Funktionsweise von Azure VMware Solution
Da Sie nun wissen, was Azure VMware Solution ist und was der Dienst kann, werden Sie als Nächstes erfahren, wie er in Azure funktioniert.
Gemeinsamer Support
Lokale VMware-Umgebungen erfordern, dass der Kunde die gesamte Hard- und Software unterstützt, für die Ausführung der Plattform erforderlich ist. Azure VMware Solution funktioniert nicht. Diese Plattform wird von Microsoft für den Kunden verwaltet. Die folgende Abbildung zeigt, was der Kunde verwaltet und was von Microsoft verwaltet wird.
Für die folgende Tabelle: Durch Microsoft verwaltet = Blau, durch Kunde verwaltet = Grau
In Zusammenarbeit mit VMware deckt Microsoft die Lebenszyklusverwaltung von VMware-Software (ESXi, vCenter und vSAN) ab. Auch bei der Lebenszyklusverwaltung von NSX-T-Appliances und dem Bootstrapping der Netzwerkkonfiguration arbeitet Microsoft mit VMware zusammen. Z. B. beim Erstellen des Gateways der Ebene 0 und dem Ermöglichen des Nord-Süd-Routings.
Der Kunde ist für die NSX-T SDN-Konfiguration verantwortlich:
- Netzwerksegmente
- Verteilte Firewallregeln
- Gateways der Ebene 1
- Load Balancer
Überwachung und Wartung
Azure VMware Solution überwacht kontinuierlich sowohl die Integrität der zugrunde liegenden Komponenten als auch der Integrität der VMware-Komponenten. Wenn Azure VMware Solution einen Fehler erkennt, ergreift der Dienst Maßnahmen, um die fehlerhaften Komponenten zu reparieren. Wenn von Azure VMware Solution ein Leistungsabfall oder ein Fehler auf dem Azure VMware Solution-Knoten erkannt wird, wird der Fehlerbehebungsprozess für den Host ausgelöst.
Die Wartung für den Host umfasst das Ersetzen des fehlerhaften Knotens durch einen neuen fehlerfreien Knoten im Cluster. Anschließend wird der fehlerhafte Host nach Möglichkeit in den VMware vSphere-Wartungsmodus versetzt. VMware vMotion verschiebt die virtuellen Computer vom fehlerhaften Host auf andere verfügbare Server im Cluster. Hierbei ist es unter Umständen möglich, eine Livemigration von Workloads ohne Ausfallzeiten durchzuführen. Wenn der fehlerhafte Host nicht in den Wartungsmodus versetzt werden kann, wird er aus dem Cluster entfernt.
In Azure VMware Solution werden die folgenden Bedingungen auf dem Host überwacht:
- Prozessorstatus
- Speicherstatus
- Verbindung und Betriebszustand
- Zustand des Hardwarelüfters
- Verlust der Netzwerkkonnektivität
- Zustand der Hardware-Hauptplatine
- Auf den Datenträgern eines vSAN-Hosts aufgetretene Fehler
- Hardwarespannung
- Hardware-Temperaturstatus
- Hardware-Betriebszustand
- Speicherstatus
- Verbindungsfehler
Private Clouds, Cluster und Hosts in Azure
Azure VMware Solution bietet private Clouds, die vSphere-Cluster beinhalten. Diese Cluster werden aus dedizierten Bare-Metal-Azure-Hosts erstellt.
Jede private Cloud kann über mehrere Cluster verfügen, die alle vom selben vCenter Server und NSX-T Manager verwaltet werden. Private Clouds werden innerhalb eines Azure-Abonnements installiert und verwaltet. Die Anzahl der privaten Clouds innerhalb eines Abonnements ist skalierbar. Anfänglich besteht eine Begrenzung von einer privaten Cloud pro Abonnement.
Für jede erstellte private Cloud gibt es standardmäßig einen vSphere-Cluster. Sie können Cluster über das Azure-Portal oder die API hinzufügen, löschen und skalieren. Microsoft bietet Knotenkonfigurationen auf Basis der Kern-, Arbeitsspeicher- und Speicheranforderungen. Wählen Sie den Knotentyp aus, der für Ihre Region geeignet ist (in den meisten Fällen AV36).
Minimale und maximale Knotenkonfigurationen sind:
- Mindestens drei Knoten in einem Cluster
- Mindestens 16 Knoten in einem Cluster
- Maximal 12 Cluster in einer privaten Azure-Cloud
- Maximal 96 Knoten in einer privaten Azure-Cloud
Jeder der High-End-Hosts verfügt über 576 GB RAM und duale Intel-Prozessoren mit 18 Kernen und 2,3 GHz. Die High-End-Hosts sind mit zwei vSAN-Datenträgergruppen mit einer vSAN-Rohkapazitätsebene von 15,20 TB (SSD) und einer vSAN-Cacheebene mit 3,2 TB (NVMe) ausgestattet.
