Habilitar a conectividade da Solução VMware do Azure
Introdução
Nesse padrão de design, o tráfego tem um caminho dedicado sobre o backbone da Microsoft do datacenter local para a nuvem privada do Azure VMware Solution (AVS). Essa conexão ocorre por meio do Expressroute Global Reach, um mecanismo que fornece um caminho direto entre o cliente gerenciado que pode se conectar aos circuitos de rota expressa dedicados ao AVS. A nuvem privada também tem uma separação separada e isolada do NSX Edge para a internet para que esse tráfego não atravesse a Rota Expressa.
Importante
Se você estiver em uma região hoje em que o Alcance Global não é suportado, o trânsito do local para a nuvem privada AVS é possível implantando um Gateway de Rota Expressa no Azure. Para fornecer a transitividade de ponta a ponta, é necessário um dispositivo virtual na Rede Virtual de Hub (VNET). Consulte a seção Inspeção de Tráfego & Anúncio de Rota Padrão.
Perfil do cliente
Esta arquitetura é ideal para:
- Baixa latência, saída nativa do Azure VMware Solution SDDC (datacenters definidos por software) para a Internet.
- Direcione o tráfego do local diretamente para o Azure via Rota Expressa ou VPN.
- Serviços L4/L7 de entrada para cargas de trabalho no SDDC, como HTTPS
O tráfego, que flui através dos roteadores AVS NSX, cobertos neste projeto incluem:
- Solução VMware do Azure para redes virtuais nativas do Azure
- Solução VMware do Azure para a Internet
- Solução VMware do Azure para datacenters locais
Componentes de arquitetura
Implemente este cenário com:
- Um balanceador de carga avançado do NSX
- IP público para fuga da Internet do Azure Solução VMware para conversão de endereços de origem e de destino (SNAT/DNAT)
Observação
Embora o NSX Advanced load balancer (Avi) forneça recursos de entrada diretamente no NSX, essa funcionalidade também é possível com o WAF ou o App Gateway v2 no Azure.
Decisão-chave
Este documento pressupõe e recomenda o anúncio de rota padrão do local ou do AVS. Se você precisar que a rota padrão se origine do Azure, consulte a seção Inspeção de Tráfego & Anúncio de Rota Padrão.
Considerações
- Habilite o IP público até a borda NSX no portal do Azure. Isso permite conexões diretas de baixa latência com a Solução VMware do Azure e a capacidade de dimensionar o número de conexões de saída.
- Aplique a criação de regra do firewall NSX.
- Use o balanceador de carga NSX Advanced para distribuir uniformemente o tráfego para cargas de trabalho.
- Habilite a proteção contra inundação (distribuída e gateway).
Saída do AVS usando NSX-T ou NVA
| Cobertura de inspeção de tráfego | Design de solução recomendado | Considerações | Fuga da Internet |
|---|---|---|---|
| - Entrada na Internet - Egresso da Internet - Tráfego para e datacenter local - Tráfego para a Rede Virtual do Azure - Tráfego dentro da solução VMware do Azure |
Use o NSX-T ou um firewall de NVA de terceiros na Solução VMware no Azure. Use o NSX-T Advanced Load Balancer para HTTPs ou o NSX-T Firewall para tráfego não-HTTPs. IP público para fuga da Internet da Solução VMware do Azure, SNAT e DNAT. |
Escolha esta opção para anunciar a 0.0.0.0/0 rota do Azure VMware Solution Private Cloud Enable Public IP até o NSX Edge no portal do Azure. Essa opção permite conexões de baixa latência com o Azure e a capacidade de dimensionar o número de conexões de saída. |
Solução VMware no Azure |
Saída da solução VMware do Azure até o anúncio 0.0.0.0/0 do local
| Cobertura de inspeção de tráfego | Design de solução recomendado | Considerações | Fuga da Internet |
|---|---|---|---|
| - Entrada na Internet - Egresso da Internet - Para datacenter local |
Usar um dispositivo virtual local Para tráfego HTTP/S, use o NSX Advanced Load balancer ou o Application Gateway no Azure. Para tráfego não-HTTP/S, use o NSX Distributed Firewall. Habilite o IP público na Solução VMware do Azure. |
Escolha essa opção para anunciar a rota 0.0.0.0/0 de datacenters locais. |
No local |
Importante
Alguns dispositivos VMware tradicionais usam a inserção de serviço para colocar dispositivos no roteador de nível 0. Os roteadores de camada 0 são provisionados e gerenciados pela Microsoft e não são consumíveis pelos usuários finais. Todos os dispositivos de rede e balanceadores de carga devem ser colocados no nível 1. A próxima seção discute a propagação de rota padrão de um dispositivo participante no AVS.
