Azure VMware çözümü için ağ topolojisi ve bağlantı

  • Makale
  • Okumak için 15 dakika
Senaryo Trafik İnceleme gereksinimleri Önerilen çözüm tasarımı Dikkat edilmesi gerekenler
1
  • Internet girişi
  • Internet çıkış
    		•
  • Varsayılan ağ geçidi yayılması ile sanal WAN güvenli hub 'ı kullanın.
  • Http/s için Azure Application Gateway veya HTTP/S olmayan trafik için Azure Güvenlik Duvarı 'nı kullanın.
  • Güvenli sanal WAN hub 'ını dağıtın ve Azure VMware çözümünde genel IP 'yi etkinleştirin.
    		•
  • Bu çözüm, şirket içi filtreleme için çalışmıyor. Global Reach sanal WAN hub 'ını atlar.
    		•
    2
  • Internet girişi
  • Internet çıkış
  • Şirket içi veri merkezine
  • Azure sanal ağı 'na
    		•
  • Azure Route sunucusu ile hub sanal ağında üçüncü taraf güvenlik duvarı NVA çözümlerini kullanın.
  • Global Reach devre dışı bırakın.
  • Http/S ya da üçüncü taraf güvenlik duvarı NVA için Application Gateway, HTTP olmayan/S trafiği için kullanın.
    		•
  • Bu seçenek, mevcut NVA 'ını kullanmak isteyen ve hub sanal ağındaki tüm trafik incelemesini merkezileştirmek isteyen müşteriler için en yaygın seçenektir.
    		•
    3
  • Internet girişi
  • Internet çıkış
  • Şirket içi veri merkezine
  • Azure sanal ağı 'na
  • Azure VMware çözümü içinde
    		•  -Azure VMware çözümünde NSX-T veya üçüncü taraf NVA güvenlik duvarı kullanın.
  • Http (s) veya HTTP olmayan trafik için Azure Güvenlik Duvarı Application Gateway kullanın.

    -güvenli sanal WAN hub 'ını dağıtın ve Azure VMware çözümünde genel IP 'yi etkinleştirin.
    		•  -İki veya daha fazla Azure VMware çözümü özel bulutlarından trafiği incelemeniz gerekiyorsa bu seçeneği kullanın.

    -Bu seçenek NSX-T yerel özelliklerini kullanabilir veya L1 ile L0 arasında Azure VMware çözümünde çalışan NVA 'lar ile birleştirilebilir.
    4
  • Internet girişi
  • Azure sanal ağı 'na
    		•  -Sanal WAN güvenli hub 'ı kullanın.
  • Http/s için Azure Application Gateway veya HTTP/S olmayan trafik için Azure Güvenlik Duvarı 'nı kullanın.
  • Güvenli sanal WAN hub 'ını dağıtın ve Azure VMware çözümünde genel IP 'yi etkinleştirin.
    		•
  • Şirket 0.0.0.0/0 içi veri merkezlerinden rotayı tanıtmak için bu seçeneği kullanın.
    		•
    • Application Gateway ve Azure Güvenlik Duvarı aracılığıyla giriş desenleri tüm senaryolar için benzerdir.
    • Azure VMware çözümünde, L4-L7 yük dengeleyici NVA 'lar kullanabilirsiniz.
    • NSX-T güvenlik duvarını, bu senaryolardan herhangi biriyle kullanabilirsiniz.

    Aşağıdaki bölümlerde, Azure VMware çözümü özel bulutları için en yaygın dört ağ senaryosu açıklanır. Bu liste ayrıntılı değildir. Daha fazla senaryo için bkz. Azure Route Server ve transit VNET Ile VXLAN 'ı destekleyen NVA 'lar dağıtma.

    Senaryo 1: varsayılan yol yayma ile güvenli sanal WAN hub 'ı

    Bu senaryo, aşağıdaki müşteri profiline, mimari bileşenlere ve noktalara sahiptir:

    Müşteri profili

    Bu senaryo aşağıdaki durumlarda idealdir:

    • Azure VMware çözümü ile Azure sanal ağı arasında trafik incelemesi yapmanız gerekmez.
    • Azure VMware çözümü ve şirket içi veri merkezleri arasında trafik incelemesinin olması gerekmez.
    • Azure VMware Çözüm iş yükleri ve internet arasında trafik incelemesi yapmanız gerekir.