Sie verwenden vSphere und NSX-T Manager, um die meisten Aspekte der Clusterkonfiguration oder des Clusterbetriebs zu verwalten. Der gesamte lokale Speicher für die einzelnen Hosts in einem Cluster befindet sich unter der Kontrolle von vSAN. Jeder ESXi-Host in der Lösung ist mit vier Netzwerkadaptern mit 25 GBit/s konfiguriert. Dabei werden zwei Netzwerkadapter für den ESXi-Systemdatenverkehr und zwei Netzwerkadapter für den Workloaddatenverkehr bereitgestellt.
Für neue Bereitstellungen von Clustern in privaten Cloudclustern in Azure VMware Solution werden die folgenden VMware-Softwareversionen verwendet:
| Software | Version |
|---|---|
| VMware vCenter Server | 7.0 U3c |
| ESXi | 7.0 U3c |
| vSAN | 7.0 U3c |
| vSAN-Datenträgerformat | 10 |
| HCX | 4.4.2 |
| VMware NSX-T Rechenzentrum HINWEIS: VMware NSX-T Data Center ist die einzige unterstützte Version von NSX Data Center. |
3.1.2 |
NSX-T ist die einzige unterstützte Version von NSX. Wenn neue Cluster einer vorhandenen privaten Cloud hinzugefügt werden, wird die aktuell ausgeführte Softwareversion übernommen.
Nach der Bereitstellung von Azure VMware Solution in Ihrem Abonnement werden automatisch Azure Monitor-Protokolle generiert. Mithilfe von Azure Monitor-Protokollen können Sie VM-Muster in Azure VMware Solution überwachen.
Interkonnektivität in Azure
Auf die private Cloudumgebung für Azure VMware Solution kann von lokalen und Azure-basierten Ressourcen aus zugegriffen werden. Die folgenden Dienste stellen Interkonnektivität bereit:
- Azure ExpressRoute
- VPN-Verbindungen
- Azure Virtual WAN
Die folgende Abbildung zeigt die Interkonnektivitätsmethoden „ExpressRoute“ und „ExpressRoute Global Reach“ für Azure VMware Solution.
Für diese Dienste müssen Sie bestimmte Netzwerkadressbereiche und Firewallports aktivieren.
Sie können ein vorhandenes ExpressRoute-Gateway verwenden, um eine Verbindung mit Azure VMware Solution herzustellen, sofern der Grenzwert von vier ExpressRoute-Verbindungen pro virtuellem Netzwerk nicht überschritten wird. Für den Zugriff auf Azure VMware Solution von einem lokalen Rechenzentrum aus über ExpressRoute benötigen Sie ExpressRoute Global Reach.
ExpressRoute Global Reach wird verwendet, um private Clouds mit lokalen Umgebungen zu verbinden. Die Verbindung erfordert ein virtuelles Netzwerk mit einer ExpressRoute-Leitung zur lokalen Umgebung in Ihrem Abonnement. Es gibt zwei Optionen für die Interkonnektivität in der privaten Cloud für Azure VMware Solution:
Die allgemeine reine Azure-Interkonnektivität ermöglicht Ihnen die Verwaltung und Nutzung Ihrer privaten Cloud mit nur einem einzelnen virtuellen Netzwerk in Azure. Diese Implementierung eignet sich am besten für Azure VMware Solution-Evaluierungen oder -Implementierungen, die keinen Zugriff von lokalen Umgebungen erfordern.
Eine vollständige Interkonnektivität zwischen dem lokalen Rechenzentrum und der privaten Cloud erweitert die allgemeine, reine Azure-Implementierung um die Interkonnektivität zwischen lokalen Umgebungen und privaten Azure VMware Solution-Clouds.
Während der Bereitstellung einer privaten Cloud werden die privaten Netzwerke für die Verwaltung, die Bereitstellung und vMotion erstellt. Diese privaten Netzwerke werden für den Zugriff auf vCenter und NSX-T Manager sowie vMotion oder die Bereitstellung von VMs verwendet.
Speicher in der privaten Cloud
Azure VMware Solution verwendet nativen, vollständig konfigurierten All-Flash-vSAN-Speicher, der für den Cluster lokal ist. Der gesamte lokale Speicher jedes Hosts in einem Cluster wird in einem vSAN-Datenspeicher verwendet, und die Verschlüsselung ruhender Daten ist standardmäßig aktiviert.
Alle Datenträgergruppen verwenden eine NVMe-Cacheebene von 1,6 TB mit SSD-basierter Rohkapazität von 15,4 TB pro Host. Auf jedem Knoten des vSphere-Clusters werden zwei Datenträgergruppen erstellt. Jede Datenträgergruppe enthält einen Cachedatenträger und drei Kapazitätsdatenträger. Alle Datenspeicher werden im Rahmen einer privaten Cloudbereitstellung erstellt und können sofort verwendet werden.
