Sdílet prostřednictvím


Vytvoření síťového připojení mezi tenanty pro řadiče domény azure VMware Solution

Tento článek popisuje, jak nastavit softwarově definovaná datacentra Azure VMware Solution v prostředí napříč tenanty. Poskytuje pokyny k vytvoření síťového připojení pomocí služby Azure Virtual WAN a síťových virtuálních zařízení, která běží v paprskové virtuální síti. Paprsková virtuální síť se připojuje ke službě Virtual WAN.

Architektura

Následující architektura ukazuje připojení mezi tenanty azure VMware Solution SDDCs, Azure a místním prostředím.

Diagram znázorňující víceklientské řadiče domény azure VMware Solution s virtuální sítí WAN a síťovými virtuálními zařízeními

Připojení

Síťové připojení v prostředí napříč tenanty se skládá z následujících připojení.

Připojení azure VMware Solution SDDC-to-SDDC

Připojení mezi dvěma disky SSD řešení Azure VMware, které nasadíte napříč tenanty, závisí na podu, ve kterém je nasadíte. Pomocí následujících pokynů identifikujte pody, ve kterých nasazujete řadiče domény SDD.

  1. Na webu Azure Portal přejděte do řešení Azure VMware.
  2. Vyberte Spravovat a pak vyberte Clustery.
  3. Vyberte tři tečky a pak vyberte Upravit.
  4. Poznamenejte si hodnotu plně kvalifikovaného názvu domény hostitele. Písmeno p předchází číslu podu.

Stejný postup opakujte u jiných řadičů domény. Určete, jestli sdílejí nějaké společné pody. Následující obrázek ukazuje hostitele SDDC nasazené v podu 1.

Diagram znázorňující pod Azure VMware Solution

Poznámka:

Během nasazení služby Azure VMware Solution SDDC nemůžete vybrat pod. Přiřazení podů není předem stanoveno, takže přesný uzel, který plánovač přiřadí podu, se může při každém spuštění procesu lišit.

Po identifikaci podů, které sdílejí řadiče domény, proveďte jednu z následujících možností:

  • Propojení řešení Azure VMware Solution (Global Reach): Tuto možnost použijte, pokud jsou dvě řadiče domény SDD ve stejné oblasti Azure a nesdílejí mezi nimi společné pody. Tato možnost vytvoří připojení okruhu ExpressRoute Global Reach mezi dvěma okruhy ExpressRoute SDDC ExpressRoute. Tato možnost také umožňuje tranzitivní připojení. Přenosná připojení znamená, že trasy, které se okruh SDDC ExpressRoute učí od SDDC, Virtual WAN, virtuálních sítí s přímým paprskem Virtual WAN, inzerují také přes tenanta do druhého okruhu SDDC ExpressRoute, SDDC, Virtual WAN a virtuálních sítí s přímým paprskem Virtual WAN.

  • Použijte propojení Azure VMware Solution (mimo globální dosah): Tuto možnost použijte, pokud jsou dva řadiče domény ve stejné oblasti Azure a sdílejí mezi nimi společný pod. Tato možnost neposkytuje průchodné připojení mezi tenanty pro trasy, které Virtual WAN a její přímé paprskové virtuální sítě inzerují.

  • Použití služby Azure VMware Solution ExpressRoute Global Reach: Tuto možnost použijte, pokud jsou dvě řadiče domény SDD v různých oblastech Azure bez ohledu na to, jestli sdílejí pod, nebo ne. Tato možnost poskytuje průchodné připojení mezi tenanty pro trasy, které Virtual WAN a její přímé paprskové virtuální sítě inzerují.

Všechny tyto možnosti můžou navázat síťové připojení mezi dvěma řadiči domény. Možnost, kterou zvolíte, má vliv na připojení Azure VMware Solution SDDC-to-Azure.

Poznámka:

K vytvoření síťového připojení mezi dvěma řadiči domény můžete použít samoobslužný model . Pokud ale řadiče domény běží na roztaženém clusteru, měli byste vytvořit lístek podpory.

Připojení azure VMware Solution SDDC-to-Azure

V této architektuře se každý SDDC připojuje ke službě Virtual WAN a každá instance Virtual WAN běží ve vlastním tenantovi Microsoft Entra. K navázání připojení použijte následující postup.

  1. Na webu Azure Portal, Azure CLI nebo PowerShellu vytvořte autorizační klíč azure VMware Solution SDDC.

  2. Ve službě Virtual WAN vytvořte centrum a bránu ExpressRoute.

  3. Pokud chcete navázat připojení mezi SDDC a Virtual WAN, uplatněte autorizační klíč.

Další virtuální sítě Azure se také připojují k této službě Virtual WAN.

  • Přímé paprskové virtuální sítě se přímo připojují k Virtual WAN přes připojení k virtuální síti Virtual WAN. Paprsková virtuální síť může spouštět síťové virtuální zařízení, které je v něm nasazené. Síťové virtuální zařízení kontroluje a řídí provoz, který směřuje z Azure a do služby Azure VMware Solution SDDC.

