Einrichten der mandantenübergreifenden Netzwerkkonnektivität für Azure-VMware-Lösung-SDDCs

In diesem Artikel wird beschrieben, wie Sie softwaredefinierte Azure-VMware-Lösung-Rechenzentren (SDDCs) in einer mandantenübergreifenden Umgebung einrichten. Es enthält Anleitungen zum Einrichten der Netzwerkkonnektivität mithilfe von Azure Virtual WAN und Netzwerk Virtual Appliances (NVAs), die in einem virtuellen Spoke-Netzwerk ausgeführt werden. Das virtuelle Spoke-Netzwerk stellt eine Verbindung mit Virtual WAN her.

Aufbau

Die folgende Architektur zeigt die Konnektivität zwischen mandantenübergreifenden Azure-VMware-Lösung-SDDCs, Azure und einer lokalen Umgebung.

Konnektivität

Die Netzwerkkonnektivität in einer mandantenübergreifenden Umgebung besteht aus den folgenden Verbindungen.

• Azure-VMware-Lösung-SDDC-zu-SDDC-Konnektivität
• Azure-VMware-Lösung SDDC-zu-Azure-Konnektivität
• Azure-VMware-Lösung SDDC-zu-lokale Konnektivität
• Konnektivität von Azure zu Azure
• Azure zu lokaler Standort-Konnektivität

Azure-VMware-Lösung-SDDC-zu-SDDC-Konnektivität

Die Konnektivität zwischen zwei Azure-VMware-Lösung-SDDCs, die Sie über Mandanten hinweg bereitstellen, hängt von dem Pod ab, in dem Sie sie bereitstellen. Verwenden Sie die folgenden Anweisungen, um die Pods zu identifizieren, in denen Sie SDDCs bereitstellen.

1. Wechseln Sie im Azure-Portal zu Azure-VMware-Lösung.
2. Wählen Sie Verwalten und dann Cluster.
3. Wählen Sie die drei Punkte und dann Bearbeiten aus.
4. Notieren Sie sich den FQDN-Wert des Hosts. Der Buchstabe p steht vor der Podnummer.

Wiederholen Sie denselben Prozess für andere SDDCs. Bestimmen Sie, ob sie gemeinsame Pods freigeben. Die folgende Abbildung zeigt SDDC-Hosts, die in Pod 1 bereitgestellt werden.

Hinweis

Sie können während einer Azure-VMware-Lösung-SDDC-Bereitstellung keinen Pod auswählen. Die Pod-Zuweisung ist nicht vordefiniert, sodass der genaue Knoten, den ein Planer einem Pod zuweist, jedes Mal variieren kann, wenn ein Prozess ausgeführt wird.

Nachdem Sie die von SDDCs freigegebenen Pods identifiziert haben, führen Sie eine der folgenden Optionen aus:

• Azure-VMware-Lösung interconnect (Global Reach): Verwenden Sie diese Option, wenn sich zwei SDDCs in derselben Azure-Region befinden und keine gemeinsamen Pods zwischen ihnen teilen. Diese Option stellt eine Global Reach-Verbindung zwischen zwei SDDC ExpressRoute-Schaltkreisen her. Diese Option ermöglicht auch transitive Konnektivität. Transitive Konnektivität bedeutet, dass die Routen, die der SDDC ExpressRoute-Schaltkreis aus dem SDDC, Virtual WAN, dem Virtual WAN, den virtuellen Virtual WAN-Netzwerken, die virtuelle Netzwerke des VIrtual WAN über den Mandanten hinaus an den anderen SDDC ExpressRoute-Schaltkreis, den SDDC, Virtual WAN und die Virtual WAN Direct Spoke Virtual Networks werben.

• vVerwenden SIe dieAzure-VMware-Lösung interconnect (nicht-Global Reach): Verwenden Sie diese Option, wenn sich zwei SDDCs in derselben Azure-Region befinden und einen gemeinsamen Pod zwischen ihnen teilen. Diese Option bietet keine mandantenübergreifende transitive Konnektivität für Routen, die Virtual WAN und seine virtuellen Spoke-Netzwerke bewerben.

• Verwenden Sie Azure-VMware-Lösung-ExpressRoute Global Reach: Verwenden Sie diese Option, wenn sich zwei SDDCs in verschiedenen Azure-Regionen befinden, unabhängig davon, ob sie einen Pod freigeben oder nicht. Diese Option bietet mandantenübergreifende transitive Konnektivität für Routen, die Virtual WAN und seine virtuellen Spoke-Netzwerke bewerben.

