Síťová topologie a možnosti připojení pro Azure VMware Solution

  • Článek
  • 16 min ke čtení
Scenario Požadavky na kontrolu provozu Doporučený návrh řešení Požadavky
1
  • Příchozí přenos dat z internetu
  • Internetový výstup
    		•
  • Použijte Virtual WAN centrum s výchozím šířením brány.
  • Použijte Azure Application Gateway pro HTTP/S nebo Azure Firewall jiné přenosy než HTTP/S.
  • Nasaďte zabezpečené Virtual WAN a povolte veřejnou IP adresu v Azure VMware Solution.
    		•
  • Toto řešení nefunguje pro místní filtrování. Global Reach obchází Virtual WAN hub.
    		•
    2
  • Příchozí přenos dat z internetu
  • Internetový výstup
  • Do místního datacentra
  • Do Azure Virtual Network
    		•
  • Použijte řešení síťového virtuálního zařízení brány firewall třetích stran ve virtuální síti centra se službou Azure Route Server.
  • Zakažte Global Reach.
  • K Application Gateway provozu mimo HTTP/S použijte protokol HTTP/S nebo síťové virtuální zařízení brány firewall třetích stran.
    		•
  • Tato možnost je nejběžnější pro zákazníky, kteří chtějí používat své stávající síťové virtuální zařízení a centralizovat všechny kontroly provozu ve virtuální síti centra.
    		•
    3
  • Příchozí přenos dat z internetu
  • Internetový výstup
  • Do místního datacentra
  • Do Azure Virtual Network
  • V Azure VMware Solution
    		•  – Použijte NSX-T nebo bránu firewall síťového virtuálního zařízení třetí strany v Azure VMware Solution.
  • Použijte Application Gateway pro http nebo Azure Firewall pro jiné přenosy než HTTP.

    – nasaďte zabezpečené centrum Virtual WAN a povolte veřejnou IP adresu v Azure VMware Solution.
    		•  – Tuto možnost použijte, pokud potřebujete zkontrolovat provoz ze dvou nebo více Azure VMware Solution privátních cloudů.

    – tato možnost může používat nativní funkce NSX-T nebo se může kombinovat se nva běžící na virtuálních Azure VMware Solution mezi L1 a l0.
    4
  • Příchozí přenos dat z internetu
  • Do Azure Virtual Network
    		•  – Použijte Virtual WAN zabezpečené centrum.
  • Použijte Azure Application Gateway pro HTTP/S nebo Azure Firewall jiné přenosy než HTTP/S.
  • Nasaďte zabezpečené Virtual WAN a povolte veřejnou IP adresu v Azure VMware Solution.
    		•
  • Pomocí této možnosti můžete 0.0.0.0/0 inzerovat trasu z místních datacenter.
    		•
    • Vzory příchozího přenosu Application Gateway a Azure Firewall jsou podobné pro všechny scénáře.
    • Síťová virtuální zařízení nástroje pro vyrovnávání zatížení L4-L7 můžete použít v Azure VMware Solution.
    • V jakémkoli z těchto scénářů můžete použít bránu firewall NSX-T.

    Následující části popisují čtyři nejběžnější síťové scénáře pro Azure VMware Solution cloudy. Tento seznam není vyčerpávající. Další scénáře najdete v tématu Nasazení virtuálních zařízení, která podporují síť VXLANs azure route serverem a tranzitní virtuální sítí.

    Scénář 1: Zabezpečené Virtual WAN s výchozím šířením tras

    Tento scénář má následující profil zákazníka, součásti architektury a důležité informace:

    Profil zákazníka

    Tento scénář je ideální v případě, že:

    • Není potřeba provádět kontrolu provozu mezi Azure VMware Solution a Azure Virtual Network.
    • Není nutné provádět kontrolu provozu mezi Azure VMware Solution a místními datacentra.
    • Potřebujete kontrolu provozu mezi úlohami Azure VMware Solution a internetem.

