Delen via

Netwerkconnectiviteit tussen tenants tot stand brengen voor AZURE VMware Solution SDDCs

  • Artikel

In dit artikel wordt beschreven hoe u azure VMware Solution-softwaregedefinieerde datacenters (SDDC's) instelt in een omgeving tussen tenants. Het biedt richtlijnen voor het tot stand brengen van netwerkconnectiviteit met behulp van Azure Virtual WAN en virtuele netwerkapparaten (NVA's) die worden uitgevoerd in een virtueel spoke-netwerk. Het virtuele spoke-netwerk maakt verbinding met Virtual WAN.

Architectuur

In de volgende architectuur ziet u de connectiviteit tussen SDK's voor meerdere tenants van Azure VMware Solution, Azure en een on-premises omgeving.

Diagram met de SDK's voor meerdere tenants van Azure VMware Solution met Virtual WAN en NVA's.

Connectiviteit

Netwerkconnectiviteit in een omgeving tussen tenants bestaat uit de volgende verbindingen.

Azure VMware Solution SDDC-naar-SDDC-connectiviteit

De connectiviteit tussen twee Azure VMware Solution SDK's die u in tenants implementeert, is afhankelijk van de pod waarin u ze implementeert. Gebruik de volgende instructies om de pods te identificeren waarin u SDDCs implementeert.

  1. Ga in Azure Portal naar Azure VMware Solution.
  2. Selecteer Beheren en selecteer vervolgens Clusters.
  3. Selecteer de drie puntjes en selecteer vervolgens Bewerken.
  4. Noteer de FQDN-waarde van de host. De letter p gaat vooraf aan het podnummer.

Herhaal hetzelfde proces voor andere SDDCs. Bepaal of ze algemene pods delen. In de volgende afbeelding ziet u SDDC-hosts die zijn geïmplementeerd in pod 1.

Diagram met de Azure VMware Solution-pod.

Notitie

U kunt geen pod selecteren tijdens een Azure VMware Solution SDDC-implementatie. Podtoewijzing is niet vooraf bepaald, dus het exacte knooppunt dat een planner toewijst aan een pod kan variëren telkens wanneer een proces wordt uitgevoerd.

Nadat u de pods hebt geïdentificeerd die SDDCs delen, voert u een van de volgende opties uit:

  • Azure VMware Solution interconnect (Global Reach): gebruik deze optie wanneer twee SDDC's zich in dezelfde Azure-regio bevinden en geen gemeenschappelijke pods delen. Met deze optie wordt een ExpressRoute-circuit Global Reach-verbinding tot stand gebracht tussen twee SDDC ExpressRoute-circuits. Met deze optie kunt u ook transitieve connectiviteit inschakelen. Transitieve connectiviteit betekent dat de routes die het SDDC ExpressRoute-circuit van de SDDC, Virtual WAN, de directe spoke-netwerken van Virtual WAN ook via de tenant aan het andere SDDC ExpressRoute-circuit, de SDDC, Virtual WAN en de directe spoke-netwerken van Virtual WAN leert.

  • Azure VMware Solution-interconnect (niet-Global Reach): gebruik deze optie wanneer twee SDDC's zich in dezelfde Azure-regio bevinden en een gemeenschappelijke pod ertussen delen. Deze optie biedt geen transitieve connectiviteit tussen tenants voor routes die virtual WAN en de directe spoke-netwerken adverteren.

  • Azure VMware Solution ExpressRoute Global Reach gebruiken: gebruik deze optie wanneer twee SDDC's zich in verschillende Azure-regio's bevinden, ongeacht of ze een pod delen of niet. Deze optie biedt transitieve connectiviteit tussen tenants voor routes die Virtual WAN en de directe spoke-virtuele netwerken adverteren.

Al deze opties kunnen netwerkconnectiviteit tussen twee SDDCs tot stand brengen. De optie die u kiest, is van invloed op azure VMware Solution SDDC-naar-Azure-connectiviteit.

Notitie

U kunt een selfservicemodel gebruiken om een netwerkverbinding tot stand te brengen tussen twee SDDC's. Maar als SDDC's worden uitgevoerd op stretched clusters, moet u een ondersteuningsticket indienen.

Azure VMware Solution SDDC-naar-Azure-connectiviteit

In deze architectuur maakt elke SDDC verbinding met Virtual WAN en wordt elk Virtual WAN-exemplaar uitgevoerd in een eigen Microsoft Entra-tenant. Gebruik de volgende procedure om verbinding te maken.

  1. Maak in Azure Portal, Azure CLI of PowerShell een Azure VMware Solution SDDC-autorisatiesleutel.

  2. Maak in Virtual WAN een hub en een ExpressRoute-gateway.

  3. Als u verbinding wilt maken tussen de SDDC en Virtual WAN, wisselt u de autorisatiesleutel in.

Andere virtuele Azure-netwerken maken ook verbinding met dit Virtual WAN.

