Udostępnij za pośrednictwem

Ustanawianie łączności sieciowej między dzierżawami dla kontrolerów SDK usługi Azure VMware Solution

  • Artykuł

W tym artykule opisano sposób konfigurowania centrów danych zdefiniowanych programowo w usłudze Azure VMware Solution (SDDCs) w środowisku między dzierżawami. Zawiera wskazówki dotyczące nawiązywania łączności sieciowej przy użyciu usługi Azure Virtual WAN i wirtualnych urządzeń sieciowych (WUS), które działają w sieci wirtualnej będącej szprychą. Sieć wirtualna szprychy łączy się z wirtualną siecią WAN.

Architektura

Poniższa architektura przedstawia łączność między różnymi dzierżawami zestawami SDKDCs rozwiązania VMware Solution, platformą Azure i środowiskiem lokalnym.

Diagram przedstawiający międzydostępne kontrolery SDK usługi Azure VMware Solution z wirtualną siecią WAN i urządzeniami WUS.

Łączność

Łączność sieciowa w środowisku między dzierżawami składa się z następujących połączeń.

Łączność z usługą AZURE VMware Solution SDDC do SDDC

Łączność między dwiema kontrolerami SDDC rozwiązania VMware Solution wdrażaną w różnych dzierżawach zależy od zasobnika, w którym są wdrażane. Skorzystaj z poniższych instrukcji, aby zidentyfikować zasobniki, w których wdrożono kontrolery SDDC.

  1. W witrynie Azure Portal przejdź do usługi Azure VMware Solution.
  2. Wybierz pozycję Zarządzaj, a następnie wybierz pozycję Klastry.
  3. Wybierz trzy kropki, a następnie wybierz pozycję Edytuj.
  4. Zanotuj wartość nazwy FQDN hosta. Litera p poprzedza numer zasobnika.

Powtórz ten sam proces dla innych kontrolerów SDDC. Ustal, czy mają jakiekolwiek wspólne zasobniki. Na poniższej ilustracji przedstawiono hosty SDDC wdrożone w zasobniku 1.

Diagram przedstawiający zasobnik usługi Azure VMware Solution.

Uwaga

Nie można wybrać zasobnika podczas wdrażania usługi Azure VMware Solution SDDC. Przypisanie zasobnika nie jest wstępnie określone, więc dokładny węzeł przypisywany przez harmonogram do zasobnika może się różnić przy każdym uruchomieniu procesu.

Po zidentyfikowaniu zasobników udostępnianych przez kontrolery SDDCs wykonaj jedną z następujących opcji:

  • Połączenie między usługą Azure VMware Solution (Global Reach): użyj tej opcji, gdy dwie kontrolery SDDC znajdują się w tym samym regionie świadczenia usługi Azure i nie współużytkują między nimi wspólnych zasobników. Ta opcja ustanawia połączenie Global Reach obwodu usługi ExpressRoute między dwoma obwodami usługi ExpressRoute sdDC. Ta opcja umożliwia również łączność przechodnią. Przechodnia łączność oznacza, że trasy, które obwody usługi ExpressRoute SDDC uczą się od centrum SDDC, usługi Virtual WAN, sieci wirtualnych sieci wirtualnych usługi Virtual WAN będącej szprychą również anonsują się w całej dzierżawie do innego obwodu SDDC ExpressRoute, SDDC, Virtual WAN i bezpośrednich sieci wirtualnych usługi Virtual WAN.

  • Użyj połączenia międzyoperacyjnego usługi Azure VMware Solution (bez zasięgu globalnego): użyj tej opcji, gdy dwie kontrolery SDDC znajdują się w tym samym regionie świadczenia usługi Azure i współdzielą wspólny zasobnik między nimi. Ta opcja nie zapewnia łączności przechodniej między dzierżawami dla tras anonsowanych przez usługę Virtual WAN i jej bezpośrednich sieci wirtualnych będącej szprychą.

  • Użyj usługi Azure VMware Solution ExpressRoute Global Reach: użyj tej opcji, gdy dwie kontrolery SDDC znajdują się w różnych regionach świadczenia usługi Azure, niezależnie od tego, czy współużytkują zasobnik, czy nie. Ta opcja zapewnia łączność przechodnią między dzierżawami dla tras anonsowanych przez usługę Virtual WAN i jej bezpośrednich sieci wirtualnych szprych.

