Establecer la conectividad de red entre inquilinos para los SDDC de la solución de VMware en Azure

En este artículo se describe cómo configurar centros de datos definidos por software (SDDC) de la solución de VMware en Azure en un entorno entre inquilinos. Proporciona instrucciones sobre cómo establecer la conectividad de red mediante Azure Virtual WAN y dispositivos virtuales de red (NVA) que se ejecutan en una red virtual radial. La red virtual radial se conecta a Virtual WAN.

Arquitectura

En la siguiente arquitectura muestra la conectividad entre los SDDC de la solución de VMware en Azure entre inquilinos, Azure y un entorno local.

Conectividad

La conectividad de red en un entorno entre inquilinos consta de las siguientes conexiones.

• Conectividad de SDDC a SDDC de la solución de VMware en Azure
• Conectividad de SDDC a Azure de la solución de VMware en Azure
• Conectividad de SDDC a entorno local de la solución de VMware en Azure
• Conectividad de Azure a Azure
• Conectividad de Azure a entorno local

Conectividad de SDDC a SDDC de la solución de VMware en Azure

La conectividad entre dos SDDC de la solución de VMware en Azure que implemente en los inquilinos depende del pod en el que los implemente. Use las instrucciones siguientes para identificar los pods en los que se implementan los SDDC.

1. En un portal de Azure, vaya a la solución de VMware en Azure.
2. Seleccione Administrar y, a continuación seleccione Clústeres.
3. Seleccione los tres puntos y, a continuación, seleccione Editar.
4. Anote el valor del FQDN del host. La letra p precede al número de pod.

Repita el mismo proceso para otros SDDC. Determine si comparten pods comunes. En la imagen siguiente se muestran los hosts de SDDC que se implementan en el pod 1.

Nota:

No puede seleccionar un pod durante una implementación de SDDC de la solución de VMware en Azure. La asignación de pods no está predeterminada, por lo que el nodo exacto que un programador asigna a un pod puede variar cada vez que se ejecuta un proceso.

Después de identificar los pods que comparten los SDDC, elija una de las siguientes opciones:

• Interconexión de la solución de VMware en Azure (Global Reach): use esta opción cuando dos SDDC estén en la misma región de Azure y no compartan pods comunes entre ellos. Esta opción establece una conexión Global Reach del circuito ExpressRoute entre dos circuitos ExpressRoute de SDDC. Esta opción también habilita la conectividad transitiva. La conectividad transitiva significa que las rutas que aprende el circuito ExpressRoute de SDDC, Virtual WAN, las redes virtuales radiales directas de Virtual WAN también se anuncian en el inquilino en el otro circuito ExpressRoute de SDDC, SDDC, Virtual WAN y las redes virtuales radiales directas de Virtual WAN.

• Usar la interconexión de la solución de VMware en Azure (no Global Reach): use esta opción cuando dos SDDC estén en la misma región de Azure y compartan un pod común entre ellos. Esta opción no proporciona conectividad transitiva entre inquilinos para las rutas que anuncia Virtual WAN y sus redes virtuales radiales directas.

• Usar Global Reach de ExpressRoute de la solución de VMware en Azure: use esta opción cuando dos SDDC estén en regiones de Azure diferentes tanto si comparten un pod como si no. Esta opción proporciona conectividad transitiva entre inquilinos para las rutas que anuncia Virtual WAN y sus redes virtuales radiales directas.

Todas estas opciones pueden establecer la conectividad de red entre dos SDDC. La opción que elija afecta a la conectividad de SDDC a Azure de la solución de VMware en Azure.

Nota:

Puede usar un modelo de autoservicio para establecer la conectividad de red entre dos SDDC. Pero si los SDDC se ejecutan en clústeres extendidos, debe generar una incidencia de soporte técnico.

Conectividad de SDDC a Azure de la solución de VMware en Azure

En esta arquitectura, cada SDDC se conecta a Virtual WAN y cada instancia de Virtual WAN se ejecuta en su propio inquilino de Microsoft Entra. Use el siguiente procedimiento para establecer la conectividad.

1. En Azure Portal, la CLI de Azure o PowerShell, cree una clave de autorización de SDDC de la solución de VMware en Azure.

2. En una Virtual WAN, cree un centro y una puerta de enlace de ExpressRoute.

3. Para establecer la conectividad entre el SDDC y Virtual WAN, canjee la clave de autorización.

Otras redes virtuales de Azure también se conectan a esta instancia de Virtual WAN.

