Compartilhar via

Considerações de rede para cargas de trabalho da Solução VMware no Azure

  • Artigo

Este artigo discute a área de design de rede de uma carga de trabalho da Solução VMware no Azure. Redes bem arquitetas são essenciais para habilitar a conectividade, otimizar os tempos de resposta, distribuir tráfego e ajudar a garantir a disponibilidade contínua de cargas de trabalho na Solução VMware no Azure.

Distribuir carga visando alta disponibilidade

Impacto: Confiabilidade, Eficiência de Desempenho

Para obter escalabilidade e otimizar o desempenho, você deve distribuir o tráfego entre destinos em sua infraestrutura da Solução VMware no Azure. Ao balancear a carga do tráfego da Solução VMware no Azure, você pode distribuí-lo por meio de vários algoritmos, como algoritmos que consideram desempenho e peso. Distribuir o tráfego de entrada melhora a escala e a confiabilidade de seus aplicativos de carga de trabalho. Se o aplicativo abranger vários SDDCs (datacenters definidos pelo software), um balanceador de carga do Azure poderá distribuir o tráfego em todos os seus ambientes.

Recomendações

  • Use um balanceador de carga como o VMware NSX Advanced Load Balancer para distribuição uniforme de tráfego. Suporte a gateways de aplicativo voltados para o interior e exterior. Use o balanceador de carga para roteamento, entrega de aplicativo e terminação TLS.
  • Para cargas de trabalho que se estendem para o Azure, use o Gateway de Aplicativo do Azure. Esse balanceador de carga distribui o tráfego para melhorar o desempenho do aplicativo. O Gateway de Aplicativo também oferece recursos do IDPS (sistema de detecção e prevenção de intrusões) e do Firewall do Aplicativo Web do Azure. O Azure Load Balancer pode distribuir o tráfego entre zonas para fornecer alta disponibilidade e tolerância a falhas para cargas de trabalho que abrangem várias zonas de disponibilidade do Azure.

Minimizar a distância na distribuição global

impacto : confiabilidade, eficiência de desempenho, otimização de custo

Para aplicativos com presença global, é importante minimizar a distância entre instâncias e usuários. Você pode atingir esse objetivo roteando o tráfego para o SDDC da Solução VMware mais próximo do Azure. Se você usar um gerenciador de tráfego, também poderá reduzir os custos de transferência de dados de saída. Especificamente, você pode enviar usuários para o local mais próximo de implantação ou de borda da Solução VMware no Azure. Reduzir a distância que os dados percorrem ajuda você a evitar transferências de dados longas.

Recomendações

  • Para aplicativos que abrangem várias regiões, considere implantar uma solução de balanceamento de carga de tráfego global baseada no Sistema de Nomes de Domínio, como o Gerenciador de Tráfego do Azure.
  • Crie perfis de roteamento de tráfego. Configure vários métodos de roteamento, como roteamento baseado em prioridade, round robin ponderado, roteamento baseado em desempenho ou roteamento geográfico.

Entregar conteúdo

Impacto : desempenho, otimização de custos

Aplicativos de alto tráfego exigem a recuperação ideal do conteúdo. Técnicas de otimização, como compactação e aceleradores HTTP, podem melhorar o desempenho de recuperação de ativos em seu ambiente de Solução VMware no Azure. Você pode usar técnicas de compactação em arquivos antes de transmiti-los. Essa prática pode reduzir custos reduzindo a quantidade de dados que você transmite. Uma rede de distribuição de conteúdo armazena em cache conteúdo acessado com frequência. Como resultado, o uso de uma rede de distribuição de conteúdo com a Solução VMware no Azure pode ajudá-lo a otimizar a recuperação e a distribuição. As redes de distribuição de conteúdo também podem ajudá-lo a economizar custos de outras maneiras. Como essas redes armazenam dados em cache em locais de borda próximos aos usuários, elas reduzem a distância que os dados percorrem.

Recomendações

  • Use a Rede de Distribuição de Conteúdo do Azure para melhorar a capacidade de resposta e reduzir a latência para os usuários que acessam seus aplicativos e sites.
  • Use a compactação para minimizar a carga de ativos estáticos.
  • Use soluções de cache como Redis ou Cache do Azure para Redis para armazenar em cache dados acessados com frequência.

