Partager via

Établissez une connectivité réseau inter-locataire pour les SDDC Azure VMware Solution.

  • Article

Cet article décrit comment configurer des centres de données définis par logiciel (SDDC) Azure VMware Solution dans un environnement inter-locataire. Il fournit des conseils sur la manière d’établir la connectivité réseau à l’aide d’Azure Virtual WAN et d’appliances virtuelles réseau (NVA) exécutées dans un réseau virtuel spoke. Le réseau virtuel spoke se connecte à Virtual WAN.

Architecture

L’architecture suivante montre la connectivité entre les SDDC Azure VMware Solution inter-locataires, Azure et un environnement sur site.

Diagramme montrant les SDDC Azure VMware Solution inter-locataires avec Virtual WAN et NVA.

Connectivité

La connectivité réseau dans un environnement inter-locataire consiste en les connexions suivantes.

Connectivité SDDC-à-SDDC Azure VMware Solution

La connectivité entre deux SDDC Azure VMware Solution que vous déployez entre locataires dépend du pod dans lequel ils sont déployés. Utilisez les instructions suivantes pour identifier les pods dans lesquels vous déployez les SDDC.

  1. Dans le portail Azure, accédez à Azure VMware Solution.
  2. Sélectionnez Gérer, puis sélectionnez Clusters.
  3. Sélectionnez les trois points, puis sélectionnez Modifier.
  4. Notez la valeur FQDN de l’hôte. La lettre p précède le numéro du pod.

Répétez le même processus pour les autres SDDC. Déterminez s’ils partagent des pods communs. L’image suivante montre des hôtes SDDC déployés dans le pod 1.

Diagramme montrant le pod Azure VMware Solution.

Remarque

Vous ne pouvez pas sélectionner un pod lors du déploiement d’un SDDC Azure VMware Solution. L’affectation des pods n’est pas prédéterminée, donc le nœud exact qu’un planificateur attribue à un pod peut varier à chaque exécution d’un processus.

Après avoir identifié les pods que partagent les SDDC, choisissez l’une des options suivantes :

  • Interconnexion Azure VMware Solution (Global Reach) : Utilisez cette option lorsque deux SDDC sont dans la même région Azure et ne partagent pas de pods communs entre eux. Cette option établit une connexion ExpressRoute Global Reach entre deux circuits ExpressRoute SDDC. Cette option permet également la connectivité transitive. La connectivité transitive signifie que les routes que le circuit ExpressRoute SDDC apprend des SDDC, Virtual WAN, et des réseaux virtuels spoke directs de Virtual WAN sont également annoncées à travers le locataire vers l’autre circuit ExpressRoute SDDC, les SDDC, Virtual WAN, et les réseaux virtuels spoke directs de Virtual WAN.

  • Utiliser l’interconnexion Azure VMware Solution (sans Global Reach) : Utilisez cette option lorsque deux SDDC sont dans la même région Azure et partagent un pod commun entre eux. Cette option ne fournit pas de connectivité transitive inter-locataire pour les routes que Virtual WAN et ses réseaux virtuels spoke directs annoncent.

  • Utiliser Azure VMware Solution ExpressRoute Global Reach : Utilisez cette option lorsque deux SDDC sont dans des régions Azure différentes, qu’ils partagent un pod ou non. Cette option fournit une connectivité transitive inter-locataire pour les routes que Virtual WAN et ses réseaux virtuels spoke directs annoncent.

Toutes ces options peuvent établir une connectivité réseau entre deux SDDC. L’option que vous choisissez affecte la connectivité SDDC-à-Azure Azure VMware Solution.

Remarque

Vous pouvez utiliser un modèle en libre-service pour établir la connectivité réseau entre deux SDDC. Mais si les SDDC fonctionnent sur des clusters étendus, vous devez soumettre un ticket de support.

Connectivité SDDC-à-Azure Azure VMware Solution

Dans cette architecture, chaque SDDC se connecte à Virtual WAN, et chaque instance Virtual WAN fonctionne dans son propre locataire Microsoft Entra. Utilisez la procédure suivante pour établir la connectivité.

  1. Dans le portail Azure, Azure CLI ou PowerShell, créez une clé d’autorisation Azure VMware Solution SDDC.

  2. Dans Virtual WAN, créez un hub et une passerelle ExpressRoute.

  3. Pour établir la connectivité entre le SDDC et Virtual WAN, utilisez la clé d’autorisation.

D’autres réseaux virtuels Azure se connectent également à cette Virtual WAN.

  • Les réseaux virtuels spoke directs se connectent directement à Virtual WAN via la connexion réseau virtuel de Virtual WAN. Un réseau virtuel spoke peut exécuter une NVA qui y est déployée. La NVA inspecte et contrôle le trafic sortant d’Azure et du SDDC Azure VMware Solution.

  • Les réseaux virtuels spoke indirects se connectent aux réseaux virtuels spoke directs. Ils ne se connectent pas directement à Virtual WAN. Les réseaux virtuels spoke indirects hébergent des charges de travail exécutées dans Azure. Les NVA qui fonctionnent dans les réseaux virtuels spoke directs inspectent le trafic réseau provenant des réseaux virtuels spoke indirects.

Utilisez les configurations suivantes pour établir une connectivité directe et indirecte entre les SDDC et les réseaux virtuels dans Azure.

  • Les spoke directs peuvent se connecter à un SDDC exécuté dans leur propre locataire via la connectivité entre Virtual WAN et le SDDC.

  • Les spoke directs peuvent se connecter à un SDDC fonctionnant dans un autre locataire via l’interconnexion Azure VMware Solution (Global Reach) ou la connectivité Azure VMware Solution Global Reach.

  • Les spoke indirects ne se connectent pas à un SDDC dans leur locataire par défaut. Vous pouvez associer une route définie par l’utilisateur (UDR) aux spoke indirects. Une UDR a les préfixes SDDC dans leur locataire comme réseau de destination et un spoke direct dans leur propre locataire comme prochain saut.

  • Les spoke indirects ne se connectent pas à un SDDC dans l’autre locataire par défaut. Vous pouvez associer une UDR aux spoke indirects. Une UDR a les préfixes SDDC dans l’autre locataire comme réseau de destination et un spoke direct dans leur propre locataire comme prochain saut. Cette connectivité nécessite soit une interconnexion Azure VMware Solution (Global Reach), soit une connectivité Global Reach Azure VMware Solution entre les SDDC.

Remarque

Utilisez ces recommandations pour un seul hub qui se connecte à un réseau virtuel spoke hébergeant une solution NVA. Si vous avez plusieurs hubs devant se connecter à un SDDC Azure VMware Solution, utilisez une architecture réseau en maillage complet.

Connectivité SDDC-à-site sur site Azure VMware Solution

Utilisez Global Reach pour établir la connectivité entre chaque SDDC Azure VMware Solution et l’environnement sur site. Dans ce scénario, chaque circuit ExpressRoute SDDC et le circuit ExpressRoute sur site se connectent entre eux. Les routes sur site que le circuit ExpressRoute SDDC apprend via une connexion Global Reach sont non transitives. Ces routes ne sont pas annoncées dans tout le locataire, même si vous disposez de la connectivité SDDC-à-SDDC Azure VMware Solution.

La connectivité SDDC-à-sur site coexiste avec la connectivité SDDC-à-SDDC inter-locataires. Dans une telle configuration, un circuit ExpressRoute SDDC apprend les routes sur site via une connexion Global Reach et apprend également les routes du Virtual WAN inter-locataires via la connectivité SDDC-à-SDDC. Le Virtual WAN ou le SDDC inter-locataire ne doit pas annoncer les préfixes sur site par d’autres moyens, comme une route statique ou une connexion VPN. Si cela se produit, le circuit ExpressRoute SDDC apprend des routes en double pour l’environnement sur site, ce qui crée une boucle de routage et interrompt la connectivité.

Si l’environnement sur site dispose de plusieurs circuits ExpressRoute pour la redondance, utilisez le préfixe AS public pour privilégier un circuit par rapport à l’autre.

Remarque

La connectivité SDDC-à-sur site coexiste avec la connectivité Azure-à-sur site. Vous pouvez utiliser une passerelle ExpressRoute dans Virtual WAN pour vous connecter au circuit ExpressRoute SDDC et au circuit ExpressRoute sur site. Cependant, cette connectivité n’est pas transitive.

Connectivité Azure vers Azure

Les réseaux virtuels directs et indirects doivent communiquer entre eux dans le même locataire Azure et entre les locataires Azure. Utilisez les méthodes suivantes pour établir des connexions.

Établir des connexions dans le même locataire

  • Connectez des spoke directs entre eux via une connexion réseau virtuel Virtual WAN.

  • Connectez des spoke directs à des spoke indirects via l’appairage de réseaux virtuels.

  • Connectez des spoke indirects à des spoke directs via l’appairage de réseaux virtuels.

