Integratie Azure VMware Solution in een hub en spoke-architectuur
Dit artikel bevat aanbevelingen voor het integreren van een Azure VMware Solution-implementatie in een bestaande of een nieuwe Hub en Spoke-architectuur in Azure.
In het Hub en Spoke-scenario wordt uitgenomen dat er sprake is van een hybride cloudomgeving met workloads op:
- Systeemeigen Azure met IaaS- of PaaS-services
- Azure VMware Solution
- vSphere on-premises
Architectuur
De hub is een Azure-Virtual Network fungeert als een centraal punt van connectiviteit met uw on-premises en Azure VMware Solution privécloud. De spokes zijn virtuele netwerken die zijn verbonden met de hub om communicatie tussen virtuele netwerken mogelijk te maken.
Verkeer tussen het on-premises datacenter, Azure VMware Solution privécloud en de hub verloopt via Azure ExpressRoute verbindingen. Virtuele spoke-netwerken bevatten meestal op IaaS gebaseerde workloads, maar kunnen PaaS-services hebben, zoals App Service Environment,die directe integratie heeft met Virtual Network of andere PaaS-services waarvoor Azure Private Link ingeschakeld.
Belangrijk
U kunt een bestaande ExpressRoute-gateway gebruiken om verbinding te maken met Azure VMware Solution zolang u de limiet van vier ExpressRoute-circuits per virtueel netwerk niet overschrijdt. Om toegang te krijgen tot Azure VMware Solution on-premises via ExpressRoute, moet u beschikken over ExpressRoute Global Reach, omdat de ExpressRoute-gateway geen transitieve routering biedt tussen de verbonden circuits.
In het diagram ziet u een voorbeeld van een Hub en Spoke-implementatie in Azure die is verbonden met on-premises en Azure VMware Solution via ExpressRoute Global Reach.
De architectuur heeft de volgende hoofdonderdelen:
On-premises site: On-premises datacenter(s) van klanten die zijn verbonden met Azure via een ExpressRoute-verbinding.
Azure VMware Solution privécloud: Azure VMware Solution SDDC gevormd door een of meer vSphere-clusters, elk met maximaal 16 hosts.
ExpressRoute-gateway: Hiermee schakelt u de communicatie Azure VMware Solution privécloud, gedeelde services op een virtueel hubnetwerk en workloads die worden uitgevoerd op virtuele Spoke-netwerken.
ExpressRoute-Global Reach: Hiermee wordt de connectiviteit tussen on-premises en Azure VMware Solution privécloud mogelijk. De connectiviteit tussen Azure VMware Solution en de Azure-fabric is alleen via ExpressRoute Global Reach. U kunt geen andere optie dan ExpressRoute Fast Path selecteren. ExpressRoute Direct wordt niet ondersteund.
S2S VPN-overwegingen: Voor Azure VMware Solution productie-implementaties wordt Azure S2S VPN niet ondersteund vanwege netwerkvereisten voor VMware HCX. U kunt deze echter gebruiken voor een PoC-implementatie.
Virtueel hubnetwerk: Fungeert als het centrale punt van connectiviteit met uw on-premises netwerk en Azure VMware Solution privécloud.
Virtueel spoke-netwerk
IaaS Spoke: Host Azure IaaS-workloads, met inbegrip van VM-beschikbaarheidssets en virtuele-machineschaalsets, en de bijbehorende netwerkonderdelen.
PaaS Spoke: Host Azure PaaS-services met behulp van privé-adressering dankzij privé-eindpunten en Private Link.
Azure Firewall: Fungeert als het centrale onderdeel voor het segmenteren van verkeer tussen de spokes en Azure VMware Solution.
Application Gateway: Maakt web-apps beschikbaar en bebeveiligen die worden uitgevoerd op Azure IaaS/PaaS of Azure VMware Solution virtuele machines (VM's). Het kan worden geïntegreerd met andere services zoals API Management.
Overwegingen voor netwerk en beveiliging
ExpressRoute-verbindingen maken het mogelijk om verkeer te laten stromen tussen on-premises, Azure VMware Solution en de Azure-netwerk-fabric. Azure VMware Solution maakt gebruik van ExpressRoute Global Reach om deze connectiviteit te implementeren.
Omdat een ExpressRoute-gateway geen transitieve routering biedt tussen de verbonden circuits, moet on-premises connectiviteit ook Gebruikmaken van ExpressRoute Global Reach om te communiceren tussen de on-premises vSphere-omgeving en Azure VMware Solution.
On-premises om Azure VMware Solution te doorzoeken
Azure VMware Solution naar hub-VNET-verkeersstroom
Zie de productdocumentatie Azure VMware Solution meer informatie over netwerk Azure VMware Solution en connectiviteitsconcepten.
Segmentering van verkeer
Azure Firewall is het centrale onderdeel van de Hub en Spoke-topologie, geïmplementeerd in het virtuele hubnetwerk. Gebruik Azure Firewall of een ander door Azure ondersteund virtueel netwerkapparaat (NVA) om verkeersregels vast te stellen en de communicatie tussen de verschillende spokes en Azure VMware Solution segmenteren.
