Estabelecer conectividade de rede entre locatários para SDDCs da solução VMware no Azure

Veja neste artigo como configurar SDDCs (datacenters definidos por software) da solução VMware no Azure em um ambiente entre locatários. Veja também diretrizes sobre como estabelecer conectividade de rede usando a WAN Virtual do Azure e NVAs (soluções de virtualização de rede) executadas em uma rede virtual spoke. A rede virtual spoke se conecta à WAN Virtual.

Arquitetura

A arquitetura a seguir mostra a conectividade entre SDDCs da solução VMware no Azure entre locatários, o Azure e um ambiente local.

Conectividade

A conectividade de rede em um ambiente entre locatários consiste nas conexões a seguir.

• Conectividade SDDC a SDDC da solução VMware no Azure
• Conectividade de SDDC a Azure da solução VMware no Azure
• Conectividade SDDC a local da solução VMware no Azure
• Conectividade de Azure para Azure
• Conectividade Azure a local

Conectividade SDDC a SDDC da solução VMware no Azure

A conectividade entre dois SDDCs da solução VMware no Azure que você implanta entre locatários depende do pod no qual são implantados. Use as instruções a seguir para identificar os pods nos quais você implanta SDDCs.

1. No portal do Azure, acesse a solução VMware no Azure.
2. Selecione Gerenciar e, em seguida, Clusters.
3. Selecione os três pontos e, em seguida, Editar.
4. Observe o valor de FQDN do host. O número do pod vem após a letra p.

Repita o mesmo processo para outros SDDCs. Determine se compartilham algum pod comum. A imagem abaixo mostra os hosts SDDC implantados no pod 1.

Observação

Você não pode selecionar um pod durante uma implantação do SDDC da solução VMware no Azure. A atribuição de pod não é predeterminada. Sendo assim, o nó exato que um agendador atribui a um pod pode variar cada vez que um processo é executado.

Após identificar os pods que os SDDCs compartilham, execute uma das seguintes opções:

• Interconexão da solução VMware no Azure (Alcance Global): use essa opção quando dois SDDCs estiverem na mesma região do Azure e não compartilharem pods comuns entre eles. Essa opção estabelece uma conexão de Alcance Global do circuito do ExpressRoute entre dois circuitos do ExpressRoute do SDDC. Além disso, essa opção permite a conectividade transitiva. Conectividade transitiva significa que as rotas que o circuito do ExpressRoute do SDDC aprende do SDDC, da WAN Virtual e das redes virtuais spoke diretas da WAN Virtual também são anunciadas no locatário para o outro circuito do ExpressRoute do SDDC, do SDDC, da WAN Virtual e das redes virtuais spoke diretas da WAN Virtual.

• Usar a interconexão da solução VMware no Azure (sem Alcance Global): use essa opção quando dois SDDCs estiverem na mesma região do Azure e compartilharem um pod comum entre eles. Essa opção não oferece conectividade transitiva entre locatários para rotas que a WAN Virtual e suas redes virtuais spoke diretas anunciam.

• Usar o Alcance Global do ExpressRoute da solução VMware no Azure: use essa opção quando dois SDDCs estiverem em diferentes regiões do Azure, independentemente de compartilharem um pod ou não. Essa opção fornece conectividade transitiva entre locatários para rotas que a WAN Virtual e suas redes virtuais spoke diretas anunciam.

Todas essas opções podem estabelecer conectividade de rede entre dois SDDCs. A opção selecionada afeta a conectividade do SDDC a Azure da solução VMware no Azure.

Observação

Você pode usar um modelo de autoatendimento para estabelecer conectividade de rede entre dois SDDCs. Mas se os SDDCs forem executados em clusters estendidos, você deverá criar um tíquete de suporte.

Conectividade de SDDC a Azure da solução VMware no Azure

Nessa arquitetura, cada SDDC se conecta à WAN Virtual e cada instância da WAN Virtual é executada em seu próprio locatário do Microsoft Entra. Use o procedimento abaixo para estabelecer a conectividade.

1. No portal do Azure, na CLI do Azure ou no PowerShell, crie uma chave de autorização do SDDC da solução VMware no Azure.

2. Na WAN Virtual, crie um hub e um gateway do ExpressRoute.

3. Para estabelecer conectividade entre o SDDC e a WAN Virtual, resgate a chave de autorização.

Outras redes virtuais do Azure também se conectam a essa WAN Virtual.