Integração NVA de terceiros no AVS
A integração com dispositivos de terceiros é possível com uma consideração cuidadosa. Neste design, NVA(s) de terceiros ficam atrás de um ou mais roteadores de borda T-1.
É responsabilidade dos usuários trazer uma licença e implementar quaisquer recursos de alta disponibilidade nativos do dispositivo.
Esteja ciente dos limites ao escolher essa implementação. Por exemplo, há um limite de até oito placas de interface de rede virtual (NICs) em uma máquina virtual. Para obter mais informações sobre como colocar NVAs no AVS, consulte: Padrões de firewall NSX-T
Observação
A Microsoft não oferece suporte ao uso de rede otimizada para mobilidade quando NVAs de terceiros são usados.
Considerações sobre a zona de destino
Esta seção faz referência às práticas recomendadas para integrar o AVS à sua Zona de Aterrissagem do Azure.
Servidor de Rota do Azure
O servidor de rotas do Azure (ARS) é usado para propagar dinamicamente rotas aprendidas do AVS e fornecer conectividade de ramificação a filial para gateways VPN. As VNETs que são emparelhadas para a VNET onde o ARS vive também aprendem dinamicamente as rotas, o que significa que é possível aprender rotas do AVS para ambientes Hub e Spoke no Azure. Os casos de uso do servidor de rotas do Azure incluem:
Propagação de rota dinâmica:
- Aprenda rotas específicas de AVS para VNETs locais via BGP (Border Gateway Protocol). As VNETs emparelhadas também podem aprender as rotas.
- Integração NVA de terceiros
- Peer ARS com NVAs para que você não precise de UDRs para cada segmento AVS para filtrar o tráfego.
- O tráfego de retorno de VNETs emparelhadas precisa de um UDR (User Defined Routes) de volta para a interface local do firewall
- Mecanismo de trânsito da Rota Expressa para Gateways VPN
- O Gateway VPN deve ser do tipo Site-to-Site e configurado em Ativo-Ativo
Para usar o Servidor de Rotas do Azure, você deve:
Habilitar ramificação para ramificação
Usar o resumo de rotas para > 1000 rotas ou usar
NO_ADVERTISE BGP communitieso sinalizador cercado novamente nas perguntas frequentes (FAQs) do Servidor de Rotas do AzureNVA de mesmo nível com ASNs específicos que não sejam do Azure. Por exemplo, como o ARS usa 65515, nenhum outro dispositivo na VNET pode usar esse ASN (Autonomous System Number).
Não há suporte para IPV6
Integração com arquivos do Azure NetApp
O Azure NetApp Files (ANF) fornece um armazenamento de dados anexado à rede por meio do protocolo NFS. O ANF vive em uma VNET do Azure e se conecta a cargas de trabalho no AVS. Com o uso de armazenamentos de dados NFS apoiados pelo Azure NetApp Files, você pode expandir seu armazenamento em vez de dimensionar os clusters.
- Crie volumes do Azure NetApp Files usando recursos de rede padrão para habilitar a conectividade otimizada de sua nuvem privada AVS por meio do ExpressRoute FastPath
- Implantar ANF em uma sub-rede delegada
- A implantação do Hub & Spoke suporta ER GW SKU de até 10 Gbps
- Ultra & ErGw3AZ SKU é necessário para ignorar os limites de velocidade da porta do gateway
- O tráfego de leitura e gravação de tráfego é emitido pela Rota Expressa. O tráfego de saída pelos circuitos da Rota Expressa ignora o gateway e vai diretamente para o roteador de borda
- As cobranças de entrada/saída são suprimidas do AVS, no entanto, há uma cobrança de saída se os dados estiverem passando por VNETs emparelhadas.