Wszystkie te opcje mogą ustanowić łączność sieciową między dwoma kontrolerami SDDCs. Wybrana opcja ma wpływ na łączność z usługą Azure VMware Solution SDDC-to-Azure.

Uwaga

Do ustanowienia łączności sieciowej między dwoma kontrolerami SDDC można użyć modelu samoobsługowego. Jeśli jednak kontrolery SDDCs działają w klastrach rozproszonych, należy zgłosić bilet pomocy technicznej.

Łączność z usługą AZURE VMware Solution SDDC-to-Azure

W tej architekturze każde centrum DANYCH SDDC łączy się z usługą Virtual WAN, a każde wystąpienie usługi Virtual WAN działa we własnej dzierżawie firmy Microsoft Entra. Aby nawiązać łączność, wykonaj poniższą procedurę.

  1. W witrynie Azure Portal, interfejsie wiersza polecenia platformy Azure lub programie PowerShell utwórz klucz autoryzacji centrum danych SDDC usługi Azure VMware Solution.

  2. W usłudze Virtual WAN utwórz centrum i bramę usługi ExpressRoute.

  3. Aby ustanowić łączność między centrum danych SDDC i wirtualną siecią WAN, zrealizuj klucz autoryzacji.

Inne sieci wirtualne platformy Azure łączą się również z tą usługą Virtual WAN.

  • Bezpośrednie sieci wirtualne będące szprychami łączą się bezpośrednio z usługą Virtual WAN za pośrednictwem połączenia sieci wirtualnej usługi Virtual WAN. Sieć wirtualna szprych może uruchamiać wdrożone w niej urządzenie WUS. Urządzenie WUS sprawdza i kontroluje ruch wychodzący z platformy Azure i centrum SDDC usługi Azure VMware Solution.

  • Pośrednie sieci wirtualne szprych łączą się z bezpośrednimi sieciami wirtualnymi szprych. Nie łączą się bezpośrednio z usługą Virtual WAN. Pośrednie sieci wirtualne będące szprychami hostować obciążenia, które działają na platformie Azure. Urządzenia WUS działające w bezpośrednich sieciach wirtualnych szprych sprawdzają ruch sieciowy pochodzący z pośrednich sieci wirtualnych szprych.

Użyj następujących konfiguracji, aby ustanowić bezpośrednią i pośrednią łączność między kontrolerami SDDC i sieciami wirtualnymi na platformie Azure.

  • Bezpośrednie szprychy mogą łączyć się z centrum DANYCH SDDC działającego we własnej dzierżawie za pośrednictwem łączności między usługą Virtual WAN i sdDC.

  • Szprychy bezpośrednie mogą łączyć się z centrum DANYCH SDDC działającego w innego dzierżawie za pośrednictwem połączenia międzyoperacyjnego rozwiązania Azure VMware Solution (Global Reach) lub łączności Global Reach rozwiązania VMware Solution.

  • Szprychy pośrednie domyślnie nie łączą się z centrum DANYCH SDDC w dzierżawie. Trasę zdefiniowaną przez użytkownika (UDR) można skojarzyć z szprychami pośrednimi. Trasa zdefiniowana przez użytkownika ma prefiksy SDDC w dzierżawie jako sieć docelową i bezpośrednią szprychę we własnej dzierżawie jako następny przeskok.

  • Szprychy pośrednie domyślnie nie łączą się z centrum DANYCH SDDC w drugiej dzierżawie. Trasę zdefiniowaną przez użytkownika można skojarzyć z pośrednimi szprychami. Trasa zdefiniowana przez użytkownika ma prefiksy SDDC w innej dzierżawie jako sieć docelową i bezpośrednią szprychę we własnej dzierżawie jako następny przeskok. Ta łączność wymaga połączenia między połączeniami usługi Azure VMware Solution (Global Reach) lub rozwiązania VMware Solution Global Reach między zestawami SDDCs.

Uwaga

Skorzystaj z tych wskazówek dla pojedynczego koncentratora łączącego się z siecią wirtualną będącej szprychą, która hostuje rozwiązanie WUS. Jeśli masz wiele centrów, które muszą łączyć się z centrum SDDC usługi Azure VMware Solution, użyj architektury sieci pełnej siatki.

