Azure VMware Solution 배포를 위한 네트워크 토폴로지 계획
Azure VMware Solution은 온-프레미스 및 Azure 기반 환경 또는 리소스에서 액세스할 수 있는 프라이빗 클라우드 환경을 제공합니다. Azure VMware Solution 배포의 다음 단계에는 네트워크 토폴로지에 대한 계획이 포함됩니다.
Azure의 Azure VMware Solution 환경은 Azure 서비스와 온-프레미스 VMware 환경에 네트워크 트래픽을 전달해야 합니다. 전용 Azure ExpressRoute 회로는 Azure VMware Solution에서 Azure 리소스 및 서비스까지의 연결을 제공합니다. 별도의 고객 제공 Azure ExpressRoute 회로는 온-프레미스 VMware 환경에 대한 연결을 제공합니다. 네트워크 연결을 수행하려면 특정 IP 주소 범위와 방화벽 포트를 사용하도록 설정해야 합니다. Azure VMware Solution이 배포되면 다음과 같은 vSphere 구성 요소를 위한 개인 네트워크가 생성됩니다.
- 관리
- 프로비저닝
- VMware vMotion
이러한 개인 네트워크를 사용하여 vCenter Server, NSX Manager 및 vMotion에 액세스합니다.
IP 세그먼트
Azure VMware 솔루션 프라이빗 클라우드를 배포하기 전에 IP 주소 지정을 계획해야 합니다. 이 서비스를 사용하려면 사용자가 제공한 /22 CIDR 네트워크 주소 블록이 필요합니다. Azure VMware 솔루션의 관리 구성 요소에는 /22 CIDR이 필요합니다. VM(가상 머신)이 배포된 워크로드 세그먼트에 다른 IP 주소 범위가 있습니다. NSX Manager에서 네트워크 세그먼트를 만들면 됩니다.
관리 CIDR은 자동으로 더 작은 세그먼트로 나뉩니다. 해당 IP 세그먼트는 vCenter Server, VMware HCX, NSX 및 VMware vMotion에 사용됩니다. Azure VMware Solution, 기존 Azure 환경, 온-프레미스 환경은 VM을 Azure로 마이그레이션하려면 경로를 교환해야 합니다. 정의하는 /22 CIDR 네트워크 주소 블록은 온-프레미스 또는 Azure에서 이미 구성된 네트워크 주소 블록과 겹치면 안 됩니다.
Azure VMware Solution 프라이빗 클라우드에서 첫 번째 NSX 세그먼트를 만들려면 VM IP 세그먼트를 빌드해야 합니다. VM IP 세그먼트를 사용하면 VM을 Azure VMware Solution에 배포할 수 있습니다. 선택적으로 VMware HCX 계층 2 네트워크 확장을 사용하여 온-프레미스 VMware 환경에서 Azure VMware 솔루션으로 네트워크 세그먼트를 확장할 수 있습니다. 온-프레미스 네트워크는 vDS(vSphere Distributed Switch)에 연결해야 합니다. vSphere 표준 스위치는 VMware HCX를 사용하여 확장할 수 없습니다.
서브넷 분석 예제
다음 표는 /22 CIDR 네트워크 주소 블록(이 예에서는 10.5.0.0/22)이 어떻게 다양한 IP 세그먼트에 조각되는지에 대한 예를 보여 줍니다.
| 네트워크 사용량 | 서브넷 | 예제 |
|---|---|---|
| 프라이빗 클라우드 관리 | /26 | 10.5.0.0/26 |
| HCX 마이그레이션 | /26 | 10.5.0.64/26 |
| Global Reach 예약됨 | /26 | 10.5.0.128/26 |
| ExpressRoute 예약됨 | /27 | 10.5.0.192/27 |
| ExpressRoute 피어링 | /27 | 10.5.0.224/27 |
| ESXi 관리 | /25 | 10.5.1.0/25 |
| vMotion 네트워크 | /25 | 10.5.1.128/25 |
| 복제 네트워크 | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| HCX 업링크 | /26 | 10.5.3.0/26 |
| 예약됨 | 3 /26 블록 | 10.5.3.64/26, 10.5.3.128/26, 10.5.3.192/26 |
Azure VMware 솔루션 네트워크 연결
Azure VMware 솔루션을 배포한 후 성공적인 배포를 위한 다음 단계는 네트워크 연결을 구축하는 것입니다.
Azure VMware 솔루션 프라이빗 클라우드는 단일 고객에게만 할당된 전용 운영 체제 미설치 서버에 배포됩니다. Azure 리소스를 사용하려면 이러한 서버가 Azure 네트워크 백본에 연결되어야 합니다. Azure VMware 솔루션은 Azure VMware 솔루션 프라이빗 클라우드와 Azure 서비스 간 통신을 허용하는 Azure ExpressRoute 회로를 제공합니다. ExpressRoute를 통해 온-프레미스 환경에 연결하려면 기존 ExpressRoute 회로에 ExpressRoute Global Reach를 구성하면 됩니다.
ExpressRoute 및 라우팅 요구 사항
Azure VMware Solution에는 다음 두 가지 상호 연결 유형이 있습니다.
