Share via

Этап разработки 4. Исходящее подключение к Интернету

  • Статья

Выбор, который вы делаете на этом этапе проектирования, определяется требованиями к исходящему интернет-подключению приложений, развернутых на Решение Azure VMware. Базовый доступ к Интернету может быть достаточно для включения виртуальных машин, размещенных в частном облаке, для скачивания обновлений программного обеспечения. Сценарии совместной работы B2B, в которых доступ к стороннему API разрешен только с авторизованных IP-адресов, может потребовать детального контроля над пулом NAT. В сценариях инфраструктура виртуальных рабочих столов (VDI) объем сеансов просмотра в Интернете, которые необходимо поддерживать, может потребовать контроля над размером пула NAT.

Почти неизменно необходимо повысить безопасность исходящего доступа к Интернету путем маршрутизации подключений через брандмауэр или прокси-устройство. Решение Azure VMware поддерживает развертывание таких устройств в частном облаке или в виртуальной сети Azure, подключенной к частному облаку. Выбор между этими двумя вариантами является главной целью этого этапа проектирования. Выбор определяется следующими соображениями:

  • Для оптимизации затрат и согласованности можно использовать уже существующие NVA расширенного доступа к Интернету (например, брандмауэры и прокси-серверы), развернутые в виртуальных сетях Azure.
  • Решения платформы Azure как услуга (PaaS) могут снизить затраты на управление. Вы можете использовать Брандмауэр Azure для расширенного доступа к Интернету, особенно если включить функции SKU уровня "Премиум".
  • Вы можете развертывать сторонние брандмауэры и(или) прокси-устройства как виртуальные (модуль) на Решение Azure VMware. Ознакомьтесь с документацией поставщика по инструкциям по установке и рекомендуемыми топологиями.

Выбор, который вы делаете на этом этапе проектирования, зависит от выбора, который вы делаете на этапе 3. Если вы выберете общедоступный IP-адрес в NSX-T Data Center Edge в качестве параметра подключения к интернету для входящего трафика, его также необходимо использовать для исходящего подключения. Все исходящие подключения, инициированные виртуальными машинами в Решение Azure VMware, управляются на границе NSX-T. Подключение преобразуется с помощью преобразования сетевых адресов источника (SNAT) на адреса в префиксе общедоступного IP-адреса Azure, связанном с пограничным сервером NSX-T частного облака.

В следующей блок-схеме описывается подход к этому этапу проектирования:

Flowchart that shows the decision-making process for outbound internet connectivity.

Маршруты по умолчанию и исходящие подключения к Интернету в Решение Azure VMware

Маршрутизация исходящих подключений к Интернету, инициированных виртуальными машинами в Решение Azure VMware частном облаке, определяется настроенными маршрутами по умолчанию. Различные маршруты по умолчанию используются для сегментов управления и рабочих нагрузок:

  • Сеть управления частного облака (в которой размещается vCenter Server и NSX-T) всегда использует маршрут по умолчанию, обеспечивающий прямой доступ к Интернету через интернет-прорыв, управляемый платформой. Этот маршрут по умолчанию нельзя переопределить. У вас нет контроля над пулом SNAT для подключений, инициирующихся из сети управления.
  • Все сегменты рабочей нагрузки используют одну и ту же конфигурацию маршрута по умолчанию. Конфигурация маршрута может быть одной из следующих:
    • Доступ к Интернету через управляемый платформой разрыв с SNAT, предоставляемый платформой. Пользователи не контролируют общедоступные IP-адреса в пуле SNAT. Дополнительные сведения см. в разделе Решение Azure VMware управляемого SNAT.
    • Доступ к Интернету через управляемый платформой разрыв с SNAT, настроенный пользователем в NSX-T. Пользователи отвечают за следующее:
    • Маршрут по умолчанию, объявленный по каналу Azure ExpressRoute частного облака. Этот маршрут по умолчанию может быть создан устройством, поддерживаемым BGP, в виртуальной сети Azure или на локальном сайте. SNAT является ответственностью пользователя и должен выполняться сетевыми устройствами в виртуальных сетях Azure или локальной среде. Дополнительные сведения см. в разделе "Интернет-служба", размещенная в Azure.

Вы можете настроить исходящее подключение к Интернету для сегментов рабочей нагрузки с помощью портал Azure. Выберите один из вариантов, которые обсуждаются в следующих разделах. Дополнительные сведения см . в рекомендациях по проектированию подключения к Интернету.

