com o hub |
Fluxos de tráfego de WAN virtual seguros em uma única região
As seções a seguir descrevem os fluxos de tráfego e a conectividade para a Solução VMware do Azure, no local, nas redes virtuais do Azure e na Internet.
Conectividade de nuvem privada e fluxos de tráfego da Solução VMware do Azure
O diagrama a seguir mostra os fluxos de tráfego para a nuvem privada da Solução VMware do Azure.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 1 | Azure VMware Solution nuvem | Rede virtual | Sim |
| 2 | Azure VMware Solution nuvem | No local | Não |
A nuvem privada da Solução VMware do Azure liga-se ao respetivo hub através da ligação D da Rota Expressa. A região de nuvem da Solução VMware do Azure estabelece uma conexão com o local por meio da conexão A do ExpressRoute Global Reach. O tráfego que viaja através do Global Reach não transita pela firewall do hub.
Para o seu cenário, configure o Global Reach para evitar problemas de conectividade entre o local e a Solução VMware do Azure.
Conectividade local e fluxo de tráfego
O diagrama a seguir mostra o site local conectado ao hub por meio da conexão E da Rota Expressa. Os sistemas locais podem se comunicar com a Solução VMware do Azure por meio da conexão Global Reach A.
Para o seu cenário, configure o Global Reach para evitar problemas de conectividade entre o local e a Solução VMware do Azure.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 3 | No local | Azure VMware Solution nuvem | Não |
| 4 | No local | Rede virtual | Sim |
Conectividade de rede virtual do Azure e fluxo de tráfego
Um hub seguro com intenção de roteamento habilitada envia os endereços RFC 1918 padrão (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) para redes virtuais emparelhadas, juntamente com quaisquer outros prefixos adicionados como prefixos de tráfego privado. Para obter mais informações, consulte Prefixos de endereço privado de intenção de roteamento. Esse cenário tem a intenção de roteamento habilitada, portanto, todos os recursos na rede virtual possuem os endereços RFC 1918 padrão e usam o firewall do hub como o próximo salto. Todo o tráfego que entra e sai da rede virtual transita pelo firewall do hub.
O diagrama a seguir mostra como a rede virtual se compara diretamente ao hub.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 5 | Rede virtual | Azure VMware Solution nuvem | Sim |
| 6 | Rede virtual | Azure VMware Solution nuvem | Sim |
Ligação à Internet
Esta seção descreve como fornecer conectividade com a Internet para recursos nativos do Azure em uma rede virtual e em uma nuvem privada da Solução VMware do Azure. Para obter mais informações, consulte Considerações sobre design de conectividade com a Internet. Você pode usar as seguintes opções para fornecer conectividade com a Internet para a Solução VMware do Azure.
- Opção 1: Serviço de Internet hospedado no Azure
- Opção 2: SNAT (Tradução de Endereço de Rede de Origem) gerenciada pela Solução VMware do Azure.
- Opção 3: Endereço IPv4 público do Azure para a borda do Data Center NSX-T
Um design de WAN virtual seguro de região única com intenção de roteamento suporta todas as opções, mas recomendamos a opção 1. O cenário mais adiante neste artigo usa a opção 1 para fornecer conectividade com a Internet. A opção 1 funciona melhor com a WAN Virtual segura porque é fácil de inspecionar, implantar e gerenciar.
Ao usar a intenção de roteamento, você pode gerar uma rota padrão a partir do firewall do hub. Essa rota padrão anuncia para sua rede virtual e para a Solução VMware do Azure.
Solução VMware do Azure e conectividade de rede virtual com a Internet
Quando você habilita a intenção de roteamento para o tráfego da Internet, por padrão, o hub WAN virtual seguro não anuncia a rota padrão nos circuitos da Rota Expressa. Para ajudar a garantir que a rota padrão se propague para a Solução VMware do Azure a partir da WAN Virtual, você deve habilitar a propagação de rota padrão em seus circuitos de Rota Expressa da Solução VMware do Azure. Para obter mais informações, consulte Anunciar rota padrão 0.0.0.0/0 para pontos de extremidade.
Depois de habilitar a propagação de rota padrão, a conexão D anuncia a rota padrão 0.0.0.0/0 do hub. Não habilite essa configuração para circuitos de Rota Expressa locais. A Conexão D anuncia a rota padrão 0.0.0.0/0 para a Solução VMware do Azure, mas o Global Reach (conexão A) também anuncia a rota padrão para o local. Como resultado, recomendamos que você implemente um filtro BGP (Border Gateway Protocol) em seu equipamento local para que ele não aprenda a rota padrão. Esta etapa ajuda a garantir que sua configuração não afete a conectividade local com a Internet.
A tabela a seguir descreve o fluxo de tráfego no diagrama anterior.
| Número do fluxo de tráfego | Origem | Destino | O firewall seguro do hub WAN virtual inspeciona esse tráfego? |
|---|---|---|---|
| 7 | Azure VMware Solution nuvem | A Internet | Sim |
| 8 | Rede virtual | A Internet | Sim |
Quando você habilita a intenção de roteamento para acesso à Internet, a rota padrão gerada a partir do hub WAN virtual seguro anuncia automaticamente para as conexões de rede virtual emparelhadas por hub. Observe que nas placas de interface de rede (NICs) das máquinas virtuais na rede virtual, o próximo salto 0.0.0.0/0 é o firewall do hub. Para encontrar o próximo salto, selecione Rotas efetivas na NIC.