Maak routetabellen om het verkeer naar de Azure Firewall. Maak voor de virtuele spoke-netwerken een route die de standaardroute in de interne interface van de virtuele Azure Firewall. Op deze manier kan de firewall, wanneer een workload in de Virtual Network de Azure VMware Solution-adresruimte moet bereiken, deze evalueren en de bijbehorende verkeersregel toepassen om deze toe te staan of te weigeren.
Belangrijk
Een route met adres voorvoegsel 0.0.0.0/0 op de instelling GatewaySubnet wordt niet ondersteund.
Stel routes in voor specifieke netwerken in de bijbehorende routetabel. Bijvoorbeeld routes om ip-voorvoegsels van Azure VMware Solution en workloads te bereiken vanuit de spoke-workloads en andersom.
Een tweede niveau van verkeerssegmentatie met behulp van de netwerkbeveiligingsgroepen binnen de spokes en de hub om een gedetailleerder verkeersbeleid te maken.
Notitie
Verkeer van on-premises naar Azure VMware Solution: Verkeer tussen on-premises workloads, op vSphere of andere, wordt ingeschakeld door Global Reach, maar het verkeer gaat niet via Azure Firewall op de hub. In dit scenario moet u mechanismen voor verkeerssegmentatie implementeren, on-premises of in Azure VMware Solution.
Application Gateway
Azure Application Gateway V1 en V2 zijn getest met web-apps die als back-Azure VMware Solution worden uitgevoerd op VM's. Application Gateway is momenteel de enige ondersteunde methode om web-apps die op virtuele Azure VMware Solution worden uitgevoerd, beschikbaar te maken op internet. Het kan de apps ook veilig beschikbaar maken voor interne gebruikers.
Zie voor meer informatie het Azure VMware Solution-specifiek artikel over Application Gateway.
Jump box en Azure Bastion
Toegang Azure VMware Solution omgeving met een jumpbox. Dit is een Windows 10- of Windows Server-VM die is geïmplementeerd in het gedeelde servicesubnet in het virtuele hubnetwerk.
Belangrijk
Azure Bastion is de service die wordt aanbevolen om verbinding te maken met de jumpbox om te voorkomen dat Azure VMware Solution worden weergegeven op internet. U kunt geen Azure Bastion gebruiken om verbinding te maken met Azure VMware Solution-VM's, omdat dit geen Azure IaaS-objecten zijn.
Implementeer als best practice een Microsoft Azure Bastion-service in het virtuele hubnetwerk. Azure Bastion biedt naadloze RDP- en SSH-toegang tot VM's die in Azure zijn geïmplementeerd zonder dat deze resources openbare IP-adressen hebben. Zodra u de Azure Bastion service hebt ingericht, hebt u toegang tot de geselecteerde virtuele Azure Portal. Nadat de verbinding tot stand is brengen, wordt er een nieuw tabblad geopend met het bureaublad van de jumpbox. Vanaf dat bureaublad hebt u toegang tot Azure VMware Solution privécloudbeheervlak.
Belangrijk
Geef geen openbaar IP-adres op voor de jumpbox-VM of maak 3389/TCP-poort niet toegankelijk op het openbare internet.
Azure DNS oplossingsoverwegingen
Voor Azure DNS oplossing zijn er twee opties beschikbaar:
Gebruik de domeincontrollers die zijn geïmplementeerd op de hub (beschreven in Overwegingen vooridentiteit) als naamservers.
Implementeer en configureer een Azure DNS privézone.
De beste aanpak is om beide te combineren om betrouwbare naamresoluties te bieden voor Azure VMware Solution, on-premises en Azure.
Als algemene ontwerpaanbeveling gebruikt u de bestaande met Active Directory geïntegreerde DNS die is geïmplementeerd op ten minste twee Virtuele Azure-machines in het virtuele hubnetwerk en geconfigureerd in de virtuele Spoke-netwerken om deze Azure DNS-servers in de DNS-instellingen te gebruiken.
U kunt Azure Privé-DNS, waarbij de Azure Privé-DNS zone is verbonden met het virtuele netwerk. De DNS-servers worden gebruikt als hybride resolvers met voorwaardelijk doorsturen naar on-premises of Azure VMware Solution dns uitvoeren met behulp van azure Privé-DNS-infrastructuur van de klant.
Als u de levenscyclus van de DNS-records automatisch wilt beheren voor de virtuele machines die zijn geïmplementeerd in de virtuele Spoke-netwerken, schakelt u automatische registratie in. Wanneer deze functie is ingeschakeld, is het maximum aantal privé-DNS-zones slechts één. Als deze is uitgeschakeld, is het maximumaantal 1000.
On-premises en Azure VMware Solution-servers kunnen worden geconfigureerd met voorwaardelijke doorsturen naar resolver-VM's in Azure voor de Azure Privé-DNS zone.
Identiteitsoverwegingen
Voor identiteitsdoeleinden kunt u het beste ten minste één domeincontroller op de hub implementeren. Gebruik twee gedeelde servicesubnetten op zone-gedistribueerde wijze of een VM-beschikbaarheidsset. Zie voor meer informatie over het on-premises Active Directory (AD)-domein uitbreiden naar Azure Azure Architecture Center.
Implementeer daarnaast een andere domeincontroller aan de Azure VMware Solution om te fungeren als identiteit en DNS-bron binnen de vSphere-omgeving.
Als aanbevolen best practice ad-domein te integreren met Azure Active Directory.