    V tomto scénáři využijete Azure VMware Solution jako nabídku paaS (platforma jako služba). Veřejné IP adresy nevlastníte. V případě potřeby je potřeba přidat příchozí služby L4 a L7 s veřejným přístupem. Možná nebo ještě nemáte připojení ExpressRoute mezi místními datacentra a Azure.

    Komponenty architektury

    Tento scénář můžete implementovat pomocí:

    • Azure Firewall brány firewall Virtual WAN zabezpečeném centru.
    • Application Gateway pro vyrovnávání zatížení L7.
    • L4 DNAT (překlad cílových síťových adres) s Azure Firewall pro překlad a filtrování příchozího síťového provozu.
    • Odchozí internet přes Azure Firewall v centru Virtual WAN.
    • ExR, VPN nebo SD-WAN pro připojení mezi místními datacentra a Azure VMware Solution.

    Diagram zabezpečeného Virtual WAN s výchozím šířením tras

    Požadavky

    Pokud nechcete dostávat inzerování výchozí trasy z Azure VMware Solution protože je v konfliktu s existujícím prostředím, musíte 0.0.0.0/0 provést další akci.

    Azure Firewall zabezpečeném centru Virtual WAN inzeruje trasu do 0.0.0.0/0 Azure VMware Solution. Trasa 0.0.0.0/0 se také inzeruje místně prostřednictvím Global Reach. Implementujte místní filtr tras, aby se zabránilo 0.0.0.0/0 učení tras. Pokud používáte SD-WAN nebo VPN, k tomuto problému nedojde.

    Pokud se aktuálně připojujete k topologii centra a paprsku založené na virtuální síti přes bránu ExpressRoute místo přímého připojení, výchozí trasa z centra Virtual WAN se rozšíří do brány a má přednost před internetovou systémovou trasou integrovanou do 0.0.0.0/0 virtuální sítě. Pokud chcete tento problém obejít, implementujte ve virtuální síti trasu definovanou uživatelem, která 0.0.0.0/00.0.0.0/0 přepíše naučenou výchozí trasu.

    Oznámení o inzerovaném programu obdrží také zavedená připojení VPN, ExpressRoute nebo virtuální sítě Virtual WAN zabezpečeného centra, které nevyžadují 0.0.0.0/0 inzerování. Pokud chcete tento problém vyřešit, můžete:

    • Vyfiltrujte 0.0.0.0/0 trasu pomocí místního hraničního zařízení.

    • Nebo:

      1. Odpojte ExpressRoute, VPN nebo virtuální síť.
      2. Povolte 0.0.0.0/0 šíření.
      3. 0.0.0.0/0Zakažte šíření těchto konkrétních připojení.
      4. Znovu připojte tato připojení.

    Můžete hostovat Application Gateway v paprskové virtuální síti připojené k rozbočovači nebo ve virtuální síti rozbočovače.

    Scénář 2: Síťové virtuální zařízení třetích stran v Azure Virtual Network se serverem Azure Route Se zakázaným Global Reach

    Tento scénář má následující profil zákazníka, součásti architektury a důležité informace:

    Profil zákazníka

    Tento scénář je ideální v případě, že:

    • Potřebujete jemně odsouváte kontrolu nad branami firewall mimo Azure VMware Solution privátní cloud.
    • Potřebujete použít bezpečnostní zařízení od aktuálního dodavatele v místním prostředí nebo jiných prostředích Azure.
    • Potřebujete více veřejných IP adres pro příchozí služby a potřebujete blok předdefinovaných IP adres v Azure. V tomto scénáři vlastníte veřejné IP adresy.
    • Chcete kontrolovat provoz mezi Azure VMware Solution a místními datacentra pomocí síťových virtuálních zařízení a nemůžete je Global Reach z geopolitických důvodů.
    • Obvykle potřebujete příchozí služby L4 a L7 s veřejným přístupem pro Azure VMware Solution služeb a také odchozí připojení k internetu.

    V tomto scénáři už máte připojení ExpressRoute mezi místními datacentra a Azure.