Alle diese Optionen können eine Netzwerkkonnektivität zwischen zwei SDDCs herstellen. Die von Ihnen ausgewählte Option wirkt sich auf dieAzure-VMware-Lösung SDDC-to-Azure-Konnektivität aus.

Hinweis

Sie können ein Self-Service-Modell verwenden, um die Netzwerkkonnektivität zwischen zwei SDDCs herzustellen. Wenn SDDCs jedoch auf gestreckten Clustern ausgeführt werden, sollten Sie ein Supportticket auslösen.

Azure-VMware-Lösung SDDC-zu-Azure-Konnektivität

In dieser Architektur stellt jeder SDDC eine Verbindung mit Virtual WAN bereit, und jede Virtual WAN-Instanz wird in einem eigenen Microsoft Entra-Mandanten ausgeführt. Gehen Sie wie folgt vor, um die Konnektivität herzustellen.

1. Erstellen Sie im Azure Portal, Azure CLI oder PowerShell einen Azure-VMware-Lösung SDDC-Autorisierungsschlüssel.

2. Erstellen Sie in Virtual WAN einen Hub und ein ExpressRoute-Gateway.

3. Um eine Verbindung zwischen dem SDDC und dem Virtual WAN herzustellen, lösen Sie den Autorisierungsschlüssel ein.

Andere virtuelle Azure-Netzwerke stellen auch eine Verbindung mit diesem Virtual WAN her.

• Direkte Spoke-Virtuelle-Netzwerke stellen über die Virtual WAN-Verbindung mit Virtual WAN eine Direkte Verbindung mit Virtual WAN her. Ein virtuelles Spoke-Netzwerk kann einen NVA ausführen, der darin bereitgestellt wird. Der NVA prüft und steuert datenverkehrsgebunden von Azure und dem Azure-VMware-Lösung SDDC.

• Indirekte Spoke-Virtuelle-Netzwerke stellen eine Verbindung mit virtuellen Direct-Spoke-Netzwerken her. Sie stellen keine direkte Verbindung mit Virtual WAN her. Indirekte Spoke-Virtuelle-Netzwerke hosten Workloads, die in Azure ausgeführt werden. NVAs, die in virtuellen Direct-Spoke-Netzwerken ausgeführt werden, prüfen den Netzwerkdatenverkehr, der aus indirekten virtuellen Netzwerken stammt.

Verwenden Sie die folgenden Konfigurationen, um direkte und indirekte Verbindungen zwischen SDDCs und virtuellen Netzwerken in Azure herzustellen.

• Direkt Spokes kann eine Verbindung mit einem SDDC herstellen, das in ihrem eigenen Mandanten über die Konnektivität zwischen Virtual WAN und SDDC ausgeführt wird.

• Direkte Speichen können eine Verbindung mit einem SDDC herstellen, das im anderen Mandanten über Azure-VMware-Lösung interconnect (Global Reach) oder Azure-VMware-Lösung Global Reach-Konnektivität ausgeführt wird.

• IndirekteSpokes stellen standardmäßig keine Verbindung mit einem SDDC in ihrem Mandanten her. Sie können eine benutzerdefinierte Route (UDR) mit indirekten Speichen verknüpfen. Ein UDR verfügt über SDDC-Präfixe in ihrem Mandanten als Zielnetzwerk und eine direkte Sprachausgabe in ihrem eigenen Mandanten als nächsten Hop.

• IndirekteSpokes stellen standardmäßig keine Verbindung mit einem SDDC in anderen Mandanten her. Sie können eine UDR mit indirekten Spokes verknüpfen. Ein UDR verfügt über SDDC-Präfixe in dem anderen Mandanten als Zielnetzwerk und eine direkte Sprachausgabe in ihrem eigenen Mandanten als nächsten Hop. Diese Konnektivität erfordert entweder Azure-VMware-Lösung interconnect (Global Reach) oder Azure-VMware-Lösung Global Reach-Konnektivität zwischen SDDCs.

Hinweis

Verwenden Sie diese Anleitung für einen einzelnen Hub, der eine Verbindung mit einem virtuellen Spoke-Netzwerk herstellt, das eine NVA-Lösung hostet. Wenn Sie über mehrere Hubs verfügen, die eine Verbindung mit einem Azure-VMware-Lösung SDDC herstellen müssen, verwenden Sie eine vollmaschige Netzwerkarchitektur.

Azure-VMware-Lösung SDDC-zu-lokale Konnektivität

Verwenden Sie Global Reach, um Verbindungen zwischen den einzelnen Azure-VMware-Lösung SDDC und der lokalen Umgebung herzustellen. In diesem Szenario verbinden sich die einzelnen SDDC ExpressRoute-Schaltkreise und lokale ExpressRoute-Schaltkreise miteinander. Die lokalen Routen, die der SDDC ExpressRoute-Schaltkreis über eine Global Reach-Verbindung lernt, sind nichttransitiv. Die Routen werden nicht über den gesamten Mandanten hinweg angekündigt, auch wenn Sie über Azure-VMware-Lösung SDDC-zu-SDDC-Konnektivität verfügen.

SdDC-zu-lokale Konnektivität koexistiert mit mandantenübergreifender SDDC-zu-SDDC-Konnektivität. In einer solchen Einrichtung lernt ein SDDC ExpressRoute-Schaltkreis lokale Routen über eine Global Reach-Verbindung und lernt auch mandantenübergreifende Virtual WAN-Routen über SDDC-zu-SDDC-Konnektivität kennen. Das mandantenübergreifende Virtual WAN oder SDDC darf die lokalen Präfixe nicht auf andere Wege ankündigen, z. B. eine statische Route oder eine VPN-Verbindung. In diesem Fall lernt der SDDC ExpressRoute doppelte Routen für die lokale Umgebung, wodurch eine Routingschleife erstellt und die Konnektivität unterbrochen wird.

Wenn die lokale Umgebung über mehrere ExpressRoute-Schaltkreise für Redundanz verfügt, verwenden Sie den öffentlichen AS-Pfad, der voreingestellt ist, um einen Schaltkreis über den anderen zu bevorzugen.

Hinweis

Die Konnektivität vom SDDC zur lokalen Umgebung besteht parallel zur Konnektivität von Azure zur lokalen Umgebung. Sie können ein ExpressRoute-Gateway in Virtual WAN verwenden, um eine Verbindung mit dem SDDC ExpressRoute-Schaltkreis und dem lokalen ExpressRoute-Schaltkreis herzustellen. Diese Konnektivität ist jedoch nicht transitiv.

Konnektivität von Azure zu Azure

Direkte und indirekte virtuelle Netzwerke müssen in demselben Azure-Mandanten und in allen Azure-Mandanten miteinander kommunizieren. Verwenden Sie die folgenden Methoden, um Verbindungen herzustellen.

Herstellen von Verbindungen innerhalb desselben Mandanten

• Verbinden Sie direkte Speichen über eine Virtual WAN-Netzwerkverbindung miteinander.

• Verbinden Sie direkte Speichen mit indirekten Speichen über virtuelles Netzwerk-Peering.

• Verbinden Sie indirekte Spokes mit direkten Spokes über virtuelles Netzwerk-Peering.

• Verbinden Sie indirekte Speichen miteinander über virtuelles Netzwerk-Peering mit einer direkten Speichen und einer UDR, die Sie dem direkten Speichen zuordnen. Ein UDR verfügt über ein indirektes Speichenpräfix als Zielnetzwerk und eine NVA im direkten Speichen als nächsten Hop. Konfigurieren Sie den NVA in der direkten Speichen, um den Datenverkehr über die Netzwerkschnittstellenkarte (NIC) weiterzuleiten.

Herstellen von Verbindungen über den Mandanten hinweg

• Verbinden Sie direkte Speichen mit mandantenübergreifenden direkten Speichen über globales virtuelles Netzwerk-Peering.

• Verbinden Sie direkte Speichen mit mandantenübergreifenden indirekten Speichen über globales virtuelles Netzwerk-Peering zwischen direkten Speichen und UDRs, die Sie dem direkten Speichen zuordnen. Ein UDR verfügt über ein mandantenübergreifendes indirektes Spokepräfix als Zielnetzwerk und eine NVA im mandantenübergreifenden direkten Spokes als nächsten Hop.

• Verbinden Sie indirekte Speichen mit mandantenübergreifenden direkten Speichen über globales virtuelles Netzwerk-Peering zwischen virtuellen direkten Spoke-Netzwerken und einem UDR, den Sie den virtuellen direkten Spoke-Netzwerken zuordnen. Der UDR verfügt über ein mandantenübergreifendes direktes Spokepräfix als Zielnetzwerk und eine NVA in seinem eigenen direkten Spokes als nächsten Hop.

