Azure VMware Solution에 대한 네트워킹 계획 검사 목록
Azure VMware 솔루션은 온-프레미스 및 Azure 기반 환경 또는 리소스에서 사용자 및 애플리케이션이 액세스할 수 있는 VMware 프라이빗 클라우드 환경을 제공합니다. Azure ExpressRoute 및 VPN 연결과 같은 네트워킹 서비스를 통해 연결됩니다. 이러한 서비스를 사용하려면 특정 네트워크 주소 범위와 방화벽 포트가 필요합니다. 이 문서는 Azure VMware Solution에서 작동하도록 네트워킹을 구성하는 데 도움이 됩니다.
이 자습서에서는 다음에 대해 알아봅니다.
- 가상 네트워크 및 ExpressRoute 회로 고려 사항
- 라우팅 및 서브넷 요구 사항
- 서비스와 통신하는 데 필요한 네트워크 포트
- Azure VMware Solution의 DHCP 및 DNS 고려 사항
필수 조건
ExpressRoute 공급자의 서비스를 포함한 모든 게이트웨이가 4바이트 ASN(자치 시스템 번호)을 지원하는지 확인합니다. Azure VMware Solution은 경고를 알리는 데 4바이트 공용 ASN을 사용합니다.
가상 네트워크 및 ExpressRoute 회로 고려 사항
구독에서 가상 네트워크 연결을 만들 때 ExpressRoute 회로는 권한 부여 키, 그리고 Azure Portal에서 요청하는 피어링 ID를 사용하여 피어링을 통해 설정됩니다. 피어링은 프라이빗 클라우드와 가상 네트워크 간의 일대일 연결입니다.
참고 항목
ExpressRoute 회로는 프라이빗 클라우드 배포에 포함되지 않습니다. 온-프레미스 ExpressRoute 회로는 이 문서의 범위를 벗어났습니다. 프라이빗 클라우드에 대한 온-프레미스 연결이 필요한 경우 기존 ExpressRoute 회로 중 하나를 사용하거나 Azure Portal에서 구매합니다.
프라이빗 클라우드를 배포할 때 vCenter Server 및 NSX Manager용 IP 주소를 받습니다. 이러한 관리 인터페이스에 액세스하려면 구독의 가상 네트워크에 더 많은 리소스를 만듭니다. 자습서에서 이러한 리소스를 만들고 ExpressRoute 프라이빗 피어링을 설정하는 절차를 찾을 수 있습니다.
프라이빗 클라우드 논리적 네트워킹은 사전 프로비전된 NSX 구성이 포함되어 있습니다. 계층-0 게이트웨이 및 계층-1 게이트웨이는 사용자를 위해 미리 프로비저닝됩니다. 세그먼트를 만들고 기존 계층-1 게이트웨이에 연결하거나 정의한 새 계층-1 게이트웨이에 연결할 수 있습니다. NSX 논리 네트워킹 구성 요소는 워크로드 간에 동-서 연결을 제공하고 인터넷 및 Azure 서비스에 대한 북-남 연결을 제공합니다.
Important
Azure NetApp Files 데이터 저장소를 사용하여 Azure VMware 솔루션 호스트의 크기를 조정하려는 경우 ExpressRoute 가상 네트워크 게이트웨이를 사용하여 호스트에 가까운 가상 네트워크를 배포해야 합니다. 스토리지가 호스트에 가까울수록 성능이 향상됩니다.
라우팅 및 서브넷 고려 사항
Azure VMware Solution 프라이빗 클라우드는 Azure ExpressRoute 연결을 사용하여 Azure 가상 네트워크에 연결됩니다. 높은 대역폭이 높고 대기 시간이 짧은 이 연결을 사용하면 프라이빗 클라우드 환경의 Azure 구독에서 실행되는 서비스에 액세스할 수 있습니다. 라우팅은 BGP(Border Gateway Protocol)를 사용하고, 자동으로 프로비저닝되고, 각 프라이빗 클라우드 배포에 대해 기본적으로 사용하도록 설정됩니다.
Azure VMware Solution 프라이빗 클라우드에는 서브넷에 대해 최소한 /22
CIDR 네트워크 주소 블록이 필요합니다. 이 네트워크는 온-프레미스 네트워크를 보완하므로 주소 블록은 구독 및 온-프레미스 네트워크의 다른 가상 네트워크에 사용되는 주소 블록과 겹치지 않아야 합니다. 관리, vMotion 및 복제 네트워크는 이 주소 블록 내에서 자동으로 프로비전됩니다.
참고 항목
주소 블록에 허용되는 범위는 RFC 1918 개인 주소 공간(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)입니다(172.17.0.0/16 제외). 복제 네트워크는 AV64 노드에 적용되지 않으며 나중에 일반 사용 중단될 예정입니다.