  • Nepřímé paprskové virtuální sítě se připojují k přímým paprskům virtuálních sítí. Nepřipojují se přímo k Virtual WAN. Nepřímé paprskové virtuální sítě hostují úlohy, které běží v Azure. Síťová virtuální zařízení, která běží v přímých paprskových virtuálních sítích, kontrolují síťový provoz pocházející z nepřímých paprskových virtuálních sítí.

Pomocí následujících konfigurací můžete vytvořit přímé a nepřímé připojení mezi řadiči domény ADD a virtuálními sítěmi v Azure.

  • Přímé paprsky se můžou připojit ke službě SDDC, která běží ve vlastním tenantovi prostřednictvím připojení mezi virtual WAN a SDDC.

  • Přímé paprsky se můžou připojit k SDDC, který běží v druhém tenantovi, prostřednictvím propojení Azure VMware Solution interconnect (Global Reach) nebo připojení Azure VMware Solution Global Reach.

  • Nepřímé paprsky se ve výchozím nastavení nepřipojují k SDDC ve svém tenantovi. Trasu definovanou uživatelem můžete přidružit k nepřímým paprskům. Trasy definované uživatelem mají ve svém tenantovi předpony SDDC jako cílovou síť a přímý paprsk ve vlastním tenantovi jako další segment směrování.

  • Nepřímé paprsky se ve výchozím nastavení nepřipojují k SDDC v druhém tenantovi. Trasu definovanou uživatelem můžete přidružit k nepřímým paprskům. UDR má předpony SDDC v druhém tenantovi jako cílovou síť a přímý paprsk ve vlastním tenantovi jako další segment směrování. Toto připojení vyžaduje propojení Azure VMware Solution (Global Reach) nebo připojení Azure VMware Solution Global Reach mezi řadiči domény.

Poznámka:

Tyto pokyny použijte pro jedno centrum, které se připojuje k paprskové virtuální síti, která hostuje řešení síťového virtuálního zařízení. Pokud máte více center, které se potřebují připojit k azure VMware Solution SDDC, použijte plně síťovou architekturu.

Připojení azure VMware Solution SDDC k místnímu prostředí

Pomocí služby Global Reach můžete navázat připojení mezi jednotlivými službami Azure VMware Solution SDDC a místním prostředím. V tomto scénáři se každý okruh ExpressRoute SDDC a místní okruh ExpressRoute vzájemně připojují. Místní trasy, které okruh ExpressRoute SDDC učí prostřednictvím připojení Global Reach, nejsou nepřenosné. Trasy se neinzerují v rámci tenanta, i když máte připojení Azure VMware Solution SDDC-to-SDDC.

SDDC-to-on-premises connectivity koexists with cross-tenant SDDC-to-SDDC connectivity. V takovém nastavení se jeden okruh SDDC ExpressRoute učí místní trasy prostřednictvím připojení Global Reach a také se učí trasy virtual WAN napříč tenanty prostřednictvím připojení SDDC-to-SDDC. Virtuální síť WAN nebo SDDC mezi tenanty nesmí inzerovat místní předpony jinými prostředky, jako je statická trasa nebo připojení VPN. V takovém případě služba SDDC ExpressRoute zjistí duplicitní trasy pro místní prostředí, což vytvoří smyčku směrování a přeruší připojení.

Pokud má místní prostředí více okruhů ExpressRoute pro redundanci, použijte před sebou veřejnou cestu AS, abyste preferovali jeden okruh před druhým.

Poznámka:

SDDC-to-on-premises connectivity coexists with Azure-to-premises connectivity. Bránu ExpressRoute ve službě Virtual WAN můžete použít k připojení s okruhem SDDC ExpressRoute a místním okruhem ExpressRoute. Toto připojení ale není tranzitivní.

Připojení Azure k Azure

Přímé a nepřímé virtuální sítě musí vzájemně komunikovat ve stejném tenantovi Azure a napříč tenanty Azure. K navázání připojení použijte následující metody.

Navázání připojení v rámci stejného tenanta

  • Připojte mezi sebou přímé paprsky prostřednictvím připojení k virtuální síti Virtual WAN.

  • Přímé paprsky můžete propojit s nepřímými paprsky prostřednictvím partnerského vztahu virtuálních sítí.

  • Propojení nepřímých paprsků s přímými paprsky prostřednictvím partnerského vztahu virtuálních sítí

  • Propojte nepřímé paprsky mezi sebou prostřednictvím partnerského vztahu virtuálních sítí s přímým paprskem a trasou definovanou uživatelem, kterou přidružíte k přímému paprsku. Trasy definované uživatelem mají jako cílovou síť předponu nepřímého paprsku a síťové virtuální zařízení v přímém paprsku jako další segment směrování. Nakonfigurujte síťové virtuální zařízení v přímém paprsku tak, aby přesměrovával provoz přes síťovou kartu (NIC).

