Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Es gibt drei primäre Muster, um ausgehenden Internetzugriff von Azure VMware Solution und eingehenden Internetzugriff auf Ressourcen in Ihrer privaten Azure VMware Solution-Cloud zu ermöglichen.
- In Azure gehosteter Internetdienst
- Azure VMware Solution Managed SNAT
- Öffentliche Azure IPv4-Adresse für das NSX Data Center-Edge
Ihre Anforderungen an Sicherheitskontrollen, Sichtbarkeit, Kapazität und Vorgänge fördern die Auswahl der geeigneten Methode für die Bereitstellung des Internetzugriffs auf die private Azure VMware Solution-Cloud.
In Azure gehosteter Internetdienst
Es gibt mehrere Möglichkeiten, eine Standardroute in Azure zu generieren und sie an Ihre private Azure VMware Solution-Cloud oder lokal zu senden. Die Optionen sind wie folgt:
- Eine Azure-Firewall in einem Virtual WAN-Hub
- Eine virtuelle Netzwerkappliance eines Drittanbieters in einem virtuellen Hub-Spoke-Netzwerk von Virtual WAN
- Eine virtuelle Netzwerkappliance eines Drittanbieters in einem nativen virtuellen Azure-Netzwerk mit Azure Route Server
- Eine Standardroute aus der lokalen Umgebung, die über Global Reach an Azure VMware Solution übertragen wird
Verwenden Sie eines dieser Muster, um einen ausgehenden SNAT-Dienst bereitzustellen, um zu steuern, welche Quellen zulässig sind, um die Verbindungsprotokolle anzuzeigen und für einige Dienste weitere Datenverkehrsüberprüfungen durchzuführen.
Der gleiche Dienst kann auch eine öffentliche Azure-IP-Adresse nutzen und eine eingehende DNAT aus dem Internet für Ziele in Azure VMware Solution erstellen.
Eine Umgebung kann auch erstellt werden, die mehrere Pfade für Internetdatenverkehr nutzt. Einen für ausgehende SNAT (z. B. eine Sicherheits-NVA von einem Drittanbieter) und einen weiteren für eingehende DNAT (z. B. eine Lastenausgleichs-NVA eines Drittanbieters mit SNAT-Pools für Antwortdatenverkehr).
Von Azure VMware Solution verwaltete SNAT
Ein Dienst für verwaltete SNAT bietet eine einfache Methode für ausgehenden Internetzugriff aus einer privaten Azure VMware Solution-Cloud. Zu den Features dieses Diensts gehören die folgenden.
- Mühelose Aktivierung: Wenn Sie auf der Registerkarte „Internetkonnektivität“ das Optionsfeld auswählen, haben alle Workloadnetzwerke umgehend ausgehenden Internetzugriff über ein SNAT-Gateway.
- Keine Kontrolle über SNAT-Regeln: Alle Quellen, die den SNAT-Dienst erreichen, sind zulässig.
- Kein Einblick in Verbindungsprotokolle.
- Zwei öffentliche IP-Adressen werden verwendet und rotiert, um bis zu 128.000 gleichzeitige ausgehende Verbindungen zu unterstützen.
- Bei der verwalteten SNAT von Azure-VMware-Lösung steht keine Funktion für eingehendes DNAT zur Verfügung.
Öffentliche Azure IPv4-Adresse für NSX Edge
Bei dieser Option wird eine zugeordnete öffentliche Azure IPv4-Adresse direkt für die Nutzung durch NSX Edge bereitgestellt. Dadurch kann die private Azure VMware Solution-Cloud öffentliche Netzwerkadressen in NSX direkt nach Bedarf nutzen und anwenden. Diese Adressen werden für die folgenden Arten von Verbindungen verwendet:
- SNAT für ausgehenden Datenverkehr
- Eingehendes DNAT
- Lastenausgleich mit VMware NSX Advanced Load Balancer und anderen virtuellen Netzwerkappliances von Drittanbietern
- Anwendungen, die direkt mit einer Workload-VM-Schnittstelle verbunden sind
Mit dieser Option können Sie auch die öffentliche Adresse in einer virtuellen Netzwerk-Appliance eines Drittanbieters konfigurieren, um eine DMZ in der privaten Azure VMware Solution-Cloud zu erstellen.