Important
다음 IP 스키마는 NSX 사용을 위해 예약된 것이므로 사용하지 마세요.
- 169.254.0.0/24 - 내부 전송 네트워크에 사용
- 169.254.2.0/23 - VRF 간 전송 네트워크에 사용
- 100.64.0.0/16 - T1 및 T0 게이트웨이를 내부적으로 연결하는 데 사용
/22
CIDR 네트워크 주소 블록의 예: 10.10.0.0/22
서브넷:
네트워크 사용량 | 설명 | 서브넷 | 예제 |
---|---|---|---|
프라이빗 클라우드 관리 | 관리 네트워크(예: vCenter, NSX) | /26 |
10.10.0.0/26 |
HCX Mgmt 마이그레이션 | HCX 어플라이언스의 로컬 연결(다운링크) | /26 |
10.10.0.64/26 |
Global Reach 예약됨 | ExpressRoute에 대한 아웃바운드 인터페이스 | /26 |
10.10.0.128/26 |
NSX DNS 서비스 | 기본 제공 NSX DNS 서비스 | /32 |
10.10.0.192/32 |
예약됨 | 예약됨 | /32 |
10.10.0.193/32 |
예약됨 | 예약됨 | /32 |
10.10.0.194/32 |
예약됨 | 예약됨 | /32 |
10.10.0.195/32 |
예약됨 | 예약됨 | /30 |
10.10.0.196/30 |
예약됨 | 예약됨 | /29 |
10.10.0.200/29 |
예약됨 | 예약됨 | /28 |
10.10.0.208/28 |
ExpressRoute 피어링 | ExpressRoute 피어링 | /27 |
10.10.0.224/27 |
ESXi 관리 | ESXi 관리 VMkernel 인터페이스 | /25 |
10.10.1.0/25 |
vMotion 네트워크 | vMotion VMkernel 인터페이스 | /25 |
10.10.1.128/25 |
복제 네트워크 | vSphere 복제 인터페이스 | /25 |
10.10.2.0/25 |
vSAN | vSAN VMkernel 인터페이스 및 노드 통신 | /25 |
10.10.2.128/25 |
HCX 업링크 | 원격 피어에 대한 HCX IX 및 NE 어플라이언스의 업링크 | /26 |
10.10.3.0/26 |
예약됨 | 예약됨 | /26 |
10.10.3.64/26 |
예약됨 | 예약됨 | /26 |
10.10.3.128/26 |
예약됨 | 예약됨 | /26 |
10.10.3.192/26 |
참고 항목
ESXi 관리/vmotion/복제 네트워크는 기술적으로 125개의 호스트를 지원할 수 있지만 지원되는 최댓값은 96개입니다. 29개는 교체/유지 관리(19) 및 HCX(10)를 위해 예약되어 있습니다.
필수 네트워크 포트
원본 | 대상 | 프로토콜 | Port | 설명 |
---|---|---|---|---|
프라이빗 클라우드 DNS 서버 | 온-프레미스 DNS 서버 | UDP | 53 | DNS 클라이언트 - 온-프레미스 DNS 쿼리에 대한 프라이빗 클라우드 vCenter Server의 요청을 전달합니다(DNS 섹션 참조). |
온-프레미스 DNS 서버 | 프라이빗 클라우드 DNS 서버 | UDP | 53 | DNS 클라이언트 - 온-프레미스 서비스의 요청을 프라이빗 클라우드 DNS 서버로 전달(DNS 섹션 참조) |
온-프레미스 네트워크 | 프라이빗 클라우드 vCenter Server | TCP(HTTP) | 80 | vCenter Server에는 직접 HTTP 연결을 위해 80 포트가 필요합니다. 포트 80은 요청을 HTTPS 포트 443으로 리디렉션합니다. 이 리디렉션은 https://server 대신 http://server 를 사용하는 경우 유용합니다. |
프라이빗 클라우드 관리 네트워크 | 온-프레미스 Active Directory | TCP | 389/636 | Azure VMware Solutions vCenter Server가 온-프레미스 Active Directory/LDAP 서버와 통신할 수 있도록 설정합니다. 프라이빗 클라우드 vCenter에서 온-프레미스 AD를 ID 원본으로 구성하기 위한 선택 사항입니다. 보안을 위해 포트 636을 사용하는 것이 좋습니다. |
프라이빗 클라우드 관리 네트워크 | 온-프레미스 Active Directory 글로벌 카탈로그 | TCP | 3268/3269 | Azure VMware Solutions vCenter Server가 온-프레미스 Active Directory/LDAP 글로벌 카탈로그 서버와 통신할 수 있도록 설정합니다. 프라이빗 클라우드 vCenter Server에서 온-프레미스 AD를 ID 원본으로 구성하기 위한 선택 사항입니다. 보안을 위해 포트 3269를 사용합니다. |