    Bu senaryoda, Azure VMware çözümünü hizmet olarak platform (PaaS) teklifi olarak tüketin. Genel IP adreslerinden herhangi bir sahip değilsiniz. Gerekirse, herkese açık L4 ve L7 gelen Hizmetleri eklemeniz gerekir. Şirket içi veri merkezleri ile Azure arasında ExpressRoute bağlantınız olabilir veya bulunmayabilir.

    Mimari bileşenler

    Bu senaryoyu ile uygulayabilirsiniz:

    • Güvenlik duvarları için güvenli sanal WAN hub 'ında Azure Güvenlik Duvarı.
    • L7 yük dengelemesi için Application Gateway.
    • Ağ giriş trafiğini çevirmek ve filtrelemek için Azure Güvenlik Duvarı ile L4 DNAT (hedef ağ adresi çevirisi).
    • Sanal WAN hub 'ında Azure Güvenlik Duvarı aracılığıyla giden internet.
    • Şirket içi veri merkezleri ve Azure VMware çözümü arasında bağlantı için ExR, VPN veya SD-WAN.

    Varsayılan yol yayma ile güvenli sanal WAN hub 'ı diyagramı.

    Dikkat edilmesi gerekenler

    0.0.0.0/0Mevcut ortamınız ile çakıştığından Azure VMware çözümünden varsayılan yol tanıtımını almak istemiyorsanız, daha fazla işlem yapmanız gerekir.

    Güvenli sanal WAN hub 'ındaki Azure Güvenlik Duvarı, 0.0.0.0/0 Azure VMware çözümü yolunu tanıtır. 0.0.0.0/0Yol, şirket içinde Global Reach aracılığıyla da tanıtıldığında. Yol öğrenimini engellemek için bir şirket içi yol filtresi uygulayın 0.0.0.0/0 . SD-WAN veya VPN kullanıyorsanız, bu sorun oluşmaz.

    Şu anda, bir ExpressRoute ağ geçidi aracılığıyla doğrudan yerine bir sanal ağ tabanlı hub ve bağlı bileşen topolojisine bağlanıyorsanız, 0.0.0.0/0 sanal WAN hub 'ından varsayılan yol ağ geçidine yayılır ve sanal ağa yerleşik Internet sistem yolu üzerinden önceliklidir. Bu sorunu geçici olarak çözmek için, 0.0.0.0/0 öğrenilen varsayılan yolu geçersiz kılmak üzere sanal ağa 0.0.0.0/0 uygulayın.

    Reklam gerektirmeyen güvenli sanal WAN hub 'ına yönelik VPN, ExpressRoute veya sanal ağ bağlantıları, 0.0.0.0/0 tanıtımı da alacaktır. Bu sorunu aşmak için şunlardan birini yapabilirsiniz:

    • 0.0.0.0/0Bir şirket içi sınır cihazından rotayı filtreleyin.

    • Veya

      1. ExpressRoute, VPN veya sanal ağın bağlantısını kesin.
      2. 0.0.0.0/0Yayılmayı etkinleştirin.
      3. 0.0.0.0/0Bu belirli bağlantılarda yayılmayı devre dışı bırakın.
      4. Bu bağlantıları yeniden bağlayın.

    Hub 'a veya hub sanal ağına bağlı bir bağlı bileşen sanal ağında Application Gateway barındırabilirsiniz.

