Azure VMware Solution のネットワーク計画のチェックリスト
Azure VMware Solution は、オンプレミスおよび Azure ベースの環境またはリソースからユーザーやアプリケーションがアクセスできる VMware プライベート クラウド環境を提供します。 接続は、Azure ExpressRoute 接続や VPN 接続などのネットワーク サービスを通じて提供されます。 これらのサービスを有効にするには、特定のネットワーク アドレス範囲とファイアウォール ポートが必要です。 この記事では、Azure VMware Solution で動作するようにネットワークを構成する方法について説明します。
このチュートリアルで学習する内容は次のとおりです:
- 仮想ネットワークと ExpressRoute 回線に関する考慮事項
- ルーティングとサブネットの要件
- サービスと通信するために必要なネットワーク ポート
- Azure VMware Solution での DHCP と DNS に関する考慮事項
前提条件
ExpressRoute プロバイダーのサービスを含め、すべてのゲートウェイで 4 バイトの自律システム番号 (ASN) がサポートされていることを確認する。 Azure VMware Solution では、4 バイトのパブリック ASN を使用してルートをアドバタイズします。
仮想ネットワークと ExpressRoute 回線に関する考慮事項
サブスクリプション内に仮想ネットワーク接続を作成するときには、ピアリングによって ExpressRoute 回線が確立され、Azure portal で要求した承認キーとピアリング ID が使用されます。 ピアリングは、プライベート クラウドと仮想ネットワークの間のプライベートな 1 対 1 の接続です。
Note
ExpressRoute 回線は、プライベート クラウドのデプロイには含まれません。 オンプレミスの ExpressRoute 回線については、このドキュメントでは取り扱いません。 プライベート クラウドへのオンプレミス接続が必要な場合は、既存の ExpressRoute 回線のいずれかを使用するか、Azure portal で購入します。
プライベート クラウドをデプロイすると、vCenter Server および NSX Manager の IP アドレスが提供されます。 これらの管理インターフェイスにアクセスするには、ご使用のサブスクリプションの仮想ネットワークに追加のリソースを作成します。 これらのリソースを作成し、ExpressRoute プライベート ピアリングを確立する手順については、チュートリアルを参照してください。
プライベート クラウドの論理ネットワークには、事前にプロビジョニングされた NSX 構成が含まれています。 Tier-0 ゲートウェイと Tier-1 ゲートウェイが事前にプロビジョニングされています。 セグメントを作成し、それを既存の Tier-1 ゲートウェイにアタッチすることも、自分が定義する新しい Tier-1 ゲートウェイにアタッチすることもできます。 NSX 論理ネットワーク コンポーネントは、ワークロード間の East-West 接続と、インターネットおよび Azure サービスへの North-South 接続を提供します。
重要
Azure NetApp Files データストアを使用して Azure VMware Solution ホストをスケーリングする予定がある場合は、ExpressRoute 仮想ネットワーク ゲートウェイを使用して仮想ネットワークをホストの近くにデプロイすることが重要です。 ストレージがホストに近いほど、パフォーマンスが向上します。
ルーティングとサブネットに関する考慮事項
Azure VMware Solution プライベート クラウドは、Azure ExpressRoute 接続を使用して Azure 仮想ネットワークに接続されます。 この高い帯域幅と短い待ち時間の接続によって、ご自分のプライベート クラウド環境から、ご自分の Azure サブスクリプションで実行されているサービスにアクセスできます。 ルーティングでは Border Gateway Protocol (BGP) が使用され、プライベート クラウドのデプロイごとに既定で自動的にプロビジョニングされて有効になります。
Azure VMware Solution のプライベート クラウドでは、サブネット用に少なくとも /22
の CIDR ネットワーク アドレス ブロックが必要です。 このネットワークによってオンプレミスのネットワークが補完されるため、アドレス ブロックは、サブスクリプションの他の仮想ネットワークやオンプレミス ネットワークで使用されているアドレス ブロックと重複しないようにする必要があります。 このアドレス ブロック内では、管理、vMotion、レプリケーションのネットワークが自動的にプロビジョニングされます。
Note
アドレス ブロックで許可される範囲は RFC 1918 プライベート アドレス空間 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) です。ただし、172.17.0.0/16 を除きます。 レプリケーションのネットワークは AV64 ノードには適用されず、今後一般的には廃止されることが予定されています。