온-프레미스 네트워크 | 프라이빗 클라우드 vCenter Server | TCP(HTTPS) | 443 | 온-프레미스 네트워크에서 vCenter Server에 액세스합니다. vCenter Server가 vSphere 클라이언트 연결을 수신 대기하는 기본 포트입니다. vCenter Server 시스템에서 vSphere Client의 데이터를 받을 수 있도록 하려면 방화벽에서 포트 443을 엽니다. 또한 vCenter Server 시스템은 포트 443을 사용하여 SDK 클라이언트로부터의 데이터 전송을 모니터링합니다. |
온-프레미스 네트워크 | HCX 클라우드 관리자 | TCP(HTTPS) | 9443 | HCX 시스템 구성을 위한 HCX Cloud Manager 가상 어플라이언스 관리 인터페이스. |
온-프레미스 관리 네트워크 | HCX 클라우드 관리자 | SSH | 22 | HCX Cloud Manager 가상 어플라이언스에 대한 관리자 SSH 액세스. |
HCX 관리자 | 상호 연결(HCX-IX) | TCP(HTTPS) | 8123 | HCX 대량 마이그레이션 제어 |
HCX 관리자 | 상호 연결(HCX-IX), 네트워크 확장(HCX-NE) | TCP(HTTPS) | 9443 | REST API를 사용하여 로컬 HCX 상호 연결에 관리 지침을 보냅니다. |
상호 연결(HCX-IX) | L2C | TCP(HTTPS) | 443 | L2C가 Interconnect와 동일한 경로를 사용하는 경우 Interconnect에서 L2C로 관리 지침을 보냅니다. |
HCX 관리자, 상호 연결(HCX-IX) | ESXi 호스트 | TCP | 80,443,902 | 관리 및 OVF 배포 |
원본에서 상호 연결(HCX-IX), 네트워크 확장(HCX-NE) | 대상에서 상호 연결(HCX-IX), 네트워크 확장(HCX-NE) | UDP | 4500 | IPSEC Internet Key Exchange(IKEv2)가 양방향 터널에 대한 워크로드를 캡슐화하는 데 필요합니다. NAT-T(Network Address Translation-Traversal)를 지원합니다. |
온-프레미스 상호 연결(HCX-IX) | 클라우드 상호 연결(HCX-IX) | UDP | 4500 | IPSEC Internet Key Exchange(IKEv2)가 IPSEC Internet Key Exchange(ISAKMP)에 필요합니다. |
온-프레미스 vCenter Server 네트워크 | 프라이빗 클라우드 관리 네트워크 | TCP | 8000 | 온-프레미스 vCenter Server에서 프라이빗 클라우드 vCenter Server로 VM의 vMotion |
HCX 커넥터 | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | 라이선스 키의 유효성을 검사하려면 connect 가 필요합니다.hybridity 는 업데이트에 필요합니다. |
이 표에서는 일반적인 시나리오에 대한 일반적인 방화벽 규칙을 제공합니다. 그러나 방화벽 규칙을 구성할 때 더 많은 사항을 고려해야 할 수 있습니다. 원본 및 대상이 "온-프레미스"라고 하면 이 정보는 데이터 센터에 흐름을 검사하는 방화벽이 있는 경우에만 관련이 있습니다. 온-프레미스 구성 요소에 검사를 위한 방화벽이 없는 경우 해당 규칙을 무시할 수 있습니다.
자세한 내용은 VMware HCX 포트 요구 사항 전체 목록을 참조하세요.
DHCP 및 DNS 확인 고려 사항
프라이빗 클라우드 환경에서 실행되는 애플리케이션 및 워크로드에는 조회 및 IP 주소 할당을 위한 이름 확인 및 DHCP 서비스가 필요합니다. 이러한 서비스를 제공하려면 적절한 DHCP 및 DNS 인프라가 필요합니다. 프라이빗 클라우드 환경에서 이러한 서비스를 제공하도록 가상 머신을 구성할 수 있습니다.
WAN을 통해 브로드캐스트 DHCP 트래픽을 온-프레미스로 다시 라우팅하는 대신, NSX-T Data Center에 기본 제공되는 DHCP 서비스를 사용하거나 프라이빗 클라우드에서 로컬 DHCP 서버를 사용합니다.
Important
기본 경로를 Azure VMware Solution에 알리는 경우 DNS 전달자가 구성된 DNS 서버에 도달하도록 허용해야 하며 공용 이름 확인을 지원해야 합니다.
다음 단계
이 자습서에서는 Azure VMware Solution 프라이빗 클라우드를 배포하기 위한 고려 사항 및 요구 사항에 대해 알아보았습니다. 적절한 네트워킹이 제대로 준비되면 Azure VMware Solution 프라이빗 클라우드를 만들기 위해 다음 자습서로 계속 진행하세요.