Planera nätverkstopologi för distribution av Azure VMware Solution
Azure VMware Solution tillhandahåller en privat molnmiljö som du kan komma åt från både lokala och Azure-baserade miljöer eller resurser. Nästa steg i distributionen av Azure VMware Solution omfattar en plan för nätverkstopologi.
Azure VMware Solution-miljön i Azure måste skicka nätverkstrafik till Azure-tjänster och lokala VMware-miljöer. En dedikerad Azure ExpressRoute-krets ger anslutning till Azure-resurser och -tjänster från Azure VMware Solution. En separat Azure ExpressRoute-krets som tillhandahålls av kunden ger anslutning till lokala VMware-miljöer. För att uppnå nätverksanslutning måste specifika IP-adressintervall och brandväggsportar vara aktiverade. När Azure VMware Solution distribueras skapas privata nätverk för följande vSphere-komponenter:
- Hantering
- Etablerar
- VMware vMotion
Du använder dessa privata nätverk för att komma åt vCenter Server, NSX Manager och vMotion.
IP-segment
IP-adressering måste planeras ut innan distributionen av privata moln i Azure VMware Solution. Tjänsten kräver ett /22 CIDR-nätverksadressblock som du anger. /22 CIDR krävs för hanteringskomponenterna i Azure VMware Solution. Arbetsbelastningssegment, där virtuella datorer distribueras, har ett annat IP-adressintervall. Det kan du göra genom att skapa nätverkssegment i NSX Manager.
Hanterings-CIDR delas automatiskt upp i mindre segment. Dessa IP-segment används för vCenter Server, VMware HCX, NSX och VMware vMotion. Azure VMware Solution, din befintliga Azure-miljö och din lokala miljö måste byta vägar för att migrera virtuella datorer till Azure. Nätverksadressblocket /22 CIDR som du definierar får inte överlappa med nätverksadressblock som redan har konfigurerats lokalt eller i Azure.
Ett IP-segment för virtuella datorer måste skapas för att skapa det första NSX-segmentet i det privata azure VMware Solution-molnet. IP-segmentet för virtuella datorer möjliggör distribution av virtuella datorer till Azure VMware Solution. Du kan också utöka nätverkssegment från en lokal VMware-miljö till Azure VMware Solution med hjälp av VMware HCX Layer 2 Network Extension. Lokala nätverk måste ansluta till en vSphere Distributed Switch (vDS) eftersom vSphere Standard-växlar inte kan utökas med VMware HCX.
Exempel på uppdelning av undernät
I följande tabell visas ett exempel på hur nätverksadressblocket /22 CIDR (10.5.0.0/22 i det här exemplet) är indelat i olika IP-segment:
| Nätverksanvändning | Undernät | Exempel |
|---|---|---|
| Hantering av privata moln | /26 | 10.5.0.0/26 |
| HCX-migreringar | /26 | 10.5.0.64/26 |
| Global Reach reserverad | /26 | 10.5.0.128/26 |
| Reserverad ExpressRoute | /27 | 10.5.0.192/27 |
| ExpressRoute kikar | /27 | 10.5.0.224/27 |
| ESXi-hantering | /25 | 10.5.1.0/25 |
| vMotion-nätverk | /25 | 10.5.1.128/25 |
| Replikeringsnätverk | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| HCX-överlänk | /26 | 10.5.3.0/26 |
| Reserverad | 3 /26 block | 10.5.3.64/26, 10.5.3.128/26, 10.5.3.192/26 |
Nätverksanslutning för Azure VMware Solution
När du har distribuerat Azure VMware Solution blir etablering av nätverksanslutning nästa steg för en lyckad distribution.
Det privata Azure VMware Solution-molnet distribueras på dedikerade bare metal-servrar som är exklusivt tilldelade till en enda kund. Om du vill använda Azure-resurser måste dessa servrar ansluta till Azure-nätverkets stamnät. Azure VMware Solution tillhandahåller en Azure ExpressRoute-krets som möjliggör kommunikation mellan det privata azure VMware Solution-molnet och Azure-tjänsterna. Om du vill ansluta till en lokal miljö via ExpressRoute kan du konfigurera ExpressRoute Global Reach till din befintliga ExpressRoute-krets.
