Integrera Azure VMware Solution i en nav- och ekerarkitektur

  • Artikel
  • 6 minuter för att läsa

Den här artikeln innehåller rekommendationer för att integrera en Azure VMware Solution-distribution i en befintlig arkitektur eller en ny Hub and Spoke-arkitektur i Azure.

Scenariot Hub and Spoke förutsätter en hybridmolnmiljö med arbetsbelastningar på:

  • Intern Azure med IaaS- eller PaaS-tjänster
  • Azure VMware Solution
  • vSphere lokalt

Arkitektur

Hubben är en Azure Virtual Network som fungerar som en central anslutningspunkt till ditt lokala och Azure VMware Solution privata moln. Ekrarna är virtuella nätverk som är peer-peerade med hubben för att möjliggöra kommunikation mellan virtuella nätverk.

Trafik mellan det lokala datacentret, Azure VMware Solution privata molnet och hubben går genom Azure ExpressRoute anslutningar. Virtuella ekernätverk innehåller vanligtvis IaaS-baserade arbetsbelastningar men kan ha PaaS-tjänster som App Service-miljön, som har direkt integrering med Virtual Network eller andra PaaS-tjänster med Azure Private Link aktiverat.

Viktigt

Du kan använda en befintlig ExpressRoute-gateway för att ansluta Azure VMware Solution så länge den inte överskrider gränsen på fyra ExpressRoute-kretsar per virtuellt nätverk. För att komma Azure VMware Solution lokalt via ExpressRoute måste du dock ha ExpressRoute Global Reach eftersom ExpressRoute-gatewayen inte tillhandahåller transitiv routning mellan dess anslutna kretsar.

Diagrammet visar ett exempel på en hub- och spoke-distribution i Azure som är ansluten till den lokala Azure VMware Solution via ExpressRoute Global Reach.

Diagram som visar integreringsdistributionen Azure VMware Solution Hub och Spoke.

Arkitekturen har följande huvudkomponenter:

  • Lokal plats: Kundens lokala datacenter som är anslutna till Azure via en ExpressRoute-anslutning.

  • Azure VMware Solution privat moln: Azure VMware Solution SDDC som bildas av ett eller flera vSphere-kluster, vart och ett med högst 16 värdar.

  • ExpressRoute-gateway: Möjliggör kommunikation mellan Azure VMware Solution privata moln, delade tjänster i det virtuella hubbnätverket och arbetsbelastningar som körs på virtuella Spoke-nätverk.

  • ExpressRoute-Global Reach: Möjliggör anslutning mellan lokala och Azure VMware Solution privata molnet. Anslutningen mellan den Azure VMware Solution och Azure-infrastruktur fabricen är endast via ExpressRoute Global Reach. Du kan inte välja något annat alternativ än Snabb sökväg för ExpressRoute. ExpressRoute Direct stöds inte.

  • S2S VPN-överväganden: För Azure VMware Solution för produktionsdistributioner stöds inte Azure S2S VPN på grund av nätverkskrav för VMware HCX. Du kan dock använda den för en PoC-distribution.

  • Virtuellt hubbnätverk: Fungerar som den centrala anslutningspunkten till ditt lokala nätverk och Azure VMware Solution privata molnet.

  • Virtuellt ekernätverk

    • IaaS Spoke: Är värd för Azure IaaS-baserade arbetsbelastningar, inklusive tillgänglighetsuppsättningar för virtuella datorer, VM-skalningsuppsättningar och motsvarande nätverkskomponenter.

    • PaaS-eker: Är värd för Azure PaaS-tjänster med privata adresser tack vare privat slutpunkt och Private Link.

  • Azure Firewall: Fungerar som den centrala delen för att segmentera trafik mellan ekrarna och Azure VMware Solution.

  • Application Gateway: Exponerar och skyddar webbappar som körs antingen på Azure IaaS/PaaS Azure VMware Solution virtuella datorer (VM). Den integreras med andra tjänster som API Management.

Nätverks- och säkerhetsöverväganden

ExpressRoute-anslutningar gör att trafik kan flöda mellan lokala, Azure VMware Solution och Azure-nätverkets infrastruktur. Azure VMware Solution använder ExpressRoute-Global Reach för att implementera den här anslutningen.

Eftersom en ExpressRoute-gateway inte tillhandahåller transitiv routning mellan de anslutna kretsarna måste den lokala anslutningen också använda ExpressRoute Global Reach för att kommunicera mellan den lokala vSphere-miljön och Azure VMware Solution.

  • Lokalt till Azure VMware Solution trafikflöde

    Diagram som visar hur trafikflödet Azure VMware Solution lokalt.

  • Azure VMware Solution till VNET-trafikflöde i hubben

    Diagram som visar Azure VMware Solution till trafikflödet i det virtuella hubbnätverket.

Mer information om Azure VMware Solution nätverks- och anslutningsbegrepp finns i Azure VMware Solution produktdokumentationen.

Trafiksegmentering

Azure Firewall är nav- och ekertopologins centrala del som distribueras i det virtuella hubbnätverket. Använd Azure Firewall eller en annan virtuell nätverksinstallation (NVA) som stöds av Azure för att upprätta trafikregler och segmentera kommunikationen mellan de olika ekrarna och Azure VMware Solution arbetsbelastningar.

