Fáze návrhu 2: Připojení ivity s virtuálními sítěmi Azure

  • Článek

Privátní cloudy Azure VMware Solution se připojují k virtuálním sítím Azure prostřednictvím spravovaných okruhů Azure ExpressRoute. Další informace najdete v tématu Okruhy ExpressRoute a privátní cloudy Azure VMware Solution. V hvězdicových sítích Azure (včetně sítí vytvořených pomocí služby Azure Virtual WAN) připojení spravovaného okruhu privátního cloudu k bráně ExpressRoute v centrální síti (nebo centru Virtual WAN) poskytuje připojení vrstvy 3 k privátnímu cloudu. Vynucení zásad zabezpečení k selektivnímu povolení nebo odepření připojení mezi prostředky je ale často požadavkem. Tento požadavek může existovat mezi:

  • Virtuální sítě a virtuální počítače Azure spuštěné v privátním cloudu Azure VMware Solution
  • Virtuální sítě Azure a koncové body správy privátního cloudu Azure VMware Solution

I když virtuální sítě Azure a vSphere/NSX-T poskytují nativní konstrukce pro segmentaci sítě, řešení brány firewall nasazená jako síťová virtuální zařízení (NVA) ve virtuálních sítích Azure jsou často upřednostňovanou možností v prostředích na podnikové úrovni. Tento článek se zaměřuje na konfiguraci virtuální sítě, která umožňuje směrovat provoz mezi privátními cloudy a virtuálními sítěmi Azure pomocí vlastních segmentů směrování, jako jsou síťová virtuální zařízení brány firewall.

Volba, kterou v této fázi návrhu provedete, závisí na možnosti, kterou jste vybrali ve fázi návrhu 1 pro místní připojení. Spravovaný okruh ExpressRoute, který připojuje privátní cloud k virtuální síti Azure, může také hrát roli v připojení k místním lokalitám. To je případ, kdy během fáze 1 návrhu zvolíte průchod přes privátní partnerský vztah ExpressRoute. Tento vývojový diagram ukazuje proces výběru možnosti připojení k virtuálním sítím Azure:

Flowchart that shows the design decision making process for connectivity to Azure virtual networks.

Další informace o připojení k virtuálním sítím Azure najdete v jedné z následujících částí. Zvolte oddíl, který odpovídá možnosti hybridního připojení, kterou jste vybrali během fáze návrhu 1.

Přenos přes privátní partnerský vztah ExpressRoute se používá pro místní provoz.

Při použití přenosu přes privátní partnerský vztah ExpressRoute pro připojení k místním lokalitám se provoz směruje přes síťová virtuální zařízení (obvykle azure Firewall nebo řešení brány firewall třetích stran) v centrální síti. Provoz z místních lokalit vstupuje do virtuální sítě Azure přes bránu ExpressRoute (připojenou k okruhu vlastněného zákazníkem) a směruje se do síťového virtuálního zařízení brány firewall. Po kontrole se provoz přesměruje (pokud brána firewall nezahodí) do privátního cloudu prostřednictvím spravovaného okruhu ExpressRoute.

V opačném směru provoz z privátního cloudu vstupuje do virtuální sítě centra nebo pomocné virtuální sítě v závislosti na možnosti implementace zvolené během fáze 1 návrhu (jedna virtuální síť nebo pomocná virtuální síť). Pak se směruje přes bránu ExpressRoute, která je připojená ke spravovanému okruhu a k síťovému virtuálnímu zařízení brány firewall. Po kontrole se provoz přesměruje (pokud brána firewall nezahodí) do místního cíle prostřednictvím okruhu ExpressRoute vlastněného zákazníkem.

Možnosti jedné virtuální sítě a pomocných virtuálních sítí zahrnují konfiguraci směrování, která způsobí, že veškerý provoz z privátního cloudu se přesměruje do síťového virtuálního zařízení brány firewall v centrální síti bez ohledu na jeho cíl (virtuální síť Azure nebo místní lokality). Pravidla brány firewall, která povolují nebo odstraňují připojení mezi virtuálními počítači spuštěnými v privátním cloudu a prostředky Azure, musí být přidána do zásad brány firewall.

ExpressRoute Global Reach se používá pro místní provoz.

Pokud pro připojení k místním lokalitám používáte ExpressRoute Global Reach , připojení brány ExpressRoute mezi centrální sítí a privátním cloudem přenáší provoz pouze do prostředků Azure. Pokud chcete tento provoz směrovat přes zařízení brány firewall, musíte implementovat následující konfiguraci:

  • V tradičních hvězdicových sítích je potřeba přidat trasy definované uživatelem (UDR) do podsítě brány centra pro všechny cíle (předpony IP adres) v Azure, které je potřeba dosáhnout prostřednictvím síťových virtuálních zařízení. IP adresa dalšího segmentu směrování pro trasy definované uživatelem je VIRTUÁLNÍ IP adresa brány firewall (privátní IP adresa brány firewall při použití služby Azure Firewall).
  • V hvězdicových sítích, které jsou založené na službě Virtual WAN s integrovanými síťovými virtuálními zařízeními (Azure Firewall nebo řešení zabezpečení třetích stran), musíte do výchozí směrovací tabulky centra Virtual WAN přidat vlastní statické trasy. Pro každou předponu IP, ke které je potřeba získat přístup přes síťová virtuální zařízení z Azure VMware Solution, se vyžaduje trasu definovanou uživatelem. Dalším segmentem směrování pro tyto trasy definované uživatelem musí být virtuální IP adresa brány firewall nebo síťového virtuálního zařízení. Alternativně můžete aktivovat a nakonfigurovat záměr směrování virtual WAN a zásady směrování v zabezpečených centrech Virtual WAN.

Sítě VPN PROTOKOLU IPSec se používají pro místní provoz.

Pokud pro připojení k místním lokalitám používáte sítě VPN PROTOKOLU IPSec, musíte nakonfigurovat další směrování pro směrování připojení mezi privátním cloudem a prostředky ve virtuálních sítích Azure prostřednictvím síťových virtuálních zařízení brány firewall:

  • V tradičních hvězdicových sítích je potřeba přidat trasy definované uživatelem do podsítě brány rozbočovače pro všechny cíle (předpony IP adres) v Azure, které je potřeba dosáhnout prostřednictvím síťových virtuálních zařízení. IP adresa dalšího segmentu směrování pro trasy definované uživatelem je VIRTUÁLNÍ IP adresa brány firewall (privátní IP adresa brány firewall při použití služby Azure Firewall).
  • V hvězdicových sítích, které jsou založené na službě Virtual WAN s integrovanými síťovými virtuálními zařízeními (Azure Firewall nebo řešení zabezpečení třetích stran), musíte do výchozí směrovací tabulky centra Virtual WAN přidat vlastní statické trasy pro každou sadu cílů (předpony IP), které je potřeba dosáhnout prostřednictvím síťových virtuálních zařízení z Řešení Azure VMware. Pro každou trasu definovanou uživatelem musí být dalším segmentem směrování virtuální IP adresa brány firewall nebo síťové virtuální ip adresy. Alternativně můžete aktivovat a nakonfigurovat záměr směrování virtual WAN a zásady směrování v zabezpečených centrech Virtual WAN.

Další kroky

Přečtěte si informace o příchozím připojení k internetu.

Příchozí připojení k internetu