Share via

اعتبارات تصميم الاتصال بالإنترنت

  • مقالة

هناك ثلاثة أنماط أساسية لإنشاء وصول صادر إلى الإنترنت من Azure VMware Solution ولتمكين الوصول إلى الإنترنت الوارد إلى الموارد على سحابة Azure VMware Solution الخاصة بك.

تدفع متطلبات عناصر التحكم في الأمان والرؤية والسعة والعمليات اختيار الطريقة المناسبة لتسليم الوصول إلى الإنترنت إلى السحابة الخاصة ل Azure VMware Solution.

خدمة الإنترنت المستضافة في Azure

هناك طرق متعددة لإنشاء مسار افتراضي في Azure وإرساله نحو سحابة Azure VMware Solution الخاصة أو المحلية. تكون الخيارات كما يلي:

  • جدار حماية Azure في Virtual WAN Hub.
  • جهاز ظاهري للشبكة تابع لجهة خارجية في Virtual WAN Hub Spoke Virtual Network.
  • جهاز ظاهري للشبكة تابع لجهة خارجية في شبكة Azure الظاهرية الأصلية باستخدام Azure Route Server.
  • مسار افتراضي من محلي يتم نقله إلى Azure VMware Solution عبر Global Reach.

استخدم أي من هذه الأنماط لتوفير خدمة SNAT صادرة مع القدرة على التحكم في المصادر المسموح بها، لعرض سجلات الاتصال، وبالنسبة لبعض الخدمات، قم بإجراء المزيد من فحص حركة المرور.

يمكن أن تستهلك نفس الخدمة أيضا عنوان IP العام ل Azure وإنشاء DNAT وارد من الإنترنت نحو الأهداف في Azure VMware Solution.

يمكن أيضا إنشاء بيئة تستخدم مسارات متعددة لحركة مرور الإنترنت. واحد ل SNAT الصادرة (على سبيل المثال، NVA أمان جهة خارجية)، وآخر ل DNAT الواردة (مثل NVA موازن التحميل التابع لجهة خارجية باستخدام تجمعات SNAT لحركة مرور الإرجاع).

Azure VMware Solution Managed SNAT

توفر خدمة SNAT المدارة طريقة بسيطة للوصول إلى الإنترنت الصادر من سحابة خاصة ل Azure VMware Solution. تتضمن ميزات هذه الخدمة ما يلي.

  • تمكين بسهولة - حدد الزر التبادلي على علامة التبويب الاتصال الإنترنت وجميع شبكات حمل العمل لديها وصول صادر فوري إلى الإنترنت من خلال بوابة SNAT.
  • لا يسمح بالتحكم في قواعد SNAT، جميع المصادر التي تصل إلى خدمة SNAT.
  • لا توجد رؤية لسجلات الاتصال.
  • يتم استخدام اثنين من عناوين IP العامة وتدويرها لدعم ما يصل إلى 128 ألف اتصال صادر متزامن.
  • لا تتوفر إمكانية DNAT الواردة مع Azure VMware Solution Managed SNAT.

عنوان IPv4 العام ل Azure إلى NSX Edge

يجلب هذا الخيار عنوان Azure Public IPv4 المخصص مباشرة إلى NSX Edge للاستهلاك. يسمح للسحابة الخاصة Azure VMware Solution باستهلاك عناوين الشبكة العامة وتطبيقها مباشرة في NSX كما هو مطلوب. يتم استخدام هذه العناوين للأنوع التالية من الاتصالات:

  • SNAT الصادر
  • DNAT الوارد
  • موازنة التحميل باستخدام VMware NSX Advanced Load Balancer والأجهزة الظاهرية للشبكة الأخرى التابعة لجهة خارجية
  • التطبيقات المتصلة مباشرة بواجهة الجهاز الظاهري لحمل العمل.

يتيح لك هذا الخيار أيضا تكوين العنوان العام على جهاز ظاهري للشبكة تابع لجهة خارجية لإنشاء DMZ داخل السحابة الخاصة ل Azure VMware Solution.

