Tahap desain 3: Konektivitas internet masuk

  • Artikel

Pilihan yang Anda buat selama fase desain ini ditentukan oleh persyaratan aplikasi yang berjalan di Azure VMware Solution yang harus dapat dijangkau melalui alamat IP publik. Aplikasi yang hampir tak tertandingi di internet diterbitkan melalui perangkat jaringan yang menyediakan keamanan (firewall generasi berikutnya, firewall aplikasi web) dan penyeimbang beban (load balancer Lapisan 3 atau Lapisan 4, pengontrol pengiriman aplikasi). Anda dapat menyebarkan perangkat ini di cloud privat itu sendiri atau di jaringan virtual Azure yang terhubung ke cloud privat. Pilihan Anda didasarkan pada pertimbangan ini:

  • Untuk pengoptimalan dan konsistensi biaya, Anda dapat menggunakan NVA yang sudah ada sebelumnya yang disebarkan di jaringan virtual Azure (seperti firewall dan pengontrol pengiriman aplikasi) untuk menerbitkan aplikasi yang berjalan di cloud privat Anda.
  • Layanan Azure PaaS yang dapat digunakan untuk menerbitkan aplikasi yang terhubung ke internet, seperti Azure Firewall (baik saat disebarkan di jaringan virtual yang dikelola pelanggan dan saat disebarkan di hub Azure Virtual WAN) dan Azure Application Gateway, mungkin membantu mengurangi overhead manajemen.
  • Anda dapat menyebarkan firewall dan pengontrol pengiriman aplikasi sebagai appliance virtual di Azure VMware Solution, jika itu didukung oleh vendor.

Diagram alur berikut ini meringkas cara mendekati fase ini:

Flowchart that shows the design-decision making process for inbound internet connectivity.

NVA yang dihosting di jaringan virtual Azure

Menerbitkan aplikasi Azure VMware Solution melalui layanan Azure (Azure Firewall, Application Gateway) atau NVA pihak ketiga yang dihosting di jaringan virtual hanya memerlukan konektivitas Lapisan 3 antara jaringan virtual dan cloud privat Azure VMware Solution. Untuk informasi selengkapnya, lihat Desain fase 2: Koneksi ivity dengan jaringan virtual Azure.

Bagian berikut ini menyediakan panduan untuk setiap opsi.

Pertimbangan untuk Azure Firewall

Azure Firewall adalah opsi pilihan untuk mengekspos titik akhir TCP atau UDP generik melalui perangkat Microsoft Layer 3 atau layer 4. Untuk menerbitkan aplikasi Azure VMware Solution melalui Azure Firewall, Anda perlu mengonfigurasi aturan Destination Network Address Translation (DNAT) yang memetakan salah satu IP publik firewall ke IP privat titik akhir aplikasi Azure VMware Solution. Azure Firewall secara otomatis menggunakan Source Network Address Translation (SNAT) untuk menerjemahkan alamat IP yang masuk dari internet ke alamat IP privatnya sendiri. Akibatnya, komputer virtual (VM) Azure VMware Solution menerima lalu lintas yang alamat IP sumbernya adalah IP firewall. Untuk informasi selengkapnya, lihat Memfilter lalu lintas internet masuk dengan DNAT Azure Firewall menggunakan portal Azure.

Pertimbangan untuk Azure Application Gateway

Application Gateway adalah opsi pilihan untuk mengekspos aplikasi HTTP yang berjalan di Azure VMware Solution. Proksi terbalik HTTP Microsoft ini menyediakan:

  • Perutean permintaan HTTP.
  • Kemampuan firewall aplikasi web (WAF).

Saat Anda menggunakan Application Gateway, server aplikasi yang berjalan di cloud privat Azure VMware Solution menerima lalu lintas yang alamat IP sumbernya adalah IP gateway aplikasi. Alamat IP klien dapat dibawa dalam permintaan HTTP (biasanya sebagai header x-forwarded-for kustom) jika logika aplikasi memerlukan akses ke informasi tersebut. Untuk informasi selengkapnya, lihat artikel ini tentang menerbitkan aplikasi Azure VMware Solution melalui Application Gateway.

Catatan

Application Gateway saat ini adalah satu-satunya penyeimbang beban Microsoft yang dapat Anda gunakan untuk mengekspos aplikasi web yang berjalan di VM Azure VMware Solution. Ini karena memungkinkan Anda untuk mengarahkan langsung ke alamat IP privat VM yang berjalan di Azure VMware Solution saat Anda mengonfigurasi kumpulan backend VM.

