Azure VMware 解決方案雙重區域部署的網路考慮

發行項
08/24/2023

本文說明如何在兩個 Azure 區域中部署私人雲端Azure VMware 解決方案網路連線，以進行災害復原。如果有部分或完整的區域性中斷，本文中的網路拓撲可讓存留的元件 (私人雲端、Azure 原生資源和內部部署網站) 維持彼此和網際網路的連線。

雙重區域案例

本文著重于典型的雙重區域案例，如圖 1 所示：

每個區域中都有 Azure 中樞和輪輻網路。
ExpressRoute 的災害復原設定 (兩個不同對等互連位置的兩個線路，每個線路都連線到兩個區域中的中樞虛擬網路) 已部署。在設定後援 VPN 連線時，下列各節中提供的指引會維持不變。
每個區域中已部署Azure VMware 解決方案私人雲端。

注意

在圖 1 的參考案例中，兩個區域中樞虛擬網路會透過全域 VNet 對等互連進行連線。雖然並非絕對必要，但因為兩個區域中 Azure 虛擬網路之間的流量可以透過 ExpressRoute 連線路由傳送，我們強烈建議此設定。 VNet 對等互連可將延遲降到最低，並最大化輸送量，因為它會移除透過 ExpressRoute 符合 me 邊緣路由器的發針流量的需求。

雙重區域通訊模式

下一節說明在參考雙重區域案例中啟用所需的Azure VMware 解決方案網路組態，下列通訊模式：

Azure VMware 解決方案跨區域連線) 一節中涵蓋Azure VMware 解決方案 (Azure VMware 解決方案;
Azure VMware 解決方案至透過 ExpressRoute 連線的內部部署網站 (，如混合式連線) 一節所述;
Azure VMware 解決方案至 Azure 虛擬網路 (一節涵蓋的 Azure 虛擬網路連線能力) ;
Azure VMware 解決方案網際網路連線) 一節涵蓋的網際網路 (。

Azure VMware 解決方案跨區域連線能力

當有多個Azure VMware 解決方案私人雲端存在時，其中第 3 層連線通常是支援資料複寫等工作的需求。

Azure VMware 解決方案原生支援在不同 Azure 區域中部署的兩個私人雲端之間的直接連線。私人雲端會透過 ExpressRoute 線路連線到自己區域中的 Azure 網路，由平臺管理，並在專用 ExpressRoute 符合我的位置上終止。在本文中，這些線路稱為「Azure VMware 解決方案受控線路」。 Azure VMware 解決方案受控線路不應與客戶部署的一般線路混淆，以將其內部部署網站連線至 Azure。客戶部署的一般 線路是客戶管理的線路 ， (請參閱圖 2) 。

私人雲端之間的直接連線是以Azure VMware 解決方案受控線路之間的ExpressRoute Global Reach連線為基礎，如下圖所示。如需詳細資訊，請參閱教學課程：對等內部部署環境以Azure VMware 解決方案。本文說明使用客戶管理的線路連接Azure VMware 解決方案受控線路的程式。相同的程式適用于連接兩個Azure VMware 解決方案 Managed 線路。

混合式連線

Azure VMware 解決方案私人雲端連線到內部部署網站的建議選項是 ExpressRoute Global Reach。您可以在客戶管理的 ExpressRoute 線路與Azure VMware 解決方案受控 ExpressRoute 線路之間建立 Global Reach 連線。全域觸達連線無法轉移，因此每個Azure VMware 解決方案受控線路 (連線到每個客戶受控線路) 都是災害復原所需的完整網格，如下圖所示，下圖 3 (以橙色線表示) 。

Azure 虛擬網路連線

Azure 虛擬網路可以透過 ExpressRoute 閘道與Azure VMware 解決方案受控線路之間的連線，連線到Azure VMware 解決方案私人雲端。此連線與 Azure 虛擬網路可透過客戶管理的 ExpressRoute 線路連線到內部部署網站的方式完全相同。如需設定指示，請參閱手動連線到私人雲端。

在雙重區域案例中，我們建議兩個區域中樞虛擬網路與私人雲端之間的 ExpressRoute 連線完整網狀結構，如圖 4 (以黃色線條表示) 所示。

網際網路連線

在多個區域中部署Azure VMware 解決方案私人雲端時，建議您針對網際網路連線的原生選項， (受控來源網路位址轉譯， (SNAT) 或公用 IP 向下部署到 NSX-T) 。任一個選項都可以透過Azure 入口網站 (或 PowerShell、CLI 或 ARM/Bicep 範本在部署時間設定) ，如下圖所示。