    Komponenty architektury

    Tento scénář můžete implementovat pomocí:

    • Síťová virtuální zařízení třetích stran hostovaná ve virtuální síti pro brány firewall a další síťové funkce.
    • Směrovací server Azure pro směrování provozu mezi Azure VMware Solution, místními datacentra a virtuálními sítěmi.
    • Application Gateway jako upřednostňované řešení pro vyrovnávání zatížení HTTP/S L7.

    V tomto scénáři musíte zakázat expressroute Global Reach. Síťová virtuální zařízení zodpovídají za poskytování odchozího internetu pro Azure VMware Solution.

    Diagram výchozímu přenosu dat prostřednictvím síťového virtuálního zařízení třetí strany v Azure Virtual Network s povoleným serverem Azure Route Global Reach.

    Požadavky

    Tento scénář musí kontrolovat veškerý provoz ve virtuální síti centra, který je hostitelem síťových virtuálních zařízení, takže musíte zakázat expressroute Global Reach. Global Reach by Azure VMware Solution toku provozu přímo mezi směrovači ExpressRoute Microsoft Enterprise Edge (MSEE) a přeskakováním centrální virtuální sítě.

    Implementujte směrovací server Azure a ujistěte se, že směruje provoz přes centrum. Zodpovídáte za implementaci a správu řešení síťového virtuálního zařízení nebo za použití existujícího řešení.

    Pokud potřebujete vysokou dostupnost pro síťová virtuální zařízení, nasaďte síťová virtuální zařízení v konfiguraci aktivní-pohotovostní, aby se zachovalo symetrické směrování. Další informace najdete v dokumentaci od dodavatele síťového virtuálního zařízení a nasazení vysoce dostupných virtuálních zařízení.

    Předchozí diagram architektury znázorňuje síťové virtuální zařízení s podporou sítě VXLAN. Informace o nvas without VXLAN support, see Deploying a non-integrated NVA in Virtual WAN without VXLAN and a transit VNet.

    Scénář 3: Egress z Azure VMware Solution s NSX-T nebo NVA nebo bez něj

    Tento scénář má následující profil zákazníka, součásti architektury a důležité informace:

    Profil zákazníka

    Tento scénář je ideální v případě, že:

    • Musíte použít nativní platformu NSX, takže potřebujete nasazení PaaS pro Azure VMware Solution.
    • Nebo potřebujete síťové virtuální zařízení s vlastní licencí (BYOL) v rámci Azure VMware Solution pro kontrolu provozu.
    • Možná nebo ještě nemáte připojení ExpressRoute mezi místními datacentra a Azure.
    • Potřebujete příchozí služby HTTP/S nebo L4.

    Veškerý provoz z Azure VMware Solution do Azure Virtual Network, Azure VMware Solution na internet a Azure VMware Solution do místních datacenter se trychtýřemi přes směrovače NSX úrovně 0/vrstvu 1 nebo síťová virtuální zařízení.

    Komponenty architektury

    Tento scénář můžete implementovat pomocí:

    • Distribuovaná brána firewall NSX (DFW) nebo síťové virtuální zařízení za vrstvou 1 v Azure VMware Solution
    • Application Gateway pro vyrovnávání zatížení L7
    • L4 DNAT s využitím Azure Firewall
    • Přerušení internetu z Azure VMware Solution

    Diagram přenosu dat z Azure VMware Solution prostřednictvím NSX-T a síťového virtuálního zařízení

    Požadavky

    Musíte povolit přístup k internetu na Azure Portal. Při tomto návrhu se odchozí IP adresa může změnit a není deterministická. Veřejné IP adresy se nacházejí mimo síťové virtuální zařízení. Síťové virtuální zařízení Azure VMware Solution má stále privátní IP adresy a nesnídá odchozí veřejnou IP adresu.

    Síťové virtuální zařízení je byOL a je na vás, abyste licenci přinesli a implementují vysokou dostupnost síťového virtuálního zařízení.

    Informace o omezení VMware až osmi virtuálních síťových karet na virtuálním počítači najdete v dokumentaci k VMware, které se týká možností umísťování síťových virtuálních zařízení. Další informace najdete v tématu Integrace brány firewall v Azure VMware Solution.

