從 Azure VMware 解決方案 啟用連線能力
簡介
在此設計模式中,流量透過 Microsoft 骨幹的專用路徑,從內部部署資料中心到 Azure VMware 解決方案 (AVS) 私人雲端。 此聯機會透過 Expressroute Global Reach 進行,這是一種機制,可在客戶之間提供直接路徑,然後連線到 AVS 專用的 Expressroute 線路。 私人雲端也有從 NSX Edge 到因特網的個別隔離中斷,讓此流量不會在 Expressroute 上周游。
重要
如果您目前位於不支援 Global Reach 的區域,則可以在 Azure 中部署 Expressroute 閘道,從內部部署傳輸至 AVS 私人雲端。 若要提供可轉移性端對端,需要中樞 虛擬網絡 (VNET) 中的虛擬設備。 請參閱流量檢查和預設路由公告一節。
客戶設定檔
此架構很適合:
- 低延遲,從 Azure VMware 解決方案 SDDC (軟體定義資料中心) 原生輸出到因特網。
- 透過 Expressroute 或 VPN 直接將來自內部部署的流量導向至 Azure。
- SDDC 中工作負載的輸入 L4/L7 服務,例如 HTTPS
此設計涵蓋的流經 AVS NSX 路由器的流量包括:
- Azure VMware 解決方案 至 Azure 原生虛擬網路
- Azure VMware 解決方案 到因特網
- Azure VMware 解決方案 至內部部署數據中心
架構元件
使用下列項目實作此案例:
- NSX 進階負載平衡器
- 來源和目的地地址轉譯的 Azure VMware 解決方案 因特網公用IP(SNAT/DNAT)
注意
雖然 NSX 進階負載平衡器 (Avi) 會直接在 NSX 內提供輸入功能,但您也可以在 Azure 中使用 WAF 或應用程式閘道 v2 來提供此功能。
關鍵決策
本文件假設並建議來自內部部署或 AVS 的預設路由公告。 如果您需要來自 Azure 的預設路由,請參閱流量檢查和預設路由公告一節。
考量
- 在 Azure 入口網站 中啟用公用IP至NSX Edge。 這可讓低延遲直接連線 Azure VMware 解決方案,以及調整輸出連線數目的能力。
- 套用 NSX 防火牆的規則建立。
- 使用 NSX 進階負載平衡器,將流量平均分散到工作負載。
- 啟用 防洪保護 (分散式和閘道)。
使用 NSX-T 或 NVA 從 AVS 輸出
| 交通檢查涵蓋範圍 | 建議的解決方案設計 | 考量 | 因特網分組 |
|---|---|---|---|
| - 因特網輸入 - 因特網輸出 - 內部部署數據中心的流量 - 流量至 Azure 虛擬網絡 - Azure VMware 解決方案 內的流量 |
在 Azure VMware 解決方案 中使用 NSX-T 或第三方 NVA 防火牆。 針對 HTTP 使用 NSX-T 進階負載平衡器,或針對非 HTTP 流量使用 NSX-T 防火牆。 來自 Azure VMware 解決方案、SNAT 和 DNAT 之因特網突破的公用 IP。 |
選擇此選項,將路由從 Azure VMware 解決方案 私人雲端 啟用公用IP公告 0.0.0.0/0至 Azure 入口網站中的 NSX Edge。 此選項允許對 Azure 的低延遲連線,以及調整輸出連線數目的能力。 |
Azure VMware 解決方案 |
從內部部署 Azure VMware 解決方案 到 0.0.0.0/0 廣告的輸出
| 交通檢查涵蓋範圍 | 建議的解決方案設計 | 考量 | 因特網分組 |
|---|---|---|---|
| - 因特網輸入 - 因特網輸出 - 至內部部署數據中心 |
使用內部部署 虛擬設備針對 HTTP/S 流量,請在 Azure 中使用 NSX 進階負載平衡器或 應用程式閘道。 針對非 HTTP/S 流量,請使用 NSX 分散式防火牆。 在 Azure VMware 解決方案 中啟用公用IP。 |
選擇此選項可公告 0.0.0.0/0 來自內部部署資料中心的路由。 |
內部部署 |
重要
某些傳統 VMware 裝置會使用服務插入,將設備放在第 0 層路由器上。 第 0 層路由器是由 Microsoft 布建及管理,且不會由終端用戶取用。 所有網路設備和負載平衡器都必須放在第 1 層。 下一節討論 AVS 中合作物件裝置的預設路由傳播。
AVS 中的第三方 NVA 整合
可以仔細考慮與第三方設備整合。 在此設計中,第三方 NVA(s) 位於一或多個 T-1 邊緣路由器後面。
用戶有責任攜帶授權,並實作裝置原生的任何高可用性功能。
請注意選擇此實作時的限制。 例如,虛擬機上最多有八張虛擬網路適配器 (NIC) 的限制。 如需如何在 AVS 中放置 NVA 的詳細資訊,請參閱: NSX-T 防火牆模式
注意
使用第三方 NVA 時,Microsoft 不支援使用行動優化網路功能。
登陸區域考慮
本節參考將 AVS 與您的 Azure 登陸區域整合的最佳做法。
Azure 路由伺服器
Azure 路由伺服器 (ARS) 可用來從 AVS 動態傳播學習的路由,並提供分支對分支連線至 VPN 閘道。 與 ARS 所在的 VNET 對等互連的 VNET 也會動態學習路由,這表示可以學習從 AVS 到 Azure 中樞和輪輻環境的路由。 Azure 路由伺服器的使用案例包括:
動態路由傳播:
- 透過 BGP 瞭解從 AVS 到本機 VNET 的特定路由(邊界閘道通訊協定)。 然後,對等互連的 VNET 也可以瞭解路由。
- 第三方 NVA 整合
- 將 ARS 與 NVA 對等互連,因此您不需要每個 AVS 區段的 UDR 來篩選流量。
- 從對等互連 VNET 傳回流量需要 UDR(使用者定義的路由)回到防火牆的本機介面