• Las redes virtuales radiales directas se conectan directamente a la Virtual WAN a través de la conexión de red virtual de Virtual WAN. Una red virtual de radio puede ejecutar un NVA implementado en ella. El NVA inspecciona y controla el tráfico saliente de Azure y el SDDC de la solución de VMware en Azure.

• Las redes virtuales radiales indirectas se conectan a redes virtuales radiales directas. No se conectan directamente a una Virtual WAN. Las redes virtuales radiales indirectas hospedan cargas de trabajo que se ejecutan en Azure. Los NVA que se ejecutan en redes virtuales de radiales directas inspeccionan el tráfico de red que se origina en las redes virtuales radiales indirectas.

Use las siguientes configuraciones para establecer la conectividad directa e indirecta entre los SDDC y las redes virtuales en Azure.

• Los radios directos se pueden conectar a un SDDC que se ejecuta en su propio inquilino a través de la conectividad entre la Virtual WAN y el SDDC.

• Los radios directos se pueden conectar a un SDDC que se ejecuta en el otro inquilino a través de la interconexión de la solución de VMware en Azure (Global Reach) o la conectividad de Global Reach de la solución de VMware en Azure.

• Los radios indirectos no se conectan a un SDDC en su inquilino de forma predeterminada. Puede asociar una ruta definida por el usuario (UDR) con radios indirectos. Una UDR tiene prefijos SDDC en su inquilino como red de destino y un radio directo en su propio inquilino como próximo salto.

• Los radios indirectos no se conectan a un SDDC en el otro inquilino de forma predeterminada. Puede asociar una UDR con radios indirectos. Una UDR tiene prefijos SDDC en el otro inquilino como red de destino y un radio directo en su propio inquilino como próximo salto. Esta conectividad requiere la interconexión de la solución de VMware en Azure (Global Reach) o la conectividad de Global Reach de la solución de VMware en Azure entre los SDK.

Nota:

Use esta guía para un único centro que se conecta a una red virtual radial que hospeda una solución de NVA. Si tiene varios centros que necesitan conectarse a un SDDC de la solución de VMware en Azure, use una arquitectura de red de malla completa.

Conectividad de SDDC a entorno local de la solución de VMware en Azure

Use Global Reach para establecer la conectividad entre cada SDDC de la solución de VMware en Azure y el entorno local. En este escenario, cada circuito ExpressRoute de SDDC y el circuito ExpressRoute local están conectados entre sí. Las rutas locales que aprende el circuito ExpressRoute de SDDC a través de una conexión Global Reach no son transitivas. Las rutas no se anuncian en el inquilino aunque disponga de conectividad SDDC a SDDC de la solución de VMware en Azure.

La conectividad SDDC a local coexiste con la conectividad SDDC a SDDC entre inquilinos. En esta configuración, un circuito ExpressRoute de SDDC aprende rutas locales a través de una conexión Global Reach y también aprende rutas de Virtual WAN entre inquilinos a través de la conectividad SDDC a SDDC. Una Virtual WAN o un SDDC entre inquilinos no deben anunciar los prefijos locales a través de otros medios, como una ruta estática o una conexión VPN. Si esto ocurre, ExpressRoute de SDDC aprende rutas duplicadas para el entorno local, que crea un bucle de enrutamiento y interrumpe la conectividad.

Si el entorno local tiene varios circuitos ExpressRoute para redundancia, use el prefijo de ruta de AS público para preferir un circuito sobre el otro.

Nota:

La conectividad de SDDC a local coexiste con la conectividad de Azure a local. Puede usar una puerta de enlace de ExpressRoute en una Virtual WAN para conectarse con el circuito ExpressRoute de SDDC y el circuito ExpressRoute local. Pero esta conectividad no es transitiva.

Conectividad de Azure a Azure

Las redes virtuales directas e indirectas deben comunicarse entre sí en el mismo inquilino de Azure y en los inquilinos de Azure. Use los siguientes métodos para establecer conexiones.

Establecer conexiones dentro del mismo inquilino

• Conecte los radios directos entre sí a través de una conexión de red Virtual WAN.

• Conecte los radios directos con los indirectos a través del emparejamiento de red virtual.

• Conecte los radios indirectos con los directos a través del emparejamiento de red virtual.

• Conecte los radios indirectos entre sí a través del emparejamiento de red virtual con un radio directo y una UDR que asocie al radio directo. Una UDR tiene un prefijo de radio indirecto como la red de destino y una NVA en el radio directo como próximo salto. Configure el NVA en el radio directo para reenviar el tráfico a través de su tarjeta de interfaz de red (NIC).

