Condividi tramite

Stabilire la connettività di rete tra tenant per soluzione Azure VMware SDDC

  • Articolo

Questo articolo descrive come configurare soluzione Azure VMware data center software-defined in un ambiente tra tenant. Fornisce indicazioni su come stabilire la connettività di rete usando Azure rete WAN virtuale e appliance virtuali di rete (NVA) eseguite in una rete virtuale spoke. La rete virtuale spoke si connette a rete WAN virtuale.

Architettura

L'architettura seguente illustra la connettività tra tenant soluzione Azure VMware SDDC, Azure e un ambiente locale.

Diagramma che mostra gli SDDC soluzione Azure VMware tra tenant con rete WAN virtuale e appliance virtuali di rete.

Connettività

La connettività di rete in un ambiente tra tenant è costituita dalle connessioni seguenti.

connettività da SDDC a SDDC soluzione Azure VMware

La connettività tra due soluzione Azure VMware SDDC distribuiti tra tenant dipende dal pod in cui vengono distribuiti. Usare le istruzioni seguenti per identificare i pod in cui si distribuiscono gli SDDC.

  1. Nel portale di Azure passare a soluzione Azure VMware.
  2. Selezionare Gestisci e quindi Cluster.
  3. Selezionare i tre puntini e quindi selezionare Modifica.
  4. Prendere nota del valore FQDN dell'host. La lettera p precede il numero del pod.

Ripetere lo stesso processo per altri SDDC. Determinare se condividono pod comuni. L'immagine seguente mostra gli host SDDC distribuiti nel pod 1.

Diagramma che mostra il pod soluzione Azure VMware.

Nota

Non è possibile selezionare un pod durante una distribuzione soluzione Azure VMware SDDC. L'assegnazione di pod non è predeterminata, quindi il nodo esatto assegnato da un'utilità di pianificazione a un pod può variare ogni volta che viene eseguito un processo.

Dopo aver identificato i pod condivisi dagli SDDC, eseguire una delle opzioni seguenti:

  • interconnessione soluzione Azure VMware (Copertura globale): Usare questa opzione quando due SDDC si trovano nella stessa area di Azure e non condividono pod comuni tra di essi. Questa opzione stabilisce una connessione copertura globale del circuito ExpressRoute tra due circuiti ExpressRoute SDDC. Questa opzione abilita anche la connettività transitiva. La connettività transitiva significa che le route apprese dal circuito ExpressRoute SDDC, rete WAN virtuale, le reti virtuali direct spoke rete WAN virtuale annunciano anche attraverso il tenant per l'altro circuito EXPRESSRoute SDDC, SDDC, rete WAN virtuale e il rete WAN virtuale reti virtuali direct spoke.

  • Usare soluzione Azure VMware'interconnessione (copertura non globale): usare questa opzione quando due SDDC si trovano nella stessa area di Azure e condividono un pod comune tra di essi. Questa opzione non fornisce connettività transitiva tra tenant per le route che rete WAN virtuale e le relative reti virtuali direct spoke annunciano.

  • Usare soluzione Azure VMware Copertura globale di ExpressRoute: usare questa opzione quando due SDDC si trovano in aree di Azure diverse, indipendentemente dal fatto che condividono o meno un pod. Questa opzione fornisce connettività transitiva tra tenant per le route che rete WAN virtuale e le relative reti virtuali direct spoke annunciano.

Tutte queste opzioni possono stabilire la connettività di rete tra due SDDC. L'opzione scelta influisce sulla connettività da SDDC ad Azure soluzione Azure VMware.

Nota

È possibile usare un modello self-service per stabilire la connettività di rete tra due SDDC. Tuttavia, se gli SDDC vengono eseguiti in cluster estesi, è consigliabile generare un ticket di supporto.

connettività da SDDC ad Azure soluzione Azure VMware

In questa architettura ogni SDDC si connette a rete WAN virtuale e ogni istanza di rete WAN virtuale viene eseguita nel proprio tenant di Microsoft Entra. Usare la procedura seguente per stabilire la connettività.

  1. Nella portale di Azure, nell'interfaccia della riga di comando di Azure o in PowerShell creare una chiave di autorizzazione SDDC soluzione Azure VMware.

  2. In rete WAN virtuale creare un hub e un gateway ExpressRoute.

  3. Per stabilire la connettività tra SDDC e rete WAN virtuale, riscattare la chiave di autorizzazione.

Altre reti virtuali di Azure si connettono anche a questa rete WAN virtuale.

