你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Internet 连接设计注意事项

项目
03/28/2024

有三种主要模式用于创建从 Azure VMware 解决方案到 Internet 的出站访问，以及启用对 Azure VMware 解决方案私有云上资源的入站 Internet 访问。

Azure 中托管的 Internet 服务
Azure VMware 解决方案托管 SNAT
用于连接 NSX Data Center Edge 的 Azure 公共 IPv4 地址

对安全控制、可见性、容量和操作的要求促使你选择适当的方法来提供对 Azure VMware 解决方案私有云的 Internet 访问。

Azure 中托管的 Internet 服务

可以通过多种方式在 Azure 中生成默认路由并将其发送到 Azure VMware 解决方案私有云或本地。选项如下：

虚拟 WAN 中心内的 Azure 防火墙。
虚拟 WAN 中心分支虚拟网络中的第三方网络虚拟设备。
使用 Azure 路由服务器的本机 Azure 虚拟网络中的第三方网络虚拟设备。
通过 Global Reach 从本地传输到 Azure VMware 解决方案的默认路由。

使用这些模式中的任何一种，都可让出站 SNAT 服务能够：控制哪些源发出的流量可以出站，查看连接日志，并对某些服务进行进一步的流量检查。

同一服务还可以使用 Azure 公共 IP 并创建从 Internet 到 Azure VMware 解决方案中目标的入站 DNAT。

还可以构建一个利用多个互联网流量路径的环境。一个用于出站 SNAT（例如，一个第三方安全 NVA），另一个用于入站 DNAT（例如，一个对返回流量使用 SNAT 池的第三方负载均衡器 NVA）。

Azure VMware 解决方案托管 SNAT

托管 SNAT 服务提供从 Azure VMware 解决方案私有云进行出站 Internet 访问的简单方法。此服务的特性包括：

轻松启用 - 在“Internet 连接”选项卡上选择单选按钮，所有工作负载网络立即可以通过 SNAT 网关对 Internet 进行出站访问。
不控制 SNAT 规则，允许所有访问 SNAT 服务的源。
无法查看连接日志。
使用并轮换两个公共 IP 以支持多达 128k 的同时出站连接。
Azure VMware 解决方案托管 SNAT 不提供入站 DNAT 功能。

用于连接 NSX Edge 的 Azure 公共 IPv4 地址

此选项将分配的 Azure 公共 IPv4 地址直接配置到 NSX Edge 以供使用。它允许 Azure VMware 解决方案私有云根据需要在 NSX 中直接使用和应用公共网络地址。这些地址用于以下类型的连接：

出站 SNAT
入站 DNAT
使用 VMware NSX Advanced Load Balancer 和其他第三方网络虚拟设备进行负载均衡
直接连接到工作负载 VM 接口的应用程序。

此选项还让你可以在第三方网络虚拟设备上配置公共地址，以在 Azure VMware 解决方案私有云中创建外围网络。

功能包括：

规模 - 可根据应用程序的需要，请求将 64 个 Azure 公共 IPv4 地址这一软限制提高到数千个 Azure 公共 IP。
灵活性 - 可在 NSX 生态系统中的任何位置应用 Azure 公共 IPv4 地址。它可用于在负载均衡器（例如 VMware 的 NSX Advanced Load Balancer）或第三方网络虚拟设备上提供 SNAT 或 DNAT。它还可以在 VMware 网段上的第三方网络虚拟安全设备上使用，或直接在 VM 上使用。
区域性 - 用于连接 NSX Edge 的 Azure 公共 IPv4 地址对于本地 SDDC 是唯一的。对于“分布式区域中的多私有云”（有从本地出口向 Internet 发送流量的意向），与尝试为托管在 Azure 中的安全或 SNAT 服务控制默认路由传播相比，在本地引导流量更为容易。如果已连接两个或多个 Azure VMware 解决方案私有云并为其配置了一个公共 IP，它们都可以有一个本地出口。

选择选项的注意事项

选择的选项取决于以下因素：

若要将 Azure VMware 私有云添加到 Azure 本机中预配的安全检查点（用于检查来自 Azure 本机终结点的所有 Internet 流量），请使用 Azure 本机构造并保留一个从 Azure 到 Azure VMware 解决方案私有云的默认路由。
如果需要运行第三方网络虚拟设备以符合现有安全检查或精简运营费用的标准，那么你有两种选择。可以使用默认路由方法在 Azure 原生服务中运行 Azure 公共 IPv4 地址，或者使用用于连接 NSX Edge 的 Azure 公共 IPv4 地址在 Azure VMware 解决方案中运行它。
在可为原生 Azure 服务中运行的网络虚拟设备分配的，或者可以在 Azure 防火墙上预配的 Azure 公共 IPv4 地址数方面，存在规模限制。使用用于连接 NSX Edge 的 Azure 公共 IPv4 地址选项可提高分配数量限制（可分配数千个而不是数百个）。
若要建立从本地区域中每个私有云到 Internet 的本地化出口，请使用用于连接 NSX Edge 的 Azure 公共 IPv4 地址。在需要相互通信以及与 Internet 通信的多个 Azure 区域中使用多个 Azure VMware 解决方案私有云时，将 Azure VMware 解决方案私有云与 Azure 中的安全服务相匹配可能具有挑战性。困难在于来自 Azure 的默认路由的工作方式。

重要

根据设计，使用 NSX 的公共 IPv4 地址不允许通过 ExpressRoute 专用对等互连连接交换 Azure/Microsoft 拥有的公共 IP 地址。这意味着无法通过 ExpressRoute 向客户 VNet 或本地网络播发公共 IPv4 地址。即使 Azure VMware 解决方案私有云通过 ExpressRoute 连接，所有具有 NSX 流量的公共 IPv4 地址也必须采用 Internet 路径。有关详细信息，请访问 ExpressRoute 线路对等互连。

后续步骤

为 Azure VMware 解决方案工作负载启用托管 SNAT

为 Azure VMware 解决方案启用 NSX Edge 的公共 IP

禁用 Internet 访问或启用默认路由