Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Знакомство
В этом шаблоне проектирования трафик имеет выделенный путь через магистраль Майкрософт из локального центра обработки данных в частное облако Решение Azure VMware (AVS). Это подключение происходит через Expressroute Global Reach, механизм, который предоставляет прямой путь между управляемым клиентом, который затем может подключиться к каналам ExpressRoute, выделенным AVS. Частное облако также имеет отдельный изолированный выход от NSX Edge к интернету, чтобы этот трафик не пересекал ExpressRoute.
Важный
Если вы находитесь в регионе, где global Reach не поддерживается, транзит из локальной среды в частное облако AVS возможен путем развертывания шлюза ExpressRoute в Azure. Чтобы обеспечить сквозную транзитивность, требуется виртуальное устройство в Hub виртуальная сеть (VNET). Смотрите раздел инспекций трафика, & объявления маршрутов по умолчанию,.
Профиль клиента
Эта архитектура идеально подходит для следующих вариантов:
- Низкая задержка и выход к сети Интернет напрямую из Решение Azure VMware SDDC (программно-определенных центров обработки данных).
- Прямой трафик из локальной среды непосредственно в Azure через Expressroute или VPN.
- Входящие службы L4/L7 для рабочих нагрузок в SDDC, например HTTPS
Трафик, который проходит через маршрутизаторы NSX AVS, учтённые в этом проекте, включает:
- Решение Azure VMware для родных виртуальных сетей Azure
- Решение Azure VMware для подключения к интернету
- Решение Azure VMware для подключения к локальным центрам обработки данных
Архитектурные компоненты
Реализуйте этот сценарий с помощью следующих вариантов:
- Подсистема балансировки нагрузки NSX Advanced Load Balancer
- Общедоступный IP-адрес для выхода в Интернет из Решение Azure VMware для преобразования исходных и целевых адресов (SNAT/DNAT)
Заметка
Хотя NSX Advanced Load Balancer (Avi) предоставляет входящие возможности непосредственно в NSX, эту функциональность также можно реализовать с помощью WAF или Application Gateway v2 в Azure.
Ключевое решение
В этом документе предполагается и рекомендуется объявление маршрута по умолчанию из локальной среды или AVS. Если вам нужен маршрут по умолчанию, который исходит из Azure, см. раздел Проверка трафика и объявление маршрутов по умолчанию.
Соображения
- Включите общедоступный IP-адрес до NSX Edge на портале Azure. Это позволяет выполнять прямые подключения с низкой задержкой для Решение Azure VMware, а также возможность масштабировать количество исходящих подключений.
- Примените создание правил в брандмауэре NSX.
- Используйте подсистему балансировки нагрузки NSX Advanced для равномерного распределения трафика между рабочими нагрузками.
- Включите распределенную и шлюзную защиту от наводнений.
Выгрузка из AVS с помощью NSX-T или NVA
| Охват проверки трафика | Рекомендуемый дизайн решения | Соображения | Интернет-прорыв |
|---|---|---|---|
| - Входящий интернет-трафик — исходящий интернет-трафик — трафик в локальный центр обработки данных — трафик к Azure Virtual Network — трафик в Решение Azure VMware |
Используйте NSX-T или сторонний брандмауэр NVA в Решение Azure VMware.
Используйте NSX-T Advanced Load Balancer для HTTPS и брандмауэр NSX-T для трафика, не относящегося к HTTP/S. общедоступный IP-адрес для выхода в Интернет из Решение Azure VMware, SNAT и DNAT. |
Выберите этот параметр, чтобы объявить маршрут 0.0.0.0/0 из частного облака Решение Azure VMware.
Активируйте общедоступный IP-адрес до NSX Edge в портале Azure. Этот параметр позволяет подключаться к Azure с низкой задержкой и масштабировать количество исходящих подключений. |
Решение Azure VMware |
Выход трафика из Решение Azure VMware через объявление 0.0.0.0/0 из локальной инфраструктуры
| Охват проверки трафика | Рекомендуемый дизайн решения | Соображения | Интернет-прорыв |
|---|---|---|---|
| - Входящий интернет-трафик — исходящий интернет-трафик — в локальный центр обработки данных |
Используйте локальное устройство для трафика HTTP/S, используйте NSX Advanced Load Balancer или Шлюз приложений в Azure. Для трафика, отличного от HTTP/S, используйте распределенный брандмауэр NSX. Включить общедоступный IP-адрес в Решение Azure VMware. |
Выберите этот параметр, чтобы объявить маршрут 0.0.0.0/0 из локальных центров обработки данных. |
На площадке |
Важный
Некоторые традиционные устройства VMware используют вставку служб для размещения устройств на маршрутизаторе уровня 0. Маршрутизаторы уровня 0 подготавливаются и управляются Майкрософт и не используются конечными пользователями. Все сетевые устройства и подсистемы балансировки нагрузки должны размещаться на уровне 1. В следующем разделе рассматривается распространение маршрутов по умолчанию с стороннего устройства в AVS.
