你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

为 Azure VMware 解决方案 SDDC 建立跨租户网络连接

本文介绍了如何在跨租户环境中建立 Azure VMware 解决方案软件定义的数据中心 (SDDC)。 它提供了有关如何使用 Azure 虚拟 WAN 和在分支虚拟网络中运行的网络虚拟设备 (NVA) 建立网络连接的指导。 分支虚拟网络会连接到虚拟 WAN。

体系结构

以下体系结构显示了跨租户 Azure VMware 解决方案 SDDC、Azure 和本地环境之间的连接。

连接

跨租户环境中的网络连接包括以下连接。

• Azure VMware 解决方案 SDDC 到 SDDC 连接
• Azure VMware 解决方案 SDDC 到 Azure 连接
• Azure VMware 解决方案 SDDC 到本地连接
• Azure 到 Azure 连接
• Azure 到本地连接

Azure VMware 解决方案 SDDC 到 SDDC 连接

跨租户部署的两个 Azure VMware 解决方案 SDDC 之间的连接取决于部署它们的 Pod。 使用以下说明确定在其中部署了 SDDC 的 Pod。

1. 在 Azure 门户中，转到 Azure VMware 解决方案。
2. 选择“管理”，然后选择“群集”。
3. 选择三个点，然后选择“编辑”。
4. 记录下主机 FQDN 值。 Pod 编号前有字母 p。

对其他 SDDC 重复同样的过程。 确定它们是否共享任何常用的 Pod。 下图显示了部署在 Pod 1 中的 SDDC 主机。

注意

在 Azure VMware 解决方案 SDDC 部署期间无法选择 Pod。 Pod 的分配并不是预先确定的，因此每次进程运行时，计划程序分配给 Pod 的确切节点都可能会不同。

在确定 SDDC 共享的 Pod 后，请执行以下选项之一：

• Azure VMware 解决方案互连 (Global Reach)：当两个 SDDC 位于同一 Azure 区域“并且”没有共享常用的 Pod 时，请选择此选项。 此选项可在两个 SDDC ExpressRoute 线路之间建立 ExpressRoute 线路 Global Reach 连接。 此选项还可以启用可传递连接。 可传递连接是指 SDDC ExpressRoute 线路从 SDDC、虚拟 WAN、虚拟 WAN 直接分支虚拟网络获悉的路由也会跨租户向其他 SDDC ExpressRoute 线路、SDDC、虚拟 WAN 和虚拟 WAN 直接分支虚拟网络进行播发。

• 使用 Azure VMware 解决方案互连（非 Global Reach）：当两个 SDDC 位于同一 Azure 区域“并且”共享一个常用的 Pod 时，请选择此选项。 此选项不为虚拟 WAN 及其直接分支虚拟网络所播发的路由提供跨租户的可传递连接。

• 使用 Azure VMware 解决方案 ExpressRoute Global Reach：当两个 SDDC 位于不同的 Azure 区域（无论是否共享一个 Pod）时，请选择此选项。 此选项会为虚拟 WAN 及其直接分支虚拟网络所播发的路由提供跨租户的可传递连接。

所有这些选项都可以在两个 SDDC 之间建立网络连接。 选择的选项会对 Azure VMware 解决方案 SDDC 到 Azure 的连接产生影响。

注意

可以使用“自助服务模型”在两个 SDDC 之间建立网络连接。 但是，如果 SDDC 在拉伸群集上运行，则应提交“支持票证”。

Azure VMware 解决方案 SDDC 到 Azure 连接

在此体系结构中，每个 SDDC 都会连接到虚拟 WAN，并且每个虚拟 WAN 实例都在自己的 Microsoft Entra 租户中运行。 使用以下过程来建立连接。