Łączność z usługą AZURE VMware Solution SDDC do środowiska lokalnego

Użyj globalnego zasięgu, aby nawiązać łączność między poszczególnymi usługami AZURE VMware Solution SDDC i środowiskiem lokalnym. W tym scenariuszu każdy obwód usługi ExpressRoute sdDC i lokalny obwód usługi ExpressRoute łączą się ze sobą. Trasy lokalne, które obwody usługi ExpressRoute sdDC uczą się za pośrednictwem połączenia Global Reach, są nieprzejeżne. Trasy nie anonsują się w dzierżawie, nawet jeśli masz łączność SDDC z centrum danych SDDC rozwiązania Azure VMware Solution.

Łączność SDDC-to-on-premises współistnieją z łącznością SDDC-to-SDDC między dzierżawami. W takiej konfiguracji jeden obwód usługi ExpressRoute sdDC uczy się tras lokalnych za pośrednictwem połączenia Global Reach, a także uczy się tras wirtualnych sieci WAN między dzierżawami za pośrednictwem łączności SDDC-to-SDDC. Wirtualne sieci WAN lub SDDC między dzierżawami nie mogą anonsować prefiksów lokalnych za pośrednictwem innych środków, takich jak trasa statyczna lub połączenie sieci VPN. W takim przypadku usługa ExpressRoute SDDC uczy się zduplikowanych tras dla środowiska lokalnego, co powoduje utworzenie pętli routingu i przerwanie łączności.

Jeśli środowisko lokalne ma wiele obwodów usługi ExpressRoute w celu zapewnienia nadmiarowości, użyj publicznej ścieżki AS, aby preferować jeden obwód na drugim.

Uwaga

Łączność MIĘDZY centrum danych SDDC i środowiskiem lokalnym współistnieją z łącznością typu "z platformą Azure do środowiska lokalnego". Bramę usługi ExpressRoute można użyć w usłudze Virtual WAN, aby nawiązać połączenie z obwodem usługi ExpressRoute SDDC i lokalnym obwodem usługi ExpressRoute. Jednak ta łączność nie jest przechodnia.

Łączność między platformą Azure a platformą Azure

Bezpośrednie i pośrednie sieci wirtualne muszą komunikować się ze sobą w tej samej dzierżawie platformy Azure i w różnych dzierżawach platformy Azure. Użyj następujących metod, aby nawiązać połączenia.

Ustanawianie połączeń w ramach tej samej dzierżawy

  • Połącz bezpośrednie szprychy ze sobą za pośrednictwem połączenia sieci wirtualnej usługi Virtual WAN.

  • Połącz bezpośrednie szprychy z pośrednimi szprychami za pośrednictwem komunikacji równorzędnej sieci wirtualnych.

  • Połącz szprychy pośrednie z bezpośrednimi szprychami za pośrednictwem komunikacji równorzędnej sieci wirtualnych.

  • Połącz szprychy pośrednie ze sobą za pośrednictwem komunikacji równorzędnej sieci wirtualnej z bezpośrednią szprychą i trasą zdefiniowaną przez użytkownika skojarzą się z bezpośrednią szprychą. Trasa zdefiniowana przez użytkownika ma pośredni prefiks szprych jako sieć docelową i urządzenie WUS w bezpośredniej szprychy jako następny przeskok. Skonfiguruj urządzenie WUS w bezpośredniej szprychy, aby przekazywać ruch przez kartę interfejsu sieciowego.

Ustanawianie połączeń między dzierżawą

  • Połącz bezpośrednie szprychy z szprychami bezpośrednich między dzierżawami za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnych.

  • Połącz bezpośrednie szprychy z pośrednimi szprychami między dzierżawami za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnej między bezpośrednimi szprychami i trasami zdefiniowanymi przez użytkownika, które są skojarzone z bezpośrednią szprychą. Trasa zdefiniowana przez użytkownika ma prefiks pośredniej szprychy między dzierżawami jako sieć docelową i urządzenie WUS w szprychach bezpośrednich między dzierżawami jako następny przeskok.

