Topologia de rede e conectividade para a Solução VMware do Azure
Ao usar um datacenter definido por software (SDDC) VMware com um ecossistema de nuvem do Azure, você tem um conjunto exclusivo de considerações de design a serem seguidas para cenários nativos da nuvem e híbridos. Este artigo fornece as principais considerações e práticas recomendadas para redes e conectividade para, de e dentro de implantações do Azure e do Azure VMware Solution .
O artigo baseia-se em várias zonas de aterrissagem em escala empresarial do Cloud Adoption Framework, princípios de arquitetura e recomendações para gerenciar a topologia de rede e a conectividade em escala. Você pode usar esta orientação de área de design de zona de aterrissagem do Azure para plataformas VMware Solution do Azure de missão crítica. As áreas de design incluem:
- Integração híbrida para conectividade entre usuários locais, multicloud, edge e globais. Para obter mais informações, consulte Suporte em escala empresarial para híbrido e multicloud.
- Desempenho e confiabilidade em escala para escalabilidade da carga de trabalho e experiência consistente e de baixa latência. Um artigo subsequente aborda implantações de região dupla.
- Segurança de rede baseada em confiança zero para segurança do perímetro da rede e do fluxo de tráfego. Para obter mais informações, consulte Estratégias de segurança de rede no Azure.
- Extensibilidade para fácil expansão das pegadas da rede sem qualquer necessidade de retrabalhos de projeto.
Considerações e recomendações gerais de design
As seções a seguir fornecem considerações gerais de design e recomendações para a topologia e conectividade de rede da Solução VMware do Azure.
Topologia de rede Hub-spoke vs. Virtual WAN
Se você não tiver uma conexão de Rota Expressa do local para o Azure e, em vez disso, estiver usando a VPN S2S, poderá usar a WAN Virtual para transitar a conectividade entre sua VPN local e a Rota Expressa da Solução VMware do Azure. Se você estiver usando uma topologia hub-spoke, precisará do Azure Route Server. Para obter mais informações, consulte Suporte do Azure Route Server para ExpressRoute e Azure VPN.
Clouds privadas e clusters
Todos os clusters podem se comunicar em uma nuvem privada do Azure VMware Solution porque todos compartilham o mesmo espaço de endereçamento /22.
Todos os clusters compartilham as mesmas configurações de conectividade, incluindo internet, Rota Expressa, HCX, IP público e Alcance Global da Rota Expressa. As cargas de trabalho de aplicativos também podem compartilhar algumas configurações básicas de rede, como segmentos de rede, protocolo de configuração dinâmica de host (DHCP) e configurações de DNS (Sistema de Nomes de Domínio).
Projete nuvens privadas e clusters com antecedência antes da implantação. O número de nuvens privadas de que necessita afeta diretamente os seus requisitos de rede. Cada nuvem privada requer seu próprio espaço de endereçamento /22 para gerenciamento de nuvem privada e segmento de endereço IP para cargas de trabalho de VM. Considere definir esses espaços de endereço com antecedência.
Discuta com suas equipes VMware e de rede como segmentar e distribuir suas nuvens privadas, clusters e segmentos de rede para cargas de trabalho. Planeie bem e evite o desperdício de endereços IP.
Para obter mais informações sobre como gerenciar endereços IP para nuvens privadas, consulte Definir o segmento de endereço IP para gerenciamento de nuvem privada.
Para obter mais informações sobre como gerenciar endereços IP para cargas de trabalho de VM, consulte Definir o segmento de endereço IP para cargas de trabalho de VM.
DNS e DHCP
Para DHCP, use o serviço DHCP integrado ao NSX-T Data Center ou use um servidor DHCP local em uma nuvem privada. Não roteie o tráfego DHCP de difusão pela WAN de volta para redes locais.
Para DNS, dependendo do cenário adotado e de seus requisitos, você tem várias opções:
- Apenas para um ambiente da Solução VMware do Azure, você pode implantar uma nova infraestrutura DNS na nuvem privada da Solução VMware do Azure.
- Para a Solução VMware do Azure conectada a um ambiente local, você pode usar a infraestrutura DNS existente. Se necessário, implante encaminhadores DNS para estender para a Rede Virtual do Azure ou, de preferência, para a Solução VMware do Azure. Para obter mais informações, consulte Adicionar um serviço de encaminhador DNS.
- Para a Solução VMware do Azure conectada a ambientes e serviços locais e do Azure, você pode usar servidores DNS ou encaminhadores DNS existentes em sua rede virtual de hub, se disponível. Você também pode estender a infraestrutura DNS local existente para a rede virtual do hub do Azure. Para obter detalhes, consulte o diagrama de zonas de aterrissagem em escala empresarial.
Para obter mais informações, consulte os seguintes artigos que podem estar em inglês:
- Considerações sobre resolução de DHCP e DNS
- Configurar o DHCP para a solução VMware do Azure
- Configurar DHCP em redes VMware HCX L2 estendidas
- Configurar um encaminhador DNS no portal do Azure
Internet
As opções de saída para habilitar a Internet e filtrar e inspecionar o tráfego incluem:
- Rede Virtual do Azure, NVA e Azure Route Server usando o acesso à Internet do Azure.
