Condividi tramite

Fase di progettazione 2: Connessione ivity con le reti virtuali di Azure

  • Articolo

soluzione Azure VMware i cloud privati si connettono alle reti virtuali di Azure tramite circuiti Azure ExpressRoute gestiti. Per altre informazioni, vedere Circuiti ExpressRoute e soluzione Azure VMware cloud privati. Nelle reti di Azure hub-spoke (incluse le reti create con Azure rete WAN virtuale), la connessione di un circuito gestito di un cloud privato a un gateway ExpressRoute nella rete hub (o rete WAN virtuale hub) fornisce la connettività di livello 3 con il cloud privato. Tuttavia, l'applicazione dei criteri di sicurezza per consentire o negare in modo selettivo le connessioni tra le risorse è spesso un requisito. Questo requisito può esistere tra:

  • Reti virtuali e macchine virtuali di Azure in esecuzione nel cloud privato soluzione Azure VMware.
  • Reti virtuali di Azure e gli endpoint di gestione del cloud privato soluzione Azure VMware.

Sebbene le reti virtuali di Azure e vSphere/NSX-T forniscano entrambi costrutti nativi per la segmentazione di rete, le soluzioni firewall distribuite come appliance virtuali di rete nelle reti virtuali di Azure sono spesso l'opzione preferita negli ambienti su scala aziendale. Questo articolo è incentrato su una configurazione di rete virtuale che consente di instradare il traffico tra cloud privati e reti virtuali di Azure usando hop successivi personalizzati, ad esempio appliance virtuali di rete del firewall.

La scelta effettuata in questa fase di progettazione dipende dall'opzione selezionata nella fase di progettazione 1 per la connettività locale. In realtà, il circuito ExpressRoute gestito che connette un cloud privato a una rete virtuale di Azure può anche svolgere un ruolo nella connettività con i siti locali. Questo è il caso se si sceglie il transito su peering privato ExpressRoute durante la fase di progettazione 1. Questo diagramma di flusso illustra il processo di scelta di un'opzione per la connettività con le reti virtuali di Azure:

Flowchart that shows the design decision making process for connectivity to Azure virtual networks.

Per altre informazioni sulla connettività con le reti virtuali di Azure, vedere una delle sezioni seguenti. Scegliere la sezione corrispondente all'opzione di connettività ibrida selezionata durante la fase di progettazione 1.

Il transito su peering privato ExpressRoute viene usato per il traffico locale

Quando si usa il transito tramite peering privato ExpressRoute per la connettività con siti locali, il traffico viene instradato attraverso appliance virtuali di rete (in genere Firewall di Azure o soluzioni firewall di terze parti) nella rete hub. Il traffico dai siti locali entra nella rete virtuale di Azure tramite il gateway ExpressRoute (connesso al circuito di proprietà del cliente) e viene instradato all'appliance virtuale di rete del firewall. Dopo l'ispezione, il traffico viene inoltrato (se non viene eliminato dal firewall) al cloud privato tramite il circuito ExpressRoute gestito.

Nella direzione opposta, il traffico dal cloud privato entra nella rete virtuale hub o nella rete virtuale ausiliaria, a seconda dell'opzione di implementazione scelta durante la fase di progettazione 1 (singola rete virtuale o rete virtuale ausiliaria). Viene quindi instradato attraverso il gateway ExpressRoute connesso al circuito gestito e all'appliance virtuale di rete del firewall. Dopo l'ispezione, il traffico viene inoltrato (se non viene eliminato dal firewall) alla destinazione locale tramite il circuito ExpressRoute di proprietà del cliente.

Le singole opzioni di rete virtuale e di rete virtuale ausiliarie includono entrambe la configurazione del routing che causa l'inoltro di tutto il traffico da un cloud privato alle appliance virtuali di rete del firewall nella rete hub, indipendentemente dalla destinazione (rete virtuale di Azure o siti locali). Le regole del firewall per consentire o eliminare le connessioni tra le macchine virtuali in esecuzione nel cloud privato e le risorse di Azure devono essere aggiunte ai criteri del firewall.

Copertura globale di ExpressRoute viene usata per il traffico locale

Quando si usa Copertura globale di ExpressRoute per la connettività con i siti locali, la connessione del gateway ExpressRoute tra la rete hub e il cloud privato trasporta solo il traffico destinato alle risorse di Azure. Per instradare il traffico attraverso un dispositivo firewall, è necessario implementare la configurazione seguente:

  • Nelle reti hub-spoke tradizionali è necessario aggiungere route definite dall'utente (UDR) alla rete virtuale hub GatewaySubnet per tutte le destinazioni (prefissi IP) in Azure che devono essere raggiunti tramite le appliance virtuali di rete. L'indirizzo IP dell'hop successivo per le route definite dall'utente è l'indirizzo VIP del firewall (indirizzo IP privato del firewall quando si usa Firewall di Azure).
  • Nelle reti hub-spoke basate su rete WAN virtuale con appliance virtuali di rete integrate nell'hub (Firewall di Azure o soluzioni di sicurezza di terze parti), è necessario aggiungere route statiche personalizzate alla tabella di route predefinita dell'hub rete WAN virtuale. È necessaria una route definita dall'utente per ogni prefisso IP che deve essere raggiunto tramite le appliance virtuali di rete da soluzione Azure VMware. L'hop successivo per queste route definite dall'utente deve essere l'indirizzo VIP del firewall o dell'appliance virtuale di rete. In alternativa, è possibile attivare e configurare rete WAN virtuale finalità di routing e criteri di routing in hub rete WAN virtuale protetti.

Le VPN IPSec vengono usate per il traffico locale

Quando si usano VPN IPSec per la connettività con siti locali, è necessario configurare un routing aggiuntivo per instradare le connessioni tra un cloud privato e le risorse nelle reti virtuali di Azure tramite appliance virtuali di rete del firewall:

  • Nelle reti hub-spoke tradizionali è necessario aggiungere route definite dall'utente alla rete hubSubnet per tutte le destinazioni (prefissi IP) in Azure che devono essere raggiunte tramite le appliance virtuali di rete. L'indirizzo IP dell'hop successivo per le route definite dall'utente è l'indirizzo VIP del firewall (indirizzo IP privato del firewall quando si usa Firewall di Azure).
  • Nelle reti hub-spoke basate su rete WAN virtuale con appliance virtuali di rete integrate nell'hub (Firewall di Azure o soluzioni di sicurezza di terze parti), è necessario aggiungere route statiche personalizzate alla tabella di route predefinita dell'hub rete WAN virtuale per ogni set di destinazioni (prefissi IP) che devono essere raggiunti tramite le appliance virtuali di rete da soluzione Azure VMware. Per ogni route definita dall'utente, l'hop successivo deve essere l'indirizzo VIP del firewall o dell'appliance virtuale di rete. In alternativa, è possibile attivare e configurare rete WAN virtuale finalità di routing e criteri di routing in hub rete WAN virtuale protetti.

Passaggi successivi

Informazioni sulla connettività Internet in ingresso.

Connettività Internet in ingresso