Wichtige Netzwerkaspekte für Azure VMware Solution

In diesem Artikel werden die verschiedenen Optionen erläutert, die zum Einrichten der Netzwerkkonnektivität mit der privaten Azure VMware Solution-Cloud verfügbar sind. Sie können eine Netzwerkkonnektivität über mehrere Quellen herstellen, z. B. über ein lokales Rechenzentrum, eine Hauptniederlassung, über remote Zweigstellenstandorte oder externe Benutzer*innen.

Aufbau

Im folgenden Diagramm zur allgemeinen Architektur sind die wichtigen Netzwerkszenarien dargestellt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Diese Architektur enthält einen wichtigen Netzwerkentwurf, der die folgenden Szenarios ermöglicht:

• Konnektivität zwischen lokaler und privater Azure VMware Solution-Cloud
• Konnektivität zwischen öffentlichem Internet und privater Azure VMware Solution-Cloud
• Konnektivität zwischen Zweigstellen-/VPN-Standort und privater Azure VMware Solution-Cloud
• Konnektivität zwischen Azure und privater Azure VMware Solution-Cloud

Jeder Routenentwurf ist mit einer Zahl (1, 2, 3 usw.) gekennzeichnet und wird später ausführlich beschrieben. Die Routennummern stellen keine Priorität dar.

Workflow

Diese Architektur umfasst folgende Szenarios.

Azure ExpressRoute Global Reach (Route 1)

Route 1 steht für die Konnektivität zwischen dem lokalen Standort und der privaten Azure VMware Solution-Cloud. Diese Konnektivität wird mithilfe von ExpressRoute Global Reach hergestellt und besteht aus einem Routenpaar.

Der erste Router wird als MSEE-Router (Microsoft Enterprise Edge) bezeichnet. Mit diesem Router wird die Konnektivität zwischen einem lokalen Standort und Azure hergestellt.

Der zweite Router wird als dedizierter D-MSEE-Router (Dedicated Microsoft Enterprise Edge) bezeichnet. Der D-MSEE-Router wird über das ExpressRoute-Gateway in Azure Virtual Network beendet und stellt die Konnektivität zwischen Azure und der privaten Azure VMware Solution-Cloud her. Die Kosten für den D-MSEE-Router sind in den Azure VMware Solution-Preisen enthalten. Der Netzwerkdurchsatz für ExpressRoute Global Reach ist auf den geringstmöglichen Durchsatz zwischen zwei Leitungen begrenzt.

Azure VPN Gateway (Route 2)

Route 2 stellt die Konnektivität mithilfe der Site-to-Site-VPN-Konnektivität (S2S) für den Zweck der Migration dar. Diese Konnektivität stellt eine Netzwerkkonnektivität zwischen der lokalen VMware-Site und der privaten Azure VMware Solution-Cloud her.

Azure VPN Gateway-Instanzen sind entweder in einem virtuellen Azure-Hubnetzwerk oder in Azure Virtual WAN verfügbar.

In Virtual WAN verfügen VPN-Gateways über eine Transitkonnektivität mit standardmäßig aktivierten ExpressRoute-Gateways. Der D-MSEE-Router der privaten Azure VMware Solution-Cloud kann über das ExpressRoute-Gateway beendet werden, das über einen Netzwerkpfad zu einem VPN-Standort verfügt, der mit dem VPN-Gateway verbunden ist.

Im Azure Virtual Network-Hub ist standardmäßig keine Transitkonnektivität zwischen dem VPN und dem ExpressRoute-Gateway. Um diese Transitkonnektivität zu erreichen, verwenden Sie entweder Azure Route Server oder ein virtuelles Netzwerkgerät (NVA, Network Virtual Appliance) eines Drittanbieters. Sobald die Transitkonnektivität verfügbar ist, kann der D-MSEE-Router der privaten Azure VMware Solution-Cloud über das ExpressRoute-Gateway beendet und dann über das VPN-Gateway auf den VPN-Standort verschoben werden.

Vorhandene Workloads, die an einem lokalen Standort ausgeführt werden, können mithilfe dieser Topologie über eine VPN-Verbindung migriert werden. Virtual WAN-VPN-Gateways sind im Vergleich zu VPN-Gateways in Azure Virtual Network-Hubs auf höhere Skalierbarkeit und höheren Durchsatz ausgelegt.

Öffentliche IP-Adresse auf dem NSX-T-Edgeknoten in der privaten Azure VMware Solution-Cloud (Route 3)

Route 3 zeigt eine Option für die HCX-Migration mithilfe einer öffentlichen IP-Adresse auf einem NSX-T-Edgeknoten in der privaten Azure VMware Solution-Cloud. Sie können diese Option in Betracht ziehen, wenn ExpressRoute- oder VPN-Konnektivität nicht möglich oder zeitaufwändig ist. Für eine optimale Migration wird empfohlen, ExpressRoute-Konnektivität zu verwenden.

VPN-Remotestandort (Route 4)

Route 4 zeigt die Konnektivität mithilfe der Site-to-Site-VPN-Konnektivität für den Zweck des Zugriffs dar. Im Gegensatz zu Azure VPN Gateway (Route 2) muss der mit Azure verknüpfte Standort keine VMware-Umgebung besitzen. Zweck dieser Topologie ist es, die Konnektivität von VPN-Remotestandorten mit Workloads einer privaten Azure VMware Solution-Cloud zuzulassen.

Die VPN-Konnektivität mit Remotestandorten kann über Azure entweder mithilfe des VPN-Gateways im virtuellen Hubnetzwerk oder in Virtual WAN hergestellt werden.

Das VPN-Gateway im virtuellen Hubnetzwerk benötigt Azure Route Server oder ein virtuelles Netzwerkgerät (NVA) eines Drittanbieters, um die Transitkonnektivität über das ExpressRoute-Gateway zu ermöglichen, das zum Beenden der D-MSEE ExpressRoute-Verbindung der privaten Azure VMware Solution-Cloud verwendet wird.

Das VPN-Gateway in Virtual WAN verfügt über eine Transitkonnektivität, die sofort über das ExpressRoute-Gateway in Virtual WAN aktiviert wurde. Das ExpressRoute-Gateway von Virtual WAN wird für die Beendigung der D-MSEE ExpressRoute-Verbindung der privaten Azure VMware Solution-Cloud verwendet.

Azure Application Gateway (Route 5)

Route 5 verdeutlicht, wie Azure-Dienste mit der privaten Azure VMware Solution-Cloud integriert werden können. Bei dieser Route treffen externe Benutzeranforderungen auf dem Azure Application Gateway, einem Lastenausgleich der Ebene 7, ein. Hierbei wird eine öffentliche IP-Adresse verfügbar gemacht, die einem DNS-Eintrag zugeordnet werden kann.

Application Gateway kann Gast-VMs der privaten Azure VMware Solution-Cloud als Back-End verwenden. Die Verwendung von Gast-VMs privater Azure VMware Solution-Clouds als Back-End für Application Gateway wird durch die Netzwerkkonnektivität zwischen Azure Virtual Network und der privaten Azure VMware Solution-Cloud ermöglicht.

Azure Virtual Network, das Application Gateway ausführt, hostet auch das ExpressRoute-Gateway, das zum Verbinden von D-MSEE der privaten Azure VMware Solution-Cloud verwendet wird. Mit der Kombination aus Application Gateway als Front-End und Azure VMware Solution-VMs als Back-End kann sichergestellt werden, dass keine öffentliche IP-Adresse aus der Azure VMware Solution-Umgebung verfügbar gemacht wird.

Von Application Gateway werden Dienste wie Web Application Firewall (WAF) bereitgestellt, damit häufige Sicherheitsrisiken (z. B. Einschleusung von SQL-Befehlen, CSRF oder XSS) minimiert werden, noch bevor eine Anforderung die Azure VMware Solution-Umgebung erreichen kann. Application Gateway ist eine der idealen Lösungen für alle über das Web zugänglichen Workloads, die in einer Azure VMware Solution-Umgebung ausgeführt werden.

Virtuelles Netzwerkgerät (NVA) über Azure Marketplace (Route 6)

Route 6 steht für die Nutzung von Azure Marketplace-Lösungen. Azure Marketplace verfügt über eine große Sammlung mit Partnerlösungen für verschiedene Kategorien von IT-Lösungen, z. B. Firewalls, virtuelle Netzwerkgeräte (Network Virtual Appliances, NVAs), Lastenausgleichsmodule usw.

Bei diesem Prozess können Kunden für das Akzeptieren von externen Benutzeranforderungen die Lösung ihres bevorzugten Anbieters auswählen. Je nach den konfigurierten Routen und der Sicherheitsüberprüfung gemäß Auswertung durch die Anbieterlösung kann die Anforderung dann an Gast-VMs der privaten Azure VMware Solution-Cloud weitergeleitet werden. Kunden können die von einem Partner angebotene Lizenzmobilität über eine lokale Umgebung und in einer privaten Azure VMware Solution-Cloud nutzen.