    Senaryo 2: Azure Route Server ile Azure sanal ağındaki üçüncü taraf NVA, Global Reach devre dışı

    Bu senaryo, aşağıdaki müşteri profiline, mimari bileşenlere ve noktalara sahiptir:

    Müşteri profili

    Bu senaryo aşağıdaki durumlarda idealdir:

    • Azure VMware çözümü özel bulutu dışında güvenlik duvarları üzerinde ayrıntılı denetim sahibi olmanız gerekir.
    • Şirket içi veya diğer Azure ortamlarında geçerli satıcınızdan bir güvenlik gereci kullanmanız gerekir.
    • Gelen hizmetler için birden çok genel IP adresi gerekir ve Azure 'da önceden tanımlanmış IP adresleri bloğuna ihtiyacınız vardır. Bu senaryoda, genel IP 'Leri sahip değilsiniz.
    • NVA 'lar kullanarak Azure VMware çözümü ve şirket içi veri merkezleri arasındaki trafiği incelemek istediğinizde, coğrafi nedenlerle Global Reach kullanamazsınız.
    • Genellikle, Azure VMware Çözüm Hizmetleri için herkese açık L4 ve L7 gelen hizmetlere ihtiyacınız vardır ve ayrıca giden internet bağlantısı gerekir.

    Bu senaryoda, şirket içi veri merkezleri ve Azure arasında ExpressRoute bağlantısı zaten var.

    Mimari bileşenler

    Bu senaryoyu ile uygulayabilirsiniz:

    • Güvenlik duvarları ve diğer ağ işlevleri için bir sanal ağda barındırılan üçüncü taraf NVA 'lar.
    • Azure VMware çözümü, şirket içi veri merkezleri ve sanal ağlar arasında trafiği yönlendirmek için Azure yol sunucusu .
    • L7 HTTP/S yük dengelemesi için tercih edilen çözüm olarak Application Gateway.

    Bu senaryoda ExpressRoute'u devre dışı bırakmanız Global Reach. NVA'lar, İnternet'e giden İnternet sağlamaktan Azure VMware Çözümü.

    Azure Yönlendirme Sunucusu etkinken Azure Sanal Ağ'da üçüncü taraf NVA üzerinden Global Reach diyagramı.

    Dikkat edilmesi gerekenler

    Bu senaryo NVA'ları barındıran merkez sanal ağının tüm trafiğini incelemeli, bu nedenle ExpressRoute sanal makinelerini devre dışı Global Reach. Global Reach, Azure VMware Çözümü Microsoft Enterprise Edge (MSEE) ExpressRoute yönlendiricileri arasında trafiğin doğrudan atlayarak merkez sanal ağına akmalarına izin verir.

    Trafiği hub'a yönlendirin. NVA çözümünü uygulamak ve yönetmek veya var olan bir çözümü kullanmak sizin sorumluluğundadır.

    NVA'lar için yüksek kullanılabilirlik gerekirse, simetrik yönlendirmeyi korumak için NVA'ları etkin bekleme yapılandırmasına dağıtın. Daha fazla bilgi için NVA satıcı belgelerinize bakın ve yüksek oranda kullanılabilir NVA'lar dağıtın.

    Yukarıdaki mimari diyagramda VXLAN desteğine sahip bir NVA gösterildi. VXLAN desteği olmayan NVA'lar için bkz. VXLAN ve geçiş sanal ağı olmadan Sanal WAN'da tümleşik olmayan bir NVA dağıtma.

    3. Senaryo: Egress NSX-T Azure VMware Çözümü NVA'sı olan veya olmayan bir kaynaktır

    Bu senaryoda aşağıdaki müşteri profili, mimari bileşenler ve önemli noktalar yer almaktadır:

    Müşteri profili

    Bu senaryo, şu durumlarla ilgili ideal bir senaryodur:

    • Yerel NSX platformunu kullanmalısınız, bu nedenle dağıtım için paaS Azure VMware Çözümü.
    • Veya trafik incelemesi için kendi lisansını getir (BYOL) NVA Azure VMware Çözümü gerekir.
    • Şirket içi veri merkezleriyle Azure arasında ExpressRoute bağlantınız olabilir veya zaten böyle bir bağlantınız olabilir.
    • Gelen HTTP/S veya L4 hizmetleri gerekir.

    NSX Azure VMware Çözümü/katman-1 yönlendiricileri veya NVA'lar aracılığıyla Azure VMware Çözümü'den Azure Sanal Ağına, Azure VMware Çözümü'den İnternet'e ve Azure VMware Çözümü'den şirket içi veri merkezlerine gelen tüm trafik.

