以本机方式管理来自Azure VMware 解决方案的流量 |
您所在的位置:网站首页 › 网站访问速度优化方案 › 以本机方式管理来自Azure VMware 解决方案的流量 |
|
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。 从Azure VMware 解决方案连接启用 项目 06/10/2023 简介在此设计模式中,流量在 Microsoft 主干上具有专用路径,从本地数据中心到 Azure VMware 解决方案 (AVS) 私有云。 此连接通过 Expressroute Global Reach 进行,这是一种机制,可在管理的客户之间提供直接路径,然后可以连接到 AVS 专用 Expressroute 线路。 私有云还具有从 NSX Edge 到 Internet 的单独隔离突破,以便此流量不会通过 Expressroute 遍历。 重要 如果目前所在的区域不支持 Global Reach,可以通过在 Azure 中部署 Expressroute 网关,从本地传输到 AVS 私有云。 若要提供端到端的可传递性,需要中心虚拟网络 (VNET) 中的虚拟设备。 请参阅 流量检查 & 默认路由播发部分。 客户配置文件此体系结构非常适合用于: 从Azure VMware 解决方案 SDDC 本机 (软件定义的数据中心) Internet 的低潜在流出量。 通过 Expressroute 或 VPN 将流量从本地直接定向到 Azure。 SDDC 中工作负载的入站 L4/L7 服务,例如 HTTPS此设计涵盖的流经 AVS NSX 路由器的流量包括: Azure VMware 解决方案到 Azure 本机虚拟网络 Azure VMware 解决方案 Internet Azure VMware 解决方案到本地数据中心 体系结构组件通过以下方式实现此方案: NSX 分布式防火墙 (DFW) – IDS/IPS 版本 3.2.2 或更高版本 NSX 高级负载均衡器 源地址转换和目标地址转换Azure VMware 解决方案 Internet 的公共 IP (SNAT/DNAT)注意 虽然 NSX 高级负载均衡器 (Avi) 直接在 NSX 中提供入站功能,但 Azure 中的 WAF 或应用网关 v2 也可使用此功能。 关键决策本文档假定并建议本地或 AVS 的默认路由播发。 如果需要源自 Azure 的默认路由,请参阅 流量检查 & 默认路由播发部分。 注意事项 在 Azure 门户 中启用到 NSX Edge 的公共 IP。 这样,就可以以低延迟直接连接到Azure VMware 解决方案,并能够缩放出站连接数。 应用 NSX 防火墙的规则创建、URL 筛选和 TLS 检查服务。 使用 NSX 高级负载均衡器将流量均匀分配到工作负载。 启用 DDoS 保护。 使用 NSX-T 或 NVA 从 AVS 传出量 交通检查覆盖范围 建议的解决方案设计 注意事项 Internet 分组讨论 - Internet 入口 - Internet 出口 - 流向和本地数据中心的流量 - 到 Azure 虚拟网络 的流量 - Azure VMware 解决方案内的流量 在 Azure VMware 解决方案中使用 NSX-T 或第三方 NVA 防火墙。 将 NSX-T Advanced 负载均衡器 用于 HTTPs,或将 NSX-T 防火墙用于非 HTTPs 流量。 用于从 Azure VMware 解决方案、SNAT 和 DNAT 突破 Internet 的公共 IP。 选择此选项可将路由从 Azure VMware 解决方案 私有云启用公共 IP 播发0.0.0.0/0到 Azure 门户 中的 NSX Edge。 此选项允许与 Azure 建立低延迟连接,并能够缩放出站连接数。 Azure VMware 解决方案 从本地Azure VMware 解决方案传出到 0.0.0.0/0 播发 交通检查覆盖范围 建议的解决方案设计 注意事项 Internet 分组讨论 - Internet 入口 - Internet 出口 - 到本地数据中心 使用本地虚拟设备 对于 HTTP/S 流量,请使用 NSX 高级负载均衡器或在 Azure 中应用程序网关。 对于非 HTTP/S 流量,请使用 NSX 分布式防火墙。在 Azure VMware 解决方案 中启用公共 IP。 选择此选项可播发来自本地数据中心的 0.0.0.0/0 路由。 本地重要 一些传统的 VMware 设备使用服务插入将设备放置在第 0 层路由器上。 第 0 层路由器由 Microsoft 预配和管理,最终用户不可使用。 所有网络设备和负载均衡器都必须放置在第 1 层。 下一部分讨论 AVS 中来自参与方设备的默认路由传播。 AVS 中的第三方 NVA 集成可以与第三方设备集成,但需仔细考虑。 在此设计中,第三方 NVA () 位于一个或多个 T-1 边缘路由器后面。 用户负责提供许可证并实现设备原生的任何高可用性功能。 选择此实现时,请注意限制。 例如,虚拟机上最多) 8 个虚拟网络接口卡 (NIC。 有关如何在 AVS 中放置 NVA 的详细信息,请参阅: NSX-T 防火墙模式 注意 使用第三方 NVA 时,Microsoft 不支持使用移动性优化网络。 登陆区域注意事项本部分介绍将 AVS 与 Azure 登陆区域集成的最佳做法。 Azure 路由服务器Azure 路由服务器 (ARS) 用于从 AVS 动态传播已获知的路由,并提供到 VPN 网关的分支到分支连接。 与 ARS 所在的 VNET 对等互连的 VNET 也会动态学习路由,这意味着可以在 Azure 中了解从 AVS 到中心和分支环境的路由。 Azure 路由服务器的用例包括: 动态路由传播 了解通过 BGP (边界网关协议) 从 AVS 到本地 VNET 的特定路由。 