Lista kontrolna planowania sieci dla rozwiązania Azure VMware Solution
Rozwiązanie Azure VMware Solution udostępnia środowisko chmury prywatnej VMware dostępne dla użytkowników i aplikacji z lokalnych i opartych na platformie Azure środowisk lub zasobów. Łączność jest dostarczana za pośrednictwem usług sieciowych, takich jak Azure ExpressRoute i połączenia sieci VPN. Do włączenia tych usług są wymagane określone zakresy adresów sieciowych i porty zapory. Ten artykuł ułatwia skonfigurowanie sieci do pracy z usługą Azure VMware Solution.
Z tego samouczka dowiesz się więcej o następujących tematach:
- Zagadnienia dotyczące sieci wirtualnej i obwodu usługi ExpressRoute
- Wymagania dotyczące routingu i podsieci
- Wymagane porty sieciowe do komunikowania się z usługami
- Zagadnienia dotyczące protokołu DHCP i dns w rozwiązaniu Azure VMware Solution
Wymagania wstępne
Upewnij się, że wszystkie bramy, w tym usługa dostawcy usługi ExpressRoute, obsługują 4-bajtowy numer systemu autonomicznego (ASN). Usługa Azure VMware Solution używa 4-bajtowych publicznych numerów ASN do anonsowania tras.
Zagadnienia dotyczące sieci wirtualnej i obwodu usługi ExpressRoute
Podczas tworzenia połączenia sieci wirtualnej w ramach subskrypcji obwód usługi ExpressRoute jest ustanawiany za pośrednictwem komunikacji równorzędnej przy użyciu klucza autoryzacji i identyfikatora komunikacji równorzędnej żądanego w witrynie Azure Portal. Komunikacja równorzędna to prywatne, jedno-jedno połączenie między chmurą prywatną a siecią wirtualną.
Uwaga
Obwód usługi ExpressRoute nie jest częścią wdrożenia chmury prywatnej. Lokalny obwód usługi ExpressRoute wykracza poza zakres tego dokumentu. Jeśli potrzebujesz łączności lokalnej z chmurą prywatną, użyj jednego z istniejących obwodów usługi ExpressRoute lub kup je w witrynie Azure Portal.
Podczas wdrażania chmury prywatnej otrzymujesz adresy IP dla programu vCenter Server i menedżera NSX. Aby uzyskać dostęp do tych interfejsów zarządzania, utwórz więcej zasobów w sieci wirtualnej subskrypcji. Znajdź procedury tworzenia tych zasobów i ustanawiania prywatnej komunikacji równorzędnej usługi ExpressRoute w samouczkach.
Sieć logiczna chmury prywatnej obejmuje wstępnie aprowizowaną konfigurację NSX. Brama warstwy 0 i brama warstwy 1 są wstępnie aprowizowania. Możesz utworzyć segment i dołączyć go do istniejącej bramy warstwy 1 lub dołączyć go do nowej zdefiniowanej bramy warstwy 1. Składniki sieci logicznej NSX zapewniają łączność między obciążeniami a łącznością północno-południową z Internetem i usługami platformy Azure.
Ważne
Jeśli planujesz skalowanie hostów usługi Azure VMware Solution przy użyciu magazynów danych usługi Azure NetApp Files, wdrożenie sieci wirtualnej w pobliżu hostów przy użyciu bramy sieci wirtualnej usługi ExpressRoute ma kluczowe znaczenie. Im bliżej magazynu znajdują się hosty, tym większa wydajność.
Zagadnienia dotyczące routingu i podsieci
Chmura prywatna usługi Azure VMware Solution łączy się z siecią wirtualną platformy Azure przy użyciu połączenia usługi Azure ExpressRoute. To połączenie o wysokiej przepustowości i małym opóźnieniu umożliwia dostęp do usług działających w ramach subskrypcji platformy Azure ze środowiska chmury prywatnej. Routing używa protokołu BGP (Border Gateway Protocol), jest automatycznie aprowizowane i domyślnie włączone dla każdego wdrożenia chmury prywatnej.
Chmury prywatne usługi Azure VMware Solution wymagają minimalnego /22 bloku adresów sieciOWYCH CIDR dla podsieci. Ta sieć uzupełnia sieci lokalne, dlatego blok adresowy nie powinien nakładać się na bloki adresów używane w innych sieciach wirtualnych w ramach subskrypcji i sieci lokalnych. Sieci zarządzania, programu vMotion i replikacji są aprowizowane automatycznie w ramach tego bloku adresów.
Uwaga
Dozwolone zakresy dla bloku adresów to prywatne przestrzenie adresowe RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), z wyjątkiem 172.17.0.0/16. Sieć replikacji nie ma zastosowania do węzłów AV64 i jest planowana na ogólne wycofanie w przyszłości.
Ważne
Unikaj używania następujących schematów IP zarezerwowanych dla użycia NSX:
- 169.254.0.0/24 — używany do sieci tranzytowej wewnętrznej
- 169.254.2.0/23 - używany do sieci tranzytowej między VRF
- 100.64.0.0/16 — używane do łączenia bram T1 i T0 wewnętrznie
Przykładowy /22 blok adresów sieciOWYCH CIDR: 10.10.0.0/22
Podsieci:
| Użycie sieci | opis | Podsieć | Przykład |
|---|---|---|---|
| Zarządzanie chmurą prywatną | Sieć zarządzania (na przykład vCenter, NSX) | /26 |
10.10.0.0/26 |
| Migracje mgmt HCX | Łączność lokalna dla urządzeń HCX (łącza w dół) | /26 |
10.10.0.64/26 |
| Global Reach Reserved | Interfejs ruchu wychodzącego dla usługi ExpressRoute | /26 |
10.10.0.128/26 |
| Usługa DNS NSX | Wbudowana usługa DNS NSX | /32 |
10.10.0.192/32 |
| Zarezerwowana | Zarezerwowana | /32 |
10.10.0.193/32 |
| Zarezerwowana | Zarezerwowana | /32 |
10.10.0.194/32 |
| Zarezerwowana | Zarezerwowana | /32 |
10.10.0.195/32 |
| Zarezerwowana | Zarezerwowana | /30 |
10.10.0.196/30 |
| Zarezerwowana | Zarezerwowana | /29 |
10.10.0.200/29 |
| Zarezerwowana | Zarezerwowana | /28 |
10.10.0.208/28 |
| Komunikacja równorzędna ExpressRoute | Komunikacja równorzędna usługi ExpressRoute | /27 |
10.10.0.224/27 |
| Zarządzanie pakietem ESXi | Interfejsy ESXi zarządzania maszynami wirtualnymikernel | /25 |
10.10.1.0/25 |
| Sieć vMotion | Interfejsy vMotion VMkernel | /25 |
10.10.1.128/25 |
| Sieć replikacji | Interfejsy replikacji vSphere | /25 |
10.10.2.0/25 |
| VSAN | Interfejsy vSAN VMkernel i komunikacja węzłów | /25 |
10.10.2.128/25 |
| Pasma HCX | Pasma dla urządzeń HCX IX i NE z zdalnymi elementami równorzędnymi | /26 |
10.10.3.0/26 |
| Zarezerwowana | Zarezerwowana | /26 |
10.10.3.64/26 |
| Zarezerwowana | Zarezerwowana | /26 |
10.10.3.128/26 |
| Zarezerwowana | Zarezerwowana | /26 |
10.10.3.192/26 |
Uwaga
Sieci zarządzania ESXi/vmotion/replikacji są technicznie zdolne do obsługi 125 hostów, jednak obsługiwana wartość maksymalna wynosi 96, ponieważ 29 są zarezerwowane do wymiany/konserwacji (19) i HCX(10).
Wymagane porty sieciowe
| Element źródłowy | Lokalizacja docelowa | Protokół | Port | opis |
|---|---|---|---|---|
| Serwer DNS chmury prywatnej | Lokalny serwer DNS | UDP | 53 | Klient DNS — przekazywanie żądań z serwera vCenter chmury prywatnej dla lokalnych zapytań DNS (zobacz sekcję DNS). |
| Lokalny serwer DNS | Serwer DNS chmury prywatnej | UDP | 53 | Klient DNS — przekazywanie żądań z usług lokalnych do serwerów DNS w chmurze prywatnej (zobacz sekcję DNS) |
| Sieć lokalna | Private Cloud vCenter Server | TCP (HTTP) | 80 | Program vCenter Server wymaga portu 80 dla bezpośrednich połączeń HTTP. Port 80 przekierowuje żądania do portu HTTPS 443. To przekierowanie pomaga, jeśli używasz http://server zamiast https://server. |
| Sieć zarządzania chmurą prywatną | Lokalna usługa Active Directory | TCP | 389/636 | Włącz program Azure VMware Solutions vCenter Server, aby komunikować się z serwerami lokalna usługa Active Directory/LDAP. Opcjonalnie do konfigurowania lokalnej usługi AD jako źródła tożsamości w chmurze prywatnej w programie vCenter. Port 636 jest zalecany do celów bezpieczeństwa. |
| Sieć zarządzania chmurą prywatną | Lokalny wykaz globalny usługi Active Directory | TCP | 3268/3269 | Włącz program Azure VMware Solutions vCenter Server do komunikowania się z serwerami wykazu globalnego lokalna usługa Active Directory/LDAP. Opcjonalnie do konfigurowania lokalnej usługi AD jako źródła tożsamości na serwerze vCenter w chmurze prywatnej. Użyj portu 3269 na potrzeby zabezpieczeń. |
