Az internetkapcsolat tervezésének szempontjai

  • Cikk

Három elsődleges minta alapján hozhat létre kimenő internet-hozzáférést az Azure VMware Solutionből, és engedélyezheti a bejövő internet-hozzáférést az Azure VMware Solution magánfelhőjében lévő erőforrásokhoz.

A biztonsági vezérlőkre, a láthatóságra, a kapacitásra és a műveletekre vonatkozó követelmények a megfelelő módszer kiválasztását vezérli az Azure VMware Solution magánfelhőhöz való internetes hozzáférés biztosításához.

Az Azure-ban üzemeltetett internetszolgáltatás

Az Azure-ban többféleképpen is létrehozhat egy alapértelmezett útvonalat, és elküldheti azt az Azure VMware Solution magánfelhőjéhez vagy a helyszínen. A következő lehetőségek közül választhat:

  • Azure-tűzfal a Virtual WAN Hubban.
  • Külső hálózati virtuális berendezés a Virtual WAN Hub küllős virtuális hálózatában.
  • Külső hálózati virtuális berendezés natív Azure-beli virtuális hálózaton az Azure Route Server használatával.
  • Alapértelmezett útvonal a helyszíniről az Azure VMware Solutionbe a Global Reachen keresztül.

Ezen minták bármelyikével olyan kimenő SNAT-szolgáltatást biztosíthat, amely szabályozhatja, hogy mely források engedélyezettek, megtekintheti a kapcsolati naplókat, és egyes szolgáltatások esetében további forgalomvizsgálatot hajthat végre.

Ugyanez a szolgáltatás azure-beli nyilvános IP-címet is használhat, és létrehozhat egy bejövő DNST-t az internetről az Azure VMware Solutionben lévő célok felé.

Olyan környezet is létrehozható, amely több elérési utat használ az internetes forgalomhoz. Az egyik a kimenő SNAT-hoz (például egy külső biztonsági NVA-hoz), a másik pedig a bejövő DNST-hez (például egy külső terheléselosztó NVA-hoz, amely SNAT-készleteket használ a visszatérési forgalomhoz).

Azure VMware-megoldás által felügyelt SNAT

A felügyelt SNAT-szolgáltatások egyszerű módszert biztosítanak az Azure VMware Solution magánfelhőből történő kimenő internet-hozzáféréshez. A szolgáltatás funkciói közé tartoznak a következők.

  • Egyszerűen engedélyezhető – válassza az Internet Csatlakozás ivity lapon található választógombot, és minden számítási feladattal rendelkező hálózat azonnali kimenő internet-hozzáféréssel rendelkezik egy SNAT-átjárón keresztül.
  • Az SNAT-szabályok nem szabályozhatóak, az SNAT-szolgáltatást elérő összes forrás engedélyezett.
  • Nincs láthatóság a kapcsolatnaplókban.
  • A rendszer két nyilvános IP-címet használ és elforgat, hogy akár 128 ezres egyidejű kimenő kapcsolatokat is támogatjon.
  • Az Azure VMware-megoldás által felügyelt SNAT-hez nem érhető el bejövő DNST-képesség.

Azure Nyilvános IPv4-cím az NSX Edge-nek

Ez a beállítás közvetlenül az NSX Edge-hez hoz egy lefoglalt Nyilvános Azure IPv4-címet használat céljából. Lehetővé teszi, hogy az Azure VMware Solution magánfelhő szükség szerint közvetlenül használja és alkalmazza a nyilvános hálózati címeket az NSX-ben. Ezek a címek a következő típusú kapcsolatokhoz használatosak:

  • Kimenő SNAT
  • Bejövő DNST
  • Terheléselosztás a VMware NSX Advanced Load Balancer és más külső hálózati virtuális berendezések használatával
  • A számítási feladatok virtuálisgép-felületéhez közvetlenül csatlakozó alkalmazások.

Ez a beállítás lehetővé teszi a nyilvános cím konfigurálását egy külső hálózati virtuális berendezésen, hogy létrehozhasson egy DMZ-t az Azure VMware Solution magánfelhőben.

Funkciók:

  • Skálázás – 64 nyilvános Azure IPv4-cím helyreállítható korlátjának növelését kérheti 1000 s-ra az azure-beli nyilvános IP-címek 1000 s-jára, ha egy alkalmazás megköveteli.
  • Rugalmasság – Az Azure Public IPv4-címek az NSX-ökoszisztémában bárhol alkalmazhatók. Használható SNAT vagy DNAT biztosítására olyan terheléselosztókon, mint a VMware NSX Advanced Load Balancer vagy külső hálózati virtuális berendezések. Külső hálózati virtuális biztonsági berendezéseken is használható VMware-szegmenseken vagy közvetlenül virtuális gépeken.
  • Regionalitás – Az NSX Edge-nek címzett Azure Public IPv4-cím a helyi SDDC-re jellemző. Az "elosztott régiókban lévő több magánfelhő" esetében, ahol a helyi kilépés az internetre irányul, egyszerűbb helyileg irányítani a forgalmat, mint az Azure-ban üzemeltetett biztonsági vagy SNAT-szolgáltatások alapértelmezett útvonalterjesztésének szabályozása. Ha két vagy több Azure VMware Solution-magánfelhő csatlakozik egy konfigurált nyilvános IP-címhez, mindkettő helyi kilépéssel rendelkezhet.

A beállítás kiválasztásával kapcsolatos szempontok

A választott beállítás a következő tényezőktől függ:

  • Ha Azure VMware magánfelhőt szeretne hozzáadni egy azure natív Azure-ban kiépített biztonsági ellenőrzési ponthoz, amely az Azure natív végpontjaiból érkező összes internetes forgalmat vizsgálja, használjon natív Azure-konstrukciót, és szivárogtasson ki egy alapértelmezett útvonalat az Azure-ból az Azure VMware Solution privát felhőjéhez.
  • Ha egy harmadik féltől származó hálózati virtuális berendezést kell futtatnia, hogy megfeleljen a biztonsági ellenőrzésre vagy az egyszerűsített üzemeltetési költségekre vonatkozó meglévő szabványoknak, két lehetősége van. Az Azure Nyilvános IPv4-címét natív Azure-ban futtathatja az alapértelmezett útvonalmetódussal, vagy futtathatja az Azure VMware Solutionben az Azure Public IPv4-cím használatával az NSX Edge-be.
  • Skálázási korlátok vonatkoznak arra, hogy hány Nyilvános Azure-beli IPv4-cím foglalható le egy natív Azure-ban futó vagy az Azure Firewallon kiépített hálózati virtuális berendezéshez. Az Azure Public IPv4-cím az NSX Edge-hez lehetőség lehetővé teszi a magasabb foglalásokat (1000 s és 100 s).
  • Használjon azure-beli nyilvános IPv4-címet az NSX Edge-hez, hogy a helyi régióban lévő összes magánfelhőből honosított módon lépjen ki az internetre. Ha több Azure-beli VMware Solution magánfelhőt használ több Azure-régióban, amelyeknek kommunikálniuk kell egymással és az internettel, kihívást jelenthet az Azure VMware Solution magánfelhő és az Azure-beli biztonsági szolgáltatás közötti egyeztetés. A nehézség oka az, hogy az Azure-ból származó alapértelmezett útvonal működik.

Fontos

A nyilvános IPv4-cím és az NSX nem teszi lehetővé az Azure/Microsoft tulajdonában lévő nyilvános IP-címek expressroute-beli privát társviszony-létesítési kapcsolatokon keresztüli cseréjét. Ez azt jelenti, hogy nem hirdetheti meg a nyilvános IPv4-címeket az ügyfél virtuális hálózatán vagy helyszíni hálózatán az ExpressRoute-on keresztül. Az NSX-forgalmat használó összes nyilvános IPv4-címnek akkor is meg kell haladnia az internet elérési útját, ha az Azure VMware Solution privát felhője expressRoute-on keresztül csatlakozik. További információ: ExpressRoute Circuit Peering.

Következő lépések

Felügyelt SNAT engedélyezése Azure VMware-megoldás számítási feladataihoz

Nyilvános IP-cím engedélyezése az Azure VMware-megoldáshoz készült NSX Edge-ben

Internet-hozzáférés letiltása vagy alapértelmezett útvonal engedélyezése