  • Połącz pośrednie szprychy z szprychami między dzierżawami za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnych między bezpośrednimi sieciami wirtualnymi szprych i trasą zdefiniowaną przez użytkownika skojarzą się z bezpośrednimi sieciami wirtualnymi szprych. Trasa zdefiniowana przez użytkownika ma prefiks bezpośredniej szprychy między dzierżawami jako sieć docelową i urządzenie WUS we własnej szprychy bezpośredniej jako następny przeskok.

  • Połącz pośrednie szprychy z pośrednimi szprychami między dzierżawami za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnych między bezpośrednimi szprychami a trasą zdefiniowaną przez użytkownika skojarzą się z bezpośrednimi sieciami wirtualnymi szprych. Trasa zdefiniowana przez użytkownika ma prefiks pośredniej szprychy między dzierżawami jako sieć docelową i urządzenie WUS we własnej szprychy bezpośredniej jako następny przeskok.

Łączność między platformą Azure a środowiskiem lokalnym

Użyj lokalnego obwodu usługi ExpressRoute i bramy usługi ExpressRoute usługi Virtual WAN, aby ustanowić łączność między platformą Azure a środowiskiem lokalnym. Łączność między usługą Azure VMware Solution SDDC ExpressRoute i tą samą lokalną bramą usługi ExpressRoute jest nieprzejeżona. Połączenie między bezpośrednią siecią wirtualną szprychy i usługą Virtual WAN za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnych również nie jest transitive. Pośredni szprycha, która łączy się z wirtualną siecią WAN, musi mieć trasę zdefiniowaną przez użytkownika, która ma prefiks lokalny jako sieć docelową i urządzenie WUS działające w bezpośredniej szprychy jako następny przeskok.

Szczegóły scenariusza

W tym artykule przedstawiono następujące scenariusze. Te scenariusze można zastosować do celów migracji między dzierżawami lub dostępu do obciążeń.

  • Łączność sieciowa między dzierżawami usługi Azure VMware Solution SDDC do SDDC
  • Łączność między dzierżawami platformy Azure i platformy Azure
  • Dostęp między sieciami między dzierżawami między sieciami wirtualnymi usługi Azure VMware Solution SDDC i platformy Azure
  • Dostęp sieciowy między dzierżawami między usługą Azure VMware Solution SDDC a środowiskiem lokalnym
  • Inspekcja i kontrola ruchu sieciowego między dzierżawami za pośrednictwem urządzenia WUS działającego w sieci wirtualnej łączącej się z usługą Virtual WAN

W środowisku wielodostępnym centrum danych SDDC rozwiązania Azure VMware Solution, skojarzonego z nim obwodu usługi Azure ExpressRoute i usługi Virtual WAN może utworzyć trudne środowisko migracji lub dostępu do obciążeń. Obwód usługi ExpressRoute skojarzony z usługą Azure VMware Solution SDDC łączy się z centrum danych SDDC, a także z bramą usługi ExpressRoute usługi Virtual WAN. Obwód usługi ExpressRoute uczy się tras anonsowanych przez usługę Azure VMware Solution SDDC i Virtual WAN. Obwód usługi ExpressRoute anonsuje te trasy w dzierżawie do innych usług Azure VMware Solution SDDC i Virtual WAN łączących się z obwodem. Starannie zaplanuj konfigurację, aby uniknąć propagacji tras cyklicznych między usługą Virtual WAN, obwodem usługi ExpressRoute sdDC i bramą usługi ExpressRoute usługi Virtual WAN.

Potencjalne przypadki użycia

Rozważ następujące scenariusze, które mogą korzystać z tej architektury:

  • Międzynarodowe korporacje uruchamiają usługę Azure VMware Solution SDDC w różnych dzierżawach firmy Microsoft Entra.

  • Przedsiębiorstwo przechodzi proces rozdzielania lub zbycia, co skutkuje oddzielnymi jednostkami biznesowymi, które mają oddzielne dzierżawy firmy Microsoft Entra. Każda oddzielna jednostka biznesowa wymaga dostępu do wspólnego środowiska lokalnego i wymaga dostępu między dzierżawami do usługi Azure VMware Solution SDDC i innych zasobów platformy Azure.

  • Dwie oddzielne firmy mają własne oddzielne dzierżawy firmy Microsoft Entra, ale nadal wymagają dostępu między dzierżawami do obciążeń działających zarówno w zestawach SDKDC rozwiązania VMware, jak i na platformie Azure.

Następne kroki