Condividi tramite

Topologia di rete e connettività per la soluzione Azure VMware

  • Articolo

Quando si usa un data center software-defined (SDDC) VMware con un ecosistema cloud di Azure, è disponibile un set univoco di considerazioni di progettazione da seguire per scenari nativi del cloud e ibridi. Questo articolo fornisce considerazioni chiave e procedure consigliate per la rete e la connettività da e verso le distribuzioni di soluzioni Azure e Azure VMware .

L'articolo si basa su diversi principi architetturali delle zone di destinazione su scala aziendale di Cloud Adoption Framework e consigli per la gestione della topologia di rete e della connettività su larga scala. È possibile usare queste linee guida per l'area di progettazione della zona di destinazione di Azure per le piattaforme della soluzione Azure VMware cruciali. Le aree di progettazione includono:

  • Integrazione ibrida per la connettività tra utenti locali, multicloud, perimetrali e globali. Per altre informazioni, vedere Supporto su scala aziendale per il cloud ibrido e multicloud.
  • Prestazioni e affidabilità su larga scala per la scalabilità del carico di lavoro e un'esperienza coerente e a bassa latenza. Un articolo successivo illustra le distribuzioni in due regioni.
  • Sicurezza di rete basata su zero attendibilità per la sicurezza del flusso di traffico e del perimetro di rete. Per altre informazioni, vedere Strategie di sicurezza di rete in Azure.
  • Estendibilità per semplificare l'espansione dei footprint di rete senza la necessità di rielaborare la progettazione.

Considerazioni e raccomandazioni generali sulla progettazione

Le sezioni seguenti forniscono considerazioni generali sulla progettazione e raccomandazioni per la topologia e la connettività della rete della soluzione Azure VMware.

Topologia di rete hub-spoke e rete WAN virtuale

Se non si ha una connessione ExpressRoute dall'ambiente locale ad Azure e si usa invece la VPN da sito a sito, è possibile usare la rete WAN virtuale per transitare la connettività tra la VPN locale e la soluzione Azure VMware ExpressRoute. Se si usa una topologia hub-spoke, è necessario il server di route di Azure. Per altre informazioni, vedere Supporto del server di route di Azure per ExpressRoute e VPN di Azure.

Cloud privati e cluster

  • Tutti i cluster possono comunicare all'interno di un cloud privato della soluzione Azure VMware perché condividono tutti lo stesso spazio indirizzi /22.

  • Tutti i cluster condividono le stesse impostazioni di connettività, tra cui Internet, ExpressRoute, HCX, IP pubblico e Copertura globale di ExpressRoute. I carichi di lavoro delle applicazioni possono anche condividere alcune impostazioni di rete di base, ad esempio segmenti di rete, dhcp (Dynamic Host Configuration Protocol) e impostazioni DNS (Domain Name System).

  • Progettare in anticipo cloud privati e cluster prima della distribuzione. Il numero di cloud privati necessari influisce direttamente sui requisiti di rete. Ogni cloud privato richiede uno spazio indirizzi /22 per la gestione del cloud privato e un segmento di indirizzi IP per i carichi di lavoro delle macchine virtuali. Valutare la possibilità di definire in anticipo tali spazi indirizzi.

  • Discutere con i team di rete e VMware come segmentare e distribuire cloud privati, cluster e segmenti di rete per i carichi di lavoro. Pianificare bene ed evitare di sprecare indirizzi IP.

Per altre informazioni sulla gestione degli indirizzi IP per i cloud privati, vedere Definire il segmento di indirizzi IP per la gestione del cloud privato.

Per altre informazioni sulla gestione degli indirizzi IP per i carichi di lavoro delle macchine virtuali, vedere Definire il segmento di indirizzi IP per i carichi di lavoro delle macchine virtuali.

DNS e DHCP

Per DHCP, usare il servizio DHCP integrato in NSX-T Data Center o usare un server DHCP locale in un cloud privato. Non instradare il traffico DHCP tramite la rete WAN alle reti locali.

Per DNS, a seconda dello scenario adottato e dei requisiti, sono disponibili più opzioni:

  • Solo per un ambiente della soluzione Azure VMware, è possibile distribuire una nuova infrastruttura DNS nel cloud privato della soluzione Azure VMware.
  • Per la soluzione Azure VMware connessa a un ambiente locale, è possibile usare l'infrastruttura DNS esistente. Se necessario, distribuire server d'inoltro DNS per estendersi nella rete virtuale di Azure o, preferibilmente, nella soluzione Azure VMware. Per altre informazioni, vedere Aggiungere un servizio d'inoltro DNS.
  • Per la soluzione Azure VMware connessa a ambienti e servizi locali e di Azure, è possibile usare server DNS esistenti o server d'inoltro DNS nella rete virtuale hub, se disponibile. È anche possibile estendere l'infrastruttura DNS locale esistente alla rete virtuale dell'hub di Azure. Per informazioni dettagliate, vedere il diagramma delle zone di destinazione su scala aziendale.

