Fase di progettazione 4: Connettività Internet in uscita
Le scelte effettuate durante questa fase di progettazione sono determinate dai requisiti di connettività Internet in uscita delle applicazioni distribuite in soluzione Azure VMware. L'accesso a Internet di base potrebbe essere sufficiente per consentire alle macchine virtuali ospitate nel cloud privato di scaricare gli aggiornamenti software. Gli scenari di collaborazione B2B in cui l'accesso a un'API di terze parti è consentito solo dagli indirizzi IP autorizzati potrebbe richiedere un controllo granulare sul pool NAT. Negli scenari VDI (Virtual Desktop Infrastructure), il volume di sessioni di esplorazione Internet che devono essere supportate potrebbe richiedere il controllo sulle dimensioni del pool NAT.
Quasi invariabilmente, è necessario migliorare la sicurezza dell'accesso a Internet in uscita instradando le connessioni tramite un firewall o un dispositivo proxy. soluzione Azure VMware supporta la distribuzione di tali dispositivi nel cloud privato stesso o in una rete virtuale di Azure connessa al cloud privato. La scelta tra queste due opzioni è l'obiettivo principale di questa fase di progettazione. La scelta è determinata da queste considerazioni:
- Per l'ottimizzazione e la coerenza dei costi, è possibile usare appliance virtuali di rete per l'accesso a Internet con sicurezza avanzata preesistente, ad esempio firewall e proxy di inoltro, distribuite nelle reti virtuali di Azure.
- Le soluzioni PaaS (Platform as a Service) di Azure possono ridurre il sovraccarico di gestione. È possibile usare Firewall di Azure per l'accesso a Internet con sicurezza avanzata, soprattutto se si abilitano le funzionalità dello SKU Premium.
- È possibile distribuire firewall e/o dispositivi proxy di terze parti come appliance virtuali in soluzione Azure VMware. Per istruzioni di installazione e topologie consigliate, vedere la documentazione del fornitore.
Le scelte effettuate durante questa fase di progettazione dipendono dalle scelte effettuate durante la fase 3. Se si seleziona Indirizzo IP pubblico in NSX-T Data Center Edge come opzione di connettività Internet in ingresso, è necessario usarlo anche per la connettività in uscita. Tutte le connessioni in uscita avviate dalle macchine virtuali in soluzione Azure VMware vengono gestite nella rete perimetrale NSX-T. le Connessione vengono convertite tramite SNAT (Source Network Address Translation) in indirizzi nel prefisso IP pubblico di Azure associato alla rete perimetrale NSX-T del cloud privato.
Il diagramma di flusso seguente riepiloga come affrontare questa fase di progettazione:
Route predefinite e connettività Internet in uscita in soluzione Azure VMware
Il routing per le connessioni Internet in uscita avviate dalle macchine virtuali in un cloud privato soluzione Azure VMware è determinato dalle route predefinite configurate. Per i segmenti di gestione e carico di lavoro vengono usate route predefinite diverse:
- La rete di gestione del cloud privato (che ospita il server vCenter e la gestione NSX-T) usa sempre una route predefinita che fornisce l'accesso diretto a Internet tramite un breakout Internet gestito dalla piattaforma. Non è possibile eseguire l'override di questa route predefinita. Non si ha alcun controllo sul pool SNAT per le connessioni che iniziano dalla rete di gestione.
- Tutti i segmenti di carico di lavoro condividono la stessa configurazione di route predefinita. La configurazione della route può essere una delle seguenti:
- Accesso a Internet tramite un breakout gestito dalla piattaforma, con SNAT fornito dalla piattaforma. Gli utenti non hanno alcun controllo sugli indirizzi IP pubblici nel pool SNAT. Per altre informazioni, vedere soluzione Azure VMware SNAT gestito.
- Accesso a Internet tramite un breakout gestito dalla piattaforma, con SNAT configurato dall'utente in NSX-T. Gli utenti sono responsabili di:
- Provisioning di prefissi IP pubblici di Azure per il pool SNAT.
- Definizione di regole NAT nel perimetro NSX-T. Per altre informazioni, vedere Indirizzo IPv4 pubblico di Azure in NSX-T Data Center Edge.
- Una route predefinita annunciata sul circuito Azure ExpressRoute del cloud privato. Questa route predefinita può essere originata da un dispositivo che supporta BGP in una rete virtuale di Azure o in un sito locale. SNAT è responsabilità dell'utente e deve essere eseguito dai dispositivi di rete nelle reti virtuali di Azure o in locale. Per altre informazioni, vedere Servizio Internet ospitato in Azure.