Интеграция сторонних NVA в AVS
Интеграция с сторонними устройствами возможна с осторожностью. В этом дизайне сторонние NVA находятся за одним или несколькими пограничными маршрутизаторами T-1.
Это ответственность пользователей за получение лицензии и реализацию любых возможностей высокого уровня доступности, собственных для устройства.
Помните об ограничениях при выборе этой реализации. Например, на виртуальной машине существует ограничение до восьми карт виртуальной сети. Дополнительные сведения о том, как размещать NVA в AVS, см. в шаблонах брандмауэра NSX-T.
Заметка
Майкрософт не поддерживает использование сетей, оптимизированных для мобильности, при использовании сторонних сетевых виртуальных устройств (NVAs).
Соображения по зоне посадки
В этом разделе приведены рекомендации по интеграции AVS с целевой зоной Azure.
Azure Route Server
Azure Route Server (ARS) используется для динамического распространения извлеченных маршрутов из AVS и предоставления подключения "Филиал — ветвь" к VPN-шлюзам. Виртуальные сети, объединенные с виртуальной сетью, где находится ARS, также динамически изучают маршруты, что позволяет изучать маршруты из AVS в центры и периферийные окружения в Azure. Варианты использования Azure Route Server включают:
Динамическое распространение маршрутов:
- Ознакомьтесь с конкретными маршрутами от AVS к локальным виртуальным сетям через BGP (протокол пограничного шлюза). Виртуальные сети, объединённые одноранговыми связями, также могут изучить маршруты.
- Интеграция сторонних NVA
- Одноранжировать ARS с NVAs, чтобы для фильтрации трафика на каждом сегменте AVS не требовалось UDR.
- Для возврата трафика из пиринговых виртуальных сетей требуется использовать определяемые пользователем маршруты (UDR) для возврата к локальному интерфейсу брандмауэра.
- Механизм транзита из ExpressRoute в VPN-шлюзы
- VPN-шлюз должен быть типа "Site-to-Site" и настроен в режиме Active-Active.
Чтобы использовать Azure Route Server, необходимо:
Активировать связь между ветвями
Используйте сводку для
1000 маршрутов или используйте флаг , на который ссылается в разделе часто задаваемых вопросов (FAQ) по Azure Route Server .Настройка однорангового подключения для NVA с определенными ASN, не связанными с Azure. Например, так как ARS использует 65515, ни один другой модуль в виртуальной сети не может использовать это ASN (номер автономной системы).
Поддержка IPv6 не поддерживается
Интеграция с Azure NetApp Files
Azure NetApp Files (ANF) предоставляет хранилище данных, подключенное к сети, через протокол NFS. ANF находится в виртуальной сети Azure и подключается к рабочим нагрузкам в AVS. Используя хранилища данных NFS, поддерживаемые Azure NetApp Files, вы можете расширить хранилище вместо масштабирования кластеров.
- Создавайте тома Azure NetApp Files, используя стандартные сетевые функции, чтобы обеспечить оптимизированное подключение из частного облака AVS через ExpressRoute FastPath.
- Развертывание ANF в делегированной подсети
- Развертывание сети "Спица-концентратор" & поддерживает SKU ER GW с пропускной способностью до 10 Гбит/с.
- SKU "Ultra" & ErGw3AZ требуется для обхода ограничений на скорость порта шлюза.
- Трафик чтения — трафик входящего трафика, а трафик записи — исходящий трафик через ExpressRoute. Исходящий трафик через каналы ExpressRoute проходит шлюз и переходит непосредственно к пограничному маршрутизатору.
- Плата за входящий и исходящий трафик не взимается в AVS, однако, если данные переходят через одноранговые виртуальные сети (VNETs), взимается плата за исходящий трафик.
