Bir Azure VMware Çözümü ve bağlı-bağlı bağlantı mimarisiyle tümleştirin

  • Makale
  • Okumak için 5 dakika

Bu makalede, Azure'daki mevcut Azure VMware Çözümü yeni bir Merkez-Bağlı Sunucu mimarisinde bir uygulama dağıtımını tümleştirmeye yönelik öneriler yer almaktadır.

Merkez-Bağlı bağlantı senaryosu, iş yüklerinin açık olduğu hibrit bir bulut ortamını varsaymaktadır:

  • IaaS veya PaaS hizmetlerini kullanarak yerel Azure
  • Azure VMware Çözümü
  • vSphere şirket içi

Mimari

Merkez, şirket içi ve özel buluta merkezi bir bağlantı noktası olarak hareket Azure VMware Çözümü Bir Azure Sanal Ağıdır. Spokes, sanal ağlar arası iletişimi etkinleştirmek için Hub ile eşli sanal ağlardır.

Şirket içi veri merkezi, özel bulut Azure VMware Çözümü ve Hub arasındaki trafik, şirket içi Azure ExpressRoute üzerinden gider. Bağlı sanal ağlar genellikle IaaS tabanlı iş yükleri içerir, ancak Sanal Ağ ile doğrudan tümleştirmesi olan App Service Ortamıgibi PaaS hizmetleri veya sanal ağ özellikli diğer PaaS hizmetleri Azure Özel Bağlantı olabilir.

Önemli

Sanal ağ başına dört ExpressRoute bağlantı hattı sınırını aşması Azure VMware Çözümü var olan bir ExpressRoute Ağ Geçidi'ni kullanarak ağ geçidine bağlanabilirsiniz. Bununla birlikte, Azure VMware Çözümü ExpressRoute üzerinden şirket içinden erişim sağlamak için ExpressRoute ağ geçidi bağlı bağlantı hattı arasında geçişli yönlendirme sağlamay olduğundan ExpressRoute Global Reach'a sahip olmak gerekir.

Diyagramda, Azure'da ExpressRoute hizmeti aracılığıyla şirket içi ve Azure VMware Çözümü bağlı merkez-Global Reach.

Azure VMware Çözümü Hub ve Spoke tümleştirme dağıtımını gösteren diyagram.

Mimari aşağıdaki ana bileşenlere sahiptir:

  • Şirket içi site: Azure'a ExpressRoute bağlantısı üzerinden bağlanan şirket içi veri merkezleri.

  • Azure VMware Çözümü bulut: Azure VMware Çözümü her biri en fazla 16 ana bilgisayar olan bir veya daha fazla vSphere kümesi tarafından oluşturulmuş bir SDDC sağlar.

  • ExpressRoute ağ geçidi: Özel bulut, Hub sanal Azure VMware Çözümü paylaşılan hizmetler ve Spoke sanal ağlarında çalışan iş yükleri arasındaki iletişimi sağlar.

  • ExpressRoute Global Reach: Şirket içi ile özel bulut arasında Azure VMware Çözümü sağlar. Azure VMware Çözümü ile Azure dokusu arasındaki bağlantı yalnızca ExpressRoute Global Reach bağlantısıdır. ExpressRoute Hızlı Yolu'un ötesinde hiçbir seçenek seçesiniz. ExpressRoute Direct desteklenmiyor.

  • S2S VPN önemli noktalar: Üretim Azure VMware Çözümü için Azure S2S VPN VMware HCX için ağ gereksinimleri nedeniyle desteklenmiyor. Ancak, bunu PoC dağıtımı için kullanabilirsiniz.

  • Merkez sanal ağı: Şirket içi ağınıza ve özel buluta bağlantının merkezi Azure VMware Çözümü olarak davranır.

  • Bağlı sunucu sanal ağı

    • IaaS Spoke: VM kullanılabilirlik kümeleri, sanal makine ölçek kümeleri ve buna karşılık gelen ağ bileşenleri dahil olmak üzere Azure IaaS tabanlı iş yüklerini barındırıyor.

    • PaaS Spoke: Özel Uç Nokta ve Özel Bağlantı sayesinde özel adres kullanarak Azure PaaS hizmetlerini barındırıyor.