Krav för ExpressRoute och routning
Det finns två typer av sammankoppling för Azure VMware Solution:
- Enkel azure-anslutning: Azure VMware Solution ansluter till ett virtuellt Azure-nätverk med hjälp av en ExpressRoute-anslutning som distribueras med resursen. ExpressRoute-kretsen som tillhandahålls av Azure VMware Solution upprättar anslutning till och från det privata Azure VMware Solution-molnet för andra Azure-tjänster, till exempel Azure Monitor och Microsoft Defender för molnet.
- Fullständig lokal till privat molnanslutning: Den här anslutningsmodellen utökar den grundläggande interanslutningsimplementeringen till att omfatta sammanlänkning mellan lokala och privata Moln i Azure VMware Solution. Du kan konfigurera den här anslutningen via en ExpressRoute-krets som tillhandahålls av kunden, bland andra metoder. Du kan använda en befintlig krets eller köpa en ny.
ExpressRoute Global Reach fungerar som standardval för hybridanslutning i Azure VMware Solution. Det finns dock scenarier där Global Reach kanske inte är tillämpligt – antingen på grund av dess otillgänglighet i din region eller specifika nätverk eller säkerhetskrav som inte kan uppfyllas av Global Reach. I sådana fall kan du överväga att överföra data via privat ExpressRoute-peering eller använda IPSec VPN.
ExpressRoute-kretsen som tillhandahålls av kunden är inte en del av distributionen av privata moln i Azure VMware Solution.
Förutsättningar för ExpressRoute Global Reach
Det finns några förutsättningar innan du konfigurerar ExpressRoute Global Reach.
- En separat ExpressRoute-krets som tillhandahålls av kunden krävs. Den här kretsen används för att ansluta lokala miljöer till Azure.
- Alla gatewayer, inklusive ExpressRoute-providerns tjänst, måste ha stöd för 4 byte autonoma systemnummer (ASN). Azure VMware Solution använder 4 byte offentliga ASN för annonsering av nätverksvägar.
Nödvändiga nätverksportar
Om den lokala nätverksinfrastrukturen är restriktiv måste följande portar tillåtas:
| Källa | Mål | Protokoll | Port |
|---|---|---|---|
| Azure VMware Solution, dns-server för privat moln | Lokal DNS-server | UDP | 53 |
| Lokal DNS-server | Azure VMware Solution DNS-server | UDP | 53 |
| Lokalt nätverk | Azure VMware Solution vCenter Server | TCP (HTTP/HTTPS) | 80, 443 |
| Privat molnhanteringsnätverk för Azure VMware Solution | Lokalt Active Directory | TCP | 389/636 |
| Privat molnhanteringsnätverk för Azure VMware Solution | Lokal Global Active Directory-katalog | TCP | 3268/3269 |
| Lokalt nätverk | HCX Cloud Manager | TCP (HTTPS) | 9443 |
| Lokalt administratörsnätverk | HCX Cloud Manager | SSH | 22 |
| HCX Manager | Sammanlänkning (HCX-IX) | TCP (HTTPS) | 8123 |
| HCX Manager | Interconnect (HCX-IX), Network Extension (HCX-NE) | TCP (HTTPS) | 9443 |
| Sammanlänkning (HCX-IX) | Layer 2-anslutning | TCP (HTTPS) | 443 |
| HCX Manager, Interconnect (HCX-IX) | ESXi-värdar | TCP | 80, 443, 902 |
| Interconnect (HCX-IX), Network Extension (HCX-NE) vid Källan | Interconnect (HCX-IX), Network Extension (HCX-NE) på Destination | UDP | 4 500 |
| Lokal anslutning (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 500 |
| Lokalt vCenter Server-nätverk | Azure VMware Solution Management Network | TCP | 8000 |
| HCX-anslutningsprogram | connector.hcx.vmware.com hybridity.depot.vmware.com | TCP | 443 |
Överväganden för DHCP- och DNS-matchning
Virtuella datorer som körs i Azure VMware Solution kräver namnmatchning. Virtuella datorer kan också behöva DHCP-tjänster för uppslags- och IP-adresstilldelningar. Du kan konfigurera en lokal virtuell dator eller en virtuell Azure-dator för att underlätta namnmatchning. Du kan använda DHCP-tjänsten som är inbyggd i NSX eller så kan du välja att använda en lokal DHCP-server i det privata Azure VMware Solution-molnet. Om du konfigurerar DHCP i Azure VMware Solution krävs inte routningssändningar av DHCP-trafik via WAN tillbaka till den lokala miljön.
I nästa lektion går vi igenom distributionen av Azure VMware Solution. Vi beskriver alla steg så att du kan distribuera tjänsten i din miljö.