Skapa vägtabeller för att dirigera trafiken till Azure Firewall. För virtuella spoke-nätverk skapar du en väg som anger standardvägen till det interna gränssnittet för Azure Firewall. När en arbetsbelastning i Virtual Network behöver nå Azure VMware Solution-adressutrymmet kan brandväggen utvärdera den och tillämpa motsvarande trafikregel för att antingen tillåta eller neka den.

Skärmbild som visar de vägtabeller som dirigerar trafik till Azure Firewall.

Viktigt

En väg med adressprefixet 0.0.0.0/0 i inställningen GatewaySubnet stöds inte.

Ange vägar för specifika nätverk i motsvarande vägtabell. Till exempel vägar för att Azure VMware Solution hantering och arbetsbelastningar IP-prefix från ekerarbetsbelastningarna och tvärtom.

Skärmbild som visar de inställda vägarna för specifika nätverk i motsvarande vägtabell.

En andra nivå av trafiksegmentering med hjälp av nätverkssäkerhetsgrupper i ekrarna och hubben för att skapa en mer detaljerad trafikprincip.

Anteckning

Trafik från lokal plats till Azure VMware Solution: Trafik mellan lokala arbetsbelastningar, antingen vSphere-baserade eller andra, aktiveras av Global Reach, men trafiken går inte genom Azure Firewall på hubben. I det här scenariot måste du implementera mekanismer för trafiksegmentering, antingen lokalt eller Azure VMware Solution.

Application Gateway

Azure Application Gateway V1 och V2 har testats med webbappar som körs Azure VMware Solution virtuella datorer som en backend-pool. Application Gateway är för närvarande den enda metod som stöds för att exponera webbappar som körs Azure VMware Solution virtuella datorer mot Internet. Det kan också exponera apparna för interna användare på ett säkert sätt.

Mer information finns i den Azure VMware Solution artikeln om hur du Application Gateway.

Diagram som visar den andra nivån av trafiksegmentering med hjälp av nätverkssäkerhetsgrupper.

Jumpbox och Azure Bastion

Åtkomst Azure VMware Solution miljö med en jumpbox, som är en virtuell Windows 10- eller Windows Server-dator som distribuerats i det delade tjänstundernätet i det virtuella hubbnätverket.

Viktigt

Azure Bastion är den tjänst som rekommenderas för att ansluta till hoppboxen för att förhindra Azure VMware Solution exponeras mot Internet. Du kan inte använda Azure Bastion för att ansluta Azure VMware Solution virtuella datorer eftersom de inte är Azure IaaS-objekt.

Som en säkerhetsmetod bör du distribuera Microsoft Azure Bastion-tjänsten i det virtuella hubbnätverket. Azure Bastion ger sömlös RDP- och SSH-åtkomst till virtuella datorer som distribueras i Azure utan att tillhandahålla offentliga IP-adresser till dessa resurser. När du har etablerat Azure Bastion-tjänsten kan du komma åt den valda virtuella datorn från Azure Portal. När anslutningen har upprättas öppnas en ny flik som visar jump box-skrivbordet. Från skrivbordet kan du komma åt Azure VMware Solution privata molnhanteringsplanet.

Viktigt

Ge inte en offentlig IP-adress till den virtuella jump box-datorn eller exponera 3389/TCP-porten för det offentliga Internet.

Diagram som visar det Azure Bastion Hub-nätverket.

Azure DNS lösningsöverväganden

Det Azure DNS två alternativ för en lösning:

  • Använd de domänkontrollanter som distribueras på hubben (beskrivs i Identitetsöverväganden) som namnservrar.

  • Distribuera och konfigurera en Azure DNS privat zon.

Det bästa sättet är att kombinera för att tillhandahålla tillförlitlig namnmatchning för Azure VMware Solution, lokalt och Azure.

Som en allmän designrekommendation bör du använda den befintliga Active Directory-integrerade DNS som distribuerats till minst två virtuella Azure-datorer i det virtuella hubbnätverket och konfigurerats i de virtuella spoke-nätverken för att använda de Azure DNS-servrarna i DNS-inställningarna.

Du kan använda Azure Privat DNS, där Azure Privat DNS länkar till det virtuella nätverket. DNS-servrarna används som hybrid matchare med villkorsstyrd vidarebefordran till lokal eller lokal Azure VMware Solution DNS med hjälp av kundens Azure Privat DNS infrastruktur.

Aktivera automatisk registrering för att automatiskt hantera DNS-posternas livscykel för de virtuella datorer som distribueras i de virtuella ekernätverken. När det här alternativet är aktiverat är det maximala antalet privata DNS-zoner bara en. Om den är inaktiverad är det maximala antalet 1 000.

Lokala och virtuella Azure VMware Solution-servrar kan konfigureras med villkorsstyrda vidarebefordrare för att matcha virtuella datorer i Azure för Azure Privat DNS-zonen.

Identitetsöverväganden

I identitetssyfte är den bästa metoden att distribuera minst en domänkontrollant på hubben. Använd två delade tjänstundernät i zondelade sätt eller en VM-tillgänglighetsuppsättning. Mer information om hur du utökar ad lokal Active Directory domänen till Azure finns i Azure Architecture Center.

Distribuera dessutom en annan domänkontrollant på Azure VMware Solution att fungera som identitets- och DNS-källa i vSphere-miljön.

Vi rekommenderar att du integrerar AD-domänen med Azure Active Directory.