你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过 Internet 启用 HCX 访问

本文介绍如何使用 Azure VMware 解决方案 通过公共 IP 地址执行 HCX 迁移。

重要

在 Azure VMware 解决方案私有云上配置公共 IP 之前,请咨询网络管理员以了解其含义和对环境的影响。

你还将了解如何使用公共 IP 将 HCX 站点配对并从本地创建服务网格到Azure VMware 解决方案私有云。 使用服务网格,可通过公共 Internet 将工作负载从本地数据中心迁移到 Azure VMware 解决方案私有云。 如果客户不将 Express Route 或 VPN 连接用于 Azure 云,则此解决方案非常有用。

重要

应可从 Internet 访问本地 HCX 设备,以建立从本地到 Azure VMware 解决方案私有云的 HCX 通信。

配置公共 IP 块

若要使 HCX 管理器可通过公共 IP 地址获得,需要一个用于 DNAT 规则的公共 IP 地址。

若要通过公共 Internet 执行 HCX 迁移,需要其他 IP 地址。 定义 HCX 网络配置文件时,可以有 /29 子网来创建最小配置(子网中的可用 IP 分配给 IX、NE 设备)。 可以根据需要选择更大的子网。 使用此公共子网创建 NSX-T 段。 该段可用于创建 HCX 网络配置文件。

注意

将子网分配给 NSX-T 段后,无法使用该子网中的 IP 创建 DNAT 规则。 这两个子网应不同。

使用 Azure VMware 解决方案私有云的公共 IP 功能,通过门户配置公共 IP 块。

使用公共 IP 地址进行云 HCX 管理器公共访问

使用 DNAT 规则,可以通过公共 IP 地址访问 Cloud HCX 管理器。 但是,由于 Cloud HCX 管理器位于提供程序空间中,因此需要 null 路由才能允许 HCX 管理器通过 DNAT 规则路由回客户端。 它强制 NAT 流量通过 NSX-T 第 0 层路由器。

将静态 null 路由添加到第 1 层路由器

静态 null 路由用于允许 HCX 专用 IP 通过公共终结点的 NSX 第 1 层进行路由。 此静态路由可以是在私有云中创建的默认第 1 层路由器,也可以创建新的第 1 层路由器。

  1. 登录到 NSX-T Manager,然后选择“网络”

  2. 在“连接”部分下,选择“第 1 层网关”

  3. 编辑现有的第 1 层网关。

  4. 展开“静态路由”

  5. 选择“静态路由”旁边的数字

  6. 选择“添加静态路由”
    此时会显示一个弹出窗口。

  7. 在“名称”下,输入路由的名称

  8. 在“网络”下 ,在“网络”下输入非重叠 /32 IP 地址。

    注意

    此地址不应与私有云网络和客户网络上的任何其他 IP 地址重叠。

    Diagram showing a sample static route configuration.

  9. 在“下个一跃点”下,选择“设置”

  10. 选择“NULL”作为 IP 地址
    保留管理员距离和作用域的默认值。

  11. 选择“添加”,然后选择“应用”

  12. 选择“保存”,然后选择“关闭”Diagram showing a sample Null route configuration.

  13. 选择“关闭编辑”

将 NAT 规则添加到第 1 层网关

  1. 登录到 NSX-T Manager,然后选择“网络”

  2. 选择“NAT”

  3. 选择第 1 层网关。 使用相同的第 1 层路由器来创建在前面的步骤中用于创建 null 路由的 NAT 规则。

  4. 选择“添加 NAT 规则”

  5. 为 HCX 管理器添加一条 SNAT 规则和一条 DNAT 规则。

    1. DNAT 规则目标是 HCX 管理器的公共 IP。 转换后的 IP 是云中的 HCX 管理器 IP。
    2. SNAT 规则目标是云中的 HCX 管理器 IP。 转换后的 IP 是静态路由中的非重叠 /32 IP。
    3. 确保将 DNAT 规则上的“防火墙”选项设置为“匹配外部地址”Diagram showing a sample NAT rule for public access of HCX Virtual machine.
  6. 创建第 1 层网关防火墙规则,以仅允许所需流量传输到 HCX 管理器的公共 IP 并删除其他所有内容。