  • Le reti virtuali direct spoke si connettono direttamente a rete WAN virtuale tramite la connessione di rete virtuale rete WAN virtuale. Una rete virtuale spoke può eseguire un'appliance virtuale di rete distribuita in essa. L'appliance virtuale di rete controlla e controlla il traffico in uscita da Azure e dal soluzione Azure VMware SDDC.

  • Le reti virtuali spoke indirette si connettono alle reti virtuali direct spoke. Non si connettono direttamente a rete WAN virtuale. Le reti virtuali spoke indirette ospitano carichi di lavoro eseguiti in Azure. Le appliance virtuali di rete eseguite in reti virtuali direct spoke controllano il traffico di rete originato da reti virtuali spoke indirette.

Usare le configurazioni seguenti per stabilire connettività diretta e indiretta tra SDDC e reti virtuali in Azure.

  • Gli spoke diretti possono connettersi a un SDDC eseguito nel proprio tenant tramite connettività tra rete WAN virtuale e SDDC.

  • Gli spoke diretti possono connettersi a un SDDC eseguito nell'altro tenant tramite soluzione Azure VMware interconnessione (Copertura globale) o soluzione Azure VMware connettività Copertura globale.

  • Gli spoke indiretti non si connettono a un sddc nel tenant per impostazione predefinita. È possibile associare una route definita dall'utente a spoke indiretti. Una route definita dall'utente ha prefissi SDDC nel tenant come rete di destinazione e uno spoke diretto nel proprio tenant come hop successivo.

  • Gli spoke indiretti non si connettono a un sdDC nell'altro tenant per impostazione predefinita. È possibile associare una route definita dall'utente agli spoke indiretti. Una route definita dall'utente ha prefissi SDDC nell'altro tenant come rete di destinazione e spoke diretto nel proprio tenant come hop successivo. Questa connettività richiede soluzione Azure VMware interconnessione (Copertura globale) o soluzione Azure VMware connettività Copertura globale tra gli SDDC.

Nota

Usare queste linee guida per un singolo hub che si connette a una rete virtuale spoke che ospita una soluzione di appliance virtuale di rete. Se sono presenti più hub che devono connettersi a un soluzione Azure VMware SDDC, usare un'architettura di rete mesh completa.

soluzione Azure VMware connettività da SDDC a locale

Usare Copertura globale per stabilire la connettività tra ogni soluzione Azure VMware SDDC e l'ambiente locale. In questo scenario, ogni circuito ExpressRoute SDDC e il circuito ExpressRoute locale si connettono tra loro. Le route locali apprese dal circuito ExpressRoute SDDC tramite una connessione Copertura globale non sonotransitive. Le route non annunciano nel tenant, anche se si ha soluzione Azure VMware connettività DA SDDC a SDDC.

La connettività da SDDC a locale coesiste con la connettività DA SDDC a SDDC tra tenant. In questa configurazione, un circuito ExpressRoute SDDC apprende le route locali tramite una connessione Copertura globale e apprende anche le route tra tenant rete WAN virtuale tramite la connettività DA SDDC a SDDC. L'rete WAN virtuale tra tenant o SDDC non deve annunciare i prefissi locali tramite altri mezzi, ad esempio una route statica o una connessione VPN. In questo caso, SDDC ExpressRoute apprende le route duplicate per l'ambiente locale, che crea un ciclo di routing e interrompe la connettività.

Se l'ambiente locale ha più circuiti ExpressRoute per la ridondanza, usare il percorso AS pubblico anteponendo una preferenza a un circuito rispetto all'altro.

Nota

La connettività da SDDC a locale coesiste con la connettività da Azure a locale. È possibile usare un gateway ExpressRoute in rete WAN virtuale per connettersi al circuito ExpressRoute SDDC e al circuito ExpressRoute locale. Ma questa connettività non è transitiva.

Connettività da Azure ad Azure

Le reti virtuali dirette e indirette devono comunicare tra loro nello stesso tenant di Azure e tra i tenant di Azure. Utilizzare i metodi seguenti per stabilire connessioni.

Stabilire connessioni all'interno dello stesso tenant

  • Connettere gli spoke diretti tra loro tramite una connessione di rete virtuale rete WAN virtuale.

  • Connettere spoke diretti con spoke indiretti tramite peering di rete virtuale.

  • Connettere gli spoke indiretti con spoke diretti tramite il peering di rete virtuale.