- Apenas o NFS v3 é suportado atualmente.
Se você estiver vendo uma latência inesperada, verifique se a implantação do AVS Private Cloud e do ANF está fixada na mesma AZ (Zonas de Disponibilidade do Azure). Para alta disponibilidade, crie volumes ANF em AZs separados e habilite Cross Zone Replication
Importante
A Microsoft não oferece suporte ao Fastpath for Secured Azure VWAN hub onde a velocidade máxima de porta possível é de 20 Gbps. Considere o uso de VNETs de hub & spoke se for necessária uma taxa de transferência maior. Veja como anexar armazenamentos de dados do Azure Netapp Files aos hosts da Solução VMware do Azure aqui
Conectividade VPN a partir do local
Embora um circuito de Rota Expressa seja recomendado, conectar-se ao AVS local com IPSEC usando uma VNET de hub de trânsito no Azure também é possível. Esse cenário requer um gateway VPN e o Servidor de Rotas do Azure. Conforme mencionado anteriormente, o Servidor de Rotas do Azure habilita a transitividade entre o gateway VPN e o gateway AVS Expressroute.
Fiscalização de Tráfego
Como visto anteriormente, o anúncio de rota padrão está acontecendo do AVS com o IP público até a opção NSX Edge, mas também é possível continuar anunciando a rota padrão no local. A filtragem de tráfego de ponta a ponta do local para o AVS é possível com o firewall colocado em qualquer um desses pontos de extremidade.
O anúncio de rota padrão do Azure é possível com NVA de terceiros em uma VNET de Hub ou ao usar a vWAN do Azure. Em uma implantação de Hub & Spoke , o Firewall do Azure não é possível porque ele não fala BGP, no entanto, o uso de um dispositivo compatível com BGP de terceiros funcionará. Esse cenário funciona para inspecionar o tráfego de
- No local para o Azure
- Azure para a Internet
- AVS para a internet
- AVS para Azure
Um NVA de terceiros na rede virtual de hub inspeciona o tráfego entre o AVS e a Internet e entre o AVS e as redes virtuais do Azure
| Requisitos de inspeção de tráfego | Design de solução recomendado | Considerações | Fuga da Internet |
|---|---|---|---|
| - Entrada na Internet - Saída da Internet - Para datacenter local - Para a Rede Virtual do Azure |
Use soluções NVA de firewall de terceiros em uma rede virtual hub com o Servidor de Rota do Azure. Para tráfego HTTP/S, use o Gateway de Aplicativo do Azure. Para o tráfego não HTTP/S, use uma NVA de firewall de terceiros no Azure. Use um NVA de firewall de terceiros local. Implante soluções de firewall de terceiros em uma rede virtual de hub com o Servidor de Rotas do Azure. |
Escolha essa opção para anunciar a rota 0.0.0.0/0 de uma NVA na rede virtual hub do Azure para uma Solução VMware no Azure. |
Azure |
Informações Adicionais
- Acessar o vCenter usando a VM Bastion + Jumpbox - Se estiver acessando o vCenter localmente, certifique-se de ter uma rota de suas redes locais para a rede de gerenciamento AVS /22. Validar que a rota na CLI digitando
Test-NetConnection x.x.x.2 -port 443 - Considerações sobre DNS - Se estiver usando pontos de extremidade privados, siga as orientações detalhadas aqui: Configuração de DNS de Ponto de Extremidade Privado do Azure | Aprenda com a Microsoft
Próximas etapas
- Para obter mais informações sobre como transitar da VPN local para a Solução VMware do Azure, consulte o seguinte artigo Instruções de trânsito de VPN para ExR:
- Para obter mais informações sobre a Solução VMware no Azure em redes hub-spoke, confira Integrar a Solução VMware no Azure em uma arquitetura hub-spoke.
- Para obter mais informações sobre segmentos de rede de data center VMware NSX-T, consulte Configurar componentes de rede de data center NSX-T usando a solução VMware do Azure.
- Para obter mais informações sobre o Servidor do Roteador do Azure, consulte a visão geral do produto O que é o Azure Route Server?
Em seguida, observe outros padrões de design para estabelecer conectividade com a Solução VMware do Azure
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de