- Rota padrão local usando acesso à Internet local.
- Hub seguro de WAN virtual com Firewall do Azure ou NVA, usando o acesso à Internet do Azure.
As opções de entrada para fornecer conteúdo e aplicativos incluem:
- Gateway de Aplicativo do Azure com L7, terminação SSL (Secure Sockets Layer) e Firewall de Aplicativo Web.
- DNAT e balanceador de carga local.
- Rede Virtual do Azure, NVA e Azure Route Server em vários cenários.
- Hub seguro de WAN virtual com Firewall do Azure, com L4 e DNAT.
- Hub seguro de WAN virtual com NVA em vários cenários.
ExpressRoute
A implantação de nuvem privada pronta para uso da Solução VMware do Azure cria automaticamente um circuito de Rota Expressa gratuito de 10 Gbps. Este circuito liga a Solução VMware do Azure ao D-MSEE.
Considere implantar a Solução VMware do Azure em regiões emparelhadas do Azure perto de seus datacenters. Consulte este artigo para obter recomendações sobre topologias de rede de região dupla para a Solução VMware do Azure.
Alcance Global
O Global Reach é um complemento ExpressRoute necessário para a Solução VMware do Azure se comunicar com datacenters locais, Rede Virtual do Azure e WAN Virtual. A alternativa é projetar sua conectividade de rede com o Azure Route Server.
Você pode emparelhar o circuito de Rota Expressa da Solução VMware do Azure com outros circuitos de Rota Expressa usando o Global Reach gratuitamente.
Você pode usar o Global Reach para emparelhar circuitos ExpressRoute por meio de um ISP e para circuitos ExpressRoute Direct.
O Global Reach não é suportado para circuitos locais de Rota Expressa. Para o ExpressRoute Local, transite da Solução VMware do Azure para datacenters locais por meio de NVAs de terceiros em uma rede virtual do Azure.
O Alcance Global não está disponível em todos os locais.
Largura de banda
Escolha uma SKU de gateway de rede virtual apropriada para largura de banda ideal entre a Solução VMware do Azure e a Rede Virtual do Azure. A Solução VMware do Azure suporta um máximo de quatro circuitos de Rota Expressa para um gateway de Rota Expressa em uma região.
Segurança da rede
A segurança da rede envolve inspeção de tráfego e espelhamento de portas.
A inspeção de tráfego Leste-Oeste dentro de um SDDC usa o Data Center NSX-T ou NVAs para inspecionar o tráfego para a Rede Virtual do Azure entre regiões.
A inspeção de tráfego Norte-Sul inspeciona o fluxo de tráfego bidirecional entre a Solução VMware do Azure e os datacenters. A inspeção de tráfego Norte-Sul pode utilizar:
- Um NVA de firewall de terceiros e o Azure Route Server pela Internet do Azure.
- Uma rota padrão local pela Internet local.
- Firewall do Azure e WAN Virtual sobre a Internet do Azure
- Data Center NSX-T dentro do SDDC sobre a Internet da Solução VMware do Azure.
- Um NVA de firewall de terceiros na Solução VMware do Azure dentro do SDDC sobre a Internet da Solução VMware do Azure
Portas e requisitos de protocolo
Configure todas as portas necessárias para um firewall local para garantir o acesso adequado a todos os componentes de nuvem privada da Solução VMware do Azure. Para obter mais informações, consulte Portas de rede necessárias.
Acesso ao gerenciamento da solução VMware do Azure
Considere usar um host do Azure Bastion na Rede Virtual do Azure para acessar o ambiente da Solução VMware do Azure durante a implantação.
Depois de estabelecer o roteamento para seu ambiente local, a rede de gerenciamento de soluções VMware do Azure não honra as
0.0.0.0/0
rotas de redes locais, portanto, você precisa anunciar rotas mais específicas para suas redes locais.
Continuidade de negócios, recuperação de desastres (BCDR) e migrações
Nas migrações do VMware HCX, o gateway padrão permanece local. Para obter mais informações, consulte Implantar e configurar o VMware HCX.
As migrações do VMware HCX podem usar a extensão HCX L2. As migrações que exigem a extensão da Camada 2 também exigem a Rota Expressa. S2S VPN é suportado, desde que os requisitos mínimos de rede subjacente sejam líquidos. O tamanho máximo da unidade de transmissão (MTU) deve ser 1350 para acomodar a sobrecarga de HCX. Para obter mais informações sobre o design da extensão da Camada 2, consulte Ponte da Camada 2 no modo de gerenciador (VMware.com).
Próximos passos
Para obter mais informações sobre a Solução VMware do Azure em redes hub-and-spoke, consulte Integrar a Solução VMware do Azure em uma arquitetura de hub e spoke.
Para obter mais informações sobre segmentos de rede do VMware NSX-T Data Center, consulte Configurar componentes de rede do Data Center NSX-T usando a Solução VMware do Azure.
Para aprender os princípios de arquitetura de zona de aterrissagem em escala empresarial do Cloud Adoption Framework, várias considerações de design e práticas recomendadas para a Solução VMware do Azure, consulte o próximo artigo desta série: