Контрольный список для планирования сети для Решения Azure VMware
Решение Azure VMware предоставляет частную облачную среду VMware, доступную пользователям и приложениям из локальных сред или ресурсов Azure. Подключение осуществляется через сетевые службы, такие как Azure ExpressRoute и VPN-подключения. Для включения этих служб требуются определенные диапазоны сетевых адресов и порты брандмауэра. Эта статья поможет настроить сеть для работы с Решение Azure VMware.
В этом руководстве описано:
- рекомендации по использованию виртуальной сети и канала ExpressRoute;
- требования к маршрутизации и подсети;
- требуемые сетевые порты для взаимодействия со службами;
- рекомендации по использованию DHCP и DNS в Решении Azure VMware.
Необходимые компоненты
Убедитесь, что все шлюзы, включая службу поставщика ExpressRoute, поддерживают 4-байтовые номера автономной системы (ASN). Решение Azure VMware использует 4-байтовые общедоступные номера ASN для объявления маршрутов.
рекомендации по использованию виртуальной сети и канала ExpressRoute;
При создании сетевого подключения к виртуальной сети в подписке канал ExpressRoute устанавливается через пиринг и использует ключ авторизации и идентификатор пиринга, который можно запросить на портале Azure. Пиринг — это частное одноранговое подключение между частным облаком и виртуальной сетью.
Примечание.
Канал ExpressRoute не является частью развертывания частного облака. Использование локального канала ExpressRoute не описывается в этом документе. Если требуется локальное подключение к частному облаку, используйте один из существующих каналов ExpressRoute или приобретите его в портал Azure.
При развертывании частного облака вы получаете IP-адреса для vCenter Server и NSX Manager. Чтобы получить доступ к этим интерфейсам управления, создайте дополнительные ресурсы в виртуальной сети подписки. Найдите процедуры для создания этих ресурсов и установления частного пиринга ExpressRoute в руководствах.
Логическая сеть частного облака включает предварительно подготовленную конфигурацию NSX. Шлюз уровня 0 и шлюз уровня 1 подготавливаются предварительно. Вы можете создать сегмент и подключить его к существующему шлюзу уровня 1 или новому шлюзу уровня 1, который вы определили. Компоненты логической сети NSX обеспечивают подключение между рабочими нагрузками и подключением к Интернету и службам Azure на Востоке.
Внимание
Если вы планируете масштабировать узлы Решение Azure VMware с помощью хранилищ данных Azure NetApp Files, развертывание виртуальной сети близко к узлам с помощью шлюза виртуальной сети ExpressRoute имеет решающее значение. Чем ближе хранилище к узлам, тем выше производительность.
Рекомендации по маршрутизации и подсетям
Решение Azure VMware частное облако подключается к виртуальной сети Azure с помощью подключения Azure ExpressRoute. Его высокая пропускная способность и низкая задержка позволяют обращаться из среды частного облака к службам, работающим в подписке Azure. Маршрутизация использует протокол BGP, автоматически подготавливается и включена по умолчанию для каждого развертывания частного облака.
для частных облаков Решение Azure VMware требуется минимум /22 Блок сетевых адресов CIDR для подсетей. Эта сеть дополняет локальные сети, поэтому блок адресов не должен перекрываться с адресными блоками, используемыми в других виртуальных сетях в подписке и локальных сетях. Сети управления, vMotion и репликации подготавливаются автоматически в этом блоке адресов.
Примечание.
Допустимые диапазоны для блока адресов — диапазоны частных адресов RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), кроме 172.17.0.0/16. Сеть репликации неприменима к узлам AV64 и будет прекращена в будущем.
Внимание
Избегайте использования следующих схем IP-адресов, зарезервированных для использования NSX:
- 169.254.0.0/24 — используется для внутренней транзитной сети
- 169.254.2.0/23 — используется для транзитной сети между VRF
- 100.64.0.0/16 — используется для внутреннего подключения шлюзов T1 и T0.
Пример блока из /22 сетевых адресов CIDR: 10.10.0.0/22.
Подсети.
| Назначение сети | Description | Подсеть | Пример |
|---|---|---|---|
| Управление частным облаком | Сеть управления (например, vCenter, NSX) | /26 |
10.10.0.0/26 |
| Перенос HCX | Локальное подключение для устройств HCX (ссылки вниз) | /26 |
10.10.0.64/26 |
| Резервирование Global Reach | Исходящий интерфейс для ExpressRoute | /26 |
10.10.0.128/26 |
| Служба DNS NSX | Встроенная служба DNS NSX | /32 |
10.10.0.192/32 |
| Зарезервировано | Зарезервировано | /32 |
10.10.0.193/32 |
| Зарезервировано | Зарезервировано | /32 |
10.10.0.194/32 |
| Зарезервировано | Зарезервировано | /32 |
10.10.0.195/32 |
| Зарезервировано | Зарезервировано | /30 |
10.10.0.196/30 |
| Зарезервировано | Зарезервировано | /29 |
10.10.0.200/29 |
| Зарезервировано | Зарезервировано | /28 |
10.10.0.208/28 |
| Пиринг ExpressRoute | Пиринг ExpressRoute | /27 |
10.10.0.224/27 |
| Управление ESXi | Интерфейсы управления ESXi VMkernel | /25 |
10.10.1.0/25 |
| Сеть vMotion | Интерфейсы VMkernel vMotion | /25 |
10.10.1.128/25 |
| Сеть репликации | Интерфейсы репликации vSphere | /25 |
10.10.2.0/25 |
| vSAN | Интерфейсы vSAN VMkernel и обмен данными с узлами | /25 |
10.10.2.128/25 |
| Исходящая связь HCX | Связи вверх для устройств HCX IX и NE к удаленным одноранговым узлам | /26 |
10.10.3.0/26 |
| Зарезервировано | Зарезервировано | /26 |
10.10.3.64/26 |
| Зарезервировано | Зарезервировано | /26 |
10.10.3.128/26 |
| Зарезервировано | Зарезервировано | /26 |
10.10.3.192/26 |
Примечание.
Сети управления ESXi, vmotion/репликации технически способны поддерживать 125 узлов, однако поддерживается максимальное значение 96, так как 29 зарезервировано для замены и обслуживания (19) и HCX(10).
Требуемые сетевые порты
| Источник | Назначение | Протокол | Порт | Description |
|---|---|---|---|---|
| DNS-сервер частного облака | Локальный DNS-сервер | UDP | 53 | DNS-клиент — переадресация запросов из частного облака vCenter Server для любых локальных ЗАПРОСОВ DNS (см . раздел DNS). |
| Локальный DNS-сервер | DNS-сервер частного облака | UDP | 53 | DNS-клиент — переадресация запросов из локальных служб на DNS-серверы частного облака (см . раздел DNS) |
| Локальная сеть | Сервер vCenter Server частного облака | TCP (HTTP) | 80 | vCenter Server нужен порт 80 для прямых HTTP-соединений. Порт 80 перенаправляет запросы на порт 443 (HTTPS). Это перенаправление полезно, если вы используете http://server вместо https://server. |
| Сеть управления частным облаком | Локальный каталог Active Directory | TCP | 389/636 | Включите Решение Azure VMware s vCenter Server для взаимодействия с серверами локальная служба Active Directory/LDAP. Необязательно для настройки локального AD в качестве источника удостоверений в виртуальном центре частного облака. В целях безопасности рекомендуется использовать порт 636. |
| Сеть управления частным облаком | Локальный глобальный каталог Active Directory | TCP | 3268/3269 | Включите Решение Azure VMware s vCenter Server для взаимодействия с серверами глобального каталога локальная служба Active Directory/LDAP. Необязательно для настройки локального AD в качестве источника удостоверений на сервере vCenter Server частного облака. Используйте порт 3269 для безопасности. |
| Локальная сеть | Сервер vCenter Server частного облака | TCP (HTTPS) | 443 | Доступ к vCenter Server из локальной сети. Порт по умолчанию для vCenter Server для прослушивания подключений клиентов vSphere. Чтобы система vCenter Server получала данные от клиента vSphere, откройте в брандмауэре порт 443. Система vCenter Server также использует порт 443 для отслеживания передачи данных от клиентов SDK. |
| Локальная сеть | HCX Cloud Manager | TCP (HTTPS) | 9443 | Интерфейс управления виртуальными устройствами HCX Cloud Manager для конфигурации системы HCX. |
| Локальная сеть администрирования | HCX Cloud Manager | SSH | 22 | Доступ администратора SSH к виртуальному устройству HCX Cloud Manager. |
| HCX Manager | Interconnect (HCX-IX) | TCP (HTTPS) | 8123 | Управление массовой миграцией HCX. |
| HCX Manager | Interconnect (HCX-IX), сетевое расширение (HCX-NE) | TCP (HTTPS) | 9443 | Отправьте инструкции по управлению в локальное подключение HCX с помощью REST API. |
| Interconnect (HCX-IX) | L2C | TCP (HTTPS) | 443 | Отправка инструкций по управлению из Interconnect в L2C, если L2C использует тот же путь, что и interconnect. |
| Диспетчер HCX, Interconnect (HCX-IX) | Узлы ESXi | TCP | 80,443,902 | Управление и развертывание OVF. |
| Interconnect (HCX-IX), сетевое расширение (HCX-NE) в источнике | Межсоединение (HCX-IX), расширение сети (HCX-NE) в месте назначения | UDP | 4500 | Требуется для IPSEC Обмен ключами через Интернет (IKEv2) для инкапсуляции рабочих нагрузок для двунаправленного туннеля. Поддерживает преобразование сетевых адресов (NAT-T). |
| Локальное взаимодействие (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4500 | Требуется для IPSEC Обмен ключами Интернета (ISAKMP) для двунаправленного туннеля. |
| Локальная сеть vCenter Server | Сеть управления частным облаком | TCP | 8000 | VMotion виртуальных машин из локального сервера vCenter Server в частное облако vCenter Server |
| Соединитель HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect требуется для проверки ключа лицензии.hybridity требуется для обновлений. |
В этой таблице представлены общие правила брандмауэра для типичных сценариев. Однако при настройке правил брандмауэра может потребоваться рассмотреть дополнительные элементы. Обратите внимание, что если источник и назначение говорят "локальная среда", эта информация относится только к брандмауэру центра обработки данных, который проверяет потоки. Если локальные компоненты не имеют брандмауэра для проверки, эти правила можно игнорировать.
Дополнительные сведения см. в полном списке требований к порту VMware HCX.
Рекомендации по разрешению DNS и DHCP
Приложениям и рабочим нагрузкам, которые выполняются в среде частного облака, требуется разрешение имен и служб DHCP для поиска и назначения IP-адресов. Для предоставления этих служб требуется надлежащая инфраструктура DHCP и DNS. Вы можете настроить виртуальную машину для предоставления этих служб в среде частного облака.
Используйте службу DHCP, встроенную в Центр обработки данных NSX-T, или используйте локальный DHCP-сервер в частном облаке вместо маршрутизации широковещательного DHCP-трафика через глобальную сеть обратно в локальную среду.
Внимание
Если вы объявляете маршрут по умолчанию в Решение Azure VMware, необходимо разрешить DNS-пересылке обращаться к настроенным DNS-серверам, и они должны поддерживать разрешение общедоступных имен.
Следующие шаги
В этом учебнике описаны рекомендации и требования, связанные с развертыванием частного облака Решения Azure VMware. Настроив сеть соответствующим образом, переходите к следующему руководству, где показано, как создать частное облако Решения Azure VMware.