Zu den Funktionen gehören:
- Skalierung – Sie können beantragen, das weiche Limit von 64 Azure Public IPv4-Adressen auf bis zu 1.000 Azure Public IPs zu erhöhen, wenn eine Anwendung dies erfordert.
- Flexibilität – eine öffentliche Azure IPv4-Adresse kann überall im NSX-Ökosystem angewendet werden. Es kann genutzt werden, um SNAT oder DNAT auf Lastenausgleichsgeräten wie VMwares Advanced Load Balancer oder virtuellen Netzwerkgeräten von Drittanbietern bereitzustellen. Es kann auch auf Network Virtual Security Appliances von Drittanbietern in VMware-Segmenten oder direkt auf VMs verwendet werden.
- Regionalität – die Azure Public IPv4-Adresse zur NSX Edge ist einzigartig für das lokale SDDC. Bei "mehrfach private Clouds in verteilten Regionen" mit lokalem Internetzugang ist es einfacher, den Datenverkehr lokal zu lenken, als zu versuchen, die Standardroutenverbreitung für einen in Azure gehosteten Sicherheits- oder SNAT-Dienst zu steuern. Wenn Sie zwei oder mehr private Azure VMware Solution-Clouds mit einer konfigurierten öffentlichen IP verbunden haben, können beide über einen lokalen Exit verfügen.
Überlegungen zum Auswählen einer Option
Die von Ihnen ausgewählte Option hängt von den folgenden Faktoren ab:
- Verwenden Sie zum Hinzufügen einer privaten Azure VMware-Cloud zu einem in einer nativen Azure-Instanz bereitgestellten Sicherheitsüberprüfungspunkt, der sämtlichen Internetdatenverkehr von nativen Azure-Endpunkten überprüft, ein Azure-natives Konstrukt, und stellen Sie eine Standardroute von Azure zu Ihrer privaten Azure VMware Solution-Cloud bereit.
- Wenn Sie eine virtuelle Netzwerk-Appliance eines Drittanbieters ausführen müssen, um vorhandene Standards für die Sicherheitsüberprüfung oder optimierte Betriebskosten zu erfüllen, haben Sie zwei Optionen. Sie können Ihre öffentliche Azure IPv4-Adresse mit der standardmäßigen Routingmethode nativ in Azure oder in Azure VMware Solution unter Verwendung der öffentlichen Azure IPv4-Adresse zum NSX Edge bereitstellen.
- Es gibt Skalierungsbeschränkungen für die Anzahl der Azure Public IPv4-Adressen, die einer virtuellen Netzwerk-Appliance zugeordnet werden können, die in systemeigenem Azure ausgeführt wird oder auf der Azure-Firewall bereitgestellt wird. Die öffentliche Azure IPv4-Adresse an NSX Edge ermöglicht höhere Zuteilungen (1000 s versus 100 s).
- Verwenden Sie eine öffentliche Azure IPv4-Adresse für den NSX Edge, um einen lokalen Ausgang ins Internet für jede private Cloud in ihrer lokalen Region bereitzustellen. Wenn Sie mehrere private Azure VMware Solution-Clouds in mehreren Azure-Regionen verwenden, die miteinander und das Internet kommunizieren müssen, kann es schwierig sein, eine private Azure VMware Solution-Cloud mit einem Sicherheitsdienst in Azure abzugleichen. Die Schwierigkeit liegt daran, wie eine Standardroute von Azure funktioniert.
Von Bedeutung
Von der Konstruktion her erlaubt die öffentliche IPv4-Adresse mit NSX den Austausch von öffentlichen Azure/Microsoft-IP-Adressen über ExpressRoute Private Peering-Verbindungen nicht. Dies bedeutet, dass Sie die öffentlichen IPv4-Adressen nicht über ExpressRoute für Ihr VNet oder Ihr lokales Netzwerk ankündigen können. Alle öffentlichen IPv4-Adressen mit NSX-Datenverkehr müssen die Internetroute nehmen, auch wenn die Azure VMware Solution Private Cloud über ExpressRoute verbunden ist. Weitere Informationen finden Sie unter ExpressRoute Circuit Peering.
Nächste Schritte
Verwaltetes SNAT für Azure VMware Solution-Workloads aktivieren
Aktivieren der öffentlichen IP-Adresse für NSX Edge für Azure VMware Solution
Deaktivieren des Internetzugriffs oder Aktivieren einer Standardroute