Az internetkapcsolat tervezésének szempontjai
Három elsődleges minta alapján hozhat létre kimenő internet-hozzáférést az Azure VMware Solutionből, és engedélyezheti a bejövő internet-hozzáférést az Azure VMware Solution magánfelhőjében lévő erőforrásokhoz.
- Az Azure-ban üzemeltetett internetszolgáltatás
- Azure VMware-megoldás által felügyelt SNAT
- Azure Nyilvános IPv4-cím az NSX Data Center Edge-nek
A biztonsági vezérlőkre, a láthatóságra, a kapacitásra és a műveletekre vonatkozó követelmények a megfelelő módszer kiválasztását vezérli az Azure VMware Solution magánfelhőhöz való internetes hozzáférés biztosításához.
Az Azure-ban üzemeltetett internetszolgáltatás
Az Azure-ban többféleképpen is létrehozhat egy alapértelmezett útvonalat, és elküldheti azt az Azure VMware Solution magánfelhőjéhez vagy a helyszínen. A következő lehetőségek közül választhat:
- Azure-tűzfal a Virtual WAN Hubban.
- Külső hálózati virtuális berendezés a Virtual WAN Hub küllős virtuális hálózatában.
- Külső hálózati virtuális berendezés natív Azure-beli virtuális hálózaton az Azure Route Server használatával.
- Alapértelmezett útvonal a helyszíniről az Azure VMware Solutionbe a Global Reachen keresztül.
Ezen minták bármelyikével olyan kimenő SNAT-szolgáltatást biztosíthat, amely szabályozhatja, hogy mely források engedélyezettek, megtekintheti a kapcsolati naplókat, és egyes szolgáltatások esetében további forgalomvizsgálatot hajthat végre.
Ugyanez a szolgáltatás azure-beli nyilvános IP-címet is használhat, és létrehozhat egy bejövő DNST-t az internetről az Azure VMware Solutionben lévő célok felé.
Olyan környezet is létrehozható, amely több elérési utat használ az internetes forgalomhoz. Az egyik a kimenő SNAT-hoz (például egy külső biztonsági NVA-hoz), a másik pedig a bejövő DNST-hez (például egy külső terheléselosztó NVA-hoz, amely SNAT-készleteket használ a visszatérési forgalomhoz).
Azure VMware-megoldás által felügyelt SNAT
A felügyelt SNAT-szolgáltatások egyszerű módszert biztosítanak az Azure VMware Solution magánfelhőből történő kimenő internet-hozzáféréshez. A szolgáltatás funkciói közé tartoznak a következők.
- Egyszerűen engedélyezhető – válassza az Internet Csatlakozás ivity lapon található választógombot, és minden számítási feladattal rendelkező hálózat azonnali kimenő internet-hozzáféréssel rendelkezik egy SNAT-átjárón keresztül.
- Az SNAT-szabályok nem szabályozhatóak, az SNAT-szolgáltatást elérő összes forrás engedélyezett.
- Nincs láthatóság a kapcsolatnaplókban.
- A rendszer két nyilvános IP-címet használ és elforgat, hogy akár 128 ezres egyidejű kimenő kapcsolatokat is támogatjon.
- Az Azure VMware-megoldás által felügyelt SNAT-hez nem érhető el bejövő DNST-képesség.
Azure Nyilvános IPv4-cím az NSX Edge-nek
Ez a beállítás közvetlenül az NSX Edge-hez hoz egy lefoglalt Nyilvános Azure IPv4-címet használat céljából. Lehetővé teszi, hogy az Azure VMware Solution magánfelhő szükség szerint közvetlenül használja és alkalmazza a nyilvános hálózati címeket az NSX-ben. Ezek a címek a következő típusú kapcsolatokhoz használatosak:
- Kimenő SNAT
- Bejövő DNST
- Terheléselosztás a VMware NSX Advanced Load Balancer és más külső hálózati virtuális berendezések használatával
- A számítási feladatok virtuálisgép-felületéhez közvetlenül csatlakozó alkalmazások.
Ez a beállítás lehetővé teszi a nyilvános cím konfigurálását egy külső hálózati virtuális berendezésen, hogy létrehozhasson egy DMZ-t az Azure VMware Solution magánfelhőben.
