Condividi tramite

Fase di progettazione 3: Connettività Internet in ingresso

  • Articolo

Le scelte effettuate durante questa fase di progettazione sono determinate dai requisiti delle applicazioni in esecuzione su soluzione Azure VMware che devono essere raggiungibili tramite indirizzi IP pubblici. Quasi invariabilmente, le applicazioni con connessione Internet vengono pubblicate tramite dispositivi di rete che forniscono sicurezza (firewall di nuova generazione, web application firewall) e bilanciamento del carico (servizi di bilanciamento del carico di livello 3 o livello 4, controller di recapito delle applicazioni). È possibile distribuire questi dispositivi nel cloud privato stesso o in una rete virtuale di Azure connessa al cloud privato. La scelta è basata su queste considerazioni:

  • Per l'ottimizzazione e la coerenza dei costi, è possibile usare appliance virtuali di rete preesistenti distribuite in reti virtuali di Azure (ad esempio firewall e controller di recapito delle applicazioni) per pubblicare applicazioni in esecuzione nei cloud privati.
  • I servizi PaaS di Azure che possono essere usati per la pubblicazione di applicazioni con connessione Internet, ad esempio Firewall di Azure (sia quando vengono distribuiti in una rete virtuale gestita dal cliente che quando vengono distribuiti in un hub di Azure rete WAN virtuale) che app Azure lication Gateway possono contribuire a ridurre il sovraccarico di gestione.
  • È possibile distribuire firewall e controller di recapito delle applicazioni come appliance virtuali in soluzione Azure VMware, se supportato dal fornitore.

Il diagramma di flusso seguente riepiloga come affrontare questa fase:

Flowchart that shows the design-decision making process for inbound internet connectivity.

Appliance virtuali di rete ospitate in una rete virtuale di Azure

La pubblicazione di applicazioni soluzione Azure VMware tramite servizi di Azure (Firewall di Azure, gateway applicazione) o appliance virtuali di rete di terze parti ospitate in una rete virtuale richiede solo la connettività di livello 3 tra la rete virtuale e il soluzione Azure VMware cloud privato. Per altre informazioni, vedere Fase di progettazione 2: Connessione ivity con le reti virtuali di Azure.

Le sezioni seguenti forniscono indicazioni per ogni opzione.

Considerazioni per Firewall di Azure

Firewall di Azure è l'opzione preferita per esporre endpoint TCP o UDP generici tramite un dispositivo Microsoft Layer 3 o layer 4. Per pubblicare un'applicazione soluzione Azure VMware tramite Firewall di Azure, è necessario configurare una regola DNAT (Destination Network Address Translation) che esegue il mapping di uno degli indirizzi IP pubblici del firewall all'ip privato dell'endpoint applicazione soluzione Azure VMware. Firewall di Azure usa automaticamente SNAT (Source Network Address Translation) per convertire gli indirizzi IP in ingresso da Internet al proprio indirizzo IP privato. Di conseguenza, soluzione Azure VMware macchine virtuali ricevono traffico il cui indirizzo IP di origine è l'INDIRIZZO IP del firewall. Per altre informazioni, vedere Filtrare il traffico Internet in ingresso con Firewall di Azure DNAT usando il portale di Azure.

Considerazioni sul gateway di app Azure lication

gateway applicazione è l'opzione preferita per esporre le applicazioni HTTP(S) in esecuzione in soluzione Azure VMware. Questo proxy inverso HTTP Microsoft fornisce:

  • Routing delle richieste HTTP.
  • Funzionalità web application firewall (WAF).

Quando si usa gateway applicazione, i server applicazioni in esecuzione nel cloud privato soluzione Azure VMware ricevono traffico il cui indirizzo IP di origine è l'INDIRIZZO IP del gateway applicazione. L'indirizzo IP del client può essere trasportato in richieste HTTP (in genere come intestazione x-forwarded-for personalizzata) se la logica dell'applicazione richiede l'accesso a tali informazioni. Per altre informazioni, vedere questo articolo sulla pubblicazione di un'applicazione soluzione Azure VMware tramite gateway applicazione.

Nota

gateway applicazione è attualmente l'unico servizio di bilanciamento del carico Microsoft che è possibile usare per esporre le app Web in esecuzione in macchine virtuali soluzione Azure VMware. Ciò è dovuto al fatto che consente di puntare direttamente agli indirizzi IP privati delle macchine virtuali in esecuzione in soluzione Azure VMware quando si configurano i pool back-end delle macchine virtuali.

