你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Azure VMware 解决方案的网络拓扑和连接
将 VMware 软件定义的数据中心 (SDDC) 与 Azure 云生态系统配合使用时,需要针对云原生和混合方案遵循一组独特的设计注意事项。 本文提供有关在 Azure 和 Azure VMware 解决方案部署中与网络和连接的关键注意事项和最佳做法。
本文基于用于大规模管理网络拓扑和连接的多个云采用框架企业级登陆区域体系结构原则和建议。 可以将此 Azure 登陆区域设计区域指南用于任务关键型 Azure VMware 解决方案平台。 设计领域包括:
- 混合集成,用于本地、多云、边缘和全局用户之间的连接。 有关详细信息,请参阅针对混合和多云的企业级支持。
- 大规模性能和可靠性,为工作负载提供一致、低延迟的体验和可伸缩性。 后续文章介绍了 双重区域部署。
- 基于零信任的网络安全性,确保网络外围和流量流的安全性。 有关详细信息,请参阅 Azure 上的网络安全策略。
- 无需设计返工,即可轻松扩展网络占用空间。
一般设计注意事项和建议
以下部分提供了有关 Azure VMware 解决方案网络拓扑和连接的一般设计注意事项和建议。
中心辐射型与虚拟 WAN 网络拓扑
如果你没有从本地到 Azure 的 ExpressRoute 连接,而是使用 S2S VPN,可以使用虚拟 WAN 在本地 VPN 和 Azure VMware 解决方案 ExpressRoute 之间传输连接。 如果使用中心辐射型拓扑,则需要 Azure 路由服务器。 有关详细信息,请参阅 ExpressRoute 和 Azure VPN 的 Azure 路由服务器支持。
私有云和群集
所有群集都可在 Azure VMware 解决方案私有云中通信,因为它们共享相同的 /22 地址空间。
所有群集共享相同的连接设置,包括 Internet、ExpressRoute、HCX、公共 IP 和 ExpressRoute Global Reach。 应用程序工作负载还可共享一些基本的网络设置,例如网络段、动态主机配置协议 (DHCP) 和域名系统 (DNS) 设置。
在部署之前提前设计私有云和群集。 所需的私有云数量直接影响网络要求。 每个私有云都需要自带用于私有云管理的 /22 地址空间,以及用于 VM 工作负载的 IP 地址段。 请考虑提前定义这些地址空间。
与 VMware 和网络团队讨论如何对工作负载的私有云、群集和网络段进行分段和分发。 精心规划,避免浪费 IP 地址。
若要详细了解如何管理私有云的 IP 地址,请参阅定义用于私有云管理的 IP 地址段。
若要详细了解如何管理 VM 工作负载的 IP 地址,请参阅定义用于 VM 工作负载的 IP 地址段。
DNS 和 DHCP
对于 DHCP,请使用 NSX-T 数据中心内置的 DHCP 服务,或使用私有云中的本地 DHCP 服务器。 不要通过 WAN 将广播 DHCP 流量路由回到本地网络。
对于 DNS,根据采用的方案和你的要求,可使用多个选项:
- 仅对于 Azure VMware 解决方案环境而言,可以在 Azure VMware 解决方案私有云中部署新的 DNS 基础结构。
- 对于连接到本地环境的 Azure VMware 解决方案,可以使用现有的 DNS 基础结构。 如有必要,请部署 DNS 转发器以扩展到 Azure 虚拟网络,最好是部署到 Azure VMware 解决方案。 有关详细信息,请参阅添加 DNS 转发器服务。
- 对于同时连接到本地和 Azure 环境与服务的 Azure VMware 解决方案,可以使用中心虚拟网络中的现有 DNS 服务器或 DNS 转发器(如果可用)。 还可将现有的本地 DNS 基础结构扩展到 Azure 中心虚拟网络。 有关详细信息,请参阅企业级登陆区域关系图。
有关详细信息,请参阅以下文章:
Internet
用于启用 Internet 以及筛选和检查流量的出站选项包括:
- 使用 Azure Internet 访问的 Azure 虚拟网络、NVA 和 Azure 路由服务器。
- 使用本地 Internet 访问的本地默认路由。
- 使用 Azure Internet 访问、具有 Azure 防火墙或 NVA 的受保护的虚拟 WAN 中心。
用于传送内容和应用程序的入站选项包括:
- 具有 L7、安全套接字层 (SSL) 终止和 Web 应用程序防火墙的 Azure 应用程序网关。