  • Connettere gli spoke indiretti tra loro tramite il peering di rete virtuale con uno spoke diretto e una route definita dall'utente associata all'spoke diretto. Una route definita dall'utente ha un prefisso spoke indiretto come rete di destinazione e un'appliance virtuale di rete nell'spoke diretto come hop successivo. Configurare l'appliance virtuale di rete nell'spoke diretto per inoltrare il traffico tramite la scheda di interfaccia di rete.Configure the NVA in the direct spoke to forward the traffic through its network interface card (NIC).

Stabilire connessioni tra il tenant

  • Connettere gli spoke diretti con spoke diretti tra tenant tramite il peering di rete virtuale globale.

  • Connettere spoke diretti con spoke indiretti tra tenant tramite peering di rete virtuale globale tra spoke diretti e route definite dall'utente associate all'spoke diretto. Una route definita dall'utente ha un prefisso spoke indiretto tra tenant come rete di destinazione e un'appliance virtuale di rete nello spoke diretto tra tenant come hop successivo.

  • Connettere spoke indiretti con spoke diretti tra tenant tramite peering di rete virtuale globale tra reti virtuali direct spoke e route definita dall'utente associate alle reti virtuali direct spoke. La route definita dall'utente ha un prefisso spoke diretto tra tenant come rete di destinazione e un'appliance virtuale di rete nel proprio spoke diretto come hop successivo.

  • Connettere spoke indiretti con spoke indiretti tra tenant tramite peering di reti virtuali globali tra reti virtuali direct spoke e route definita dall'utente associate alle reti virtuali direct spoke. La route definita dall'utente ha un prefisso spoke indiretto tra tenant come rete di destinazione e un'appliance virtuale di rete nel proprio spoke diretto come hop successivo.

Connettività da Azure a locale

Usare il circuito ExpressRoute locale e il gateway ExpressRoute di rete WAN virtuale per stabilire la connettività da Azure a locale. La connettività tra soluzione Azure VMware SDDC ExpressRoute e lo stesso gateway ExpressRoute locale non ètransitiva. Anche la connessione tra la rete virtuale direct spoke e rete WAN virtuale tramite il peering di rete virtuale globale non è transitiva. Lo spoke indiretto che si connette a rete WAN virtuale deve avere una route definita dall'utente con un prefisso locale come rete di destinazione e un'appliance virtuale di rete che viene eseguita nell'spoke diretto come hop successivo.

Dettagli dello scenario

In questo articolo vengono esaminati gli scenari seguenti. È possibile applicare questi scenari per la migrazione tra tenant o l'accesso al carico di lavoro.

  • Connettività di rete da SDDC a SDDC tra tenant soluzione Azure VMware
  • Connettività tra tenant da Azure ad Azure
  • Accesso tra più tenant tra reti virtuali di Azure e SDDC soluzione Azure VMware
  • Accesso di rete tra tenant tra un data center di soluzione Azure VMware SDDC e un ambiente locale
  • Ispezione e controllo del traffico di rete tra tenant tramite un'appliance virtuale di rete in esecuzione in una rete virtuale che si connette a rete WAN virtuale

In un ambiente tra tenant, il soluzione Azure VMware SDDC, il circuito Azure ExpressRoute associato e rete WAN virtuale può creare un'esperienza di migrazione o accesso al carico di lavoro complessa. Il circuito ExpressRoute associato al soluzione Azure VMware SDDC si connette con SDDC e anche al gateway ExpressRoute rete WAN virtuale. Il circuito ExpressRoute apprende le route annunciate dal soluzione Azure VMware SDDC e rete WAN virtuale. Il circuito ExpressRoute annuncia tali route attraverso il tenant agli altri soluzione Azure VMware SDDC e rete WAN virtuale che si connettono al circuito. Pianificare attentamente la configurazione per evitare la propagazione di route cicliche tra rete WAN virtuale, il circuito ExpressRoute SDDC e il gateway ExpressRoute rete WAN virtuale.

Potenziali casi d'uso

Si considerino gli scenari seguenti che potrebbero trarre vantaggio da questa architettura:

  • Le multinazionali gestiscono soluzione Azure VMware SDDC in diversi tenant di Microsoft Entra.

  • Un'azienda viene sottoposta a un processo di demerger o disinvestimento, che comporta entità aziendali separate che dispongono di tenant Microsoft Entra separati. Ogni entità aziendale separata richiede l'accesso a un ambiente locale comune e richiede l'accesso tra tenant per soluzione Azure VMware SDDC e altre risorse di Azure.

  • Due aziende separate hanno tenant Microsoft Entra separati, ma richiedono comunque l'accesso tra tenant ai carichi di lavoro eseguiti sia in soluzione Azure VMware SDDC che in Azure.

Passaggi successivi