• Verbinden Sie indirekte Speichen mit mandantenübergreifenden indirekten Speichen über globales virtuelles Netzwerk-Peering zwischen virtuellen direkten Spoke-Netzwerken und einem UDR, den Sie den virtuellen direkten Spoke-Netzwerken zuordnen. Der UDR verfügt über ein mandantenübergreifendes indirektes Spokepräfix als Zielnetzwerk und eine NVA in seinem eigenen direkten Spokes als nächsten Hop.

Azure zu lokaler Standort-Konnektivität

Verwenden Sie den lokalen ExpressRoute-Schaltkreis und das ExpressRoute-Gateway von Virtual WAN, um eine Verbindung zwischen Azure und dem lokalen Standort herzustellen. Die Verbindung zwischen Azure-VMware-Lösung SDDC ExpressRoute und demselben lokalen ExpressRoute-Gateway ist nichttransitiv. Die Verbindung zwischen dem virtuellen Direct-Spoke-Netzwerk und Virtual WAN über globalen virtuellen Netzwerk-Peering ist ebenfalls nichttransitiv. Die indirekte Speichen, die eine Verbindung mit Virtual WAN herstellen, muss über ein UDR verfügen, das ein lokales Präfix als Zielnetzwerk und eine NVA aufweist, die im direkten Speichen als nächsten Hop ausgeführt wird.

Szenariodetails

In diesem Artikel werden die folgenden Szenarien untersucht. Sie können diese Szenarien entweder für mandantenübergreifende Migration oder Workloadzugriffszwecke anwenden.

• Mandantenübergreifende Azure-VMware-Lösung SDDC-to-SDDC-Netzwerkkonnektivität
• Mandantenübergreifende Azure-zu-Azure-Konnektivität
• Mandantenübergreifender Netzwerkzugriff zwischen einem Azure-VMware-Lösung SDDC und virtuellen Azure-Netzwerken
• Mandantenübergreifender Netzwerkzugriff zwischen Azure-VMware-Lösung SDDC und einer lokalen Umgebung
• Mandantenübergreifende Netzwerkdatenverkehrsprüfung und -kontrolle über eine NVA, die in einem virtuellen Netzwerk ausgeführt wird, das eine Verbindung mit Virtual WAN herstellt

In einer mandantenübergreifenden Umgebung kann der Azure-VMware-Lösung SDDC, dessen zugehöriger Azure ExpressRoute-Schaltkreis und Virtual WAN eine anspruchsvolle Migrations- oder Workloadzugriffserfahrung schaffen. Der ExpressRoute-Schaltkreis, der dem Azure-VMware-Lösung SDDC zugeordnet ist, verbindet sich mit dem SDDC und auch mit dem Virtual WAN ExpressRoute-Gateway. Der ExpressRoute-Schaltkreis lernt die Routen kennen, die vom Azure-VMware-Lösung SDDC und Virtual WAN angekündigt werden. Der ExpressRoute-Schaltkreis kündigt diese Routen über den Mandanten hinweg an die andere Azure-VMware-Lösung SDDC und Virtual WAN an, die eine Verbindung mit dem Schaltkreis herstellen. Planen Sie Ihre Konfiguration sorgfältig, um eine zyklische Routenverteilung zwischen Virtual WAN, dem SDDC ExpressRoute-Schaltkreis und dem Virtual WAN ExpressRoute-Gateway zu vermeiden.

Mögliche Anwendungsfälle

Berücksichtigen Sie die folgenden Szenarien, die von dieser Architektur profitieren können:

• Multinationale Unternehmen führen Azure-VMware-Lösung SDDC in verschiedenen Microsoft Entra-Mandanten aus.

• Ein Unternehmen wird einem Tieferstellungs- oder Veräußerungsprozess unterzogen, was zu separaten Geschäftseinheiten führt, die über separate Microsoft Entra-Mandanten verfügen. Jede separate Geschäftsentität erfordert Zugriff auf eine gemeinsame lokale Umgebung und erfordert mandantenübergreifenden Zugriff auf Azure-VMware-Lösung SDDC und andere Azure-Ressourcen.

• Zwei separate Unternehmen verfügen über eigene separate Microsoft Entra-Mandanten, erfordern jedoch weiterhin mandantenübergreifenden Zugriff auf Workloads, die sowohl in Azure-VMware-Lösung SDDCs als auch in Azure ausgeführt werden.

Nächste Schritte

• Azure VMware Solution-Netzwerkentwurfshandbuch
• Checkliste für die Netzwerkplanung

Zugehörige Ressource

• Vorbereiten der Konnektivität für Azure VMware Solution