- 기본 Azure 전용 상호 연결: Azure VMware 솔루션은 리소스와 함께 배포되는 ExpressRoute 연결을 사용하여 Azure 가상 네트워크에 연결합니다. Azure VMware Solution이 제공하는 ExpressRoute 회로는 Azure VMware Solution 프라이빗 클라우드와 Azure Monitor나 클라우드용 Microsoft Defender 등 다른 Azure 서비스의 연결을 설정합니다.
- 전체 온-프레미스에서 프라이빗 클라우드로의 상호 연결: 이 연결 모델은 온-프레미스와 Azure VMware 솔루션 프라이빗 클라우드 간의 상호 연결을 포함하도록 기본적인 상호 연결 구현을 확장합니다. 이 연결은 여러 다른 방법 중에서 고객이 제공한 ExpressRoute 회로를 통해 구성할 수 있습니다. 기존 회로를 사용하거나 새 회로를 구매할 수 있습니다.
ExpressRoute Global Reach는 Azure VMware 솔루션에서 하이브리드 연결을 위한 기본 선택입니다. 그러나 Global Reach가 적용되지 않는 시나리오도 있습니다. 해당 지역에서 사용할 수 없거나 Global Reach에서 충족할 수 없는 특정 네트워크 또는 보안 요구 사항 때문입니다. 이러한 경우 ExpressRoute Private Peering을 통해 데이터를 전송하거나 IPSec VPN을 사용하는 것이 좋습니다.
고객이 제공한 ExpressRoute 회로는 Azure VMware Solution 프라이빗 클라우드 배포에 포함되지 않습니다.
ExpressRoute Global Reach 필수 조건
ExpressRoute Global Reach를 구성하기 전에 몇 가지 필수 조건이 있습니다.
- 별도의 고객이 제공한 ExpressRoute 회로가 필요합니다. 이 회로는 온-프레미스 환경을 Azure에 연결하는 데 사용됩니다.
- ExpressRoute 공급자의 서비스를 포함한 모든 게이트웨이가 4바이트 ASN(자치 시스템 번호)을 지원하는지 확인합니다. Azure VMware Solution은 네트워크 경로를 보급하기 위해 4바이트 퍼블릭 ASN을 사용합니다.
필수 네트워크 포트
온-프레미스 네트워크 인프라가 제한적인 경우 다음 포트를 허용해야 합니다.
| 원본 | 대상 | 프로토콜 | 포트 |
|---|---|---|---|
| Azure VMware Solution 프라이빗 클라우드 DNS 서버 | 온-프레미스 DNS 서버 | UDP | 53 |
| 온-프레미스 DNS 서버 | Azure VMware Solution DNS 서버 | UDP | 53 |
| 온-프레미스 네트워크 | Azure VMware 솔루션 vCenter Server | TCP(HTTP/HTTPS) | 80, 443 |
| Azure VMware Solution 프라이빗 클라우드 관리 네트워크 | 온-프레미스 Active Directory | TCP | 389/636 |
| Azure VMware Solution 프라이빗 클라우드 관리 네트워크 | 온-프레미스 Active Directory 글로벌 카탈로그 | TCP | 3268/3269 |
| 온-프레미스 네트워크 | HCX 클라우드 관리자 | TCP(HTTPS) | 9443 |
| 온-프레미스 관리 네트워크 | HCX 클라우드 관리자 | SSH | 22 |
| HCX 관리자 | 상호 연결(HCX-IX) | TCP(HTTPS) | 8123 |
| HCX 관리자 | 상호 연결(HCX-IX), 네트워크 확장(HCX-NE) | TCP(HTTPS) | 9443 |
| 상호 연결(HCX-IX) | 계층 2 연결 | TCP(HTTPS) | 443 |
| HCX 관리자, 상호 연결(HCX-IX) | ESXi 호스트 | TCP | 80, 443, 902 |
| 원본에서 상호 연결(HCX-IX), 네트워크 확장(HCX-NE) | 대상에서 상호 연결(HCX-IX), 네트워크 확장(HCX-NE) | UDP | 4500 |
| 온-프레미스 상호 연결(HCX-IX) | 클라우드 상호 연결(HCX-IX) | UDP | 500 |
| 온-프레미스 vCenter Server 네트워크 | Azure VMware Solution 관리 네트워크 | TCP | 8000 |
| HCX 커넥터 | connector.hcx.vmware.com hybridity.depot.vmware.com | TCP | 443 |
DHCP 및 DNS 확인 고려 사항
Azure VMware 해결 방법에서 실행되는 VM(가상 머신)에는 이름 확인이 필요합니다. 조회 및 IP 주소 할당을 위해 VM에 DHCP 서비스가 필요할 수도 있습니다. 이름 확인을 용이하게 하기 위해 온-프레미스 VM 또는 Azure VM을 구성할 수 있습니다. NSX에 기본 제공되는 DHCP 서비스를 사용하거나 Azure VMware Solution 프라이빗 클라우드의 로컬 DHCP 서버를 사용하도록 선택할 수 있습니다. Azure VMware Solution에서 DHCP를 구성하는 경우 WAN을 통해 DHCP 트래픽의 브로드캐스트를 온-프레미스 환경으로 다시 라우팅할 필요가 없습니다.
다음 단원에서는 Azure VMware Solution 배포를 살펴봅니다. 환경에 서비스를 배포할 수 있도록 모든 단계를 설명합니다.