• As redes virtuais de spoke direto se conectam diretamente à WAN Virtual por meio da conexão de rede virtual da WAN Virtual. Uma rede virtual spoke pode executar uma NVA implantada nela. A NVA inspeciona e controla o tráfego que sai do Azure e do SDDC da solução VMware no Azure.

• As redes virtuais spoke indiretas se conectam a redes virtuais spoke diretas. Elas não se conectam diretamente à WAN Virtual. As redes virtuais spoke indiretas hospedam cargas de trabalho que são executadas no Azure. As NVAs que são executadas em redes virtuais spoke diretas inspecionam o tráfego de rede originado de redes virtuais spoke indiretas.

Use as configurações abaixo para estabelecer conectividade direta e indireta entre SDDCs e redes virtuais no Azure.

• Os spokes diretos podem se conectar a um SDDC executado em seu próprio locatário por meio da conectividade entre a WAN Virtual e o SDDC.

• Os spokes diretos podem se conectar a um SDDC executado no outro locatário por meio da interconexão da solução VMware no Azure (Alcance Global) ou da conectividade de Alcance Global da solução VMware no Azure.

• Os spokes indiretos não se conectam a um SDDC em seu locatário por padrão. Você pode associar uma UDR (rota definida pelo usuário) a spokes indiretos. Uma UDR tem prefixos SDDC em seu locatário como a rede de destino e um spoke direto em seu próprio locatário como o próximo salto.

• Os spokes indiretos não se conectam a um SDDC em outro locatário por padrão. Você pode associar uma UDR a spokes indiretos. Uma UDR tem prefixos SDDC em outro locatário como a rede de destino e spoke direto em seu próprio locatário como o próximo salto. Essa conectividade requer a interconexão da solução VMware no Azure (Alcance Global) ou a conectividade de Alcance Global da solução VMware no Azure entre SDDCs.

Observação

Use essas diretrizes para um único hub que se conecta a uma rede virtual spoke que hospeda uma solução NVA. Se você tiver vários hubs que precisam se conectar a um SDDC da solução VMware no Azure, use uma arquitetura de rede de malha completa.

Conectividade SDDC a local da solução VMware no Azure

Use o Alcance Global para estabelecer conectividade entre cada SDDC da solução VMware no Azure e o ambiente local. Nesse cenário, cada circuito do ExpressRoute do SDDC e o circuito do ExpressRoute local se conectam entre si. As rotas locais que o circuito do ExpressRoute do SDDC aprende por meio de uma conexão de Alcance Global são intransitivas. As rotas não anunciam no locatário, mesmo que você tenha conectividade SDDC a SDDC da solução VMware no Azure.

A conectividade SDDC a local coexiste com a conectividade SDDC a SDDC entre locatários. Nessa configuração, um circuito do ExpressRoute do SDDC aprende rotas locais por meio de uma conexão de Alcance Global e também aprende rotas de WAN Virtual entre locatários por meio da conectividade SDDC a SDDC. A WAN Virtual ou o SDDC entre locatários não deve anunciar os prefixos locais por outros meios, como uma rota estática ou uma conexão VPN. Se isso ocorrer, o ExpressRoute do SDDC aprenderá rotas duplicadas para o ambiente local, o que cria um loop de roteamento e interrompe a conectividade.

Se o ambiente local tiver vários circuitos do ExpressRoute para redundância, use o prefixo de caminho AS público para preferir um circuito ao outro.

Observação

A conectividade SDDC a local coexiste com a conectividade do Azure a local. Você pode usar um gateway do ExpressRoute na WAN Virtual para se conectar ao circuito do ExpressRoute do SDDC e ao circuito do ExpressRoute local. No entanto, essa conectividade não é transitiva.

Conectividade de Azure para Azure

As redes virtuais diretas e indiretas devem se comunicar entre si no mesmo locatário do Azure e entre os locatários do Azure. Use os métodos abaixo para estabelecer conexões.

Estabelecer conexões no mesmo locatário

• Conecte spokes diretos entre si por meio de uma conexão de rede virtual da WAN Virtual.

• Conecte spokes diretos com spokes indiretos por meio do emparelhamento de rede virtual.

• Conecte spokes indiretos com spokes diretos por meio do emparelhamento de rede virtual.