重要
NSX の使用のために予約されている次の IP スキーマは使用しないでください。
- 169.254.0.0/24 - 内部転送ネットワークに使用
- 169.254.2.0/23 - VRF 間転送ネットワークに使用
- 100.64.0.0/16 - T1 および T0 ゲートウェイを内部的に接続するために使用
/22
CIDR ネットワーク アドレス ブロックの例: 10.10.0.0/22
サブネット:
ネットワークの使用法 | 説明 | Subnet | 例 |
---|---|---|---|
プライベート クラウドの管理 | 管理ネットワーク (vCenter、NSX など) | /26 |
10.10.0.0/26 |
HCX 管理の移行 | HCX アプライアンスのローカル接続 (ダウンリンク) | /26 |
10.10.0.64/26 |
予約済み Global Reach | ExpressRoute の送信インターフェイス | /26 |
10.10.0.128/26 |
NSX DNS サービス | 組み込みの NSX DNS サービス | /32 |
10.10.0.192/32 |
予約済み | 予約済み | /32 |
10.10.0.193/32 |
予約済み | 予約済み | /32 |
10.10.0.194/32 |
予約済み | 予約済み | /32 |
10.10.0.195/32 |
予約済み | 予約済み | /30 |
10.10.0.196/30 |
予約済み | 予約済み | /29 |
10.10.0.200/29 |
予約済み | 予約済み | /28 |
10.10.0.208/28 |
ExpressRoute ピアリング | ExpressRoute ピアリング | /27 |
10.10.0.224/27 |
ESXi の管理 | ESXi 管理 VMkernel インターフェイス | /25 |
10.10.1.0/25 |
vMotion ネットワーク | vMotion VMkernel インターフェイス | /25 |
10.10.1.128/25 |
レプリケーション ネットワーク | vSphere レプリケーション インターフェイス | /25 |
10.10.2.0/25 |
vSAN | vSAN VMkernel インターフェイスとノード通信 | /25 |
10.10.2.128/25 |
HCX アップリンク | HCX IX および NE アプライアンスのリモート ピアへのアップリンク | /26 |
10.10.3.0/26 |
予約済み | 予約済み | /26 |
10.10.3.64/26 |
予約済み | 予約済み | /26 |
10.10.3.128/26 |
予約済み | 予約済み | /26 |
10.10.3.192/26 |
Note
ESXi 管理/vmotion/レプリケーション ネットワークは、技術的には 125 ホストをサポートできますが、29 は交換/メンテナンス用 (19) と HCX 用 (10) に予約されているため、サポートされる最大数は 96 です。
必要なネットワーク ポート
source | 宛先 | Protocol | Port | 説明 |
---|---|---|---|---|
プライベート クラウドの DNS サーバー | オンプレミスの DNS サーバー | UDP | 53 | DNS クライアント - オンプレミスの DNS クエリのために、プライベート クラウドの vCenter Server からの要求を転送します (DNS に関するセクションを参照)。 |
オンプレミスの DNS サーバー | プライベート クラウドの DNS サーバー | UDP | 53 | DNS クライアント - オンプレミスのサービスからの要求をプライベート クラウド DNS サーバーに転送します (DNS に関するセクションを参照)。 |
オンプレミス ネットワーク | プライベート クラウドの vCenter Server | TCP (HTTP) | 80 | vCenter Server では、直接 HTTP 接続用にポート 80 が必要です。 ポート 80 から HTTPS ポート 443 に要求がリダイレクトされます。 このリダイレクトは、https://server の代わりに http://server を使用する場合に役立ちます。 |
プライベート クラウドの管理ネットワーク | オンプレミスの Active Directory | TCP | 389/636 | Azure VMware Solutions vCenter Server がオンプレミスの Active Directory/LDAP サーバーと通信できるようにします。 プライベート クラウドの vCenter 上でオンプレミス AD を ID ソースとして構成する場合はオプションです。 セキュリティ上の目的でポート 636 がお勧めです。 |
プライベート クラウドの管理ネットワーク | オンプレミスの Active Directory のグローバル カタログ | TCP | 3268/3269 | Azure VMware Solutions vCenter Server がオンプレミスの Active Directory/LDAP グローバル カタログ サーバーと通信できるようにします。 プライベート クラウドの vCenter Server 上でオンプレミス AD を ID ソースとして構成する場合はオプションです。 セキュリティを強化するにはポート 3269 を使用します。 |