  • Directe spoke-virtuele netwerken maken rechtstreeks verbinding met Virtual WAN via de virtuele WAN-netwerkverbinding. Een virtueel spoke-netwerk kan een NVA uitvoeren die erin is geïmplementeerd. De NVA inspecteert en beheert verkeer dat uitgaand is van Azure en de Azure VMware Solution SDDC.

  • Indirecte spoke virtuele netwerken maken verbinding met directe virtuele spoke-netwerken. Ze maken niet rechtstreeks verbinding met Virtual WAN. Indirecte spoke virtuele netwerken host workloads die worden uitgevoerd in Azure. NVA's die worden uitgevoerd in virtuele netwerken met directe spoke controleren netwerkverkeer dat afkomstig is van indirecte spoke-virtuele netwerken.

Gebruik de volgende configuraties om directe en indirecte connectiviteit tot stand te brengen tussen SDDC's en virtuele netwerken in Azure.

  • Directe spokes kunnen verbinding maken met een SDDC die in hun eigen tenant wordt uitgevoerd via connectiviteit tussen Virtual WAN en de SDDC.

  • Directe spokes kunnen verbinding maken met een SDDC die wordt uitgevoerd in de andere tenant via Azure VMware Solution interconnect (Global Reach) of Azure VMware Solution Global Reach-connectiviteit.

  • Indirecte spokes maken standaard geen verbinding met een SDDC in hun tenant. U kunt een door de gebruiker gedefinieerde route (UDR) koppelen aan indirecte spokes. Een UDR heeft SDDC-voorvoegsels in hun tenant als het doelnetwerk en een directe spoke in hun eigen tenant als de volgende hop.

  • Indirecte spokes maken standaard geen verbinding met een SDDC in de andere tenant. U kunt een UDR koppelen aan indirecte spokes. Een UDR heeft SDDC-voorvoegsels in de andere tenant als doelnetwerk en directe spoke in hun eigen tenant als de volgende hop. Voor deze connectiviteit is azure VMware Solution interconnect (Global Reach) of Azure VMware Solution Global Reach-connectiviteit tussen SDDCs vereist.

Notitie

Gebruik deze richtlijnen voor één hub die verbinding maakt met een virtueel spoke-netwerk dat als host fungeert voor een NVA-oplossing. Als u meerdere hubs hebt die verbinding moeten maken met een Azure VMware Solution SDDC, gebruikt u een volledige netwerkarchitectuur.

Azure VMware Solution SDDC-naar-on-premises connectiviteit

Gebruik Global Reach om connectiviteit tot stand te brengen tussen elke Azure VMware Solution SDDC en de on-premises omgeving. In dit scenario maken elk SDDC ExpressRoute-circuit en on-premises ExpressRoute-circuit verbinding met elkaar. De on-premises routes die het SDDC ExpressRoute-circuit via een Global Reach-verbinding leert, zijn niettransitief. De routes adverteren niet in de tenant, zelfs als u azure VMware Solution SDDC-naar-SDDC-connectiviteit hebt.

SDDC-naar-on-premises-connectiviteit bestaan samen met crosstenant SDDC-naar-SDDC-connectiviteit. In een dergelijke installatie leert één SDDC ExpressRoute-circuit on-premises routes via een Global Reach-verbinding en leert ook virtuele WAN-routes tussen tenants via SDDC-naar-SDDC-connectiviteit. De crosstenant Virtual WAN of SDDC mag de on-premises voorvoegsels niet adverteren via andere middelen, zoals een statische route of een VPN-verbinding. Als dit het geval is, leert de SDDC ExpressRoute dubbele routes voor de on-premises omgeving, waardoor een routeringslus wordt gemaakt en de connectiviteit wordt verbroken.

Als de on-premises omgeving meerdere ExpressRoute-circuits voor redundantie heeft, gebruikt u het openbare AS-pad dat is voorbereid om de voorkeur te geven aan één circuit boven het andere.

Notitie

SDDC-naar-on-premises connectiviteit is naast Azure-naar-on-premises connectiviteit. U kunt een ExpressRoute-gateway in Virtual WAN gebruiken om verbinding te maken met het SDDC ExpressRoute-circuit en het on-premises ExpressRoute-circuit. Maar deze connectiviteit is niet transitief.

Azure-naar-Azure-connectiviteit

Directe en indirecte virtuele netwerken moeten met elkaar communiceren in dezelfde Azure-tenant en tussen de Azure-tenants. Gebruik de volgende methoden om verbindingen tot stand te brengen.

Verbindingen tot stand brengen binnen dezelfde tenant

  • Verbind directe spokes met elkaar via een virtual WAN-netwerkverbinding.

  • Directe spokes verbinden met indirecte spokes via peering van virtuele netwerken.

  • Verbind indirecte spokes met directe spokes via peering van virtuele netwerken.