| Sieć lokalna | Private Cloud vCenter Server | TCP (HTTPS) | 443 | Uzyskaj dostęp do programu vCenter Server z sieci lokalnej. Domyślny port dla programu vCenter Server do nasłuchiwania połączeń klienta vSphere. Aby umożliwić systemowi vCenter Server odbieranie danych z klienta vSphere, otwórz port 443 w zaporze. System vCenter Server używa również portu 443 do monitorowania transferu danych z klientów zestawu SDK. |
| Sieć lokalna | HCX Cloud Manager | TCP (HTTPS) | 9443 | HcX Cloud Manager virtual appliance management interface for HCX system configuration (Interfejs zarządzania wirtualnymi urządzeniami HCX w usłudze Cloud Manager na potrzeby konfiguracji systemu HCX). |
| Lokalna sieć administracyjna | HCX Cloud Manager | SSH | 22 | Dostęp SSH administratora do wirtualnego urządzenia HCX Cloud Manager. |
| Menedżer HCX | Połączenie międzyoperacjonowe (HCX-IX) | TCP (HTTPS) | 8123 | HCX Bulk Migration Control. |
| Menedżer HCX | Interconnect (HCX-IX), rozszerzenie sieci (HCX-NE) | TCP (HTTPS) | 9443 | Wysyłanie instrukcji zarządzania do lokalnego połączenia HCX Interconnect przy użyciu interfejsu API REST. |
| Połączenie międzyoperacjonowe (HCX-IX) | L2C | TCP (HTTPS) | 443 | Wyślij instrukcje dotyczące zarządzania z połączenia między połączeniami do L2C, gdy L2C używa tej samej ścieżki co połączenie międzyoperacjonowe. |
| HCX Manager, Interconnect (HCX-IX) | Hosty ESXi | TCP | 80,443,902 | Zarządzanie i wdrażanie OVF. |
| Interconnect (HCX-IX), Network Extension (HCX-NE) at Source | Interconnect (HCX-IX), Network Extension (HCX-NE) at Destination | UDP | 4500 | Wymagane dla protokołu IPSEC Wymiana kluczy internetowych (IKEv2) w celu hermetyzacji obciążeń dla tunelu dwukierunkowego. Obsługuje translacja adresów sieciowych (NAT-T). |
| Lokalne połączenie międzyoperacjonowe (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4500 | Wymagane dla protokołu IPSEC Internet Key Exchange (ISAKMP) dla tunelu dwukierunkowego. |
| Lokalna sieć programu vCenter Server | Sieć zarządzania chmurą prywatną | TCP | 8000 | VMotion maszyn wirtualnych z lokalnego programu vCenter Server do serwera vCenter w chmurze prywatnej |
| Łącznik HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect jest wymagany do weryfikacji klucza licencji.hybridity jest wymagany w przypadku aktualizacji. |
W tej tabeli przedstawiono typowe reguły zapory dla typowych scenariuszy. Może jednak być konieczne rozważenie większej liczby elementów podczas konfigurowania reguł zapory. Należy pamiętać, że jeśli źródło i miejsce docelowe mówią "lokalnie", te informacje są istotne tylko wtedy, gdy centrum danych ma zaporę, która sprawdza przepływy. Jeśli składniki lokalne nie mają zapory do inspekcji, możesz zignorować te reguły.
Aby uzyskać więcej informacji, zobacz pełną listę wymagań dotyczących portów VMware HCX.
Zagadnienia dotyczące rozpoznawania nazw DHCP i DNS
Aplikacje i obciążenia działające w środowisku chmury prywatnej wymagają rozpoznawania nazw i usług DHCP na potrzeby przypisań odnośników i adresów IP. Do świadczenia tych usług jest wymagana właściwa infrastruktura DHCP i DNS. Maszynę wirtualną można skonfigurować tak, aby świadczyła te usługi w środowisku chmury prywatnej.
Użyj wbudowanej usługi DHCP do centrum danych NSX-T lub użyj lokalnego serwera DHCP w chmurze prywatnej zamiast routingu emisji ruchu DHCP przez sieć WAN z powrotem do środowiska lokalnego.
Ważne
Jeśli anonsujesz trasę domyślną do rozwiązania Azure VMware Solution, musisz zezwolić usłudze przesyłania dalej DNS na dostęp do skonfigurowanych serwerów DNS i muszą obsługiwać rozpoznawanie nazw publicznych.
Następne kroki
W tym samouczku przedstawiono zagadnienia i wymagania dotyczące wdrażania chmury prywatnej usługi Azure VMware Solution. Po utworzeniu odpowiedniej sieci przejdź do następnego samouczka, aby utworzyć chmurę prywatną usługi Azure VMware Solution.