    Scénář 4: Egress z Azure VMware Solution prostřednictvím 0.0.0.0/0 inzerování z místního prostředí

    Tento scénář má následující profil zákazníka, součásti architektury a důležité informace:

    Profil zákazníka

    Tento scénář je ideální v případě, že:

    • Chcete použít místní síťové virtuální zařízení a inzerovat ho z 0.0.0.0/0 místního prostředí.
    • Už máte nebo budete mít ExpressRoute mezi místními datacentra a Azure, s povolenými Global Reach zařízeními.
    • Potřebujete veřejné příchozí služby HTTP/S nebo L4.

    Kontrola přenosu dat z internetu se zpracovává místně. Zabezpečené centrum Azure Virtual WAN kontrolu provozu mezi Azure VMware Solution a Azure Virtual Network.

    Komponenty architektury

    Tento scénář můžete implementovat pomocí:

    • Application Gateway pro vyrovnávání zatížení L7
    • L4 DNAT s využitím Azure Firewall
    • Přerušení internetu v místním prostředí
    • ExpressRoute pro připojení mezi místními datacentra a Azure VMware Solution

    Diagram přenosu dat z Azure VMware Solution prostřednictvím místního prostředí

    Požadavky

    S tímto návrhem se odchozí veřejné IP adresy nacházejí místně s místním nvA.

    Pokud se aktuálně připojujete k topologii centra a paprsku založené na virtuální síti přes bránu ExpressRoute místo přímého připojení, výchozí trasa z centra Virtual WAN se rozšíří do brány a má přednost před internetovou systémovou trasou integrovanou do 0.0.0.0/0 virtuální sítě. Pokud chcete tento problém obejít, implementujte ve virtuální síti trasu definovanou uživatelem, která 0.0.0.0/00.0.0.0/0 přepíše naučenou výchozí trasu.

    Obecné aspekty a doporučení k návrhu

    Tady jsou některé obecné aspekty návrhu a doporučení pro Azure VMware Solution topologii sítě a připojení:

    Paprskové centrum vs. Virtual WAN topologie sítě

    Virtual WAN podporuje tranzitní připojení mezi VPN a ExpressRoute,ale nepodporuje topologii centra s paprsky.

    Privátní cloudy a clustery

    • Všechny clustery mohou komunikovat v rámci Azure VMware Solution cloudu, protože všechny sdílejí stejný adresní prostor /22.

    • Všechny clustery také sdílejí stejné nastavení připojení, jako je internet, ExpressRoute, HCX, veřejná IP adresa a expressroute Global Reach. Úlohy aplikací mohou také sdílet některá základní nastavení sítě, jako jsou segmenty sítě, protokol DHCP (Dynamic Host Configuration Protocol) a DNS (Domain Name System).

    • Před nasazením navrhovat privátní cloudy a clustery předem. Počet privátních cloudů má přímý vliv na vaše požadavky na síť. Každý privátní cloud vyžaduje vlastní adresní prostor /22 pro správu privátního cloudu a segment IP adres pro úlohy virtuálních počítače. Zvažte předem definovat tyto adresní prostory.

    • Proberte s týmem VMware a síťovými týmy, jak segmentovat a distribuovat privátní cloudy, clustery a síťové segmenty pro úlohy. Předplánujte, abyste se vyhnuli plýtvání IP adresami.

    • Další informace o správě IP adres privátních cloudů najdete v tématu Definování segmentu IP adres pro správu privátního cloudu.

    • Další informace o správě IP adres pro úlohy virtuálních počítačů najdete v tématu Definování segmentu IP adres pro úlohy virtuálních počítačů.

    DNS a DHCP

    Pro protokol DHCP použijte službu DHCP integrovanou do NSX nebo použijte místní server DHCP v privátním cloudu. Nessměrováte všesměrový provoz DHCP přes síť WAN zpět do místních sítí.

