Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Existem três padrões primários para criar acesso de saída à internet a partir da Solução VMware no Azure e para permitir o acesso de entrada à internet aos recursos na sua nuvem privada da Solução VMware no Azure.
- Serviço de Internet hospedado no Azure
- SNAT Gerenciado da Solução VMware no Azure
- Endereço IPv4 público do Azure para o NSX Data Center Edge
Seus requisitos para controles de segurança, visibilidade, capacidade e operações impulsionam a seleção do método apropriado para entrega de acesso à Internet à nuvem privada da Solução VMware no Azure.
Serviço de Internet hospedado no Azure
Há várias maneiras de gerar uma rota padrão no Azure e enviá-la para sua nuvem privada ou local da Solução VMware no Azure. As opções são as seguintes:
- Um Firewall do Azure em um hub de WAN Virtual.
- Uma Solução de Virtualização de Rede de terceiros em um Rede Virtual do Hub WAN Virtual Spoke.
- Um appliance virtual de rede de terceiros em uma rede virtual nativa do Azure usando o Azure Route Server.
- Uma rota padrão do local transferida para a Solução VMware no Azure sobre o Alcance Global.
Use qualquer um desses padrões para fornecer um serviço SNAT de saída com a capacidade de controlar quais fontes são permitidas, exibir os logs de conexão e, para alguns serviços, fazer uma inspeção de tráfego adicional.
O mesmo serviço também pode consumir um IP público do Azure e criar um DNAT de entrada da Internet para destinos na Solução VMware no Azure.
Um ambiente também pode ser criado que utiliza vários caminhos para o tráfego da Internet. Um para SNAT de saída (por exemplo, uma NVA de segurança de terceiros) e outro para DNAT de entrada (como um NVA de balanceador de carga de terceiros usando pools SNAT para o tráfego retornado).
Solução VMware no Azure: SNAT Gerenciado
Um serviço SNAT gerenciado fornece um método simples para acesso à Internet de saída de uma nuvem privada da Solução VMware no Azure. As características deste serviço incluem as seguintes.
- Ativação fácil – selecione o botão de rádio na guia Conectividade com a Internet, e todas as redes de tarefa terão acesso de saída à Internet imediatamente por meio de um gateway SNAT.
- Sem controle sobre regras SNAT, todas as fontes que chegam ao serviço SNAT são permitidas.
- Nenhuma visibilidade dos logs de conexão.
- Dois IPs públicos são usados e alternados para dar suporte a até 128k conexões de saída simultâneas.
- Nenhuma capacidade DNAT de entrada está disponível com o SNAT gerenciado da Azure VMware Solution.
Endereço IPv4 Público do Azure para NSX Edge
Essa opção traz um endereço IPv4 público do Azure alocado diretamente para o NSX Edge para consumo. Ele permite que a nuvem privada da Solução VMware no Azure consuma e aplique endereços de rede públicos diretamente no NSX, conforme necessário. Esses endereços são usados para os seguintes tipos de conexões:
- SNAT de saída
- DNAT de entrada
- Balanceamento de carga usando o VMware NSX Advanced Load Balancer e outras soluções de virtualização de rede de terceiros
- Aplicativos conectados diretamente a uma interface de VM de carga de trabalho.
Essa opção também permite configurar o endereço público em uma Solução Virtual de Rede de terceiros para criar uma DMZ na nuvem privada da Solução VMware no Azure.
Os recursos incluem:
- Escala – você pode solicitar o aumento do limite flexível de 64 endereços IPv4 públicos do Azure para 1.000 endereços IP públicos do Azure alocados, caso um aplicativo exija.
- Flexibilidade – um endereço IPv4 público do Azure pode ser aplicado em qualquer lugar no ecossistema do NSX. Ele pode ser usado para fornecer SNAT ou DNAT, em balanceadores de carga como o NSX Advanced Load Balancer do VMware ou dispositivos virtuais de rede de terceiros. Também podem ser usados em dispositivos de segurança virtual de rede de terceiros em segmentos da VMware ou diretamente em VMs.
- Regionalidade – o endereço IPv4 público do Azure para o NSX Edge é exclusivo do SDDC local. Para várias nuvens privadas em regiões distribuídas com saída local para intenções de Internet, é mais fácil direcionar o tráfego localmente em vez de tentar controlar a propagação de rota padrão para um serviço de segurança ou SNAT hospedado no Azure. Se você tiver duas ou mais nuvens privadas da Solução VMware no Azure conectadas a um IP público configuradas, ambas poderão ter uma saída local.
Considerações para selecionar uma opção
A opção selecionada depende dos seguintes fatores:
- Para adicionar uma nuvem privada do VMware do Azure a um ponto de inspeção de segurança provisionado no nativo do Azure que inspeciona todo o tráfego da Internet de pontos de extremidade nativos do Azure, use um constructo nativo do Azure e vaze uma rota padrão do Azure para a nuvem privada da Solução VMware no Azure.
- Se você precisar executar uma Solução de Virtualização de Rede de terceiros para estar em conformidade com os padrões existentes para inspeção de segurança ou despesas operacionais simplificadas, você terá duas opções. Você pode executar seu endereço IPv4 público do Azure no Azure nativo com o método de rota padrão ou executá-lo em Solução VMware no Azure usando o endereço IPv4 público do Azure para o NSX Edge.
- Há limites de escala em quantos endereços IPv4 públicos do Azure podem ser alocados para uma Solução de Virtualização de Rede em execução no Azure nativo ou provisionados no Firewall do Azure. A opção de endereço IPv4 público do Azure para NSX Edge permite alocações mais altas (1.000 contra 100).
- Use um endereço IPv4 público do Azure para o NSX Edge para uma saída localizada para a Internet de cada nuvem privada em sua região local. Usando várias nuvens privadas do Azure VMware Solution em várias regiões do Azure que precisam se comunicar entre si e com a internet, pode ser desafiador corresponder uma nuvem privada do Azure VMware Solution com um serviço de segurança no Azure. A dificuldade se deve à maneira como uma rota padrão do Azure funciona.
Importante
Por design, o Endereço IPv4 Público com NSX não permite a troca de endereços IP públicos de propriedade do Azure/Microsoft por conexões de emparelhamento privado do ExpressRoute. Isso significa que você não pode anunciar os endereços IPv4 públicos para sua rede virtual do cliente ou rede local por meio do ExpressRoute. Todos os endereços IPv4 públicos com tráfego NSX devem seguir o caminho da Internet mesmo que a nuvem privada da Solução VMware no Azure esteja conectada por meio do ExpressRoute. Para mais informações, acesse Emparelhamento do circuito do ExpressRoute.
Próximas etapas
Habilitar o SNAT Gerenciado para cargas de trabalho da solução VMware no Azure
Habilitar IP público para o NSX Edge na Solução VMware para Azure
Desabilitar o acesso à Internet ou habilitar uma rota padrão