Funkciók:
- Skálázás – 64 nyilvános Azure IPv4-cím helyreállítható korlátjának növelését kérheti 1000 s-ra az azure-beli nyilvános IP-címek 1000 s-jára, ha egy alkalmazás megköveteli.
- Rugalmasság – Az Azure Public IPv4-címek az NSX-ökoszisztémában bárhol alkalmazhatók. Használható SNAT vagy DNAT biztosítására olyan terheléselosztókon, mint a VMware NSX Advanced Load Balancer vagy külső hálózati virtuális berendezések. Külső hálózati virtuális biztonsági berendezéseken is használható VMware-szegmenseken vagy közvetlenül virtuális gépeken.
- Regionalitás – Az NSX Edge-nek címzett Azure Public IPv4-cím a helyi SDDC-re jellemző. Az "elosztott régiókban lévő több magánfelhő" esetében, ahol a helyi kilépés az internetre irányul, egyszerűbb helyileg irányítani a forgalmat, mint az Azure-ban üzemeltetett biztonsági vagy SNAT-szolgáltatások alapértelmezett útvonalterjesztésének szabályozása. Ha két vagy több Azure VMware Solution-magánfelhő csatlakozik egy konfigurált nyilvános IP-címhez, mindkettő helyi kilépéssel rendelkezhet.
A beállítás kiválasztásával kapcsolatos szempontok
A választott beállítás a következő tényezőktől függ:
- Ha Azure VMware magánfelhőt szeretne hozzáadni egy azure natív Azure-ban kiépített biztonsági ellenőrzési ponthoz, amely az Azure natív végpontjaiból érkező összes internetes forgalmat vizsgálja, használjon natív Azure-konstrukciót, és szivárogtasson ki egy alapértelmezett útvonalat az Azure-ból az Azure VMware Solution privát felhőjéhez.
- Ha egy harmadik féltől származó hálózati virtuális berendezést kell futtatnia, hogy megfeleljen a biztonsági ellenőrzésre vagy az egyszerűsített üzemeltetési költségekre vonatkozó meglévő szabványoknak, két lehetősége van. Az Azure Nyilvános IPv4-címét natív Azure-ban futtathatja az alapértelmezett útvonalmetódussal, vagy futtathatja az Azure VMware Solutionben az Azure Public IPv4-cím használatával az NSX Edge-be.
- Skálázási korlátok vonatkoznak arra, hogy hány Nyilvános Azure-beli IPv4-cím foglalható le egy natív Azure-ban futó vagy az Azure Firewallon kiépített hálózati virtuális berendezéshez. Az Azure Public IPv4-cím az NSX Edge-hez lehetőség lehetővé teszi a magasabb foglalásokat (1000 s és 100 s).
- Használjon azure-beli nyilvános IPv4-címet az NSX Edge-hez, hogy a helyi régióban lévő összes magánfelhőből honosított módon lépjen ki az internetre. Ha több Azure-beli VMware Solution magánfelhőt használ több Azure-régióban, amelyeknek kommunikálniuk kell egymással és az internettel, kihívást jelenthet az Azure VMware Solution magánfelhő és az Azure-beli biztonsági szolgáltatás közötti egyeztetés. A nehézség oka az, hogy az Azure-ból származó alapértelmezett útvonal működik.
Fontos
A nyilvános IPv4-cím és az NSX nem teszi lehetővé az Azure/Microsoft tulajdonában lévő nyilvános IP-címek expressroute-beli privát társviszony-létesítési kapcsolatokon keresztüli cseréjét. Ez azt jelenti, hogy nem hirdetheti meg a nyilvános IPv4-címeket az ügyfél virtuális hálózatán vagy helyszíni hálózatán az ExpressRoute-on keresztül. Az NSX-forgalmat használó összes nyilvános IPv4-címnek akkor is meg kell haladnia az internet elérési útját, ha az Azure VMware Solution privát felhője expressRoute-on keresztül csatlakozik. További információ: ExpressRoute Circuit Peering.
Következő lépések
Felügyelt SNAT engedélyezése Azure VMware-megoldás számítási feladataihoz
Nyilvános IP-cím engedélyezése az Azure VMware-megoldáshoz készült NSX Edge-ben
Internet-hozzáférés letiltása vagy alapértelmezett útvonal engedélyezése