    V případě DNS máte v závislosti na scénáři a požadavcích různé možnosti:

    • Pouze pro Azure VMware Solution prostředí nasaďte novou infrastrukturu DNS ve svém Azure VMware Solution cloudu.
    • Pokud Azure VMware Solution připojení k místnímu prostředí, použijte stávající infrastrukturu DNS. V případě potřeby nasaďte servery DNS pro předávání, které rozšíří do Azure Virtual Network, nebo ideálně do Azure VMware Solution. Další informace najdete v tématu Přidání služby předávání DNS.
    • Pokud Azure VMware Solution připojení k místním prostředím i službám Azure, použijte existující servery DNS nebo servery DNS pro předávání DNS ve virtuální síti centra, pokud jsou k dispozici. Nebo můžete rozšířit stávající místní infrastrukturu DNS do virtuální sítě centra Azure. Podrobnosti najdete v diagramu cílové zóny na podnikové úrovni.

    Další informace naleznete v tématu:

    Internet

    Následující seznam je stručný přehled:

    Mezi možnosti odchozích přenosů pro povolení internetu a filtrování a kontrolu provozu patří:

    • Azure Virtual Network, síťové virtuální zařízení a směrovací server Azure s přístupem k internetu v Azure
    • Místní výchozí trasa využívající místní přístup k internetu
    • Virtual WAN zabezpečeného centra s Azure Firewall nebo NVA s využitím přístupu k internetu v Azure

    Mezi příchozí možnosti doručování obsahu a aplikací patří:

    • Azure Application Gateway s ukončením protokolu L7, SSL (Secure Sockets Layer) (SSL) a Web Application Firewall
    • DNAT a nástroj pro vyrovnávání zatížení prostřednictvím místního prostředí
    • Azure Virtual Network, síťové virtuální zařízení a směrovací server Azure v různých scénářích
    • Virtual WAN zabezpečený rozbočovač s Azure Firewall, s L4 a DNAT
    • Virtual WAN zabezpečeného centra se nva v různých scénářích

    ExpressRoute

    První Azure VMware Solution privátního cloudu automaticky zřisuje jeden bezplatný okruh ExpressRoute. Tento okruh Azure VMware Solution k D-MSEE.

    V případě umístění zvažte nasazení Azure VMware Solution do spárovaných oblastí Azure v blízkosti vašich datacenter.

    Global Reach

    • Global Reach je doplněk ExpressRoute, který Azure VMware Solution ke komunikaci s místními datacentra, Azure Virtual Network a Virtual WAN. Alternativou je návrh připojení k síti pomocí směrovacího serveru Azure.

    • Partnerský vztah mezi okruhem Azure VMware Solution ExpressRoute a dalšími okruhy ExpressRoute můžete Global Reach bez poplatků.

    • Můžete použít Global Reach partnerský vztah okruhů ExpressRoute prostřednictvím poskytovatele internetu a pro ExpressRoute Direct okruhy.

    • Global Reach se nepodporuje pro místní okruhy ExpressRoute. V případě místní služby ExpressRoute je Azure VMware Solution do místních datacenter prostřednictvím síťových virtuálních zařízení třetích stran ve virtuální síti Azure.

    • Global Reach není k dispozici ve všech umístěních.

    Šířka pásma

    Zvolte vhodnou SKU Virtual Network Gateway pro optimální šířku pásma mezi Azure VMware Solution a Azure Virtual Network. Azure VMware Solution podporuje maximálně čtyři okruhy ExpressRoute pro bránu ExpressRoute v jedné oblasti.

    Zabezpečení sítě

    Zabezpečení sítě používá kontrolu provozu a zrcadlení portů.

    Kontrola provozu mezi východem a západem v rámci SDDC používá NSX-T nebo síťová virtuální zařízení ke kontrole provozu do Azure Virtual Network napříč oblastmi.

    Kontrola provozu mezi severem a jihem prověřuje obousměrný tok provozu mezi Azure VMware Solution a datacentra. Kontrola provozu mezi severem a jihem může využívat:

    • Síťové virtuální zařízení a směrovací server Azure přes internet Azure
    • Místní výchozí trasa přes místní internet
    • Azure Firewall a Virtual WAN přes internet Azure
    • NSX-T v rámci SDDC přes Azure VMware Solution internet
    • Síťové virtuální Azure VMware Solution v rámci SDDC přes Azure VMware Solution internet

    Požadavky na porty a protokoly

    Nakonfigurujte všechny potřebné porty pro místní bránu firewall, abyste zajistili správný přístup ke všem komponentám Azure VMware Solution privátního cloudu. Další informace najdete v tématu Požadované síťové porty.