  • Azure Güvenlik Duvarı: Spokes ile Azure VMware Çözümü arasındaki trafiği segmentlere bölen merkezi bir Azure VMware Çözümü.

  • Application Gateway: Azure IaaS/PaaS veya sanal makinelerde (VM) Azure VMware Çözümü web uygulamalarını ortaya çıkarır ve korur. Uygulama yönetimi gibi diğer hizmetlerle API Management.

Ağ ve güvenlikle ilgili dikkat edilmesi gerekenler

ExpressRoute bağlantıları, trafiğin şirket içi, şirket içi ve Azure VMware Çözümü Azure ağ dokusu arasında akmaya olanak sağlar. Azure VMware Çözümü bağlantının uygulanması için ExpressRoute Global Reach kullanır.

ExpressRoute ağ geçidi, bağlı bağlantı hatları arasında geçişli yönlendirme sağlamay olduğundan, şirket içi bağlantı şirket içi vSphere ortamı ve sanal ağ geçidi arasında iletişim kurmak için ExpressRoute Global Reach'yi Azure VMware Çözümü.

  • Şirket içi trafik Azure VMware Çözümü akışı

    Şirket içinde trafik akışının nasıl Azure VMware Çözümü gösteren diyagram.

  • Azure VMware Çözümü Sanal Ağ trafik akışına bağlantı

    Hub sanal Azure VMware Çözümü trafiği akışını gösteren diyagram.

Ağ ve bağlantı kavramları Azure VMware Çözümü daha fazla bilgi için bkz. Azure VMware Çözümü belgeleri.

Trafik segmentasyonu

Azure Güvenlik Duvarı, Merkez ve Bağlı Sunucu topolojisi'nin Merkez sanal ağına dağıtılmış merkezi bir parçasıdır. Trafik kuralları Azure Güvenlik Duvarı ve farklı iş yükleri arasındaki iletişimi segmentlere bölecek şekilde azure tarafından desteklenen başka bir ağ sanal aletini (NVA) Azure VMware Çözümü kullanın.

Trafiği trafik akışına yönlendirecek yol Azure Güvenlik Duvarı. Spoke sanal ağları için, varsayılan yolu sanal ağların iç arabirimine ayar Azure Güvenlik Duvarı. Bu şekilde, Sanal Ağ'daki bir iş yükünün Azure VMware Çözümü erişime ihtiyacı olduğunda güvenlik duvarı bunu değerlendirebilir ve buna izin vermek veya reddetmek için ilgili trafik kuralını uygulayabilir.

Trafiği trafiğe yönlendirmeye yönelik yol tablolarını gösteren ekran Azure Güvenlik Duvarı.

Önemli

GatewaySubnet ayarında adres ön eki 0.0.0.0/0 olan bir yol desteklenmiyor.

İlgili yol tablosunda belirli ağlar için yollar ayarlayın. Örneğin, iş yüklerinden Azure VMware Çözümü iş yüklerinin IP ön eklerine ve diğer yollara ulaşmak için rotalar.

İlgili yol tablosunda belirli ağlar için rota ayarlamayı gösteren ekran görüntüsü.

Daha ayrıntılı bir trafik ilkesi oluşturmak için Spokes ve Hub içindeki ağ güvenlik gruplarını kullanarak ikinci bir trafik segmentasyonu düzeyi.

Not

Şirket içi trafikten şirket içi Azure VMware Çözümü: vSphere tabanlı veya diğerleri gibi şirket içi iş yükleri arasındaki trafik Global Reach tarafından etkinleştirilir, ancak trafik hub'Azure Güvenlik Duvarı üzerinden geçmiyor. Bu senaryoda, şirket içinde veya şirket içinde trafik segmentasyon mekanizmalarını Azure VMware Çözümü.

Application Gateway

Azure Application Gateway V1 ve V2, arka uç havuzu olarak Azure VMware Çözümü web uygulamalarıyla test edilmiştir. Application Gateway vm'lerde çalışan web uygulamalarını İnternet'e Azure VMware Çözümü için desteklenen tek yöntemdir. Ayrıca uygulamaları şirket içi kullanıcıların güvenli bir şekilde kullanmalarını da sağlar.