    Mimari bileşenler

    Bu senaryoyu şu şekilde gerçekleştirin:

    • NSX Dağıtılmış Güvenlik Duvarı (DFW) veya katman 1'in arkasındaki NVA Azure VMware Çözümü
    • Application Gateway L7 yük dengelemesi için
    • Azure Güvenlik Duvarı kullanarak L4 DNAT
    • İnternet'den Azure VMware Çözümü

    NSX-T ve NVA Azure VMware Çözümü çıkış diyagramı.

    Dikkat edilmesi gerekenler

    İnternet erişimini İnternet üzerinden etkinleştirmeniz Azure portal. Bu tasarımla, giden IP adresi değişebilir ve belirlenimci değildir. Genel IP adresleri NVA'nın dışındadır. Azure VMware Çözümü'daki NVA hala özel IP adreslerine sahip ve giden genel IP adresini belirlemez.

    NVA BYOL'tir ve lisansı getirmek ve NVA için yüksek kullanılabilirlik uygulamak sizin sorumluluğuzdur.

    NVA yerleştirme seçenekleri için VMware belgelerine ve bir VM'de en fazla sekiz sanal ağ arabirimi kartının (2CS) VMware sınırlaması hakkında bilgi için bkz. Daha fazla bilgi için bkz. Azure VMware Çözümü.

    4. Senaryo: Egress şirket Azure VMware Çözümü 0.0.0.0/0 tanıtım yoluyla iş sitelerinden gelen bağlantılar

    Bu senaryoda aşağıdaki müşteri profili, mimari bileşenler ve önemli noktalar yer almaktadır:

    Müşteri profili

    Bu senaryo, şu durumlarla ilgili ideal bir senaryodur:

    • Şirket içi NVA'yı kullanmak ve şirket 0.0.0.0/0 içi ortamdan tanıtabilirsiniz.
    • Şirket içi veri merkezleri ile Azure arasında ExpressRoute zaten var veya var ve Global Reach var.
    • Genele yönelik HTTP/S veya L4 gelen hizmetleri gerekir.

    İnternet çıkış trafiği denetimi şirket içinde işleme almaktadır. Güvenli Azure Sanal WAN merkezi, Azure Sanal Ağı ile Azure VMware Çözümü trafik denetlemesi yapar.

    Mimari bileşenler

    Bu senaryoyu şu şekilde gerçekleştirin:

    • Application Gateway L7 yük dengelemesi için
    • Azure Güvenlik Duvarı kullanarak L4 DNAT
    • Şirket içinde İnternet'e çıkış
    • Şirket içi veri merkezleri ile şirket içi veri merkezleri arasında bağlantı için ExpressRoute Azure VMware Çözümü

    Şirket içi aracılığıyla Azure VMware Çözümü çıkış diyagramı.

    Dikkat edilmesi gerekenler

    Bu tasarımla, giden genel IP adresleri şirket içi NVA ile şirket içinde yer almaktadır.

    Şu anda sanal ağ tabanlı merkez-bağlı sunucu topolojisine doğrudan değil expressRoute ağ geçidi üzerinden bağlanıyorsanız, Sanal WAN hub'larından gelen varsayılan yol ağ geçidine yalıtır ve sanal ağ içinde yerleşik olarak bulunan internet sistemi rotalarından 0.0.0.0/0 önceliklidir. Bu sorunu gidermek için, öğrenilen 0.0.0.0/00.0.0.0/0 sanal ağ üzerinde kullanıcı tanımlı bir yol gerçekleştirin.

    Genel tasarım konuları ve öneriler

    Ağ topolojisi ve bağlantısı için genel tasarımla ilgili Azure VMware Çözümü bazı öneriler:

    Merkez-bağlı- sanal WAN ağ topolojisi karşılaştırması

    Sanal WAN, VPN ve ExpressRoutearasında geçiş bağlantısını destekler, ancak merkez-bağlı sunucu topolojisini desteklemez.

    Özel bulutlar ve kümeler

    • Tüm kümeler aynı /22 adres Azure VMware Çözümü bir özel bulut içinde iletişim kurabilir.

    • Tüm kümeler ayrıca internet, ExpressRoute, HCX, genel IP ve ExpressRoute gibi aynı bağlantı ayarlarını Global Reach. Uygulama iş yükleri ağ kesimleri, dinamik konak yapılandırma protokolü (DHCP) ve Etki Alanı Adı Sistemi (DNS) gibi bazı temel ağ ayarlarını da paylaşabilir.

    • Özel bulutlarınızı ve kümelerinizi dağıtımdan önce önceden tasarlar. Özel bulutların sayısı ağ gereksinimlerinizi doğrudan etkiler. Her özel bulut, vm iş yükleri için özel bulut yönetimi ve IP adresi segmenti için kendi /22adres alanı gerektirir. Bu adres alanlarını önceden tanımlamayı göz önünde bulundurabilirsiniz.

    • VMware ve ağ ekipleriniz ile iş yükleri için özel bulutlarınızı, kümelerinizi ve ağ kesimlerinizi nasıl segmentlere böleceklerini ve dağıtacaklarını tartışın. IP adreslerini boşa harcamamak için önceden plan.

    • Özel bulutların IP adreslerini yönetme hakkında daha fazla bilgi için bkz. Özel bulut yönetimi için IP adresi kesimini tanımlama.

    • VM iş yükleri için IP adreslerini yönetme hakkında daha fazla bilgi için bkz. VM iş yükleri için IP adresi kesimini tanımlama.

    DNS ve DHCP

    DHCP için, NSX'te yerleşik DHCP hizmetini kullanın veya özel bulutta yerel bir DHCP sunucusu kullanın. WAN üzerinden yayın DHCP trafiğini şirket içi ağlara geri yönlendirin.

    DNS için, benimsemiş olduğunuz senaryoya ve gereksinimlerinize bağlı olarak farklı seçenekleriniz vardır:

    • Yalnızca Azure VMware Çözümü ortamınız için özel buluta yeni bir DNS Azure VMware Çözümü dağıtın.
    • Şirket Azure VMware Çözümü bağlı daha fazla bilgi için mevcut DNS altyapısını kullanın. Gerekirse, DNS ileticilerini Azure Sanal Ağı'nın içine veya tercihen sanal ağa genişletmek Azure VMware Çözümü. Daha fazla bilgi için bkz. DNS iletici hizmeti ekleme.
    • Hem Azure VMware Çözümü Hem de Azure ortamlarına ve hizmetlerine bağlı olan tüm sunucular için, varsa merkez sanal ağınız içinde mevcut DNS sunucularını veya DNS ileticilerini kullanın. Veya mevcut şirket içi DNS altyapısını Azure hub sanal ağına genişletebilirsiniz. Ayrıntılar için bkz. kurumsal ölçekli giriş bölgeleri diyagramı.

    Daha fazla bilgi için bkz.

    İnternet

    Aşağıdaki liste hızlı bir başvuru içerir:

    İnternet'i etkinleştirmek ve trafiği filtrelemek ve incelemek için giden seçenekler şunlardır:

    • Azure İnternet erişimini kullanarak Azure Sanal Ağ, NVA ve Azure Yönlendirme Sunucusu
    • Şirket içi İnternet erişimini kullanan şirket içi varsayılan yol
    • Azure İnternet erişimi kullanarak Azure Güvenlik Duvarı NVA ile sanal WAN güvenli merkezi

    İçerik ve uygulama teslim etmek için gelen seçenekler şunlardır:

    • Azure Application Gateway, Güvenli Yuva Katmanı (SSL) sonlandırma ve Web Uygulaması Güvenlik Duvarı ile yapılandırma
    • Şirket içi aracılığıyla DNAT ve yük dengeleyici
    • Çeşitli senaryolarda Azure Sanal Ağ, NVA ve Azure Yönlendirme Sunucusu
    • L4 ve DNAT ile Azure Güvenlik Duvarı WAN güvenli merkezi
    • Çeşitli senaryolarda NVA ile sanal WAN güvenli merkezi

    ExpressRoute

    İlk Azure VMware Çözümü özel bulut dağıtımı, otomatik olarak bir ücretsiz ExpressRoute bağlantı hattı sağlar. Bu bağlantı hattı Azure VMware Çözümü D-MSEE'ye bağlanır.

    Konum için, veri merkezlerinizin Azure VMware Çözümü Azure eşleştirilmiş bölgelerine veri dağıtmayı göz önünde bulundurabilirsiniz.

    Global Reach

    • Global Reach, şirket içi veri merkezleri, Azure Sanal Azure VMware Çözümü ve Sanal WAN ile iletişim kurmak için gerekli bir ExpressRoute eklentidir. Alternatif olarak, Azure Yönlendirme Sunucusu ile ağ bağlantınızı tasarlarsınız.

    • ExpressRoute bağlantı Azure VMware Çözümü diğer ExpressRoute bağlantı hatlarını ücretsiz olarak kullanarak Global Reach eşlersiniz.

    • ExpressRoute Global Reach bir ISS üzerinden eşlemek ve bağlantı hatlarını eşlemek için ExpressRoute Direct kullanabilirsiniz.

    • Global Reach, ExpressRoute Yerel bağlantı hatlarında desteklenmiyor. ExpressRoute Yerel için, azure Azure VMware Çözümü üçüncü taraf NVA'lar aracılığıyla şirket içi veri merkezlerine geçiş.

    • Global Reach tüm konumlarda kullanılamaz.

    Bant genişliği

    Sanal ağ ile Azure Sanal Ağ arasında en iyi bant genişliği için uygun bir Azure VMware Çözümü Ağ Geçidi SKU'su seçin. Azure VMware Çözümü bir bölgedeki ExpressRoute ağ geçidine en fazla dört ExpressRoute bağlantı hattı destekler.

    Ağ güvenliği

    Ağ güvenliği, trafik denetleme ve bağlantı noktası yansıtmayı kullanır.

    SDDC içindeki Doğu-Batı trafik denetimi, bölgeler arasında Azure Sanal Ağına yönelik trafiği incelemek için NSX-T veya NVA'ları kullanır.

    Kuzey-Güney trafik denetimi, veri merkezleriyle veri merkezleri arasındaki Azure VMware Çözümü yönlü trafik akışını inceler. Kuzey-güney trafik denetimi şunları kullanabilir:

    • Azure internet üzerinden NVA ve Azure Yönlendirme Sunucusu
    • Şirket içi İnternet üzerinden şirket içi varsayılan rota
    • Azure Güvenlik Duvarı İnternet üzerinden Sanal WAN
    • İnternet üzerinden SDDC içinde NSX-T Azure VMware Çözümü
    • İnternet üzerinden Azure VMware Çözümü SDDC içindeki NVA Azure VMware Çözümü

    Bağlantı noktaları ve protokol gereksinimleri

    Şirket içi güvenlik duvarı için tüm gerekli bağlantı noktalarını yapılandırarak özel bulutun tüm bileşenlerine düzgün Azure VMware Çözümü olun. Daha fazla bilgi için bkz. Gerekli ağ bağlantı noktaları.

    Azure VMware Çözümü yönetimi erişimi

    • Dağıtım sırasında, azure sanal Azure Bastion azure sanal ağına erişmek için bir konak Azure VMware Çözümü düşünün.

    • Şirket içi ortama yönlendirme kurulduktan sonra, Azure VMware Çözümü yönetim ağı şirket içi ağlardan gelen yolları kabul etmemektedir, bu nedenle şirket içi ağlar için daha belirli yollar 0.0.0.0/0 tanıtabilirsiniz.

    İş sürekliliği ve olağanüstü durum kurtarma (BCDR) ve geçişler

    • VMware HCX geçişlerinde varsayılan ağ geçidi şirket içinde kalır. Daha fazla bilgi için bkz. VMware HCX'i dağıtma ve yapılandırma.