Eine Richtlinie wird im vSphere-Cluster erstellt und auf den vSAN-Datenspeicher angewendet. Sie legt fest, wie die VM-Speicherobjekte im Datenspeicher bereitgestellt und zugeordnet werden, um die erforderliche Dienstebene zu gewährleisten. Zur Einhaltung der Vereinbarung zum Servicelevel muss im vSAN-Datenspeicher eine freie Kapazität von 25 Prozent beibehalten werden.
Sie können Azure-Speicherdienste in Workloads verwenden, die in Ihrer privaten Cloud ausgeführt werden. Die folgende Abbildung zeigt die verfügbaren Speicherdienste, die Sie mit Azure VMware Solution verwenden können.
Sicherheit und Compliance
Für den Zugriff und die Sicherheit wird von privaten Azure VMware Solution-Clouds die rollenbasierte Zugriffssteuerung von vSphere verwendet. Sie können Benutzer*innen und Gruppen in Active Directory mit der Rolle „CloudAdmin“ mithilfe von LDAP oder LDAPS konfigurieren.
In Azure VMware Solution weist vCenter über eine integrierte lokale benutzende Person namens cloudadmin die Rolle cloudAdmin zu. Die cloudAdmin-Rolle verfügt über vCenter-Berechtigungen, die von anderen VMware-Cloudlösungen abweichen:
Der lokale cloudadmin-Benutzer kann eine Identitätsquelle verknüpfen, sodass Active Directory-Administratoren Azure VMware Solution-Benutzern Berechtigungen erteilen können.
Bei einer Azure VMware Solution-Bereitstellung hat die Fachkraft in der IT-Verwaltung keinen Zugriff auf das Benutzerkonto der Fachkraft in der IT-Verwaltung. Der Administrator kann der cloudAdmin-Rolle in vCenter jedoch Active Directory-Benutzer und -Gruppen zuweisen.
Der Benutzer der privaten Cloud hat keinen Zugriff auf bestimmte Verwaltungskomponenten, die von Microsoft unterstützt und verwaltet werden, und kann diese auch nicht konfigurieren. Beispiele für diese Komponenten sind Cluster, Hosts, Datenspeicher und verteilte virtuelle Switches.
Azure VMware Solution bietet Sicherheit für vSAN-Speicherdatenspeicher mithilfe der standardmäßig aktivierten Verschlüsselung ruhender Daten. Die Verschlüsselung basiert auf dem Schlüsselverwaltungsdienst und unterstützt vCenter-Vorgänge für die Schlüsselverwaltung. Schlüssel werden verschlüsselt gespeichert und von einem Azure Key Vault-Hauptschlüssel umschlossen. Wenn ein Host aus einem Cluster entfernt wird, werden die Daten auf SSDs sofort ungültig. Die folgende Abbildung veranschaulicht die Beziehung der Verschlüsselungsschlüssel zu Azure VMware Solution.
Schritte für das Bereitstellen von Azure VMware Solution
In der folgenden Tabelle werden die Schritte beschrieben, die eine Organisation für die Einführung von Azure VMware Solution unternehmen muss.
| Meilenstein | Schritte |
|---|---|
| Planen | Planen der Bereitstellung von Azure VMware Solution: – Bewerten – Anfordern eines Kontingents – Identifizieren des Hosts – Bestimmen der Größe und Konnektivität |
| Bereitstellen | Bereitstellen und Konfigurieren von Azure VMware Solution: – Registrieren des Ressourcenanbieters „Microsoft.AVS“ – Erstellen einer privaten Cloud für Azure VMware Solution – Herstellen einer Verbindung mit Azure Virtual Network über ExpressRoute – Prüfen der Verbindung |
| Herstellen einer Verbindung mit der lokalen Umgebung | – Erstellen eines ExpressRoute-Autorisierungsschlüssels in der lokalen ExpressRoute-Verbindung – Peering der privaten Cloud mit der lokalen Umgebung – Überprüfen der Netzwerkkonnektivität der lokalen Umgebung |
| Bereitstellen und Konfigurieren von VMware HCX | Bereitstellen und Konfigurieren von VMware HCX: – Herunterladen der OVA-Datei für den VMware HCX-Connector – Bereitstellen der lokalen OVA-Datei für VMware HCX (VMware HCX-Connector). – Aktivieren des VMware HCX-Connectors – Koppeln Ihres lokalen VMware HCX-Connectors mit Ihrem HCX-Cloudmanager für Azure VMware Solution – Konfigurieren der Verbindungen (Netzwerkprofil, Computeprofil und Dienstmesh) – Abschließen des Setups, indem Sie den Gerätestatus überprüfen und prüfen, ob eine Migration möglich ist |