Usar um firewall para cargas de trabalho voltadas para a Internet

Impacto: segurança

As cargas de trabalho voltadas para o público na Azure VMware Solution são mapeadas para um endereço IP público. Como resultado, eles podem ser expostos à Internet e aceitar conexões de entrada de fontes externas. Essa associação com sua VM (máquina virtual) ou balanceador de carga representa riscos para suas cargas de trabalho.

Recomendações

  • Para aplicativos voltados para a Internet, use um firewall como o Firewall do Azure ou uma NVA de terceiros certificada para inspecionar o tráfego da Solução VMware no Azure para a Internet e o Azure.
  • Verifique se o firewall tem regras e listas de controle de acesso para restringir e filtrar o tráfego de entrada.

Proteger o tráfego entre cargas de trabalho internas

Impacto: Segurança

A rede é um perímetro crítico no ambiente da Solução VMware no Azure. As redes ajudam a controlar o acesso, proteger dados e reduzir ameaças. Medidas robustas de segurança de rede ajudam a garantir a disponibilidade e a resiliência das cargas de trabalho da Solução VMware no Azure. Por exemplo, implementar o isolamento de rede por meio da segmentação e do uso de LANs virtuais pode ajudar a impedir o acesso não autorizado entre os componentes do ambiente da Solução VMware no Azure. Você pode usar grupos de segurança de rede para isolar e proteger o tráfego em suas redes virtuais de carga de trabalho.

Recomendações

  • Crie segmentos de rede para suas cargas de trabalho da Solução VMware no Azure.
  • Crie regras de firewall no Data Center NSX-T VMware.
  • Habilitar a extensão da HCX com alta disponibilidade. Por padrão, os Dispositivos de Extensão de Rede HCX são implantados como instâncias individuais. Uma falha de uma instância em execução na origem ou no destino tornará toda a VLAN estendida não operacional. Usar a Extensão de Rede HA da HCX garantirá que operações da HCX como vMotion possam tolerar a falha de uma única instância.

Projetar esquemas de endereçamento IP para crescimento

Impacto: Segurança, Excelência Operacional

Você pode usar uma estratégia intencional de segurança de sub-rede para projetar a Solução VMware do Azure e as redes virtuais de nuvem visando o crescimento. Esse design envolve a organização estratégica da alocação de endereço IP. Você também precisa usar uma ferramenta de endereçamento IP e impor a alocação.

Além de um intervalo de endereços RFC-1918 /22, os segmentos de carga de trabalho têm intervalos de Roteamento entre Domínios sem Classificação (CIDR) separados e não conflitantes. Planeje ter endereços IP suficientes para VMs, endereços IP públicos e balanceadores de carga.

Recomendações

  • Verifique se o intervalo de endereços IP é grande o suficiente para acomodar todas as cargas de trabalho atuais e futuras da Solução VMware no Azure.
  • Use uma ferramenta ipam (gerenciamento de endereços IP) ou planilha para organizar com eficiência endereços IP disponíveis, acompanhar o uso de endereço IP e ajudar a evitar conflitos de endereço IP.
  • Planeje possíveis aumentos em dispositivos, segmentos ou sub-redes. Use um esquema de endereçamento IP que possa lidar com aumentos de demanda.
  • Identifique rotas duplicadas em roteadores NSX-T Data Center T0. Rotas duplicadas são uma possível indicação de rotas assimétricas. A conexão com ambientes locais poderá parar de funcionar se a assímetria não for detectada.
  • Use vários servidores DNS por zona FQDN privada. O SDDC da Solução VMware no Azure pode dar suporte a até três servidores DNS para um único FQDN. O uso de um único servidor DNS para resolução DNS torna-se um único ponto de falha. Verifique se vários servidores DNS são usados para qualquer resolução FQDN local do SDDC da Solução VMware no Azure.
  • Use o DHCP (Dynamic Host Configuration Protocol) para atribuição de endereço IP dinâmico.

Recursos adicionais

  • O cruzamento de limites de configuração pode deixar o SDDC da Solução VMware no Azure em um estado sem suporte e afetar sua disponibilidade para qualquer operação de suporte/atualização. Use vários segmentos NSX para ajudar a garantir que você não exceda os limites de configuração VMware.

Próximas etapas

Agora que você examinou a rede na Solução VMware no Azure, investigue as práticas recomendadas para monitorar a infraestrutura e o aplicativo.

Monitoramento

Use a ferramenta de avaliação para avaliar suas opções de design.

Avaliação