    • VMware HCX geçişi HCX L2 uzantısını kullanabilir. Katman 2 uzantısı gerektiren geçişler ExpressRoute gerektirir. VPN desteklenmiyor. HCX ek yükünü karşılamak için en fazla iletim birimi (MTU) boyutu 1350 olabilir. Katman 2 uzantısı tasarımı hakkında daha fazla bilgi için bkz. Yönetici modunda Katman 2 köprü VMware.com.

    Sonraki adımlar

    Azure bulut ekosistemi ile VMware yazılım tanımlı veri merkezi (SDDC) kullanmak, hem bulutta yerel hem de hibrit senaryolar için benzersiz bir tasarım konuları kümesi sunar. Bu makalede, Azure'da ve azure'da ağ ve ağ iletişimi ve bağlantı ile ilgili önemli noktalar ve en iyi Azure VMware Çözümü inceler.

    Makale, kurumsal ölçekli giriş Bulut Benimseme Çerçevesi mimari ilkeleri ve uygun ölçekte ağ topolojisi ve bağlantısını yönetmeye ilişkin öneriler hakkında çeşitli temeller içerir. Görev açısından kritik platformlar için kurumsal ölçekli tasarım alanı kılavuzlarını Azure VMware Çözümü kullanabilirsiniz. Tasarım temelleri şunlardır:

    • Şirket içi, çoklu bulut, uç ve genel kullanıcılar arasında bağlantı için karma tümleştirme. Daha fazla bilgi için bkz. Enterprise ve çoklu bulut için büyük ölçekli destek.
    • İş yükleri için tutarlı, düşük gecikme süresine sahip deneyim ve ölçeklenebilirlik için uygun ölçekte performans ve güvenilirlik.
    • Ağ çevre ve trafik akışlarının güvenliğini sağlamak için sıfır güven tabanlı ağ güvenliği. Daha fazla bilgi için bkz. Azure'da ağ güvenlik stratejileri.
    • Tasarım yeniden çalışma olmadan ağ ayak izini kolayca genişletmek için genişletilebilirlik.

    Ağ bileşenleri ve kavramları

    • Azure Sanal Ağ, Azure'daki özel ağlar için temel yapı taşıdır. Azure Sanal Ağ ile Azure Sanal Makineler (VM) gibi birçok Tür Azure kaynağı birbirleriyle, internetle ve şirket içi veri merkezleriyle güvenli bir şekilde iletişim kurabilir. Sanal ağ, kendi veri merkeziniz üzerinde çalışan geleneksel bir ağa benzer, ancak ölçek, kullanılabilirlik ve yalıtım için Azure altyapısı avantajlarına sahip olur.

    • sanal gereçleri (NVA), bağlantı, uygulama teslimi, geniş alan ağı (WAN) iyileştirmesi ve güvenlik gibi işlevleri destekleyen bir ağ cihazıdır. NVA'lar Azure Güvenlik Duvarı ve Azure Load Balancer.

    • Azure Sanal WAN, birçok ağ, güvenlik ve yönlendirme işlevlerini tek bir işlem arabiriminde bir araya getiren bir ağ hizmetidir. Bu özellikler şunları içerir:

      • SD-WAN veya müşteri şirket içi ekipman (CPE) tabanlı sanal özel ağlar (VPN) gibi Sanal WAN iş ortağı cihazlarından dal bağlantısı otomasyonu
      • Siteden siteye VPN bağlantısı
      • Uzak kullanıcı noktadan siteye VPN bağlantısı
      • Özel Azure ExpressRoute bağlantısı
      • Sanal ağlar için geçişli bağlantı gibi bulut içi bağlantı
      • VPN ExpressRoute bağlantısı
      • Yönlendirme
      • Azure Güvenlik Duvarı
      • Özel bağlantı için şifreleme

    • Merkez-bağlı ağ topolojisinde,merkez sanal ağı birçok bağlı sunucu sanal ağına merkezi bir bağlantı noktası olarak davranır. Merkez, şirket içi veri merkezlerine bağlantı noktası da olabilir. Bağlı sanal ağlar merkezle eştir ve iş yüklerini yalıtmak için kullanılabilir.