Pertimbangan untuk NVA pihak ketiga

NVA pihak ketiga dapat menyediakan kemampuan firewall Layer 3 atau Layer 4 atau kemampuan reverse-proxy/WAF Layer 7. Ikuti panduan dari vendor NVA untuk menyebarkan perangkat di jaringan virtual Azure. Panduan terperinci tentang cara membuat kluster NVA yang sangat tersedia di Azure berada di luar cakupan panduan ini. Pertimbangan tingkat tinggi berikut cukup umum untuk diterapkan pada teknologi NVA apa pun:

  • Ketersediaan tinggi (HA) adalah tanggung jawab Anda. Kluster NVA harus menyertakan dua instans NVA aktif atau lebih ( model N-active HA). Anda harus menghindari KETERSEDIAAN TINGGI aktif-pasif karena mencegah skalabilitas horizontal.
  • Anda harus mendistribusikan semua koneksi internet masuk ke semua instans yang sedang berjalan dengan menggunakan Azure Load Balancer SKU Standar.
  • NVA Lapisan 3 dan Lapisan 4 harus dikonfigurasi untuk menggunakan DNAT untuk menerjemahkan koneksi internet masuk ke IP privat aplikasi Azure VMware Solution yang ingin Anda terbitkan.
  • Untuk mempertahankan simetri alur, Anda perlu mengonfigurasi Layer 3 dan Layer 4 NVA untuk menggunakan SNAT untuk menerjemahkan koneksi internet masuk ke alamat IP privat antarmuka keluar mereka.
  • NVA Lapisan 7 bertindak sebagai proksi terbalik dan mempertahankan dua sesi TCP yang berbeda untuk setiap koneksi klien masuk: satu antara klien dan NVA dan satu antara NVA dan server aplikasi upstram. Sesi terakhir berasal dari alamat IP privat antarmuka keluar NVA. Aplikasi HTTP memungkinkan NVA Lapisan 7 untuk meneruskan alamat IP publik klien ke server aplikasi di header permintaan HTTP.

NVA yang dihosting di Azure VMware Solution (IP Publik di NSX-T Data Center Edge)

Untuk menerbitkan aplikasi Azure VMware Solution melalui NVA pihak ketiga yang disebarkan di Azure VMware Solution, Anda perlu mengaktifkan IP Publik di Tepi Pusat Data NSX-T untuk cloud privat. Fitur ini mengaitkan IP Publik Azure dari awalan IP Publik Azure dengan cloud privat dan mengonfigurasi backbone Microsoft untuk merutekan lalu lintas internet yang ditujukan IP tersebut ke gateway NSX-T0 atau T1 cloud privat. Gateway T1 kemudian dapat dikonfigurasi untuk menggunakan DNAT untuk menerjemahkan koneksi masuk ke IP privat NVA yang dilampirkan ke segmen NSX-T. Untuk panduan tentang mengonfigurasi IP Publik di NSX-T Data Center Edge dan mengonfigurasi aturan DNAT untuk konektivitas internet masuk, lihat Mengaktifkan IP Publik di Tepi Pusat Data NSX-T. Saat Anda menggunakan Azure VMware Solution dengan IP Publik di NSX-T Data Center Edge, pertimbangan berikut berlaku:

  • Lakukan NAT pada gateway T1, bukan di gateway T0. Di cloud privat Azure VMware Solution, gateway T0 adalah pasangan perangkat aktif-aktif, sehingga tidak dapat menangani sesi NAT stateful.
  • Anda perlu mengaitkan IP Publik ke awalan IP Publik Azure. Menggunakan IP dari awalan alamat IP kustom (BYOIP) saat ini tidak didukung.
  • Saat cloud privat Azure VMware Solution dikonfigurasi dengan IP Publik di NSX-T Data Center Edge, rute default diinstal di gateway T0/T1. Ini merutekan koneksi internet keluar melalui tepi backbone Microsoft. Akibatnya, penggunaan IP Publik pada NSX-T Data Center Edge untuk konektivitas internet masuk juga menentukan opsi implementasi untuk konektivitas keluar, yang tercakup dalam artikel berikutnya dalam panduan ini.

Langkah berikutnya

Pelajari tentang konektivitas internet keluar.

Konektivitas internet keluar