- Используйте выделенный шлюз ExpressRoute для Azure NetApp Files, не используйте общий или централизованный шлюз ExpressRoute.
- Не помещайте брандмауэр или NVA в путь к данным между Azure NetApp Files и Решение Azure VMware.
- Сейчас поддерживается только NFS версии 3.
Если вы видите непредвиденную задержку, убедитесь, что частное облако AVS и развертывание ANF закреплены в той же AZ (зоне доступности Azure). Для обеспечения высокой доступности создайте тома ANF в отдельных зонах доступности (AZ) и включите Cross Zone Replication
Важный
Майкрософт не поддерживает Fastpath для защищенного Azure концентратора VWAN, где максимальная скорость порта может превышать 20 Гбит/с. Если требуется большая пропускная способность, рассмотрите возможность использования концентратора & в периферийной виртуальной сети. Узнайте, как подключить хранилища данных Azure NetApp Files к узлам Решение Azure VMware here
VPN-подключение из локальной среды
Хотя рекомендуется использовать канал Expressroute, подключение к AVS из локальной среды с помощью IPsec с помощью виртуальной сети транзитного концентратора в Azure также возможно. Для этого сценария требуется VPN-шлюз и Azure Route Server. Как упоминалось ранее, Azure Route Server обеспечивает транзитивность между VPN-шлюзом и шлюзом AVS Expressroute.
Проверка трафика
Как было показано ранее, объявление маршрута по умолчанию происходит с AVS с общедоступным IP-адресом до опции NSX Edge, но также можно продолжать объявление маршрута по умолчанию из локальной сети. Сквозная фильтрация трафика из локальной среды в AVS возможна с помощью брандмауэра, размещенного на любой из этих конечных точек.
Объявление маршрута по умолчанию из Azure возможно с помощью стороннего NVA в хабовой виртуальной сети или при использовании Azure vWAN. В развертывании по схеме "Концентратор и спица" использование Брандмауэр Azure невозможно, так как он не поддерживает BGP, однако вы можете использовать стороннее устройство, поддерживающее BGP. Этот сценарий работает для проверки трафика из:
- Переход с локального развертывания в Azure
- Azure в интернет
- AVS в интернет
- AVS в Azure
Сторонний NVA в узловой виртуальной сети проверяет трафик между AVS и Интернетом, а также между AVS и виртуальными сетями Azure.
| Требования к проверке трафика | Рекомендуемый дизайн решения | Соображения | Интернет-прорыв |
|---|---|---|---|
| - Входящий интернет-трафик — выход в Интернет — в локальный центр обработки данных — в Azure Virtual Network |
Используйте сторонние решения брандмауэра в концентраторе виртуальной сети с Azure Route Server.
Для трафика HTTP/S используйте Шлюз приложений Azure. Для трафика, отличного от HTTP/S, используйте сторонний брандмауэр NVA на Azure. Использовать локальный брандмауэр стороннего производителя NVA. Развертывать сторонние решения брандмауэра в центральной виртуальной сети с Azure Route Server. |
Выберите этот параметр, чтобы объявить маршрут 0.0.0.0/0 из NVA в виртуальной сети концентратора Azure в решение Azure VMware. |
Azure |
Дополнительные сведения
- Доступ к vCenter с помощью виртуальной машины Бастиона + Jumpbox. При доступе к vCenter из локальной сети убедитесь, что у вас есть маршрут из локальных сетей в сеть управления /22 AVS. Убедитесь в маршруте в CLI, введя
Test-NetConnection x.x.x.2 -port 443. - Аспекты DNS. При использовании частных конечных точек следуйте инструкциям, описанным здесь: конфигурация DNS для частных конечных точек Azure | Майкрософт Learn
Дальнейшие действия
- Дополнительные сведения о переходе из локального VPN в Решение Azure VMware см. в следующей статье VPN в ExR: руководство по переходу:
- Дополнительные сведения о Решение Azure VMware в центральных и периферийных сетях см. в разделе Integrate Решение Azure VMware в центральной и периферийной архитектуре.
- Дополнительные сведения о сетевых сегментах центра обработки данных VMware NSX-T см. в разделе Настройка сетевых компонентов Центра Обработки Данных NSX-T в Решение Azure VMware.
- Дополнительные сведения о Azure Route Server см. в обзоре Что такое Azure Route Server?
Затем обратите внимание на другие шаблоны проектирования для установления подключения к Решение Azure VMware