  • Verbind indirecte spokes met elkaar via peering van virtuele netwerken met een directe spoke en een UDR die u aan de directe spoke koppelt. Een UDR heeft een indirect spoke-voorvoegsel als doelnetwerk en een NVA in de directe spoke als volgende hop. Configureer de NVA in de directe spoke om het verkeer door te sturen via de netwerkinterfacekaart (NIC).

Verbindingen tot stand brengen in de tenant

  • Directe spokes verbinden met directe spokes tussen tenants via wereldwijde peering van virtuele netwerken.

  • Directe spokes verbinden met indirecte spokes tussen tenants via wereldwijde peering van virtuele netwerken tussen directe spokes en UDR's die u aan de directe spoke koppelt. Een UDR heeft een indirect spoke-voorvoegsel tussen tenants als doelnetwerk en een NVA in de direct spoke tussen tenants als de volgende hop.

  • Verbind indirecte spokes met directe spokes tussen tenants via wereldwijde peering van virtuele netwerken tussen virtuele netwerken met directe spokes en een UDR die u koppelt aan de directe spoke virtuele netwerken. De UDR heeft een direct spoke-voorvoegsel tussen tenants als doelnetwerk en een NVA in een eigen directe spoke als de volgende hop.

  • Verbind indirecte spokes met indirecte spokes tussen tenants via wereldwijde peering van virtuele netwerken tussen virtuele netwerken met directe spoke en een UDR die u koppelt aan de directe spoke virtuele netwerken. De UDR heeft een indirect spoke-voorvoegsel tussen tenants als doelnetwerk en een NVA in een eigen directe spoke als de volgende hop.

Azure-to-on-premises connectiviteit

Gebruik het on-premises ExpressRoute-circuit en de ExpressRoute-gateway van Virtual WAN om azure-naar-on-premises connectiviteit tot stand te brengen. De connectiviteit tussen de Azure VMware Solution SDDC ExpressRoute en dezelfde on-premises ExpressRoute-gateway is niettransitief. De verbinding tussen het directe spoke-virtuele netwerk en Virtual WAN via wereldwijde peering van virtuele netwerken is ook niettransitief. De indirecte spoke die verbinding maakt met Virtual WAN moet een UDR hebben met een on-premises voorvoegsel als het doelnetwerk en een NVA die in de directe spoke wordt uitgevoerd als de volgende hop.

Scenariodetails

In dit artikel worden de volgende scenario's besproken. U kunt deze scenario's toepassen voor migratie tussen tenants of workloadtoegang.

  • Azure VMware Solution SDDC-naar-SDDC-netwerkconnectiviteit tussen tenants
  • Connectiviteit tussen tenants van Azure naar Azure
  • Netwerktoegang tussen meerdere tenants tussen een Azure VMware Solution SDDC en virtuele Azure-netwerken
  • Netwerktoegang tussen meerdere tenants tussen een Azure VMware Solution SDDC en een on-premises omgeving
  • Inspectie en controle van netwerkverkeer tussen tenants via een NVA die wordt uitgevoerd in een virtueel netwerk dat verbinding maakt met Virtual WAN

In een omgeving tussen tenants kan de Azure VMware Solution SDDC, het bijbehorende Azure ExpressRoute-circuit en Virtual WAN een uitdagende migratie- of workloadtoegangservaring creëren. Het ExpressRoute-circuit dat is gekoppeld aan de Azure VMware Solution SDDC, maakt verbinding met de SDDC en ook met de Virtual WAN ExpressRoute-gateway. Het ExpressRoute-circuit leert de routes die de Azure VMware Solution SDDC en Virtual WAN adverteren. Het ExpressRoute-circuit adverteert deze routes over de tenant naar de andere Azure VMware Solution SDDC en Virtual WAN die verbinding maken met het circuit. Plan uw configuratie zorgvuldig om cyclische routedoorgifte tussen Virtual WAN, het SDDC ExpressRoute-circuit en de Virtual WAN ExpressRoute-gateway te voorkomen.

Potentiële gebruikscases

Houd rekening met de volgende scenario's die kunnen profiteren van deze architectuur:

  • Multinationals voeren Azure VMware Solution SDDC uit in verschillende Microsoft Entra-tenants.

  • Een onderneming ondergaat een splitsing of afsplitsingsproces, wat resulteert in afzonderlijke bedrijfsentiteiten die afzonderlijke Microsoft Entra-tenants hebben. Elke afzonderlijke bedrijfsentiteit vereist toegang tot een gemeenschappelijke on-premises omgeving en vereist cross-tenanttoegang tot Azure VMware Solution SDDC en andere Azure-resources.

  • Twee afzonderlijke bedrijven hebben hun eigen afzonderlijke Microsoft Entra-tenants, maar vereisen nog steeds cross-tenanttoegang tot workloads die worden uitgevoerd in zowel Azure VMware Solution SDK's als Azure.

Volgende stappen