Partilhar via

Considerações de rede para cargas de trabalho da Solução VMware do Azure

  • Artigo

Este artigo discute a área de design de rede de uma carga de trabalho do Azure VMware Solution. Redes bem arquitetadas são essenciais para habilitar a conectividade, otimizar os tempos de resposta, distribuir o tráfego e ajudar a garantir a disponibilidade contínua de cargas de trabalho na Solução VMware do Azure.

Distribuir carga para alta disponibilidade

Impacto: Fiabilidade, Desempenho, Eficiência

Para obter escalabilidade e otimizar o desempenho, você deve distribuir o tráfego entre destinos dentro de sua infraestrutura da Solução VMware do Azure. Ao balancear a carga do tráfego da Solução VMware do Azure, você pode distribuí-lo por meio de vários algoritmos, como algoritmos que consideram o desempenho e o peso. A distribuição do tráfego de entrada melhora a escala e a confiabilidade de seus aplicativos de carga de trabalho. Se seu aplicativo abrange vários datacenters definidos por software (SDDCs), um balanceador de carga do Azure pode distribuir o tráfego em todos os seus ambientes.

Recomendações

  • Use um balanceador de carga, como o VMware NSX Advanced Load Balancer, para uma distribuição uniforme do tráfego. Dê suporte a gateways de aplicações voltadas para o interior e para o exterior. Use o balanceador de carga para roteamento, entrega de aplicativos e terminação TLS.
  • Para cargas de trabalho que se estendem para o Azure, use o Gateway de Aplicativo do Azure. Esse balanceador de carga distribui o tráfego para melhorar o desempenho do aplicativo. O Application Gateway também oferece recursos de IDPS (sistema de deteção e prevenção de invasões) e Firewall de Aplicativo Web do Azure. O Azure Load Balancer pode distribuir o tráfego entre zonas para fornecer alta disponibilidade e tolerância a falhas para cargas de trabalho que abrangem várias zonas de disponibilidade do Azure.

Minimizar a distância na distribuição global

Impacto: Fiabilidade, Eficiência de desempenho, Otimização de custos

Para aplicativos com presença global, é importante minimizar a distância entre instâncias e usuários. Você pode atingir esse objetivo roteando o tráfego para o SDDC da Solução VMware do Azure mais próximo. Se você usar um gerenciador de tráfego, também poderá reduzir os custos de transferência de dados de saída. Especificamente, você pode enviar os usuários para a implantação ou ponto de presença da Solução VMware do Azure mais próxima. Reduzir a distância percorrida pelos dados ajuda a evitar longas transferências de dados.

Recomendações

  • Para aplicativos que abrangem várias regiões, considere implantar uma solução de balanceamento de carga de tráfego global baseada no Sistema de Nomes de Domínio, como o Gerenciador de Tráfego do Azure.
  • Crie perfis de roteamento de tráfego. Configure vários métodos de roteamento, como roteamento baseado em prioridades, round-robin ponderado, roteamento baseado em desempenho ou roteamento baseado em geografia.

Forneça conteúdo

Impacto: Desempenho, Otimização de custos

Aplicativos de alto tráfego exigem recuperação ideal de conteúdo. Técnicas de otimização, como compactação e aceleradores HTTP, podem melhorar o desempenho de recuperação de ativos em seu ambiente de solução VMware do Azure. Você pode usar técnicas de compactação em arquivos antes de transmiti-los. Essa prática pode reduzir custos, reduzindo a quantidade de dados que você transmite. Uma rede de distribuição de conteúdo armazena em cache o conteúdo acessado com freqüência. Como resultado, usar uma rede de entrega de conteúdo com a Solução VMware do Azure pode ajudá-lo a otimizar a recuperação e a distribuição. As redes de distribuição de conteúdo também podem ajudá-lo a economizar custos de outras maneiras. Como essas redes armazenam em cache a data em pontos de presença próximos aos usuários, elas reduzem a distância percorrida pelos dados.

Recomendações

  • Use a Rede de Entrega de Conteúdo do Azure para melhorar a capacidade de resposta e reduzir a latência para os usuários que acessam seus aplicativos e sites.
  • Use a compactação para minimizar a carga útil de ativos estáticos.
  • Use soluções de cache como Redis ou Cache do Azure para Redis para armazenar em cache dados acessados com frequência.