È possibile configurare la connettività Internet in uscita per i segmenti di carico di lavoro usando il portale di Azure. Selezionare una delle opzioni descritte nelle sezioni successive. Per altre informazioni, vedere Considerazioni sulla progettazione della connettività Internet.
Usare soluzione Azure VMware SNAT gestito
SNAT gestito è il modo più semplice per implementare l'accesso a Internet in uscita in soluzione Azure VMware. Quando si abilita questa opzione in un cloud privato, viene installata una route predefinita nei gateway T0/T1. La route inoltra il traffico associato a Internet a un perimetro gestito dalla piattaforma. Il server perimetrale gestito dalla piattaforma esegue SNAT. Non si ha alcun controllo sul pool NAT. È possibile usare SNAT gestito per fornire l'accesso diretto a Internet alle macchine virtuali soluzione Azure VMware. È anche possibile definire topologie NSX-T in cui le connessioni associate a Internet avviate dalle macchine virtuali vengono instradate a dispositivi perimetrali Internet di sicurezza avanzata (firewall o proxy di inoltro) distribuiti come appliance virtuali nel cloud privato stesso. Di seguito sono riportati alcuni motivi tipici per decidere di non usare questa opzione per la connettività in uscita:
- È necessario un controllo granulare sul pool NAT. Ad esempio, se è necessario usare SNAT per la conversione, tramite indirizzi IP pubblici, le connessioni avviate da macchine virtuali specifiche per puntare a endpoint pubblici specifici. In questo caso, è consigliabile usare l'indirizzo IP pubblico nel data center perimetrale NSX-T.
- L'indirizzo IP pubblico è stato selezionato nell'edge del data center NSX-T per la connettività internet in ingresso durante la fase di progettazione 3. In questo caso, è anche necessario usare l'indirizzo IP pubblico nel data center NSX-T Edge per la connettività Internet in uscita. Per ulteriori informazioni, vedi la sezione successiva.
- Si vuole instradare le connessioni Internet in uscita tramite un perimetro Internet con sicurezza avanzata ospitato in una rete virtuale di Azure (o in un sito locale). In questo caso, una route predefinita deve essere originata dalla rete perimetrale Internet in Azure e pubblicizzata al cloud privato. Per altre informazioni, vedere la sezione Origina una route predefinita da Azure di questo articolo.
Distribuire l'indirizzo IP pubblico nel data center NSX-T Edge
Quando si usa l'indirizzo IP pubblico in NSX-T Data Center Edge, esiste una route predefinita che inoltra il traffico dai gateway T1/T0 verso il perimetro Internet della rete di Azure nel cloud privato. Le connessioni Internet in uscita nei gateway T1 devono essere convertite tramite SNAT per usare uno degli indirizzi IP pubblici associati al cloud privato. Per informazioni sulla configurazione delle regole NAT nei gateway T1, vedere Accesso a Internet in uscita per le macchine virtuali. È possibile usare questa opzione per fornire l'accesso diretto a Internet alle macchine virtuali soluzione Azure VMware. È anche possibile definire topologie NSX-T che instradano le connessioni associate a Internet avviate da soluzione Azure VMware macchine virtuali a dispositivi perimetrali Internet con sicurezza avanzata (firewall o proxy di inoltro) distribuiti come appliance virtuali nel cloud privato.
Origina una route predefinita da Azure (rete virtuale gestita dal cliente o da Azure rete WAN virtuale)
È possibile instradare il traffico associato a Internet avviato da soluzione Azure VMware macchine virtuali a un'appliance virtuale di rete nativa di Azure annunciando una route predefinita sul circuito ExpressRoute gestito del cloud privato. I gateway T0 del cloud privato usano la route predefinita ricevuta da Azure e inviano il traffico associato a Internet all'hop successivo specificato dalla route predefinita ricevuta. Se le appliance virtuali di rete perimetrale Internet in supporto tecnico di Azure BGP, è possibile usarle come altoparlanti BGP per avere origine la route predefinita. Se le appliance virtuali di rete non supportano BGP (o non possono essere usate come altoparlanti BGP a causa di vincoli di sicurezza), è possibile distribuire altre appliance virtuali di rete per fungere da altoparlanti BGP. Uno scenario tipico che richiede appliance virtuali di rete con supporto BGP aggiuntive è quando si usa Firewall di Azure in Internet Edge di Azure. (Firewall di Azure non supporta BGP. La topologia di rete risultante è illustrata qui:
Passaggi successivi
Informazioni sulla governance per soluzione Azure VMware.