1. 在 Azure 门户、Azure CLI 或 PowerShell 中，创建 Azure VMware 解决方案 SDDC 授权密钥。

2. 在虚拟 WAN 中，创建一个中心和一个 ExpressRoute 网关。

3. 要在 SDDC 和虚拟 WAN 之间建立连接，请兑换授权密钥。

其他 Azure 虚拟网络也会连接到此虚拟 WAN。

• “直接分支虚拟网络”通过虚拟 WAN虚拟网络连接直接连接到虚拟 WAN。 分支虚拟网络可以运行部署在其中的 NVA。 NVA 可检查和控制从 Azure 和 Azure VMware 解决方案 SDDC 传出的流量。

• “间接分支虚拟网络”可连接到直接分支虚拟网络。 它们不直接连接虚拟 WAN。 间接分支虚拟网络会托管在 Azure 中运行的工作负荷。 在直接分支虚拟网络中运行的 NVA 会检查来自间接分支虚拟网络的网络流量。

使用以下配置在 SDDC 和 Azure 虚拟网络之间建立直接和间接连接。

• “直接”分支可以通过虚拟 WAN与 SDDC 之间的连接，连接到在自己租户中运行的 SDDC。

• “直接”分支可以通过Azure VMware 解决方案互连 (Global Reach) 或 Azure VMware 解决方案 Global Reach 连接，连接到在其他租户中运行的 SDDC。

• “间接”分支默认情况下不会连接到其租户中的 SDDC。 可以将用户定义路由 (UDR) 与间接分支关联起来。 UDR 会将其租户中的 SDDC 前缀作为目标网络，并将其租户中的直接分支作为下一个跃点。

• “间接”分支默认情况下不会连接到其他租户中的 SDDC。 可以将 UDR 与间接分支关联起来。 UDR 会将其他租户中的 SDDC 前缀作为目标网络，并将自己租户中的直接分支作为下一个跃点。 此连接需要 SDDC 之间的 Azure VMware 解决方案互连 (Global Reach) 或 Azure VMware 解决方案 Global Reach 连接。

注意

本指南适用于连接到托管 NVA 解决方案的分支虚拟网络的单个中心。 如果有多个中心需要连接到 Azure VMware 解决方案 SDDC，请使用全网格网络体系结构。

Azure VMware 解决方案 SDDC 到本地连接

使用 Global Reach 在每个 Azure VMware 解决方案 SDDC 和本地环境之间建立连接。 在此方案中，每个 SDDC ExpressRoute 线路会与本地 ExpressRoute 线路相互连接。 SDDC ExpressRoute 线路通过 Global Reach 连接获悉的本地路由是不可传递的。 即使拥有 Azure VMware 解决方案 SDDC 到 SDDC 连接，路由也不会跨租户进行播发。

SDDC 到本地连接与跨租户 SDDC 到 SDDC 的连接并存。 在此类设置中，一个 SDDC ExpressRoute 线路会通过 Global Reach 连接来获悉本地路由，还会通过 SDDC 到 SDDC 连接来获悉跨租户虚拟 WAN 路由。 跨租户虚拟 WAN 或 SDDC 不得通过静态路由或 VPN 连接等其他方式来播发本地前缀。 如果出现这种情况，SDDC ExpressRoute 就会为本地环境获悉重复的路由，从而形成路由环路并导致连接中断。

如果本地环境有多个 ExpressRoute 线路作为冗余，则使用公共 AS 路径前缀来优先选择其中一个线路。

注意

SDDC 到本地连接与 Azure 到本地的连接并存。 可以在虚拟 WAN 中使用 ExpressRoute 网关与 SDDC ExpressRoute 线路和本地 ExpressRoute 线路连接。 但这种连接不是可传递的。

Azure 到 Azure 连接

直接和间接虚拟网络需要在同一 Azure 租户和跨 Azure 租户之间相互通信。 使用以下方法来建立连接。

在同一租户内建立连接

• 通过虚拟 WAN 虚拟网络连接将直接分支相互连接。

• 通过虚拟网络对等互连直接分支和间接分支。

• 通过虚拟网络对等互连间接分支和直接分支。

• 通过虚拟网络对等互连将间接分支与直接分支和与直接分支关联的 UDR 连接起来。 UDR 会将间接分支前缀作为目标网络，并将直接分支中的 NVA 作为下一个跃点。 配置直接分支中的 NVA，通过其网络接口卡 (NIC) 来转发流量。