Azure Traffic Manager (Route 7)

Route 7 zeigt die Konnektivität zwischen Benutzer*innen und der privaten Azure VMware Solution-Cloud mit Azure Traffic Manager. Diese Route verwendet die DNS-basierte Lastenausgleichsfunktion von Azure Traffic Manager. Gast-VMs der privaten Azure VMware Solution-Cloud können hinter einem Anwendungsgateway angesiedelt werden. Öffentliche IP-Adressen in Application Gateway können als externer Endpunkt im Traffic Manager-Profil verwendet werden. Diese Route bietet die Flexibilität, mehrere Routingmethoden wie Priorität, Geografie, Gewichtung oder Leistung untereinander zu kombinieren, um eine Verbindung mit Workloads herzustellen, die in der privaten Azure VMware Solution-Cloud über das Internet ausgeführt werden.

Azure Virtual WAN (Route 8)

Route 8 steht für die Nutzung einer öffentlichen IP-Adresse, die Secure Azure Virtual WAN zugeordnet ist. Bei dieser Route wird Virtual WAN mit einer öffentlichen IP-Adresse konfiguriert, die dieser Firewall zugeordnet ist. Anschließend wird eine Firewallregel mit einer D-NAT-Regel konfiguriert. Mit der Regel werden Anforderungen, die bei der öffentlichen IP-Adresse eingehen, an die private IP-Adresse weitergeleitet, die der Azure VMware Solution-VM zugeordnet ist. Zusätzliche Firewallregeln können auch mit Azure Firewall Manager konfiguriert werden. Mit Virtual WAN wird transitive Konnektivität für die Any-to-Any-Netzwerkkonnektivität bereitgestellt. Diese Funktion ermöglicht den Zugriff auf Gast-VMs der privaten Azure VMware Solution-Cloud mit Virtual WAN.

Azure-VNet-Peering (Route 9)

Route 9 zeigt die Konnektivität mit einer privaten Azure VMware Solution-Cloud aus Azure Virtual Network unter Verwendung des Azure Virtual Network-Peerings. Eine private Azure VMware Solution-Cloud kann während der Bereitstellung mit einem virtuellen Netzwerk verbunden werden. Für dieses virtuelle Netzwerk kann ein Peering mit anderen virtuellen Netzwerken durchgeführt werden, in denen Workloads ausgeführt werden. Jede Gast-VM einer privaten Azure VMware Solution-Cloud kann dann eine Verbindung mit anderen Workloads herstellen und Daten in beiden Richtungen austauschen.

Das Peering virtueller Netzwerke ermöglicht Konnektivität mit geringer Latenz und hohem Durchsatz über ein Microsoft-Backbonenetzwerk. Dies ermöglicht wiederum die nahtlose Konnektivität zwischen der privaten Azure VMware Solution-Cloud und anderen Workloads, die in Azure ausgeführt werden.

VNet-Verbindung für Azure vWAN (Route 10)

Route 10 stellt die Verbindung zwischen Azure Virtual Network und Gast-VMs der privaten Azure VMware Solution-Cloud dar. Im Gegensatz zum Azure Virtual WAN-Dienst (Route 8), der die Konnektivität zwischen der privaten Azure VMware Solution-Cloud und der Außenwelt darstellt, stellt Route 10 die Konnektivität zwischen virtuellen Netzwerken dar, die mit Virtual WAN und Gast-VMs der privaten Azure VMware Solution-Cloud verbunden sind. Virtual WAN bietet Transitkonnektivität zwischen Standorten, die über ihre verschiedenen Gateways (VPN, ER oder VNet) verbunden sind. Dieses Feature wird von dieser Route verwendet.

Privater Azure-Endpunkt (Route 11)

Route 11 verdeutlicht die Konnektivität zwischen Azure-Diensten und Gast-VMs der privaten Azure VMware Solution-Cloud über einen privaten Endpunkt. Ein Azure-Dienst, z. B. Azure SQL-Datenbank oder Azure Cosmos DB, kann einen privaten Endpunkt in einer Azure Virtual Network-Instanz erstellen. Diesem privaten Endpunkt wird eine private IP-Adresse aus dem IP-Adressraum des virtuellen Netzwerks zugewiesen. Eine private Azure VMware Solution-Cloud ist über eine der folgenden Möglichkeiten mit diesem virtuellen Netzwerk verbunden:

1. Die private Azure VMware Solution-Cloud beendet die D-MSEE ExpressRoute-Verbindung über ein ExpressRoute-Gateway im selben virtuellen Netzwerk. Diese Verbindung ist im vorherigen Diagramm dargestellt.
2. Für das virtuelle Netzwerk, das zum Beenden der D-MSEE ExpressRoute-Verbindung der privaten Azure VMware Solution-Cloud verwendet wird, wird ein Peering mit dem virtuellen Netzwerk durchgeführt, das den privaten Endpunkt hostet. Diese Konnektivität ist in Route 9 dargestellt.