然后,对等互连的 VNET 也可以了解路由。 第三方 NVA 集成 将 ARS 与 NVA 对等互连,这样就不需要每个 AVS 段的 UDR 来筛选流量。 从对等 VNET 返回流量需要 UDR (用户定义的路由) 返回到防火墙传输机制的本地接口(从 Expressroute 到 VPN 网关) VPN 网关必须为“站点到站点”类型,并在 Active-Active 中配置若要使用 Azure 路由服务器,必须: 启用分支到分支 对 1000 个 > 路由使用路由摘要,或使用 NO_ADVERTISE BGP communitiesAzure 路由服务器常见问题解答中引用的标志 (常见问题解答) 将 NVA 与特定的非 Azure ASN 对等互连。 例如,由于 ARS 使用 65515,VNET 中的其他设备都不能使用该 ASN (自治系统编号) 。 不支持 IPV6 与 Azure NetApp 文件 集成Azure NetApp 文件 (ANF) 通过 NFS 协议提供网络连接数据存储。 ANF 位于 Azure VNET 中,并连接到 AVS 中的工作负载。 通过使用由 Azure NetApp 文件支持的 NFS 数据存储,可以扩展存储而不是缩放群集。 使用标准网络功能创建Azure NetApp 文件卷,通过 ExpressRoute FastPath 从 AVS 私有云实现优化的连接 在委派子网中部署 ANF 中心 & 辐射型部署支持高达 10 Gbps 的 ER GW SKU 绕过网关端口速度限制需要超级 & ErGw3AZ SKU 读取流量入口和写入流量通过 Expressroute 流出。 通过 Expressroute 线路的出口流量绕过网关,直接转到边缘路由器 从 AVS 中抑制入口/出口费用,但如果数据通过对等互连的 VNET 传输,则会产生出口费用。 目前仅支持 NFS v3。如果看到意外延迟,请确保将 AVS 私有云和 ANF 部署固定到同一 AZ (Azure 可用性区域) 。 为了实现高可用性,请在单独的可用区中创建 ANF 卷并启用 Cross Zone Replication 重要 Microsoft 不支持 Fastpath for Secured Azure VWAN 中心,其中最大端口速度可能为 20 Gbps。 如果需要更大的吞吐量,请考虑使用中心 & 辐射 VNET。 在此处了解如何将 Azure Netapp 文件数据存储附加到Azure VMware 解决方案主机 来自本地的 VPN 连接虽然建议使用 Expressroute 线路,但也可以使用 Azure 中的传输中心 VNET 从本地使用 IPSEC 连接到 AVS。 此方案需要 VPN 网关和 Azure 路由服务器。 如前所述,Azure 路由服务器在 VPN 网关和 AVS Expressroute 网关之间启用可传递性。 交通检查如前所述,默认路由播发发生在具有公共 IP 到 NSX Edge 选项的 AVS 中,但也可以继续从本地播发默认路由。 将防火墙放置在这两个终结点之一,可以实现从本地到 AVS 的端到端流量筛选。 在中心 VNET 中或使用 Azure vWAN 时,第三方 NVA 可以从 Azure 发出默认路由播发。 在中心&辐射型部署中,无法Azure 防火墙,因为它不说 BGP,但使用支持 BGP 的第三方设备将正常工作。 此方案适用于检查来自 的流量 本地到 Azure Azure 到 Internet AVS 到 Internet AVS 到 Azure 中心 VNet 中的第三方 NVA 检查 AVS 与 Internet 之间以及 AVS 与 Azure VNet 之间的流量 流量检查要求 建议的解决方案设计 注意事项 Internet 突破 - Internet 入口 - Internet 出口 - 到本地数据中心 - 到 Azure 虚拟网络 通过 Azure 路由服务器在中心虚拟网络中使用第三方防火墙解决方案。 对于 HTTP/S 流量,请使用 Azure 应用程序网关。 对于非 HTTP/S 流量,请使用 Azure 上的第三方防火墙 NVA。 使用本地第三方防火墙 NVA。 使用 Azure 路由服务器在中心虚拟网络中部署第三方防火墙解决方案。 选择此选项可将 0.0.0.0/0 路由从 Azure 中心虚拟网络中的 NVA 播发到 Azure VMware 解决方案。 Azure 其他信息 使用 Bastion + Jumpbox VM 访问 vCenter - 如果从本地访问 vCenter,请确保具有从本地网络到 /22 AVS 管理网络的路由。 通过键入来验证 CLI 中的路由 Test-NetConnection x.x.x.2 -port 443 DNS 注意事项 - 如果使用专用终结点,请遵循此处详述的指导:Azure 专用终结点 DNS 配置 |Microsoft Learn 后续步骤 有关如何从本地 VPN 传输到Azure VMware 解决方案的详细信息,请参阅以下 VPN 到 ExR 传输方法文章: 若要详细了解中心辐射型网络中的 Azure VMware 解决方案,请参阅在中心辐射型体系结构中集成 Azure VMware 解决方案。 有关 VMware NSX-T 数据中心网段的详细信息,请参阅使用 Azure VMware 解决方案 配置 NSX-T 数据中心网络组件。 有关 Azure 路由器服务器的详细信息,请参阅产品概述 什么是 Azure 路由服务器?接下来,观察用于建立与 Azure VMware 解决方案 的连接的其他设计模式 多区域网络拓扑 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |