Planification de la topologie de réseau pour un déploiement Azure VMware Solution
Azure VMware Solution fournit un environnement de cloud privé auquel vous pouvez accéder à partir d’environnements ou de ressources locaux et basés sur Azure. L’étape suivante du déploiement Azure VMware Solution implique un plan de topologie réseau.
L’environnement Azure VMware Solution dans Azure doit transférer le trafic réseau vers les services Azure et les environnements VMware locaux. Un circuit Azure ExpressRoute dédié offre une connectivité aux ressources et services Azure à partir d’Azure VMware Solution. Un circuit Azure ExpressRoute distinct fourni par le client permet la connexion aux environnements VMware locaux. Pour établir une connectivité réseau, des plages d’adresses IP et des ports de pare-feu spécifiques doivent être activés. Quand Azure VMware Solution est déployé, des réseaux privés sont créés pour les composants vSphere suivants :
- Gestion
- Approvisionnement
- VMware vMotion
Vous utilisez ces réseaux privés pour accéder à vCenter Server, NSX Manager et vMotion.
Segments d’adresses IP
L’adressage IP doit être planifié avant le déploiement du cloud privé Azure VMware Solution. Le service nécessite un bloc d'adresse réseau CIDR /22 que vous fournissez. Le CIDR /22 est requis pour les composants de gestion d’Azure VMware Solution. Les segments de charge de travail sur lesquels les machines virtuelles (VM) sont déployées auront une plage d’adresses IP différente. Vous pouvez le faire en créant des segments de réseau dans NSX Manager.
Le CIDR de gestion est automatiquement divisé en segments plus petits. Ces segments IP sont utilisés pour vCenter Server, VMware HCX, NSX et VMware vMotion. Azure VMware Solution, votre environnement Azure existant et votre environnement local devront échanger des itinéraires pour migrer les machines virtuelles vers Azure. Le bloc d’adresses réseau CIDR /22 que vous définissez ne doit pas chevaucher les blocs d’adresses réseau déjà configurés sur site ou dans Azure.
Un segment d’IP de machine virtuelle doit être construit pour créer le premier segment NSX dans le cloud privé Azure VMware Solution. Le segment d’IP de machine virtuelle permet le déploiement de machines virtuelles sur Azure VMware Solution. En option, les segments de réseau peuvent être étendus d’un environnement VMware sur site à Azure VMware Solution à l’aide de l’extension réseau VMware HCX Layer 2. Les réseaux sur site doivent se connecter à un commutateur distribué vSphere (vDS) car les commutateurs standard vSphere ne peuvent pas être étendus à l'aide de VMware HCX.
Exemple de répartition de sous-réseau
Le tableau suivant montre un exemple de la manière dont le bloc d'adresses réseau CIDR /22 (10.5.0.0/22 dans cet exemple) est découpé en différents segments IP :
| Utilisation du réseau | Subnet | Exemple |
|---|---|---|
| Gestion de cloud privé | /26 | 10.5.0.0/26 |
| Migrations HCX | /26 | 10.5.0.64/26 |
| Global Reach, réservé | /26 | 10.5.0.128/26 |
| ExpressRoute, réservé | /27 | 10.5.0.192/27 |
| Appairage ExpressRoute | /27 | 10.5.0.224/27 |
| Gestion ESXi | /25 | 10.5.1.0/25 |
| Réseau vMotion | /25 | 10.5.1.128/25 |
| Réseau de réplication | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| Liaison montante HCX | /26 | 10.5.3.0/26 |
| Réservé | 3 blocs /26 | 10.5.3.64/26, 10.5.3.128/26, 10.5.3.192/26 |
Connectivité réseau de la solution Azure VMware
Après le déploiement d’Azure VMware Solution, l’établissement de la connectivité réseau devient l’étape suivante pour un déploiement réussi.
Le cloud privé Azure VMware Solution est déployé sur des serveurs bare-metal dédiés qui sont exclusivement attribués à un seul client. Pour utiliser les ressources Azure, ces serveurs doivent se connecter au réseau principal Azure. La solution Azure VMware fournit un circuit Azure ExpressRoute qui permet la communication entre le cloud privé Azure VMware Solution et les services Azure. Pour vous connecter à un environnement local via ExpressRoute, vous pouvez configurer ExpressRoute Global Reach sur votre circuit ExpressRoute existant.
Prérequis liés à ExpressRoute et au routage
Il existe deux types d’interconnectivité pour Azure VMware Solution :
- Interconnectivité de base uniquement Azure : Azure VMware Solution se connecte à un réseau virtuel Azure à l’aide d’une connexion ExpressRoute qui se déploie avec la ressource. Le circuit ExpressRoute fourni par Azure VMware Solution établit une connectivité vers et depuis le cloud privé Azure VMware Solution pour d’autres services Azure comme Azure Monitor et Microsoft Defender pour le cloud.
- Interconnectivité complète sur site vers un cloud privé : Ce modèle de connectivité étend l’implémentation d’interconnectivité de base pour inclure l’interconnectivité entre les clouds privés sur site et Azure VMware Solution. Vous pouvez configurer cette connexion via un circuit ExpressRoute fourni par le client, entre autres méthodes. Vous pouvez utiliser un circuit existant ou en acheter un.
ExpressRoute Global Reach sert de choix par défaut pour la connectivité hybride dans Azure VMware Solution. Cependant, il existe des scénarios dans lesquels Global Reach peut ne pas être applicable, soit en raison de son indisponibilité dans votre région, soit en raison d'exigences spécifiques de réseau ou de sécurité qui ne peuvent pas être satisfaites par Global Reach. Dans de tels cas, vous pouvez envisager de faire transiter des données via ExpressRoute Private Peering ou d'utiliser un VPN IPSec.
Le circuit ExpressRoute fourni par le client ne fait pas partie du déploiement du cloud privé Azure VMware Solution.
Prérequis pour ExpressRoute Global Reach
Vous devez répondre à quelques prérequis avant de configurer ExpressRoute Global Reach.
- Un circuit ExpressRoute distinct fourni par le client est nécessaire. Ce circuit est utilisé pour connecter des environnements locaux à Azure.
- Toutes les passerelles, y compris le service du fournisseur ExpressRoute, doivent prendre en charge les numéros de système autonome (ASN) sur 4 octets. Azure VMware Solution utilise des numéros ASN publics à 4 octets pour publier les routes réseau.
Ports réseau requis
Si l’infrastructure réseau locale est restrictive, les ports suivants doivent être autorisés :
| Source | Destination | Protocol | Port |
|---|---|---|---|
| Serveur DNS cloud privé Azure VMware Solution | Serveur DNS local | UDP | 53 |
| Serveur DNS local | Serveur DNS Azure VMware Solution | UDP | 53 |
| Réseau local | Serveur Azure VMware Solution vCenter | TCP (HTTP/HTTPS) | 80, 443 |
| Réseau de gestion de cloud privé Azure VMware Solution | Active Directory local | TCP | 389/636 |
| Réseau de gestion de cloud privé Azure VMware Solution | Catalogue global Active Directory local | TCP | 3268/3269 |
| Réseau local | Gestionnaire cloud HCX | TCP (HTTPS) | 9443 |
| Réseau Administration local | Gestionnaire cloud HCX | SSH | 22 |
| HCX Manager | Interconnect (HCX-IX) | TCP (HTTPS) | 8123 |
| HCX Manager | Interconnect (HCX-IX), Network Extension (HCX-NE) | TCP (HTTPS) | 9443 |
| Interconnect (HCX-IX) | Connectivité de couche 2 | TCP (HTTPS) | 443 |
| HCX Manager, Interconnect (HCX-IX) | Hôtes ESXi | TCP | 80, 443, 902 |
| Interconnect (HCX-IX), Network Extension (HCX-NE) à la source | Interconnect (HCX-IX), Network Extension (HCX-NE) à la destination | UDP | 4500 |
| Interconnexion locale (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 500 |
| Réseau vCenter Server local | Réseau de gestion Azure VMware Solution | TCP | 8000 |
| Connecteur HCX | connector.hcx.vmware.com hybridity.depot.vmware.com | TCP | 443 |
Éléments à prendre en considération pour la résolution DNS et DHCP
Les machines virtuelles (VM) exécutées dans Azure VMware Solution nécessitent une résolution de nom. Les machines virtuelles risquent aussi d’avoir besoin des services DHCP pour la recherche et l’attribution d’adresses IP. Vous pouvez configurer une machine virtuelle locale ou une machine virtuelle Azure pour faciliter la résolution de noms. Vous pouvez utiliser le service DHCP intégré à NSX ou choisir d’utiliser un serveur DHCP local dans le cloud privé Azure VMware Solution. La configuration du service DHCP dans Azure VMware Solution ne demande pas que le routage des diffusions du trafic DHCP via le réseau WAN revienne à l’environnement local.
Dans l’unité suivante, nous allons procéder au déploiement d’Azure VMware Solution. Nous décrivons toutes les étapes pour que vous puissiez déployer le service dans votre environnement.