Protegendo Máquinas no Azure VMware Solution com Azure Firewall

O  Azure VMware Solution oferece três opções principais de conectividade outbound para a Internet.

• A primeira é o Managed SNAT, opção padrão e totalmente gerenciada pela plataforma, em que o próprio AVS realiza a tradução de endereços (SNAT) para permitir o acesso à Internet. Essa abordagem é simples e não requer configuração adicional, porém não oferece controle sobre os endereços IP públicos utilizados.

 

• A segunda opção é o uso de Public IPs no NSX-T Edge, onde o administrador atribui endereços públicos diretamente ao edge do ambiente AVS. Com isso, o tráfego de saída das máquinas virtuais utiliza esses IPs específicos, permitindo maior controle, ideal para cenários em que é necessário manter IPs fixos ou previamente autorizados em listas de acesso externas.

 

• Por fim, há a opção de rotear o tráfego via rede Azure (ou Azure Virtual WAN), em que uma rota padrão é anunciada por meio do ExpressRoute, direcionando o tráfego de saída para uma rede Azure que contém NVAs, Azure Firewall ou proxies. Essa abordagem oferece o maior nível de controle e segurança, pois permite aplicar inspeção, políticas e NAT centralizados, de forma integrada à arquitetura de rede do cliente.

Neste artigo será demonstrado em um ambiente de laboratório como utilizar o Virtual Wan com Azure Firewall para inspeção do tráfego de saída das Vms em um segmento do AVS

A arquitetura do laboratório.

• Virtual Wan com Azure Firewall
• ER Gateway conectado ao Express Route do Azure VMware Solution

 

Os passos necessários são:

1. Configuração da opção de Internet Connectivity do AVS
2. Habilitar a propagação da Rota no Vwan 
3. Configuração do Routing Intent

Configuração do Azure VMware Solution.

Acesse o Private Cloud no portal do Azure e certifique que a opção abaixo esteja selecionada.

 

Fazendo um "dump" das rotas no T0 do NSX, é possível verificar que não temos a rota default sendo propagada.

 

 

 

 

 

 

 

 

 

 

 

 

 

Portanto não temos conectividade para internet a partir da máquina VM1 que está no AVS.

 

 

 

 

 

 

 

Habilitando a propagação da Rota default no Virtual Wan

Devemos agora habilitar a propagação da rota default pelo Virtual Wan , e para isso é necessário editar a conexão do Express Route do AVS, conectado ao Hub do Vwan .

 

 Habilite a propagação da Rota default

 

 

 

 

 

 

 Routing Intent

O Routing Intent no Azure Virtual WAN é um recurso que simplifica e automatiza o roteamento de tráfego dentro do hub do Virtual WAN. Ele define como o tráfego entre redes (VNets, branches, e Internet) deve ser direcionado, sem necessidade de configurar manualmente tabelas de rotas complexas

Observação: Em geral, no Brasil, caso já exista um Express Route On-premises, o Routing Intent já deve estar ativado para permitir o tráfego na comunicação com o Express Route do AVS, devido a não disponibilidade na região do Brasil do Express Route Global Reach

 Nas configurações do HUB, habilite o Routing Intent.

 

 

 

 

 

 

 

 

 

Fazendo um novo "dump"das rotas BGP no NSX, agora é possível observar a rota default sendo propagada.

 

 

 

 

 

 

 

Testando a partir da VM no AVS

 

 

 

 

 

 

 

 

Conforme esperado é o mesmo IP público do meu Firewall no Vwan

 

 

 

 

 

 

 

Nos Logs do Azure Firewall, comprovamos que o tráfego da VM (10.145.0.10) realmente está passando pelo Azure Firewall

 

 

 

 

 

 

 

 

 

 

 

Referências: https://learn.microsoft.com/en-us/azure/azure-vmware/disable-internet-access