Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует три основных шаблона для создания исходящего доступа к Интернету из решения Azure VMware и включения входящего доступа к интернету к ресурсам в частном облаке решения Azure VMware.
- Служба Интернета, размещенная в Azure
- Управляемый SNAT в решении Azure VMware
- Общедоступный IPv4-адрес Azure для NSX Data Center Edge
Требования к элементам управления безопасностью, видимости, емкости и операций позволяют выбрать подходящий метод доставки доступа к Интернету в частное облако решения Azure VMware.
Служба Интернета, размещенная в Azure
Существует несколько способов создания маршрута по умолчанию в Azure и отправки его в частное облако или локальное решение Azure VMware. Существуют следующие варианты выбора.
- Брандмауэр Azure в виртуальном концентраторе глобальной сети.
- Стороннее сетевое виртуальное устройство в периферийной виртуальной сети концентратора глобальной сети.
- Стороннее сетевое виртуальное устройство в собственной виртуальной сети Azure с помощью сервера маршрутизации Azure.
- Маршрут по умолчанию из локальной среды, передаваемый в решение Azure VMware через Global Reach.
Используйте любой из этих шаблонов для предоставления исходящей службы SNAT с возможностью управления допустимыми источниками, просмотра журналов подключений и для некоторых служб, дальнейших проверок трафика.
Эта же служба также может использовать общедоступный IP-адрес Azure и создавать входящий DNAT из Интернета в направлении целевых объектов в решении Azure VMware.
Кроме того, можно построить среду, которая использует несколько путей для трафика в Интернете. Один для исходящего SNAT (например, стороннего устройства безопасности NVA), а другой — для входящего DNAT (например, стороннего устройства балансировки нагрузки NVA, использующего пулы SNAT для возврата трафика).
Управляемое SNAT решения Azure VMware
Управляемая служба SNAT предоставляет простой метод для исходящего доступа к Интернету из частного облака решения Azure VMware. К функциям этой службы относятся следующие функции.
- С легкостью включите переключатель на вкладке "Подключение к Интернету" и все сети рабочей нагрузки имеют немедленный исходящий доступ к Интернету через шлюз SNAT.
- Нет контроля над правилами SNAT, разрешены все источники, которые достигают службы SNAT.
- Нет видимости журналов подключений.
- Два общедоступных IP-адреса используются и поворачиваются для поддержки до 128k одновременных исходящих подключений.
- Возможность DNAT для входящего трафика недоступна с помощью управляемого SNAT решения Azure VMware.
Общедоступный IPv4-адрес Azure для NSX Edge
Этот параметр приводит выделенный общедоступный IPv4-адрес Azure непосредственно к NSX Edge для потребления. Он позволяет частному облаку решения Azure VMware напрямую использовать и применять общедоступные сетевые адреса в NSX по мере необходимости. Эти адреса используются для следующих типов подключений:
- Исходящий SNAT
- Входящий DNAT
- Балансировка нагрузки с помощью VMware NSX Advanced Load Balancer и других сторонних сетевых виртуальных устройств
- Приложения, непосредственно подключенные к интерфейсу виртуальной машины рабочей нагрузки.
Этот параметр также позволяет настроить общедоступный адрес на стороннем сетевом виртуальном устройстве для создания dmZ в частном облаке решения Azure VMware.
Доступны следующие функции:
- Масштабирование — вы можете запросить, чтобы увеличить мягкое ограничение в 64 публичных IPv4-адресов Azure до 1000 публичных IP-адресов Azure, выделенных, если это требуется приложению.
- Гибкость— общедоступный IPv4-адрес Azure можно применять в любой точке экосистемы NSX. Его можно использовать для предоставления SNAT или DNAT на балансировщиках нагрузки, таких как NSX Advanced Load Balancer от VMware или сторонних сетевых виртуальных устройствах. Его также можно использовать на сторонних сетевых виртуальных устройствах безопасности в сегментах VMware или непосредственно на виртуальных машинах.
- Региональность — публичный IPv4-адрес Azure для NSX Edge является уникальным для локального SDDC. Для нескольких частных облаков в распределенных регионах с локальным выходом из Интернета проще направлять трафик локально, а не пытаться управлять распространением маршрутов по умолчанию для службы безопасности или SNAT, размещенной в Azure. Если у вас есть два или более частных облаков Решения Azure VMware, подключенных к общедоступному IP-адресу, они могут иметь локальный выход.
Рекомендации по выбору параметра
Выбор параметра зависит от следующих факторов:
- Чтобы добавить частное облако Azure VMware в точку проверки безопасности, подготовленную в собственном окружении Azure, которая проверяет весь интернет-трафик из конечных точек в собственном окружении Azure, используйте собственную конструкцию Azure и объявите маршрут по умолчанию из Azure в ваше частное облако решения Azure VMware Solution.
- Если необходимо запустить стороннее сетевое виртуальное устройство, чтобы соответствовать существующим стандартам проверки безопасности или оптимизации операционных расходов, у вас есть два варианта. Вы можете запустить общедоступный IPv4-адрес Azure в нативной среде Azure с помощью метода маршрута по умолчанию или использовать его в Azure VMware Solution для передачи на NSX Edge.
- Существуют ограничения масштабирования на количество общедоступных IPv4-адресов Azure, которые могут быть выделены виртуальному сетевому устройству, работающему в собственной среде Azure или подготовленному в брандмауэре Azure. Общедоступный IPv4-адрес Azure для NSX Edge позволяет использовать более высокие выделения (1000 s по сравнению с 100 с).
- Используйте общедоступный IPv4-адрес Azure для NSX Edge для локализованного выхода в Интернет из каждого частного облака в своем локальном регионе. Использование нескольких частных облаков решения Azure VMware в нескольких регионах Azure, которые должны взаимодействовать друг с другом и Интернетом, может быть сложно сопоставить частное облако решения Azure VMware со службой безопасности в Azure. Сложность связана с тем, как работает маршрут по умолчанию из Azure.
Это важно
По замыслу, общедоступный IPv4-адрес с NSX не позволяет обмениваться общедоступными IP-адресами, принадлежащими Azure/Майкрософт, через подключения частного пиринга ExpressRoute. Это означает, что вы не можете объявлять общедоступные IPv4-адреса для виртуальной сети клиента или локальной сети через ExpressRoute. Все общедоступные IPv4-адреса с трафиком NSX должны принимать путь к Интернету, даже если частное облако решения Azure VMware подключено через ExpressRoute. Дополнительные сведения см. в разделе пиринга каналов ExpressRoute.
Дальнейшие шаги
Включение управляемых SNAT для рабочих нагрузок решения Azure VMware
Включение общедоступного IP-адреса для NSX Edge для решения Azure VMware
Отключение доступа к Интернету или включение маршрута по умолчанию