Usar um firewall para cargas de trabalho voltadas para a Internet

Impacto: Segurança

As cargas de trabalho frontais na Solução VMware do Azure são mapeadas para um endereço IP público. Como resultado, eles podem ser expostos à internet e aceitam conexões de entrada de fontes externas. Essa associação com sua máquina virtual (VM) ou balanceador de carga representa riscos para suas cargas de trabalho.

Recomendações

  • Para aplicativos voltados para a Internet, use um firewall, como o Firewall do Azure ou um NVA de terceiros certificado, para inspecionar o tráfego da Solução VMware do Azure para a Internet e o Azure.
  • Verifique se o firewall tem regras e listas de controle de acesso para restringir e filtrar o tráfego de entrada.

Tráfego seguro entre cargas de trabalho internas

Impacto: Segurança

A rede é um perímetro crítico no ambiente da Solução VMware do Azure. As redes ajudam a controlar o acesso, proteger os dados e mitigar ameaças. Medidas robustas de segurança de rede ajudam a garantir a disponibilidade e a resiliência das cargas de trabalho da Solução VMware do Azure. Por exemplo, implementar o isolamento de rede por meio da segmentação e do uso de LANs virtuais pode ajudar a impedir o acesso não autorizado entre os componentes do seu ambiente da Solução VMware do Azure. Você pode usar grupos de segurança de rede para isolar e proteger o tráfego em suas redes virtuais de carga de trabalho.

Recomendações

  • Crie segmentos de rede para suas cargas de trabalho da Solução VMware do Azure.
  • Crie regras de firewall no VMware NSX-T Data Center.
  • Habilite a extensão HCX com alta disponibilidade. Por padrão, os HCX Network Extension Appliances são implantados como instâncias únicas. Uma falha de uma instância em execução na origem ou no destino tornará toda a VLAN estendida inoperacional. Usando HCX Network Extension HA garantirá que as operações HCX, como vMotion, possam tolerar uma falha de instância única.

Projetar esquemas de endereçamento IP para o crescimento

Impacto: Segurança, excelência operacional

Você pode usar uma estratégia de segurança de sub-rede intencional para projetar a Solução VMware do Azure e redes virtuais na nuvem para crescimento. Este design envolve organizar estrategicamente a alocação de endereços IP. Você também precisa usar uma ferramenta de endereçamento IP e garantir a alocação.

Além de um intervalo de endereços RFC-1918 /22, os segmentos de trabalho têm intervalos separados e não conflitantes de roteamento entre domínios sem classe (CIDR). Planeje ter endereços IP suficientes para VMs, endereços IP públicos e balanceadores de carga.

Recomendações

  • Verifique se o intervalo de endereços IP é grande o suficiente para acomodar todas as cargas de trabalho atuais e futuras da Solução VMware do Azure.
  • Use uma planilha ou uma ferramenta de gerenciamento de endereços IP (IPAM) para organizar com eficiência os endereços IP disponíveis, rastrear o uso de endereços IP e ajudar a evitar conflitos de endereços IP.
  • Planeje possíveis aumentos em dispositivos, segmentos ou sub-redes. Use um esquema de endereçamento IP que possa lidar com aumentos de demanda.
  • Identifique rotas duplicadas em routers T0 no Data Center NSX-T. Rotas duplicadas são uma possível indicação de rotas assimétricas. A conexão com ambientes locais pode parar de funcionar se a assimetria não for detetada.
  • Use vários servidores DNS por zona FQDN privada. O Azure VMware Solution SDDC pode suportar até três servidores DNS para um único FQDN. Usar um único servidor DNS para resolução DNS representa um único ponto de falha. Certifique-se de que vários servidores DNS são usados para qualquer resolução FQDN local do Azure VMware Solution SDDC.
  • Use o protocolo DHCP (Dynamic Host Configuration Protocol) para atribuição de endereços IP dinâmicos.

Recursos adicionais

  • Cruzar os limites de configuração pode deixar o Azure VMware Solution SDDC em um estado sem suporte e afetar sua disponibilidade para quaisquer operações de suporte/atualização. Use vários segmentos NSX para ajudar a garantir que você não exceda os limites de configuração VMware.

Próximos passos

Agora que você examinou a rede na Solução VMware do Azure, investigue as práticas recomendadas para monitorar sua infraestrutura e aplicativo.

Monitorização

Use a ferramenta de avaliação para avaliar suas escolhas de design.

Avaliação