    1. 在 T1 上创建网关防火墙规则,允许本地作为“源 IP”,Azure VMware 解决方案保留公共作为“目标 IP”。 此规则应为最高优先级。
    2. 在第 1 层上创建网关防火墙规则,拒绝“源 IP”为“任意”且“目标 IP”为 Azure VMware 解决方案保留的公共 IP 的所有其他流量

有关详细信息,请参阅 HCX 端口

注意

现可使用公共 IP 通过 Internet 访问 HCX 管理器。

使用 HCX 云管理器的公共 IP 地址配对站点

在源站点和目标站点之间创建服务网格之前,需要进行站点配对。

  1. 登录到“源”站点 HCX 管理器
  2. 选择“站点配对”,然后选择“添加站点配对”
  3. 输入 Cloud HCX 管理器公共 URL 作为远程站点并登录凭据,然后选择“连接”

配对完成后,它将显示在站点配对下。

在 NSX-T 上创建公共 IP 段

在创建公共 IP 段之前,请从 Azure VMware 解决方案门户获取 NSX-T Manager 的凭据。

  1. 在“网络”部分下,选择“连接”和“段”,然后选择“添加段”
  2. 提供段名称,选择“第 1 层路由器”作为已连接的网关,并提供子网下的预留公共 IP
  3. 选择“保存”。  

在目标站点为 HCX 创建网络配置文件

  1. 登录到目标 HCX 管理器(在本例中为云管理器)。
  2. 选择“互连”,然后选择“网络配置文件”选项卡
  3. 选择“创建网络配置文件”
  4. 选择“网络”下的“NSX 网络”作为网络类型
  5. 选择在 NSX-T 上创建的“Public-IP-Segment”
  6. 输入名称
  7. 在 IP 池下,输入 HCX 上行链路的 “IP 范围”、公共 IP 段的“前缀长度”和“网关”
  8. 向下滚动并选择 HCX 流量类型下的 HCX 上行检查框,此配置文件用于 HCX 上行。
  9. 选择“创建”以创建网络配置文件

创建服务网格

服务网格部署 HCX WAN 优化器、HCX 网络扩展和 HCX-IX 设备。

  1. 登录到“源”站点 HCX 管理器
  2. 选择“互连”,然后选择“服务网格”选项卡
  3. 选择“创建服务网格”
  4. 选择“目标”站点以创建服务网格,然后选择“继续”
  5. 选择两个站点的计算配置文件,然后选择“继续”
  6. 选择要激活的 HCX 服务,然后选择“继续”

    注意

    高级服务需要额外的 HCX Enterprise 许可证。

  7. 选择源站点的网络配置文件。
  8. 选择在“网络配置文件”部分创建的目标网络配置文件
  9. 选择继续
  10. 查看“传输区”信息,然后选择“继续”
  11. 查看“拓扑”视图,然后选择“继续”
  12. 输入“服务网格”名称,然后选择“完成”
  13. 在防火墙中添加公共 IP 地址,以仅允许所需的端口。

扩展网络

HCX 网络扩展服务提供站点之间的第 2 层连接。 扩展服务还可让你在虚拟机迁移过程中保持一致的 IP 和 MAC 地址。

  1. 登录到“源”HCX 管理器
  2. 在“网络扩展”部分下,选择要为其扩展网络的站点,然后选择“扩展网络”
  3. 选择要扩展到目标站点的网络,然后选择“下一步”
  4. 输入要扩展的网络的子网详细信息。
  5. 选择目标第一个跃点路由(第 1 层),然后选择“提交”
  6. 登录到 目标 NSX,可以看到网络 10.14.27.1/24 现已扩展。

将网络扩展到目标站点后,可以通过第 2 层扩展迁移 VM。

后续步骤

为 Azure VMware 解决方案启用 NSX Edge 的公共 IP

有关 HCX 网络底层最低要求的详细信息,请参阅网络底层最低要求