  • Connectez des spoke indirects entre eux via l’appairage de réseaux virtuels avec un spoke direct et une UDR que vous associez au spoke direct. Une UDR a un préfixe spoke indirect comme réseau de destination et une NVA dans le spoke direct comme prochain saut. Configurez la NVA dans le spoke direct pour transférer le trafic via sa carte d’interface réseau (NIC).

Établir des connexions entre locataires

  • Connectez des spoke directs à des spoke directs inter-locataires via l’appairage global de réseaux virtuels.

  • Connectez des spoke directs à des spoke indirects inter-locataires via l’appairage global de réseaux virtuels entre les spokes directs et les UDR que vous associez au spoke direct. Une UDR a un préfixe spoke indirect inter-locataire comme réseau de destination et une NVA dans le spoke direct inter-locataire comme prochain saut.

  • Connectez des spoke indirects à des spoke directs inter-locataires via l’appairage global de réseaux virtuels entre les réseaux virtuels spoke directs et une UDR que vous associez aux réseaux virtuels spoke directs. L’UDR a un préfixe spoke direct inter-locataire comme réseau de destination et une NVA dans son propre spoke direct comme prochain saut.

  • Connectez des spoke indirects à des spoke indirects inter-locataires via l’appairage global de réseaux virtuels entre les réseaux virtuels spoke directs et une UDR que vous associez aux réseaux virtuels spoke directs. L’UDR a un préfixe spoke indirect inter-locataire comme réseau de destination et une NVA dans son propre spoke direct comme prochain saut.

Connectivité Azure-à-site sur site

Utilisez le circuit ExpressRoute sur site et la passerelle ExpressRoute de Virtual WAN pour établir la connectivité Azure-à-sur site. La connectivité entre le circuit ExpressRoute SDDC Azure VMware Solution et la même passerelle ExpressRoute sur site n’est pas transitive. La connexion entre le réseau virtuel spoke direct et Virtual WAN via l’appairage global de réseaux virtuels n’est également pas transitive. Le spoke indirect qui se connecte à Virtual WAN doit disposer d’une UDR ayant un préfixe sur site comme réseau de destination et une NVA exécutée dans le spoke direct comme prochain saut.

Détails du scénario

Cet article couvre les scénarios suivants. Vous pouvez appliquer ces scénarios pour des migrations inter-locataires ou des accès aux charges de travail.

  • Connectivité inter-locataires SDDC-à-SDDC Azure VMware Solution
  • Connectivité Azure-à-Azure inter-locataires
  • Accès réseau inter-locataires entre un SDDC Azure VMware Solution et des réseaux virtuels Azure
  • Accès réseau inter-locataires entre un SDDC Azure VMware Solution et un environnement sur site
  • Inspection et contrôle du trafic réseau inter-locataires via une NVA fonctionnant dans un réseau virtuel connecté à Virtual WAN.

Dans un environnement inter-locataires, le SDDC Azure VMware Solution, son circuit ExpressRoute associé et Virtual WAN peuvent créer une expérience de migration ou d’accès aux charges de travail complexe. Le circuit ExpressRoute associé au SDDC Azure VMware Solution se connecte au SDDC et à la passerelle ExpressRoute de Virtual WAN. Le circuit ExpressRoute apprend les routes annoncées par le SDDC Azure VMware Solution et Virtual WAN. Le circuit ExpressRoute annonce ces routes à travers le locataire vers l’autre SDDC Azure VMware Solution et Virtual WAN connectés au circuit. Planifiez soigneusement votre configuration pour éviter la propagation cyclique des routes entre Virtual WAN, le circuit ExpressRoute SDDC et la passerelle ExpressRoute de Virtual WAN.

Cas d’usage potentiels

Tenez compte des scénarios suivants qui peuvent tirer parti de cette architecture :

  • Les multinationales exécutent des SDDC Azure VMware Solution dans différents locataires Microsoft Entra.

  • Une entreprise subit une scission ou un processus de cession, ce qui entraîne des entités commerciales distinctes avec des locataires Microsoft Entra distincts. Chaque entité commerciale distincte nécessite un accès à un environnement sur site commun et un accès inter-locataires aux SDDC Azure VMware Solution et à d’autres ressources Azure.

  • Deux entreprises distinctes ont leurs propres locataires Microsoft Entra distincts mais nécessitent toujours un accès inter-locataires aux charges de travail exécutées dans les SDDC Azure VMware Solution et Azure.

Étapes suivantes