Considerazioni sulle appliance virtuali di rete di terze parti

Le appliance virtuali di rete di terze parti possono fornire funzionalità firewall di livello 3 o di livello 4 o proxy inverso di livello 7/WAF. Seguire le indicazioni del fornitore dell'appliance virtuale di rete per distribuire il dispositivo nelle reti virtuali di Azure. Indicazioni dettagliate su come creare cluster a disponibilità elevata di appliance virtuali di rete in Azure esula dall'ambito di questa guida. Le considerazioni generali seguenti sono sufficientemente generali da applicare a qualsiasi tecnologia dell'appliance virtuale di rete:

  • La disponibilità elevata è responsabilità dell'utente. I cluster di appliance virtuali di rete devono includere due o più istanze di appliance virtuali di rete attive (il modello a disponibilità elevata attiva N). È consigliabile evitare disponibilità elevata attiva-passiva perché impedisce la scalabilità orizzontale.
  • È consigliabile distribuire tutte le connessioni Internet in ingresso a tutte le istanze in esecuzione usando uno SKU Standard di Azure Load Balancer.
  • Le appliance virtuali di rete di livello 3 e 4 di livello 4 devono essere configurate per usare DNAT per convertire le connessioni Internet in ingresso all'indirizzo IP privato dell'applicazione soluzione Azure VMware da pubblicare.
  • Per mantenere la simmetria del flusso, è necessario configurare le appliance virtuali di rete di livello 3 e livello 4 per usare SNAT per convertire le connessioni Internet in ingresso all'indirizzo IP privato dell'interfaccia in uscita.
  • Le appliance virtuali di rete di livello 7 fungono da proxy inversi e mantengono due sessioni TCP distinte per ogni connessione client in ingresso: una tra il client e l'appliance virtuale di rete e una tra l'appliance virtuale di rete e il server applicazioni upstream. La seconda sessione ha origine dall'indirizzo IP privato dell'interfaccia di uscita dell'appliance virtuale di rete. Le applicazioni HTTP(S) consentono alle appliance virtuali di rete di livello 7 di passare l'indirizzo IP pubblico del client ai server applicazioni nelle intestazioni di richiesta HTTP.

Appliance virtuali di rete ospitate in soluzione Azure VMware (IP pubblico nel data center NSX-T Edge)

Per pubblicare applicazioni soluzione Azure VMware tramite appliance virtuali di rete di terze parti distribuite in soluzione Azure VMware, è necessario abilitare l'indirizzo IP pubblico nel data center edge NSX-T per il cloud privato. Questa funzionalità associa gli indirizzi IP pubblici di Azure da un prefisso IP pubblico di Azure al cloud privato e configura il backbone Microsoft per instradare il traffico Internet destinato a tali indirizzi IP ai gateway NSX-T T0 o T1 del cloud privato. I gateway T1 possono quindi essere configurati per usare DNAT per convertire le connessioni in ingresso agli INDIRIZZI IP privati delle appliance virtuali di rete collegate ai segmenti NSX-T. Per indicazioni sulla configurazione dell'indirizzo IP pubblico in NSX-T Data Center Edge e sulla configurazione delle regole DNAT per la connettività Internet in ingresso, vedere Abilitare l'indirizzo IP pubblico nel data center NSX-T Edge. Quando si usa soluzione Azure VMware con indirizzo IP pubblico in NSX-T Data Center Edge, si applicano le considerazioni seguenti:

  • Eseguire NAT nei gateway T1, non nei gateway T0. In soluzione Azure VMware cloud privati, i gateway T0 sono coppie di dispositivi attive-attive, quindi non possono gestire sessioni NAT con stato.
  • È necessario associare indirizzi IP pubblici a un prefisso IP pubblico di Azure. L'uso di indirizzi IP da prefissi di indirizzi IP personalizzati (BYOIP) non è attualmente supportato.
  • Quando un cloud privato soluzione Azure VMware è configurato con l'indirizzo IP pubblico in NSX-T Data Center Edge, viene installata una route predefinita nei gateway T0/T1. Instrada le connessioni Internet in uscita tramite il perimetro del backbone Microsoft. Di conseguenza, l'uso dell'indirizzo IP pubblico in NSX-T Data Center Edge per la connettività Internet in ingresso determina anche l'opzione di implementazione per la connettività in uscita, illustrata nell'articolo successivo di questa guida.

Passaggi successivi

Informazioni sulla connettività Internet in uscita.

Connettività Internet in uscita