    Azure VMware Solution správy

    • Během nasazování zvažte použití Azure Bastion hostitele v Azure Virtual Network pro přístup k Azure VMware Solution prostředí.

    • Jakmile je směrování do místního prostředí zavedeno, síť pro správu Azure VMware Solution nebude respektovat trasy z místních sítí, takže musíte inzerovat konkrétnější trasy pro 0.0.0.0/0 místní sítě.

    Kontinuita podnikových dat a zotavení po havárii (BCDR) a migrace

    • Při migraci VMware HCX zůstane výchozí brána v místním prostředí. Další informace najdete v tématu Nasazení a konfigurace VMware HCX.

    • Migrace VMware HCX může používat rozšíření HCX L2. Migrace, které vyžadují rozšíření vrstvy 2, vyžadují ExpressRoute. Síť VPN se nepodporuje. Maximální velikost přenosové jednotky (MTU) by měla být 1 350, aby se přizpůsobí režii HCX. Další informace o návrhu rozšíření vrstvy 2 najdete v tématu Přemostění vrstvy 2 v režimu správce (VMware.com).

    Další kroky

    Použití softwarově definovaného datového centra VMware (SDDC) s cloudovým ekosystémem Azure představuje jedinečnou sadu aspektu návrhu pro nativní cloudové i hybridní scénáře. Tento článek se zabývá klíčovými aspekty a osvědčenými postupy týkajícími se sítí a připojení k Azure, z Azure a Azure VMware Solution nasazení.

    Tento článek vychází z několika principů architektury Cloud Adoption Framework zón na podnikové úrovni a doporučení pro správu síťové topologie a připojení ve velkém měřítku. Tyto pokyny v oblasti návrhu na podnikové úrovni můžete použít pro klíčové platformy Azure VMware Solution platformy. Mezi základy návrhu patří:

    • Hybridní integrace pro připojení místních, multicloudových, hraničních a globálních uživatelů Další informace najdete v tématu Enterprise škálování pro hybridní a multicloudové řešení.
    • Výkon a spolehlivost ve velkém měřítku pro zajištění konzistentního prostředí s nízkou latencí a škálovatelnosti pro úlohy.
    • Zabezpečení sítě založené na nulové důvěryhodnosti pro zabezpečení hraniční sítě a toků provozu. Další informace najdete v tématu Strategie zabezpečení sítě v Azure.
    • Rozšiřitelnost pro snadné rozšiřování síťové stopy bez nutnosti přepracování návrhu

    Síťové komponenty a koncepty

    • Azure Virtual Network je základním stavebním blokem pro privátní sítě v Azure. Azure Virtual Network nabízí, že mnoho typů prostředků Azure, jako je Azure Virtual Machines (VM), může bezpečně komunikovat mezi sebou, internetem a místními datovými cechy. Virtuální síť je podobná tradiční síti, kterou provozujete ve vlastním datacentru, ale má výhody škálování, dostupnosti a izolace infrastruktury Azure.

    • Síťové virtuální zařízení (NVA) je síťové zařízení, které podporuje funkce, jako je připojení, doručování aplikací, optimalizace sítě WAN (Wide Area Network) a zabezpečení. Mezi síťová virtuální zařízení patří Azure Firewall a Azure Load Balancer.

    • Azure Virtual WAN je síťová služba, která spojuje mnoho síťových, bezpečnostních a směrovacích funkcí do jednoho provozního rozhraní. Mezi tyto možnosti patří:

      • Automatizace připojení pobočky Virtual WAN partnerských zařízení, jako jsou SD-WAN nebo virtuální privátní sítě založené na CPE (Customer Premises Equipment).
      • Připojení VPN site-to-site
      • Připojení VPN point-to-site vzdáleného uživatele
      • Připojení Azure ExpressRoute privátními sítěmi
      • Možnosti připojení v rámcicloudu, jako je tranzitivní připojení pro virtuální sítě
      • Propojení VPN ExpressRoute
      • Směrování
      • Brána Azure Firewall
      • Šifrování pro privátní připojení

    • V topologii sítě s centrálnímipaprsky funguje centrální virtuální síť jako centrální bod připojení k mnoha paprskových virtuálním sítím. Centrum může být také bodem připojení k místním datacentrům. Paprskové virtuální sítě jsou v partnerském vztahu s centrem a je možné je použít k izolaci úloh.