Navázání připojení napříč tenantem

  • Přímé paprsky můžete propojit s přímými paprsky mezi tenanty prostřednictvím globálního partnerského vztahu virtuálních sítí.

  • Přímé paprsky můžete propojit s nepřímými paprsky mezi tenanty prostřednictvím globálního partnerského vztahu virtuálních sítí mezi přímými paprsky a trasy definovanými uživatelem, které přidružíte k přímému paprsku. Trasy definované uživatelem mají jako cílovou síť předponu nepřímého paprsku mezi tenanty a síťové virtuální zařízení v přímém paprsku mezi tenanty jako další segment směrování.

  • Propojte nepřímé paprsky s přímými paprsky mezi tenanty prostřednictvím globálního partnerského vztahu virtuálních sítí mezi přímým paprskem a trasou definovanou uživatelem, kterou přidružíte k virtuálním sítím s přímým paprskem. Trasy definované uživatelem mají předponu přímého paprsku mezi tenanty jako cílovou síť a síťové virtuální zařízení ve vlastním přímém paprsku jako další segment směrování.

  • Propojení nepřímých paprsků s nepřímými paprsky mezi tenanty prostřednictvím globálního partnerského vztahu virtuálních sítí mezi virtuálními sítěmi s přímým paprskem a trasou definovanou uživatelem, kterou přidružíte k virtuálním sítím s přímým paprskem. Trasy definované uživatelem mají předponu nepřímého paprsku mezi tenanty jako cílovou síť a síťové virtuální zařízení ve vlastním přímém paprsku jako další segment směrování.

Připojení azure k místnímu prostředí

Použijte místní okruh ExpressRoute a bránu ExpressRoute služby Virtual WAN k navázání připojení Azure k místnímu připojení. Připojení mezi Azure VMware Solution SDDC ExpressRoute a stejnou místní bránou ExpressRoute není přenosná. Propojení mezi přímou paprskovou virtuální sítí a službou Virtual WAN prostřednictvím globálního partnerského vztahu virtuálních sítí je také netransitivní. Nepřímý paprsk, který se připojuje ke službě Virtual WAN, musí mít trasu definovanou uživatelem, která má jako cílovou síť předponu místní předponu, a síťové virtuální zařízení, které běží v přímém paprsku jako další segment směrování.

Podrobnosti scénáře

Tento článek se zabývá následujícími scénáři. Tyto scénáře můžete použít pro účely migrace mezi tenanty nebo pro přístup k úlohám.

  • Připojení k síti Azure VMware Solution SDDC-to-SDDC mezi tenanty
  • Připojení Azure k Azure mezi tenanty
  • Přístup k síti mezi tenanty mezi virtuálními sítěmi Azure VMware Solution SDDC a Virtuálními sítěmi Azure
  • Přístup k síti mezi tenanty mezi službou Azure VMware Solution SDDC a místním prostředím
  • Kontrola a řízení síťového provozu mezi tenanty prostřednictvím síťového virtuálního zařízení, které běží ve virtuální síti, která se připojuje ke službě Virtual WAN

V prostředí napříč tenanty může azure VMware Solution SDDC, přidružený okruh Azure ExpressRoute a Virtual WAN vytvořit náročné prostředí migrace nebo přístupu k úlohě. Okruh ExpressRoute přidružený k azure VMware Solution SDDC se připojuje ke službě SDDC a také k bráně ExpressRoute pro Virtual WAN. Okruh ExpressRoute zjišťuje trasy, které inzeruje služba Azure VMware Solution SDDC a Virtual WAN. Okruh ExpressRoute tyto trasy inzeruje v rámci tenanta do jiné služby Azure VMware Solution SDDC a Virtual WAN, které se připojují k okruhu. Pečlivě naplánujte konfiguraci, abyste se vyhnuli šíření cyklických tras mezi virtual WAN, okruhem SDDC ExpressRoute a bránou ExpressRoute služby Virtual WAN.

Potenciální případy použití

Vezměte v úvahu následující scénáře, které by mohly těžit z této architektury:

  • Nadnárodní společnosti provozují azure VMware Solution SDDC v různých tenantech Microsoft Entra.

  • Organizace prochází procesem demergeru nebo dělení, což vede k samostatným obchodním entitám, které mají samostatné tenanty Microsoft Entra. Každá samostatná obchodní entita vyžaduje přístup ke společnému místnímu prostředí a vyžaduje přístup mezi tenanty ke službě Azure VMware Solution SDDC a dalším prostředkům Azure.

  • Dvě samostatné firmy mají své vlastní samostatné tenanty Microsoft Entra, ale stále vyžadují přístup mezi tenanty k úlohám, které běží na sadách SDK řešení Azure VMware i v Azure.

Další kroky