圖 5 中醒目提示的這兩個選項都提供每個私人雲端，並在自己的區域中提供直接網際網路中斷。下列考慮應通知決定要使用的原生網際網路連線選項：

受控 SNAT 應該用於具有基本和僅限輸出需求的案例中， (低輸出連線量，而且不需要細微控制 SNAT 集區) 。
在具有大量輸出連線的案例中，或當您需要對 NAT IP 位址進行細微控制時，最好使用向下至 NSX-T 邊緣的公用 IP。例如，Azure VMware 解決方案 VM 會在哪個 IP 位址後方使用 SNAT。向下至 NSX-T 邊緣的公用 IP 也支援透過 DNAT 的輸入連線。本文未涵蓋輸入網際網路連線能力。

在初始部署之後變更私人雲端的網際網路連線設定。但私人雲端在更新設定時，會失去網際網路、Azure 虛擬網路和內部部署網站的連線。使用上圖 5 中的其中一個原生網際網路連線選項時，在雙重區域案例中不需要額外的設定， (拓撲會維持與圖 4 所示的相同) 。如需Azure VMware 解決方案網際網路連線的詳細資訊，請參閱網際網路連線設計考慮。

Azure 原生網際網路中斷

如果在採用Azure VMware 解決方案之前，已在 Azure 虛擬網路中建置安全的網際網路邊緣，可能需要將它用於Azure VMware 解決方案私人雲端的網際網路存取。若要集中管理網路安全性原則、成本優化等等，請使用這種方式的安全網際網路邊緣。 Azure 虛擬網路中的網際網路安全性邊緣可以使用Azure 防火牆或協力廠商防火牆和 Proxy 網路虛擬裝置來實作， (Azure Marketplace上提供的 NVA) 。

透過邊界閘道通訊協定，Azure VMware 解決方案虛擬機器所發出的網際網路系結流量可以透過邊界閘道通訊協定 (BGP) 到私人雲端的受控 ExpressRoute 線路，吸引到 Azure VNet。此網際網路連線選項可以透過Azure 入口網站 (或透過 PowerShell、CLI 或 ARM/Bicep 範本在部署時間設定) ，如下圖所示 6。如需詳細資訊，請參閱停用網際網路存取或啟用預設路由。

如果網際網路邊緣 NVA 支援 BGP，可能會產生預設路由。如果沒有，您必須部署其他支援 BGP 的 NVA。如需如何在單一區域中實作Azure VMware 解決方案網際網路輸出連線的詳細資訊，請參閱使用 Azure NVA 為Azure VMware 解決方案實作網際網路連線。在本文中所討論的雙重區域案例中，必須將相同的設定套用至這兩個區域。

雙重區域案例中的主要考慮是，每個區域的預設路由應該只會透過 ExpressRoute 傳播至相同區域中Azure VMware 解決方案私人雲端。此傳播可讓Azure VMware 解決方案工作負載透過區域內部 () 中斷來存取網際網路。不過，如果您使用圖 4 所示的拓撲，每個Azure VMware 解決方案私人雲端也會透過跨區域 ExpressRoute 連線從遠端區域接收相同成本的預設路由。紅色虛線代表圖 7 中這個不必要的跨區域預設路由傳播。

移除Azure VMware 解決方案跨區域 ExpressRoute 連線可達成在每個私人雲端中插入目標，這是將網際網路系結連線轉送至本機區域中 Azure 網際網路邊緣的預設路由。

請注意，如果移除圖 7) 中的跨區域 ExpressRoute 連線 (紅色虛線，則預設路由的跨區域傳播仍會在 Global Reach 上發生。不過，透過全域觸達傳播的路由比本機產生的路由長，而且 BGP 路由選取程式會捨棄。

透過較不慣用預設路由的 Global Reach 進行跨區域傳播，可針對本機網際網路邊緣的錯誤提供復原能力。如果區域的網際網路邊緣離線，它就會停止源自預設路由。在該事件中，從遠端區域學習到的較不慣用預設路由會安裝在Azure VMware 解決方案私人雲端中，以便透過遠端區域的中斷路由傳送網際網路系結流量。

在 Azure VNet 中使用網際網路中斷的雙區域部署建議拓撲，如下圖所示 8。

當您在 Azure 中產生預設路由時，必須特別小心，以避免傳播至內部部署網站，除非需要透過 Azure 中的網際網路邊緣提供內部部署網站的網際網路存取。終止客戶管理的 ExpressRoute 線路的客戶操作裝置必須設定為篩選從 Azure 接收的預設路由，如圖 9 所示。此設定是必要的，以避免中斷內部部署網站的網際網路存取。

後續步驟

如需Azure VMware 解決方案網路功能的詳細資訊，請參閱Azure VMware 解決方案網路和互連概念。
如需Azure VMware 解決方案網際網路連線的詳細資訊，請參閱網際網路連線設計考慮。

Azure VMware 解決方案的範例架構

共用方式為