Route 11 verdeutlicht die Konnektivität zwischen Gast-VMs der privaten Azure VMware Solution-Cloud und Azure PaaS-Diensten über einen öffentlichen Endpunkt. Diese Art der Konnektivität ähnelt Route 12. Ein Unterschied zwischen den beiden Routen ist aber der Azure PaaS-Dienstendpunkt. Für Route 12 wird ein öffentlicher Endpunkt genutzt, während es bei Route 11 ein privater Endpunkt ist. Da immer mehr Azure-Dienste Konnektivität über einen privaten Endpunkt ermöglichen, wird empfohlen, einen privaten Endpunkt zu verwenden. Für Dienste, für die noch kein privater Endpunkt angeboten wird, können Gast-VMs von Azure VMware Solution ihre öffentlichen Endpunkte für die Nutzung verwenden.

Azure PaaS-Endpunkt (Route 12)

Route 12 verdeutlicht die Konnektivität zwischen Gast-VMs der privaten Azure VMware Solution-Cloud und Azure PaaS-Diensten über einen öffentlichen Endpunkt. Diese Art der Konnektivität ähnelt Route 11. Ein Unterschied zwischen den beiden Routen ist aber der Azure PaaS-Dienstendpunkt. Für Route 12 wird ein öffentlicher Endpunkt genutzt, während es bei Route 11 ein privater Endpunkt ist. Da immer mehr Azure-Dienste Konnektivität über einen privaten Endpunkt ermöglichen, wird empfohlen, einen privaten Endpunkt zu verwenden. Für Dienste, für die noch kein privater Endpunkt angeboten wird, können Gast-VMs von Azure VMware Solution die öffentlichen Endpunkte dieser Dienste für die Nutzung verwenden.

Öffentliche IP-Adresse auf einem NSX-T-Edgeknoten in der Azure VMware Solution-Cloud (Route 13)

Route 13 ermöglicht ein- und ausgehende Internetkonnektivität mit VMs, die in der privaten Azure VMware Solution-Cloud ausgeführt werden. Diese Konnektivität verwendet eine öffentliche IP-Adresse, die auf einem NSX-T-Edgeknoten bereitgestellt wird. Diese Route bietet SNAT- und DNAT-Funktionen. Auch wenn diese Route die ein- und ausgehende Internetkonnektivität vereinfacht, sollte diese Konfiguration unter Berücksichtigung der Designüberlegungen zur Internetkonnektivität bewertet werden.

Komponenten

• Azure VMware Solution
• Azure ExpressRoute
• Azure Traffic Manager
• Azure Application Gateway
• Azure Virtual Network
• Azure Virtual WAN
• Azure VPN Gateway
• Azure Route Server

Szenariodetails

In diesem Artikel wird erläutert, wie Sie native Azure-Dienste wie Azure ExpressRoute, Azure Traffic Manager und Azure Application Gateway verwenden. Native wichtigen Dienste können Unterstützung beim Herstellen einer Verbindung von Azure VMware Solution-Workloads mit einer lokalen Umgebung und externen Benutzer*innen bieten.

Mögliche Anwendungsfälle

Durch die Bereitstellung von Netzwerkkonnektivität können die folgenden wichtigen Anwendungsfälle ermöglicht werden:

• Erweitern einer lokalen VMware-Umgebung auf Azure
• Migrieren von VMware-Workloads aus einer lokalen Umgebung zu Azure
• Ermöglichen einer sicheren Konnektivität aus dem öffentlichen Internet mit Azure VMware Solution-Workloads
• Einrichten von Prozessen für die Notfallwiederherstellung zwischen einer lokalen und einer Azure VMware Solution-Umgebung oder zwischen zwei Azure VMware Solution-Umgebungen

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Mahesh Kshirsagar | Cloud Solution Architect

Nächste Schritte

In den folgenden Leitfäden erhalten Sie Informationen zu weiteren Azure VMware Solution-Architekturoptionen:

• Azure VMware Solution: Zielzone
• Azure VMware Solution: Kapazitätsplanung

Zugehörige Ressourcen

Weitere Informationen finden Sie unter den folgenden verwandten Ressourcen:

• Microsoft Azure VMware Solution auf Unternehmensebene
• Azure VMware Solution
• Checkliste für die Netzwerkplanung