Per altre informazioni, vedere gli articoli seguenti:

Internet

Le opzioni in uscita per abilitare Internet e filtrare e controllare il traffico includono:

  • Rete virtuale di Azure, NVA (appliance virtuale di rete) e server di route di Azure usando l'accesso a Internet di Azure.
  • Route predefinita locale con accesso a Internet locale.
  • Hub sicuro della rete WAN virtuale con Firewall di Azure o NVA, usando l'accesso a Internet di Azure.

Le opzioni in ingresso per la distribuzione di contenuti e applicazioni includono:

  • Gateway applicazione di Azure con terminazione L7, Secure Sockets Layer (SSL) e Web Application Firewall.
  • DNAT e bilanciamento del carico dall'ambiente locale.
  • Rete Virtuale di Azure, NVA e Azure Route Server in vari scenari.
  • Hub protetto della rete WAN virtuale con Firewall di Azure, con L4 e DNAT.
  • Hub sicuro della rete WAN virtuale con NVA in vari scenari.

ExpressRoute

La distribuzione predefinita del cloud privato della soluzione Azure VMware crea automaticamente un circuito ExpressRoute gratuito di 10 Gbps. Questo circuito connette la soluzione Azure VMware al D-MSEE.

Valutare la possibilità di distribuire la soluzione Azure VMware nelle aree abbinate di Azure nei data center. Vedere questo articolo per consigli sulle topologie di rete a due aree per la soluzione Azure VMware.

Copertura globale

  • Copertura globale è un componente aggiuntivo ExpressRoute necessario per la soluzione Azure VMware per comunicare con data center locali, rete virtuale di Azure e rete WAN virtuale. L'alternativa consiste nel progettare la connettività di rete con il server di route di Azure.

  • È possibile eseguire il peering del circuito ExpressRoute della soluzione Azure VMware con altri circuiti ExpressRoute usando Copertura globale senza costi aggiuntivi.

  • È possibile utilizzare Global Reach per il peering di circuiti ExpressRoute tramite un ISP e per i circuiti ExpressRoute Direct.

  • Il collegamento globale non è supportato per i circuiti ExpressRoute Local. Per ExpressRoute Local, il transito dalla Azure VMware Solution ai data center on-premises avviene tramite appliance di rete virtuali di terze parti in una rete virtuale di Azure.

  • Global Reach non è disponibile ovunque.

Larghezza di banda

Scegliere uno SKU del gateway di rete virtuale appropriato per una larghezza di banda ottimale tra la soluzione Azure VMware e la rete virtuale di Azure. La soluzione Azure VMware supporta un massimo di quattro circuiti ExpressRoute in un gateway ExpressRoute in una regione.

Sicurezza della rete

La sicurezza di rete comporta l'ispezione del traffico e il mirroring delle porte.

East-West l'ispezione del traffico all'interno di un SDDC utilizza NSX-T Data Center o NVAs per ispezionare il traffico verso la rete virtuale di Azure tra le regioni.

North-South ispezione del traffico controlla il flusso di traffico bidirezionale tra la soluzione Azure VMware e i data center. L'ispezione del traffico nord-sud può usare:

  • Un'appliance virtuale di rete firewall di terze parti e un Server di Route di Azure su Internet di Azure.
  • Route predefinita locale su Internet locale.
  • Firewall di Azure e rete WAN virtuale tramite Internet di Azure
  • NSX-T Data Center all'interno del SDDC su Azure VMware Solution su Internet.
  • Un'appliance virtuale di rete (NVA) firewall di terze parti nella soluzione Azure VMware all'interno dell'SDDC tramite internet della soluzione Azure VMware

Requisiti delle porte e dei protocolli

Configurare tutte le porte necessarie per un firewall locale per garantire l'accesso appropriato a tutti i componenti del cloud privato della soluzione Azure VMware. Per altre informazioni, vedere Porte di rete necessarie.

Accesso alla gestione della soluzione Azure VMware

  • È consigliabile usare un host Azure Bastion nella rete virtuale di Azure per accedere all'ambiente della soluzione Azure VMware durante la distribuzione.

  • Dopo aver stabilito il routing all'ambiente locale, la rete di gestione di Azure VMware Solution non supporta le 0.0.0.0/0 route dalle reti locali on-premises, quindi è necessario pubblicare route più specifiche per le reti on-premises.

Continuità aziendale, ripristino di emergenza (BCDR) e migrazioni

  • Nelle migrazioni di VMware HCX il gateway predefinito rimane locale. Per altre informazioni, vedere Distribuire e configurare VMware HCX.

  • Le migrazioni di VMware HCX possono usare l'estensione HCX L2. Anche le migrazioni che richiedono l'estensione di livello 2 richiedono ExpressRoute. La VPN da sito a sito è supportata purché i requisiti minimi minimi di rete siano netti. La dimensione massima dell'unità di trasmissione (MTU) deve essere 1350 per supportare l'overhead di HCX. Per altre informazioni sulla progettazione dell'estensione di livello 2, vedere Ponte di livello 2 in modalità di gestione (VMware.com).

Passaggi successivi