- 本地的 DNAT 和负载均衡器。
- 各种方案中的 Azure 虚拟网络、NVA 和 Azure 路由服务器。
- 具有 Azure 防火墙的受保护的虚拟 WAN 中心(带有 L4 和 DNAT)。
- 各种方案中具有 NVA 的受保护的虚拟 WAN 中心。
ExpressRoute
Azure VMware 解决方案现成的私有云部署会自动创建一条免费的 10 Gbps ExpressRoute 线路。 此线路将 Azure VMware 解决方案连接到 D-MSEE。
考虑在数据中心附近的 Azure 配对区域中部署 Azure VMware 解决方案。 请查看本文,了解有关Azure VMware 解决方案的双区域网络拓扑的建议。
Global Reach
Global Reach 是一个必需的 ExpressRoute 加载项,供 Azure VMware 解决方案与本地数据中心、Azure 虚拟网络和虚拟 WAN 进行通信。 替代方法是设计与 Azure 路由服务器的网络连接。
可使用 Global Reach 将 Azure VMware 解决方案 ExpressRoute 线路与其他 ExpressRoute 线路进行对等互连,且无需支付费用。
可通过 ISP 将 Global Reach 用于 ExpressRoute 线路对等互连,也可将其用于 ExpressRoute Direct 线路。
ExpressRoute Local 线路不支持 Global Reach。 对于 ExpressRoute Local,通过 Azure 虚拟网络中的第三方 NVA 从 Azure VMware 解决方案传输到本地数据中心。
Global Reach 并非在所有位置都可用。
带宽
选择适当的虚拟网络网关 SKU,在 Azure VMware 解决方案与 Azure 虚拟网络之间实现最佳带宽。 Azure VMware 解决方案支持 1 个区域中最多 4 个 ExpressRoute 线路连接到 ExpressRoute 网关。
网络安全性
网络安全性涉及流量检查和端口镜像。
SDDC 中的东西部流量检查使用 NSX-T 数据中心或 NVA 来检查跨区域的 Azure 虚拟网络流量。
南北流量检查会检查 Azure VMware 解决方案与数据中心之间的双向流量流。 南北流量检查可使用:
- 第三方防火墙 NVA 和 Azure 路由服务器(通过 Azure Internet)。
- 本地默认路由(通过本地 Internet)。
- Azure 防火墙和虚拟 WAN(通过 Azure Internet)
- 通过 Azure VMware 解决方案 Internet 在 SDDC 内的 NSX-T 数据中心。
- SDDC 内 Azure VMware 解决方案中的第三方防火墙 NVA(通过 Azure VMware 解决方案 Internet)
端口和协议要求
为本地防火墙配置所有必要的端口,以确保正确访问所有 Azure VMware 解决方案私有云组件。 有关详细信息,请参阅所需的网络端口。
Azure VMware 解决方案管理访问权限
在部署期间,请考虑使用 Azure 虚拟网络中的 Azure Bastion 主机来访问 Azure VMware 解决方案环境。
建立到本地环境的路由后,Azure VMware 解决方案管理网络不采用来自本地网络的
0.0.0.0/0
路由,因此需要为本地网络播发更具体的路由。
业务连续性、灾难恢复 (BCDR) 和迁移
在 VMware HCX 迁移中,默认网关将保留在本地。 有关详细信息,请参阅部署和配置 VMware HCX。
VMware HCX 迁移可使用 HCX L2 扩展。 需要第 2 层扩展的迁移还必须使用 ExpressRoute。 只要满足最基本的网络要求,就能支持 S2S VPN。 最大传输单位 (MTU) 大小应为 1350,以适应 HCX 的开销。 若要详细了解第 2 层扩展设计,请参阅管理器模式下第 2 层桥接 (VMware.com)。
后续步骤
若要详细了解中心辐射型网络中的 Azure VMware 解决方案,请参阅在中心辐射型体系结构中集成 Azure VMware 解决方案。
有关 VMware NSX-T 数据中心网段的详细信息,请参阅使用 Azure VMware 解决方案 配置 NSX-T 数据中心网络组件。
若要了解面向 Azure VMware 解决方案的云采用框架企业级登陆区域体系结构原则、各种设计注意事项和最佳做法,请查看本系列的下一篇文章: