Planejar a topologia de rede para a implantação da Solução VMware do Azure
A Solução VMware do Azure fornece um ambiente de nuvem privada que você pode acessar a partir de ambientes ou recursos locais e baseados no Azure. A próxima etapa na implantação da Solução VMware do Azure envolve um plano para topologia de rede.
O ambiente da Solução VMware do Azure no Azure precisa passar o tráfego de rede para os serviços do Azure e ambientes VMware locais. Um circuito dedicado do Azure ExpressRoute fornece conectividade aos recursos e serviços do Azure a partir da Solução VMware do Azure. Um circuito separado do Azure ExpressRoute fornecido pelo cliente fornece conectividade a ambientes VMware locais. Para realizar a conectividade de rede, intervalos de endereços IP específicos e portas de firewall devem ser habilitados. Quando o Azure VMware Solution é implantado, as redes privadas são criadas para os seguintes componentes do vSphere:
- Gestão
- Aprovisionamento
- VMware vMotion [en]
Você usa essas redes privadas para acessar o vCenter Server, o NSX Manager e o vMotion.
Segmentos IP
O endereçamento IP deve ser planejado antes da implantação da nuvem privada da Solução VMware do Azure. O serviço requer um bloco de endereço de rede CIDR /22 que você fornece. O CIDR /22 é necessário para os componentes de gerenciamento da Solução VMware do Azure. Os segmentos de carga de trabalho, nos quais as máquinas virtuais (VMs) são implantadas, terão um intervalo de endereços IP diferente. Você pode fazer isso criando segmentos de rede no NSX Manager.
O CIDR de gestão é automaticamente dividido em segmentos menores. Esses segmentos IP são usados para vCenter Server, VMware HCX, NSX e VMware vMotion. A Solução VMware do Azure, seu ambiente existente do Azure e seu ambiente local precisarão trocar rotas para migrar VMs para o Azure. O bloco de endereço de rede CIDR /22 definido não deve se sobrepor aos blocos de endereços de rede já configurados no local ou no Azure.
Um segmento IP VM deve ser criado para criar o primeiro segmento NSX na nuvem privada da Solução VMware do Azure. O segmento IP da VM permite a implantação de VMs na Solução VMware do Azure. Opcionalmente, os segmentos de rede podem ser estendidos de um ambiente VMware local para a Solução VMware do Azure usando a Extensão de Rede VMware HCX Layer 2. As redes locais devem se conectar a um vSphere Distributed Switch (vDS) porque os vSphere Standard Switches não podem ser estendidos usando o VMware HCX.
Exemplo de desagregação da sub-rede
A tabela a seguir mostra um exemplo de como o bloco de endereços de rede CIDR /22 (10.5.0.0/22 neste exemplo) é esculpido em diferentes segmentos IP:
| Utilização da rede | Sub-rede | Exemplo |
|---|---|---|
| Gestão de clouds privadas | /26 | 10.5.0.0/26 |
| Migrações HCX | /26 | 10.5.0.64/26 |
| Alcance Global reservado | /26 | 10.5.0.128/26 |
| ExpressRoute reservado | /27 | 10.5.0.192/27 |
| Peering do ExpressRoute | /27 | 10.5.0.224/27 |
| Gerenciamento ESXi | /25 | 10.5.1.0/25 |
| Rede vMotion | /25 | 10.5.1.128/25 |
| Rede de replicação | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| Ligação ascendente HCX | /26 | 10.5.3.0/26 |
| Reservado | 3 /26 blocos | 10.5.3.64/26, 10.5.3.128/26, 10.5.3.192/26 |
Conectividade de rede da Solução VMware do Azure
Depois de implantar a Solução VMware do Azure, estabelecer conectividade de rede torna-se a próxima etapa para uma implantação bem-sucedida.
A nuvem privada da Solução VMware do Azure é implantada em servidores bare-metal dedicados atribuídos exclusivamente a um único cliente. Para usar os recursos do Azure, esses servidores precisam se conectar ao backbone de rede do Azure. A Solução VMware do Azure fornece um circuito Azure ExpressRoute que permite a comunicação entre a nuvem privada da Solução VMware do Azure e os serviços do Azure. Para se conectar ao ambiente local por meio da Rota Expressa, você pode configurar o Alcance Global da Rota Expressa para seu circuito de Rota Expressa existente.
Requisitos de rota expressa e roteamento
Há dois tipos de interconectividade para a Solução VMware do Azure:
- Interconectividade básica somente do Azure: a Solução VMware do Azure se conecta a uma rede virtual do Azure usando uma conexão de Rota Expressa que é implantada com o recurso. O circuito ExpressRoute fornecido pela Solução VMware do Azure estabelece conectividade de e para a nuvem privada da Solução VMware do Azure para outros serviços do Azure, como o Azure Monitor e o Microsoft Defender for Cloud.
- Interconectividade total no local para a nuvem privada: este modelo de conectividade estende a implementação básica de interconectividade para incluir a interconectividade entre nuvens privadas locais e da Solução VMware do Azure. Você pode configurar essa conexão por meio de um circuito de Rota Expressa fornecido pelo cliente, entre outros métodos. Você pode usar um circuito existente ou comprar um novo.
O ExpressRoute Global Reach serve como a opção padrão para conectividade híbrida na Solução VMware do Azure. No entanto, há cenários em que o Global Reach pode não ser aplicável, seja devido à sua indisponibilidade na sua região ou a requisitos específicos de rede ou segurança que não podem ser atendidos pelo Global Reach. Nesses casos, você pode considerar o trânsito de dados pelo Emparelhamento Privado de Rota Expressa ou usando VPN IPSec.
O circuito ExpressRoute fornecido pelo cliente não faz parte da implantação da nuvem privada da Solução VMware do Azure.
Pré-requisitos para o alcance global da Rota Expressa
Há alguns pré-requisitos antes de configurar o ExpressRoute Global Reach.
- É necessário um circuito de Rota Expressa separado fornecido pelo cliente. Esse circuito é usado para conectar ambientes locais ao Azure.
- Todos os gateways, incluindo o serviço do provedor de Rota Expressa, devem suportar ASNs (Números de Sistema Autônomo) de 4 bytes. A Solução VMware do Azure usa ASNs públicos de 4 bytes para rotas de rede de publicidade.
Portas de rede necessárias
Se a infraestrutura de rede local for restritiva, as seguintes portas deverão ser permitidas:
| Origem | Destino | Protocolo | Porta |
|---|---|---|---|
| Servidor DNS na nuvem privada do Azure VMware Solution | Servidor DNS local | UDP | 53 |
| Servidor DNS local | Servidor DNS da Solução VMware do Azure | UDP | 53 |
| Rede no local | Azure VMware Solution vCenter Server | TCP (HTTP/HTTPS) | 80, 443 |
| Rede de gerenciamento de nuvem privada da Solução VMware do Azure | Active Directory no local | TCP | 389/636 |
| Rede de gerenciamento de nuvem privada da Solução VMware do Azure | Catálogo Global do Ative Directory local | TCP | 3268/3269 |
| Rede no local | HCX Cloud Manager | TCP (HTTPS) | 9443 |
| Rede de administração local | HCX Cloud Manager | SSH | 22 |
| Gerente HCX | Interconexão (HCX-IX) | TCP (HTTPS) | 8123 |
| Gerente HCX | Interconexão (HCX-IX), Extensão de Rede (HCX-NE) | TCP (HTTPS) | 9443 |
| Interconexão (HCX-IX) | Conectividade de camada 2 | TCP (HTTPS) | 443 |
| HCX Manager, Interconexão (HCX-IX) | Anfitriões ESXi | TCP | 80, 443, 902 |
| Interconexão (HCX-IX), extensão de rede (HCX-NE) na origem | Interconexão (HCX-IX), extensão de rede (HCX-NE) no destino | UDP | 4500 |
| Interconexão local (HCX-IX) | Interconexão na nuvem (HCX-IX) | UDP | 500 |
| Rede local do vCenter Server | Rede de gerenciamento de soluções VMware do Azure | TCP | 8000 |
| Conector HCX | connector.hcx.vmware.com hybridity.depot.vmware.com | TCP | 443 |
Considerações sobre resolução de DHCP e DNS
As máquinas virtuais (VMs) em execução na Solução VMware do Azure exigem resolução de nomes. As VMs também podem precisar de serviços DHCP para pesquisa e atribuições de endereço IP. Você pode configurar uma VM local ou uma VM do Azure para facilitar a resolução de nomes. Pode utilizar o serviço DHCP incorporado no NSX ou pode optar por utilizar um servidor DHCP local na nuvem privada da Solução VMware do Azure. A configuração do DHCP na Solução VMware do Azure não exigirá o roteamento de transmissões de tráfego DHCP pela WAN de volta para o ambiente local.
Na próxima unidade, passaremos pela implantação da Solução VMware do Azure. Descrevemos todas as etapas para que você possa implantar o serviço em seu ambiente.