Daha fazla bilgi için, Azure VMware Çözümü özel makalesine Application Gateway.

Ağ Güvenlik Gruplarını kullanarak ikinci trafik segmentasyon düzeyini gösteren diyagram.

Atlama kutusu ve Azure Bastion

Hub Azure VMware Çözümü içindeki paylaşılan hizmet alt ağına dağıtılan Windows 10 veya Windows Sunucusu VM'sini olan bir atlama kutusu ile ortamınıza erişin.

Önemli

Azure Bastion, bağlantının İnternet'e ifşasını önlemek için atlama kutusuna Azure VMware Çözümü önerilen hizmettir. Azure IaaS Azure Bastion değil Azure VMware Çözümü vm'lere bağlanmak için vm'leri kullanılamaz.

En iyi güvenlik uygulaması olarak Hub sanal Microsoft Azure bir Bastion hizmeti dağıtın. Azure Bastion kaynaklara genel IP adresleri sağlamadan Azure'da dağıtılan VM'lere sorunsuz RDP ve SSH erişimi sağlar. Sanal makine hizmetini Azure Bastion, seçilen VM'ye sanal makineden Azure portal. Bağlantı kurulduktan sonra atlama kutusu masaüstünü gösteren yeni bir sekme açılır ve bu masaüstünden özel bulut Azure VMware Çözümü erişebilirsiniz.

Önemli

Atlama kutusu VM'sini genel IP adresi verme veya 3389/TCP bağlantı noktasını genel İnternet'te açığa çıkarma.

Azure Bastion Hub sanal ağın gösterildiği diyagram.

Azure DNS çözümünde dikkat edilmesi gerekenler

Daha Azure DNS için iki seçenek vardır:

  • Ad sunucuları olarak Hub'da dağıtılan etki alanı denetleyicilerini (Kimlik konusunda dikkat edilmesi gerekenleraltında açıklanmıştır) kullanın.

  • Özel bir bölge Azure DNS ve yapılandırma.

En iyi yaklaşım, şirket içi ve Azure için güvenilir ad Azure VMware Çözümü sağlamak için her ikisini birleştirmektir.

Genel bir tasarım önerisi olarak, Merkez sanal ağının en az iki Azure VM'sine dağıtılan ve Spoke sanal ağlarında bu sunucu sunucularını DNS ayarlarında kullanmak üzere yapılandırılmış mevcut Active Directory ile tümleşik DNS'Azure DNS kullanın.

Azure Özel DNS'i kullanabilirsiniz; burada Azure Özel DNS sanal ağa bağlantı verir. DNS sunucuları, şirket içinde koşullu iletme ile karma çözümleyiciler olarak veya müşteri Azure Azure VMware Çözümü altyapısını kullanarak DNS Özel DNS kullanılır.

Spoke sanal ağlarında dağıtılan VM'ler için DNS kayıtlarının yaşam döngüsünü otomatik olarak yönetmek için otomatik kaydı etkinleştirin. Etkinleştirildiğinde, en fazla özel DNS bölgesi sayısı yalnızca birdir. Devre dışı bırakılırsa maksimum sayı 1000'dir.

Şirket içi ve Azure VMware Çözümü sunucuları, Azure Özel DNS bölgesi için Azure'daki vm'leri çözümleyiciye koşullu ileticiler ile yalıtabilirsiniz.

Kimlikle ilgili dikkat edilmesi gerekenler

Kimlik için en iyi yaklaşım, Hub'da en az bir etki alanı denetleyicisi dağıtmaktır. Bölgeye dağıtılmış şekilde iki paylaşılan hizmet alt ağı veya bir VM kullanılabilirlik kümesi kullanın. Şirket içi Active Directory (AD) etki alanınızı Azure'a genişletme hakkında daha fazla bilgi için bkz. Azure Mimari Merkezi..

Ayrıca, vSphere ortamında kimlik ve DNS Azure VMware Çözümü davranacak başka bir etki alanı denetleyicisi dağıtın.

Önerilen en iyi yöntem olarak, AD etki alanını etki alanıyla Azure Active Directory.