    • VXLAN (sanal uzantı LAN), bulut ağlarını ölçeklendirmeye yardımcı olan bir ağ sanallaştırma teknolojisidir. VXLAN, ağı genişletmek için Katman 3 (L3) teknolojisini kullanarak yerel bir ağ (LAN) ile çakışmak için bir sanal ağ oluşturur.

    • Katman 2 (L2) uzantısı, bir sanal LAN veya ağ yayını etki alanını iki site arasında genişletmektedir. L2 uzantısının veri merkezi bağlantısı (DCI), veri merkezi uzantısı (DCE), genişletilmiş Katman 2 ağı, esnetilmiş Katman 2 ağı, esnetilmiş VLAN, genişletilmiş VLAN, esnetilmiş dağıtım veya Katman 2 VPN gibi birçok adı vardır.

    • Katman 4 (L4), açık sistemler arası bağlantı (OSI) modelinin dördüncü katmanını ifade eder. L4, son sistemler veya konaklar arasında saydam aktarım veya veri aktarımı sağlar. L4, hem 1 4. sıyrı hata kurtarmadan hem de akış denetiminden sorumludur. L4'te kullanılan ana protokollerden bazıları:

      • Kullanıcı Veri Birimi Protokolü (UDP)
      • UDP-Lite
      • Döngüsel UDP (CUDP)
      • Güvenilir UDP (RUDP)
      • AppleTalk İşlem Protokolü (ATP)
      • Çok yollu TCP (MPTCP)
      • İletim Denetimi Protokolü (TCP)
      • Sıralı paket değişimi (SPX)

    • Katman 7 (L7), OSI modelinin uygulama katmanı olarak adlandırılan en üstteki ve yedi. katmanıdır. 7. Katman, iletişimde olan tarafları ve aralarındaki hizmet kalitesini tanımlar. L7 gizlilik ve kullanıcı kimlik doğrulamasını ele verir ve veri söz dizimi kısıtlamaları tanımlar. Bu katman uygulamaya özgü bir katmandır. API çağrıları ve yanıtları bu katmana aittir. Ana L7 protokollerinden bazıları HTTP, HTTPS ve SMTP protokolleridir.

    Ağ senaryoları

    Ağ özelliklerini tasarlamak ve uygulamak, yeni giriş bölgesi oluşturma Azure VMware Çözümü önemlidir. Azure ağ ürünleri ve hizmetleri çok çeşitli özellikleri destekler. Hangi mimariyi seçecek ve hizmetleri nasıl yapılandıracakları, kuruluş iş yüklerinin, idarenin ve gereksinimlerinin ne olduğuna bağlıdır.

    Aşağıdaki temel gereksinimler ve önemli noktalar, dağıtım kararınızı Azure VMware Çözümü etkiler:

    • Azure VMware Çözümü uygulamalarına HTTP/S veya HTTP olmayan İnternet Azure VMware Çözümü gereksinimleri

    • İnternet çıkış yolu ile ilgili dikkat edilmesi gerekenler

    • Geçişler için L2 uzantısı

    • Geçerli mimaride NVA kullanımı

    • Azure VMware Çözümü merkez sanal ağına veya Sanal WAN hub'a bağlantı

    • Şirket içi veri merkezlerinden Azure VMware Çözümü'a özel ExpressRoute bağlantısı ve ExpressRoute bağlantı Global Reach etkin olup olmadığı

    • Trafik denetleme gereksinimleri:

      • Azure VMware Çözümü uygulamalarına İnternet'e giriş
      • Azure VMware Çözümü İnternet'e çıkış erişimi
      • Azure VMware Çözümü veri merkezlerine erişim
      • Azure VMware Çözümü Azure Sanal Ağına erişme
      • Özel bulut Azure VMware Çözümü trafik

    Aşağıdaki tabloda, trafik denetleme gereksinimlerine bağlı olarak en yaygın dört ağ senaryosu için öneriler Azure VMware Çözümü dikkat edilmesi gerekenler ve yer almaktadır.