وتشمل الميزات:

  • المقياس - يمكنك طلب زيادة الحد المبدئي ل 64 عنوان IPv4 عام ل Azure إلى 1000 ثانية من عناوين IP العامة ل Azure المخصصة إذا تطلب أحد التطبيقات ذلك.
  • المرونة - يمكن تطبيق عنوان IPv4 العام Azure في أي مكان في النظام البنائي NSX. يمكن استخدامه لتوفير SNAT أو DNAT، على موازنات التحميل مثل NSX Advanced Load Balancer الخاص ب VMware، أو الأجهزة الظاهرية للشبكة التابعة لجهة خارجية. يمكن أيضا استخدامه على أجهزة أمان الشبكة الظاهرية لجهة خارجية على مقاطع VMware أو مباشرة على الأجهزة الظاهرية.
  • الإقليمية - عنوان IPv4 العام Azure إلى NSX Edge فريد من نوعه ل SDDC المحلي. بالنسبة إلى "السحابة الخاصة المتعددة في المناطق الموزعة"، مع الخروج المحلي إلى نوايا الإنترنت، من الأسهل توجيه حركة المرور محليا مقابل محاولة التحكم في نشر المسار الافتراضي لأمان أو خدمة SNAT مستضافة في Azure. إذا كان لديك سحابتان خاصتان أو أكثر من سحابات Azure VMware Solution المتصلة ب IP عام تم تكوينها، فيمكن أن يكون لكل منهما مخرج محلي.

اعتبارات تحديد خيار

يعتمد الخيار الذي تحدده على العوامل التالية:

  • لإضافة سحابة خاصة ل Azure VMware إلى نقطة فحص أمان تم توفيرها في Azure الأصلي الذي يفحص جميع حركة مرور الإنترنت من نقاط نهاية Azure الأصلية، استخدم بنية Azure الأصلية وتسرب مسار افتراضي من Azure إلى سحابة Azure VMware Solution الخاصة بك.
  • إذا كنت بحاجة إلى تشغيل جهاز ظاهري للشبكة تابع لجهة خارجية ليتوافق مع المعايير الحالية لفحص الأمان أو نفقات التشغيل المبسطة، فلديك خياران. يمكنك تشغيل عنوان IPv4 العام Azure في Azure الأصلي باستخدام أسلوب المسار الافتراضي أو تشغيله في Azure VMware Solution باستخدام عنوان IPv4 العام Azure إلى NSX Edge.
  • هناك حدود مقياس لعدد عناوين IPv4 العامة ل Azure التي يمكن تخصيصها لجهاز ظاهري للشبكة يعمل في Azure الأصلي أو توفيره على جدار حماية Azure. يسمح عنوان IPv4 العام ل Azure إلى NSX Edge بتخصيصات أعلى (1000 ثانية مقابل 100 ثانية).
  • استخدم عنوان IPv4 العام Azure إلى NSX Edge للخروج المترجم إلى الإنترنت من كل سحابة خاصة في منطقتها المحلية. باستخدام العديد من السحب الخاصة ل Azure VMware Solution في العديد من مناطق Azure التي تحتاج إلى التواصل مع بعضها البعض والإنترنت، قد يكون من الصعب مطابقة سحابة Azure VMware Solution الخاصة مع خدمة أمان في Azure. ترجع الصعوبة إلى الطريقة التي يعمل بها المسار الافتراضي من Azure.

هام

حسب التصميم، لا يسمح عنوان IPv4 العام مع NSX بتبادل عناوين IP العامة المملوكة ل Azure/Microsoft عبر اتصالات ExpressRoute Private Peering. وهذا يعني أنه لا يمكنك الإعلان عن عناوين IPv4 العامة إلى الشبكة الظاهرية للعميل أو الشبكة المحلية عبر ExpressRoute. يجب أن تأخذ جميع عناوين IPv4 العامة ذات حركة مرور NSX مسار الإنترنت حتى إذا كانت السحابة الخاصة ل Azure VMware Solution متصلة عبر ExpressRoute. لمزيد من المعلومات، تفضل بزيارة إقران دائرة ExpressRoute.

الخطوات التالية

تمكين SNAT المدار لأحمال عمل حل Azure VMware

تمكين IP العام إلى NSX Edge ل Azure VMware Solution

تعطيل الوصول إلى الإنترنت أو تمكين مسار افتراضي