    • VXLAN (virtual extension LAN) je technologie virtualizace sítě pro škálování cloudových sítí. Síť VXLAN generuje virtuální síť, která překrývá místní síť (LAN) pomocí technologie vrstvy 3 (L3) k rozšíření sítě.

    • Rozšíření vrstvy 2 (L2) rozšiřuje virtuální síť LAN nebo doménu síťového všesměrového vysílání napříč dvěma lokalitami. Rozšíření L2 má mnoho názvů, například DCI (Datacenter Interconnect), rozšíření datacentra (DCE), rozšířenou síť vrstvy 2, roztažené sítě vrstvy 2, roztažené sítě VLAN, rozšířené sítě VLAN, roztažené nasazení nebo vpn vrstvy 2.

    • Vrstva 4 (L4) označuje čtvrtou vrstvu modelu OSI (Open Systems Interconnection). L4 poskytuje transparentní přenos nebo přenos dat mezi koncovými systémy nebo hostiteli. L4 zodpovídá za obnovení koncových chyb a také řízení toku. Některé z hlavních protokolů používaných v L4 jsou:

      • Protokol UDP (User Datagram Protocol)
      • UDP-Lite
      • Cyklické UDP (CUDP)
      • Reliable UDP (ZÁKLADNÍP)
      • Protokol ATP (AppleTalk Transaction Protocol)
      • Multipath TCP (MPTCP)
      • Tcp (Transmission Control Protocol)
      • Výměna sekvencovaných paketů (SPX)

    • Vrstva 7 (L7) je sedmá a nejvyšší vrstva modelu OSI, která se nazývá aplikační vrstva. Vrstva 7 identifikuje komunikující strany a kvalitu služeb mezi nimi. L7 zpracovává ochranu osobních údajů a ověřování uživatelů a identifikuje jakákoli omezení syntaxe dat. Tato vrstva je zcela specifická pro aplikaci. Volání rozhraní API a odpovědi patří do této vrstvy. Mezi hlavní protokoly L7 se používá protokol HTTP, HTTPS a SMTP.

    Síťové scénáře

    Návrh a implementace síťových funkcí je zásadní pro vytvoření cílové Azure VMware Solution zóny. Síťové produkty a služby Azure podporují širokou škálu funkcí. To, jakou architekturu zvolit a jak strukturovat služby, závisí na úlohách, správného řízení a požadavcích vaší organizace.

    Následující klíčové požadavky a důležité informace ovlivňují vaše rozhodnutí Azure VMware Solution nasazení:

    • Požadavky http/s nebo jiných než HTTP/S na příchozí přenos dat z internetu do Azure VMware Solution aplikací

    • Aspekty cesty k internetovému přenosu dat

    • Rozšíření L2 pro migrace

    • Použití síťového virtuálního zařízení v aktuální architektuře

    • Azure VMware Solution připojení ke standardní virtuální síti rozbočovače nebo Virtual WAN hubu

    • Privátní připojení ExpressRoute z místních datacenter do Azure VMware Solution a jestli je Global Reach ExpressRoute povolené

    • Požadavky na kontrolu provozu pro:

      • Příchozí přenos dat z internetu do Azure VMware Solution aplikací
      • Azure VMware Solution přístupu k internetu
      • Azure VMware Solution přístupu k místním datacentrům
      • Azure VMware Solution přístup k Azure Virtual Network
      • Provoz v rámci Azure VMware Solution privátního cloudu

    Následující tabulka obsahuje doporučení a důležité informace pro čtyři nejběžnější síťové scénáře na základě požadavků na Azure VMware Solution provozu.