建立跨租户连接

• 通过全局虚拟网络对等互连直接分支与跨租户直接分支。

• 通过直接分支和与直接分支关联的 UDR 之间的全局虚拟网络对等互连，将直接分支与跨租户间接分支连接起来。 UDR 会将跨租户间接分支前缀作为目标网络，并将跨租户直接分支中的 NVA 作为下一个跃点。

• 通过直接分支虚拟网络和与直接分支虚拟网络关联的 UDR 之间的全局虚拟网络对等互连，将间接分支与跨租户直接分支连接起来。 UDR 会将跨租户直接分支前缀作为目标网络，并将自己直接分支中的 NVA 作为下一个跃点。

• 通过直接分支虚拟网络和与直接分支虚拟网络关联的 UDR 之间的全局虚拟网络对等互连，将间接分支与跨租户间接分支连接起来。 UDR 会将跨租户间接分支前缀作为目标网络，并将自己直接分支中的 NVA 作为下一个跃点。

Azure 到本地连接

使用本地 ExpressRoute 线路和虚拟 WAN 的 ExpressRoute 网关建立 Azure 到本地的连接。 Azure VMware 解决方案 SDDC ExpressRoute 与同一本地 ExpressRoute 网关之间的连接是不可传递的。 通过全球虚拟网络对等互连实现的直接分支虚拟网络与虚拟 WAN 之间的连接也是不可传递的。 连接到虚拟 WAN 的间接分支必须有一个以本地前缀为目标网络的 UDR，以及一个在直接分支中运行的 NVA 作为下一个跃点。

方案详细信息

本文探讨了以下几种方案。 可以将这些方案用于跨租户迁移或工作负荷访问目的。

• 跨租户 Azure VMware 解决方案 SDDC 到 SDDC 网络连接
• Azure 到 Azure 的跨租户连接
• Azure VMware 解决方案 SDDC 和 Azure 虚拟网络之间的跨租户网络访问
• Azure VMware 解决方案 SDDC 与本地环境之间的跨租户网络访问
• 通过在连接虚拟 WAN 的虚拟网络中运行的 NVA 进行跨租户网络流量检查和控制

在跨租户环境中，Azure VMware 解决方案 SDDC、其相关的 Azure ExpressRoute 线路和虚拟 WAN 可能会带来具有挑战性的迁移或工作负荷访问体验。 与 Azure VMware 解决方案 SDDC 关联的 ExpressRoute 线路会连接到 SDDC 和虚拟 WAN ExpressRoute 网关。 ExpressRoute 线路会获悉 Azure VMware 解决方案 SDDC 和虚拟 WAN 播发的路由。 ExpressRoute 线路会跨租户将这些路由播发给连接到线路的其他 Azure VMware 解决方案 SDDC 和虚拟 WAN。 仔细规划配置，避免在虚拟 WAN、SDDC ExpressRoute 线路和虚拟 WAN ExpressRoute 网关之间循环传播路由。

可能的用例

请考虑以下可能受益于这种体系结构的方案：

• 跨国公司会在不同的 Microsoft Entra 租户中运行 Azure VMware 解决方案 SDDC。

• 企业会进行分拆或剥离过程，从而产生拥有独立 Microsoft Entra 租户的独立业务实体。 每个独立的业务实体都需要访问共同的内部环境，并需要跨租户访问 Azure VMware 解决方案 SDDC 和其他 Azure 资源。

• 两个独立的企业拥有各自独立的 Microsoft Entra 租户，但仍需要跨租户访问在 Azure VMware 解决方案 SDDC 和 Azure 中运行的工作负荷。

后续步骤

• Azure VMware 解决方案网络设计指南
• 网络规划清单

相关资源

• 准备连接 Azure VMware 解决方案