Использование управляемого SNAT Решение Azure VMware

Управляемый SNAT — самый простой способ реализации исходящего доступа к Интернету в Решение Azure VMware. При включении этого параметра в частном облаке маршрут по умолчанию устанавливается на шлюзах T0/T1. Маршрут перенаправит трафик, привязанный к Интернету, к пограничному краю, управляемому платформой. На управляемой платформе выполняется SNAT. У вас нет контроля над пулом NAT. Управляемый SNAT можно использовать для прямого доступа к Интернету для Решение Azure VMware виртуальных машин. Кроме того, можно определить топологии NSX-T, в которых подключенные к Интернету подключения, инициированные виртуальными машинами, перенаправляются на пограничные устройства с расширенной безопасностью (брандмауэры или прокси-серверы пересылки), которые развертываются как виртуальные (модуль) в самом частном облаке. Ниже приведены некоторые типичные причины, по которым не следует использовать этот параметр для исходящего подключения:

  • Вам нужен детальный контроль над пулом NAT. Например, если необходимо использовать SNAT для перевода через общедоступные IP-адреса, подключения, инициируемые определенными виртуальными машинами, чтобы указать на определенные общедоступные конечные точки. В этом случае следует рассмотреть возможность использования общедоступного IP-адреса на пограничном сервере Центра обработки данных NSX-T.
  • Вы выбрали общедоступный IP-адрес в NSX-T Data Center Edge для входящего подключения к Интернету во время этапа разработки 3. В этом случае также необходимо использовать общедоступный IP-адрес на пограничном сервере Центра обработки данных NSX-T для исходящего подключения к Интернету. Для получения дополнительных сведений см. следующий раздел.
  • Вы хотите маршрутизировать исходящие подключения к Интернету через интернет-пограничный интерфейс повышенной безопасности, размещенный в виртуальной сети Azure (или на локальном сайте). В этом случае маршрут по умолчанию должен быть создан из интернета в Azure и объявлен в частном облаке. Дополнительные сведения см. в статье " Источник маршрута по умолчанию" из раздела Azure .

Развертывание общедоступного IP-адреса в NSX-T Data Center Edge

При использовании общедоступного IP-адреса в NSX-T Data Center Edge используется маршрут по умолчанию, который направляет трафик из шлюзов T1/T0 к интернет-краю сети Azure, существует в частном облаке. Исходящие подключения к Интернету на шлюзах T1 должны быть преобразованы через SNAT, чтобы использовать один из общедоступных IP-адресов, связанных с частным облаком. Сведения о настройке правил NAT в шлюзах T1 см. в разделе "Исходящий доступ к Интернету" для виртуальных машин. Этот параметр можно использовать для прямого доступа к Интернету Решение Azure VMware виртуальным машинам. Кроме того, можно определить топологии NSX-T, которые направляют подключения, связанные с Интернетом, инициированные Решение Azure VMware виртуальными машинами, на пограничные устройства с расширенным безопасностью (брандмауэры или прокси-серверы пересылки), которые развертываются как виртуальные (модуль) в частном облаке.

Создание маршрута по умолчанию из Azure (управляемая клиентом виртуальная сеть или Azure Виртуальная глобальная сеть)

Вы можете направлять трафик, связанный с Интернетом, который инициируется Решение Azure VMware виртуальными машинами в собственный NVA Azure, объявив маршрут по умолчанию по управляемому каналу ExpressRoute частного облака. Шлюзы частного облака T0 используют маршрут по умолчанию, полученный из Azure, и отправляет трафик, привязанный к Интернету, в следующий прыжок, указанный полученным маршрутом по умолчанию. Если сетевые сети Internet-edge в поддержка Azure BGP, их можно использовать в качестве докладчиков BGP для создания маршрута по умолчанию. Если NVAs не поддерживают BGP (или не могут использоваться в качестве докладчиков BGP из-за ограничений безопасности), вы можете развернуть другие NVAs для работы в качестве докладчиков BGP. Типичный сценарий, требующий дополнительных NVA с поддержкой BGP, заключается в том, что вы используете Брандмауэр Azure на пограничном сервере Интернета Azure. (Брандмауэр Azure не поддерживает BGP.) Результирующая топология сети показана здесь:

Diagram that shows a default route origination from Azure virtual networks.

Следующие шаги

Узнайте об управлении Решение Azure VMware.

Управление для Решение Azure VMware