Desain fase 2: Koneksi ivity dengan jaringan virtual Azure

  • Artikel

Cloud privat Azure VMware Solution terhubung ke jaringan virtual Azure melalui sirkuit Azure ExpressRoute terkelola. Untuk informasi selengkapnya, lihat Sirkuit ExpressRoute dan cloud privat Azure VMware Solution. Di jaringan Azure hub-spoke (termasuk jaringan yang dibangun dengan Azure Virtual WAN), menghubungkan sirkuit terkelola cloud privat ke gateway ExpressRoute di jaringan hub (atau hub Virtual WAN) menyediakan konektivitas Lapisan 3 dengan cloud privat. Namun, memberlakukan kebijakan keamanan untuk secara selektif mengizinkan atau menolak koneksi antar sumber daya sering kali menjadi persyaratan. Persyaratan ini dapat ada di antara:

  • Jaringan virtual Azure dan VM yang berjalan di cloud privat Azure VMware Solution.
  • Jaringan virtual Azure dan titik akhir manajemen cloud privat Azure VMware Solution.

Meskipun jaringan virtual Azure dan vSphere/NSX-T keduanya menyediakan konstruksi asli untuk segmentasi jaringan, solusi firewall yang disebarkan sebagai appliance virtual jaringan (NVA) di jaringan virtual Azure sering menjadi opsi yang disukai di lingkungan skala perusahaan. Artikel ini berfokus pada konfigurasi jaringan virtual yang memungkinkan Anda merutekan lalu lintas antara cloud privat dan jaringan virtual Azure dengan menggunakan hop berikutnya kustom, seperti NVA firewall.

Pilihan yang Anda buat dalam fase desain ini tergantung pada opsi yang Anda pilih dalam fase desain 1 untuk konektivitas lokal. Bahkan, sirkuit ExpressRoute terkelola yang menghubungkan cloud privat ke jaringan virtual Azure juga dapat memainkan peran dalam konektivitas dengan situs lokal. Ini adalah kasus jika Anda memilih transit melalui peering privat ExpressRoute selama fase desain 1. Diagram alur ini menunjukkan proses untuk memilih opsi untuk konektivitas dengan jaringan virtual Azure:

Flowchart that shows the design decision making process for connectivity to Azure virtual networks.

Untuk informasi selengkapnya tentang konektivitas dengan jaringan virtual Azure, baca salah satu bagian berikut. Pilih bagian yang cocok dengan opsi konektivitas hibrid yang Anda pilih selama fase desain 1.

Transit melalui peering privat ExpressRoute digunakan untuk lalu lintas lokal

Saat Anda menggunakan transit melalui peering privat ExpressRoute untuk konektivitas dengan situs lokal, lalu lintas dirutekan melalui NVA (biasanya Azure Firewall atau solusi firewall pihak ketiga) di jaringan hub. Lalu lintas dari situs lokal memasuki jaringan virtual Azure melalui gateway ExpressRoute (terhubung ke sirkuit milik pelanggan) dan dirutekan ke NVA firewall. Setelah pemeriksaan, lalu lintas diteruskan (jika tidak dihilangkan oleh firewall) ke cloud privat melalui sirkuit ExpressRoute terkelola.

Dalam arah yang berlawanan, lalu lintas dari cloud privat memasuki jaringan virtual hub atau jaringan virtual tambahan, tergantung pada opsi implementasi yang dipilih selama fase desain 1 (jaringan virtual tunggal atau jaringan virtual tambahan). Kemudian dirutekan melalui gateway ExpressRoute yang terhubung ke sirkuit terkelola dan ke NVA firewall. Setelah pemeriksaan, lalu lintas diteruskan (jika tidak dihilangkan oleh firewall) ke tujuan lokal melalui sirkuit ExpressRoute milik pelanggan.

Satu jaringan virtual dan opsi jaringan virtual tambahan keduanya termasuk konfigurasi perutean yang menyebabkan semua lalu lintas dari cloud privat diteruskan ke NVA firewall di jaringan hub, terlepas dari tujuannya (jaringan virtual Azure atau situs lokal). Aturan firewall untuk mengizinkan atau menghilangkan koneksi antara komputer virtual yang berjalan di cloud privat dan sumber daya Azure harus ditambahkan ke kebijakan firewall.

ExpressRoute Global Reach digunakan untuk lalu lintas lokal

Saat Anda menggunakan ExpressRoute Global Reach untuk konektivitas dengan situs lokal, koneksi gateway ExpressRoute antara jaringan hub dan cloud privat hanya membawa lalu lintas yang ditujukan untuk sumber daya Azure. Untuk merutekan lalu lintas ini melalui perangkat firewall, Anda perlu menerapkan konfigurasi berikut:

  • Dalam jaringan hub-spoke tradisional, Anda perlu menambahkan Rute yang Ditentukan Pengguna (UDR) ke GatewaySubnet jaringan virtual hub untuk semua tujuan (awalan IP) di Azure yang perlu dijangkau melalui NVA. Alamat IP hop berikutnya untuk UDR adalah VIP firewall (alamat IP privat firewall saat Anda menggunakan Azure Firewall).
  • Di jaringan hub-spoke yang didasarkan pada Virtual WAN dengan NVA terintegrasi hub (Azure Firewall atau solusi keamanan pihak ketiga), Anda perlu menambahkan rute statis kustom ke tabel rute default hub Virtual WAN. UDR diperlukan untuk setiap awalan IP yang perlu dicapai melalui NVA dari Azure VMware Solution. Lompatan berikutnya untuk UDR ini harus menjadi firewall atau VIP NVA. Atau, Anda dapat mengaktifkan dan mengonfigurasi niat perutean Virtual WAN dan kebijakan perutean pada hub Virtual WAN yang aman.

VPN IPSec digunakan untuk lalu lintas lokal

Saat Anda menggunakan VPN IPSec untuk konektivitas dengan situs lokal, Anda perlu mengonfigurasi perutean tambahan untuk merutekan koneksi antara cloud privat dan sumber daya di jaringan virtual Azure melalui NVA firewall:

  • Dalam jaringan hub-spoke tradisional, Anda perlu menambahkan UDR ke GatewaySubnet jaringan hub untuk semua tujuan (awalan IP) di Azure yang perlu dijangkau melalui NVA. Alamat IP hop berikutnya untuk UDR adalah VIP firewall (alamat IP privat firewall saat Anda menggunakan Azure Firewall).
  • Dalam jaringan hub-spoke yang didasarkan pada Virtual WAN dengan NVA terintegrasi hub (Azure Firewall atau solusi keamanan pihak ketiga), Anda perlu menambahkan rute statis kustom ke tabel rute default hub Virtual WAN untuk setiap set tujuan (awalan IP) yang perlu dicapai melalui NVA dari Azure VMware Solution. Untuk setiap UDR, hop berikutnya harus firewall atau VIP NVA. Atau, Anda dapat mengaktifkan dan mengonfigurasi niat perutean Virtual WAN dan kebijakan perutean pada hub Virtual WAN yang aman.

Langkah berikutnya

Pelajari tentang konektivitas internet masuk.

Konektivitas internet masuk