Establecer conexiones en el inquilino

• Conecte radios directos con los radios directos entre inquilinos a través del emparejamiento de red virtual global.

• Conecte los radios directos con los radios indirectos entre inquilinos a través del emparejamiento de red virtual global entre radios directos y las UDR que asocie al radio directo. Una UDR tiene un prefijo de radio indirecto entre inquilinos como la red de destino y un NVA en el radio directo entre inquilinos como próximo salto.

• Conecte radios indirectos con radios directos entre inquilinos a través del emparejamiento de red virtual global entre redes virtuales de radio directo y una UDR que asocie a las redes virtuales de radio directas. La UDR tiene un prefijo de radio directo entre inquilinos como la red de destino y un NVA en su propio radio directo como próximo salto.

• Conecte radios indirectos con radios indirectos entre inquilinos a través del emparejamiento de red virtual global entre redes virtuales de radio directo y una UDR que asocie a las redes virtuales de radio directo. La UDR tiene un prefijo de radio indirecto entre inquilinos como la red de destino y un NVA en su propio radio directo como próximo salto.

Conectividad de Azure a entorno local

Use el circuito ExpressRoute local y la puerta de enlace de ExpressRoute de Virtual WAN para establecer la conectividad de Azure a local. La conectividad entre ExpressRoute del SDDC de la solución de VMware en Azure y la misma puerta de enlace de ExpressRoute local no es transitiva. La conexión entre la red virtual de radio directo y la Virtual WAN a través del emparejamiento de red virtual global también es no transitiva. El radio indirecto que se conecta a una Virtual WAN debe tener una UDR que tenga un prefijo local como red de destino y un NVA que se ejecute en el radio directo como próximo salto.

Detalles del escenario

Este artículo analiza los siguientes escenarios. Puede aplicar estos escenarios con fines de migración entre inquilinos o de acceso a la carga de trabajo.

• Conectividad de red SDDC a SDDC de la solución de VMware en Azure entre inquilinos
• Conectividad entre inquilinos de Azure a Azure
• Acceso a la red entre inquilinos entre un SDDC de la solución de VMware en Azure y redes virtuales de Azure
• Acceso de red entre inquilinos entre un SDDC de la solución de VMware en Azure y un entorno local
• Inspección y control del tráfico de red entre inquilinos a través de un NVA que se ejecuta en una red virtual que se conecta a una Virtual WAN

En un entorno entre inquilinos, el SDDC de la solución de VMware en Azure, su circuito de Azure ExpressRoute asociado y una Virtual WAN pueden crear una experiencia de migración o acceso a cargas de trabajo complejas. El circuito ExpressRoute asociado al SDDC de la solución de VMware en Azure se conecta con el SDDC y también con la puerta de enlace ExpressRoute de Virtual WAN. El circuito ExpressRoute aprende las rutas que anuncia el SDDC de la solución de VMware en Azure y la Virtual WAN. El circuito ExpressRoute anuncia esas rutas entre el inquilino y el otro SDDC de la solución de VMware en Azure y la Virtual WAN que se conectan al circuito. Planifique cuidadosamente su configuración para evitar la propagación cíclica de rutas entre Virtual WAN, el circuito SDDC ExpressRoute y la pasarela ExpressRoute de Virtual WAN.

Posibles casos de uso

Tenga en cuenta los siguientes escenarios que podrían beneficiarse de esta arquitectura:

• Las corporaciones multinacionales ejecutan el SDDC de la solución de VMware en Azure en diferentes inquilinos de Microsoft Entra.

• Una empresa se somete a un proceso de escisión o desinversión, que da lugar a entidades empresariales independientes que tienen inquilinos de Microsoft Entra independientes. Cada entidad empresarial independiente requiere acceso a un entorno local común y requiere acceso entre inquilinos al SDDC de la solución de VMware en Azure y a otros recursos de Azure.

• Dos empresas distintas tienen sus propios inquilinos de Microsoft Entra, pero necesitan acceso entre inquilinos a cargas de trabajo que se ejecutan tanto en el SDDC de la solución de VMware en Azure como en Azure.

Pasos siguientes

• Guía de diseño de red de Azure VMware Solution
• Lista de comprobación de planeamiento de la red

Recurso relacionado

• Preparación de la conectividad para Azure VMware Solution