- 從 Expressroute 到 VPN 閘道 的傳輸機制
- VPN 閘道 類型必須是站對站類型,並在 Active-Active 中設定
若要使用 Azure Route Server,您必須:
啟用分支至分支
使用 1000 個路由的路由摘要 > ,或使用
NO_ADVERTISE BGP communitiesAzure 路由伺服器常見問題中的 旗標參考 (常見問題)使用特定、非 Azure ASN 的對等 NVA。 例如,由於 ARS 使用 65515,VNET 中沒有其他設備可以使用該 ASN(自發系統號碼)。
不支援 IPV6
與 Azure NetApp Files 整合
Azure NetApp Files (ANF) 會透過 NFS 通訊協定為您提供網路連接資料存放區。 ANF 位於 Azure VNET 中,並連線到 AVS 中的工作負載。 藉由使用 Azure NetApp Files 支援的 NFS 資料存放區,您可以擴充儲存體,而不是調整叢集。
- 使用標準網路功能建立 Azure NetApp Files 磁碟區,以透過 ExpressRoute FastPath 從 AVS 私人雲端啟用優化的連線能力
- 在委派的子網中部署ANF
- 中樞和輪輻部署支援最多 10 Gbps 的 ER GW SKU
- 需要 Ultra 和 ErGw3AZ SKU 才能略過閘道埠速度限制
- 讀取流量輸入和寫入流量是透過 Expressroute 的輸出。 透過 Expressroute 線路的輸出流量會略過閘道,並直接移至邊緣路由器
- 輸入/輸出費用會從 AVS 隱藏,但如果數據跨越對等互連的 VNET,則會收取輸出費用。
- 目前僅支援 NFS v3。
如果您看到非預期的延遲,請確定您的 AVS 私人雲端和 ANF 部署已釘選到相同的 AZ(Azure 可用性區域)。 如需高可用性,請在個別的 AZ 中建立 ANF 磁碟區並啟用 Cross Zone Replication
重要
Microsoft 不支援安全 Azure VWAN 中樞的Fastpath,其中最大埠速度為20 Gbps。 如果需要較大的輸送量,請考慮使用中樞和輪輻 VNET。 在這裏瞭解如何將 Azure Netapp Files 數據存放區附加至 Azure VMware 解決方案 主機
來自內部部署的 VPN 連線能力
雖然建議使用 Expressroute 線路,但您也可以使用 Azure 中的傳輸中樞 VNET,從內部部署使用 IPSEC 連線到 AVS。 此案例需要 VPN 閘道和 Azure 路由伺服器。 如先前所述,Azure 路由伺服器可讓 VPN 閘道與 AVS Expressroute 閘道之間的可轉移性。
交通檢查
如先前所見,預設路由公告是從 AVS 進行,而公用 IP 會向下移至 NSX Edge 選項,但也可以繼續從內部部署公告預設路由。 從內部部署到 AVS 的端對端流量篩選,可能會有位於其中一個端點的防火牆。
在中樞 VNET 或使用 Azure vWAN 時,可以使用來自 Azure 的預設路由公告搭配第三方 NVA。 在中樞和輪輻部署中,Azure 防火牆 是不可能的,因為它不會說話 BGP,但使用第三方 BGP 的裝置將會運作。 此案例適用於檢查來自的流量
- 內部部署至 Azure
- Azure 至因特網
- AVS 到因特網
- AVS 至 Azure
中樞 VNet 中的第三方 NVA 會檢查 AVS 與因特網之間的流量,以及 AVS 與 Azure VNet 之間的流量
| 交通檢查需求 | 建議的解決方案設計 | 考量 | 因特網分組 |
|---|---|---|---|
| - 因特網輸入 - 因特網輸出 - 內部部署數據中心 - 至 Azure 虛擬網絡 |
在中樞虛擬網路中搭配 Azure 路由伺服器使用第三方防火牆解決方案。 針對 HTTP/S 流量,請使用 Azure 應用程式閘道。 針對非 HTTP/S 流量,請在 Azure 上使用第三方防火牆 NVA。 使用內部部署第三方防火牆 NVA。 使用 Azure Route Server 在中樞虛擬網路中部署第三方防火牆解決方案。 |
選擇此選項可公告0.0.0.0/0從 Azure 中樞虛擬網路中的 NVA 到 Azure VMware 解決方案 的路由。 |
Azure |
其他資訊
- 使用 Bastion + Jumpbox VM 存取 vCenter - 如果從內部部署存取 vCenter,請務必有從內部部署網路到 /22 AVS 管理網路的路由。 輸入 來驗證 CLI 中的路由
Test-NetConnection x.x.x.2 -port 443 - DNS 考慮 - 如果使用私人端點,請遵循此處詳述的指引:Azure 私人端點 DNS 設定 |Microsoft Learn
下一步
- 如需如何從內部部署 VPN 傳輸至 Azure VMware 解決方案 的詳細資訊,請參閱下列 VPN 到 ExR 傳輸方式一文:
- 如需中樞和輪輻網路中 Azure VMware 解決方案 的詳細資訊,請參閱在中樞和輪輻架構中整合 Azure VMware 解決方案。
- 如需 VMware NSX-T 資料中心網路區段的詳細資訊,請參閱使用 Azure VMware 解決方案 設定 NSX-T 資料中心網路元件。
- 如需 Azure 路由器伺服器的詳細資訊,請參閱產品概觀 什麼是 Azure 路由伺服器?
接下來,觀察建立與 Azure VMware 解決方案 連線的其他設計模式
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應