• Conecte spokes indiretos entre si por meio de emparelhamento de rede virtual com um spoke direto e uma UDR que você associa ao spoke direto. Uma UDR tem um prefixo de spoke indireto como a rede de destino e uma NVA no spoke direto como próximo salto. Configure a NVA no spoke direto para encaminhar o tráfego por meio de sua NIC (placa de adaptador de rede).

Estabelecer conexões entre o locatário

• Conecte spokes diretos com spokes diretos entre locatários por meio do emparelhamento de rede virtual global.

• Conecte spokes diretos com spokes indiretos entre locatários por meio do emparelhamento de rede virtual global entre spokes diretos e UDRs que você associa ao spoke direto. Uma UDR tem um prefixo de spoke indireto entre locatários como a rede de destino e uma NVA no spoke direto entre locatários como o próximo salto.

• Conecte spokes indiretos com spokes diretos entre locatários por meio do emparelhamento de rede virtual global entre redes virtuais spoke diretas e uma UDR que você associa às redes virtuais spoke diretas. A UDR tem um prefixo de spoke direto entre locatários como rede de destino e uma NVA em seu próprio spoke direto como o próximo salto.

• Conecte spokes indiretos com spokes indiretos entre locatários por meio do emparelhamento de rede virtual global entre redes virtuais spoke diretas e uma UDR que você associa às redes virtuais spoke diretas. A UDR tem um prefixo de spoke indireto entre locatários como rede de destino e uma NVA em seu próprio spoke direto como o próximo salto.

Conectividade Azure a local

Use o circuito do ExpressRoute local e o gateway do ExpressRoute da WAN Virtual para estabelecer a conectividade Azure a local. A conectividade entre o ExpressRoute do SDDC da solução VMware no Azure e o mesmo gateway do ExpressRoute local é intransitiva. A conexão entre a rede virtual spoke direta e a WAN Virtual por meio do emparelhamento de rede virtual global também é intransitiva. O spoke indireto que se conecta à WAN Virtual deve ter uma UDR com um prefixo local como a rede de destino e uma NVA que seja executada no spoke direto como o próximo salto.

Detalhes do cenário

Este artigo analisa os cenários a seguir. Você pode aplicar esses cenários para fins de migração entre locatários ou acesso à carga de trabalho.

• Conectividade de rede SDDC a SDDC da solução VMware no Azure entre locatários
• Conectividade Azure a Azure entre locatários
• Acesso à rede entre locatários entre um SDDC da solução VMware no Azure e redes virtuais do Azure
• Acesso à rede entre locatários entre um SDDC da solução VMware no Azure e um ambiente local
• Inspeção e controle de tráfego de rede entre locatários por meio de uma NVA executada em uma rede virtual que se conecta à WAN Virtual

Em um ambiente entre locatários, o SDDC da solução VMware no Azure, seu circuito do Azure ExpressRoute associado e a WAN Virtual podem criar uma experiência desafiadora de migração ou acesso à carga de trabalho. O circuito do ExpressRoute associado ao SDDC da solução VMware no Azure se conecta ao SDDC e também ao gateway do ExpressRoute da WAN Virtual. O circuito do ExpressRoute aprende as rotas que o SDDC da solução VMware no Azure e a WAN Virtual anunciam. O circuito do ExpressRoute anuncia essas rotas no locatário para o outro SDDC e WAN Virtual da solução VMware no Azure que se conectam ao circuito. Planeje com cuidado sua configuração para evitar a propagação de rota cíclica entre a WAN Virtual, o circuito do ExpressRoute do SDDC e o gateway do ExpressRoute da WAN Virtual.

Possíveis casos de uso

Considere os seguintes cenários que podem tirar proveito dessa arquitetura:

• As empresas multinacionais executam o SDDC da solução VMware no Azure em diferentes locatários do Microsoft Entra.

• Uma empresa passa por um processo de cisão ou alienação, resultando em entidades de negócios separadas com locatários separados do Microsoft Entra. Cada entidade de negócios separada requer acesso a um ambiente local comum e acesso entre locatários ao SDDC da solução VMware no Azure e a outros recursos do Azure.

• Duas empresas separadas têm seus próprios locatários separados do Microsoft Entra, mas ainda requerem acesso entre locatários a cargas de trabalho executadas no Azure e em SDDCs da solução VMware no Azure.

Próximas etapas

• Guia de design de rede da Solução VMware no Azure
• Lista de verificação de planejamento de rede

Recurso relacionado

• Preparar-se para a conectividade da solução VMware no Azure