オンプレミス ネットワーク | プライベート クラウドの vCenter Server | TCP (HTTPS) | 443 | オンプレミス ネットワークから vCenter Server にアクセスします。 vSphere クライアント接続をリッスンする vCenter Server の既定のポート。 vCenter Server システムが vSphere クライアントからデータを受信できるようにするには、ファイアウォールでポート 443 を開きます。 また、vCenter Server システムは、ポート 443 を使用して、SDK クライアントからのデータ転送を監視します。 |
オンプレミス ネットワーク | HCX クラウド マネージャー | TCP (HTTPS) | 9443 | HCX のシステム構成用の HCX クラウド マネージャー仮想アプライアンス管理インターフェイス。 |
オンプレミス管理ネットワーク | HCX クラウド マネージャー | SSH | 22 | HCX クラウド マネージャー仮想アプライアンスへの管理者 SSH アクセス。 |
HCX Manager | 相互接続 (HCX-IX) | TCP (HTTPS) | 8123 | HCX 一括移行の制御。 |
HCX Manager | 相互接続 (HCX-IX)、ネットワーク拡張機能 (HCX-NE) | TCP (HTTPS) | 9443 | REST API を使用して、ローカル HCX 相互接続に管理指示を送信します。 |
相互接続 (HCX-IX) | L2C | TCP (HTTPS) | 443 | L2C で相互接続と同じパスを使用する場合、相互接続から L2C に管理指示を送信します。 |
HCX Manager、相互接続 (HCX-IX) | ESXi ホスト | TCP | 80、443、902 | 管理と OVF のデプロイ。 |
ソースの相互接続 (HCX-IX)、ネットワーク拡張機能 (HCX-NE) | 宛先の相互接続 (HCX-IX)、ネットワーク拡張機能 (HCX-NE) | UDP | 4500 | IPsec に必要 双方向トンネルのワークロードをカプセル化するためのインターネット キー交換 (IKEv2)。 ネットワーク アドレス変換トラバーサル (NAT-T) がサポートされています。 |
オンプレミス相互接続 (HCX-IX) | クラウド相互接続 (HCX-IX) | UDP | 4500 | IPsec に必要 双方向トンネルのためのインターネット キー交換 (ISAKMP)。 |
オンプレミスの vCenter Server ネットワーク | プライベート クラウドの管理ネットワーク | TCP | 8000 | オンプレミスの vCenter Server からプライベート クラウドの vCenter Server への VM の vMotion |
HCX コネクタ | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect はライセンス キーを検証するために必要です。hybridity は更新に必要です。 |
この表は、一般的なシナリオ向けの一般的なファイアウォール規則を示しています。 ファイアウォール規則を構成するときに、追加の項目を考慮することが必要な場合があります。 ソースと宛先が "オンプレミス" である場合、この情報は、フローを検査するファイアウォールがデータセンターにある場合にのみ関連します。 オンプレミスのコンポーネントに検査用のファイアウォールがない場合は、これらの規則を無視できます。
詳細については、VMware HCX ポート要件の全一覧を参照してください。
DHCP と DNS の解決に関する考慮事項
プライベート クラウド環境で実行されるアプリケーションとワークロードには、ルックアップと IP アドレスの割り当てのための名前解決と DHCP サービスが必要です。 これらのサービスを提供するために、DHCP と DNS の適切なインフラストラクチャが必要です。 仮想マシンを構成して、ご自分のプライベート クラウド環境でこれらのサービスを提供することができます。
ブロードキャスト DHCP トラフィックを WAN 経由でオンプレミスにルーティングして戻すのではなく、NSX-T Data Center に組み込まれている DHCP サービスを使用するか、プライベート クラウドのローカル DHCP サーバーを使用します。
重要
Azure VMware Solution に既定のルートをアドバタイズする場合は、DNS フォワーダーが構成された DNS サーバーに到達できるよう許可し、またそれらでパブリック名前解決がサポートされている必要があります。
次の手順
このチュートリアルでは、Azure VMware Solution プライベート クラウドをデプロイするための考慮事項と要件について説明しました。 適切なネットワークを準備できたら、次のチュートリアルに進んで Azure VMware Solution のプライベート クラウドを作成します。