为部署 Azure VMware 解决方案计划网络拓扑
Azure VMware 解决方案提供一个私有云环境,既可从本地访问,也可从基于 Azure 的环境或资源访问。 在Azure VMware 解决方案部署中,下一步涉及到网络拓扑规划。
Azure 中的 Azure VMware 解决方案环境需要将网络流量传递到 Azure 服务和本地 VMware 环境。 专用 Azure ExpressRoute 线路可从 Azure VMware 解决方案连接到 Azure 资源和服务。 由客户单独提供的 Azure ExpressRoute 线路可以连接到本地 VMware 环境。 若要完成网络连接,必须启用特定的 IP 地址范围和防火墙端口。 部署 Azure VMware 解决方案后,会为以下 vSphere 组件创建专用网络:
- 管理
- 预配
- VMware vMotion
你将使用这些专用网来访问 vCenter Server、NSX Manager 和 vMotion。
IP 段
在部署 Azure VMware 解决方案私有云之前,必须计划 IP 寻址。 此服务需要你提供的 /22 CIDR 网络地址块。 Azure VMware 解决方案的管理组件需要 /22 CIDR。 部署了虚拟机 (VM) 的工作负载段将具有不同的 IP 地址范围。 可通过在 NSX Manager 中创建网段来完成此操作。
管理 CIDR 自动分割成更小的网段。 这些 IP 段用于 vCenter Server、VMware HCX、NSX 和 VMware vMotion。 Azure VMware 解决方案(即现有 Azure 环境)和本地环境需要交换路由来将 VM 迁移到 Azure。 定义的 /22 CIDR 网络地址块不得与已经在本地或 Azure 中配置的网络地址块重叠。
要在 Azure VMware 解决方案私有云中创建第一个 NSX 段,必须生成一个 VM IP 段。 通过 VM IP 段,可将 VM 部署到 Azure VMware 解决方案。 (可选)可使用 VMware HCX 第二层网络扩展将网段从本地 VMware 环境扩展到 Azure VMware 解决方案。 本地网络需要连接到 vSphere 分布式交换机 (vDS),因为无法使用 VMware HCX 扩展 vSphere 标准交换机。
示例子网分解
下表中的示例展示了如何将 /22 CIDR 网络地址块(本示例中为 10.5.0.0/22)划分为不同的 IP 段:
| 网络用途 | 子网 | 示例 |
|---|---|---|
| 私有云管理 | /26 | 10.5.0.0/26 |
| HCX 迁移 | /26 | 10.5.0.64/26 |
| Global Reach 已预留 | /26 | 10.5.0.128/26 |
| ExpressRoute 已预留 | /27 | 10.5.0.192/27 |
| ExpressRoute 对等互连 | /27 | 10.5.0.224/27 |
| ESXi 管理 | /25 | 10.5.1.0/25 |
| vMotion 网络 | /25 | 10.5.1.128/25 |
| 复制网络 | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| HCX 上行链路 | /26 | 10.5.3.0/26 |
| 保留 | 3 /26 块 | 10.5.3.64/26、10.5.3.128/26、10.5.3.192/26 |
Azure VMware 解决方案网络连接
部署 Azure VMware 解决方案后,成功部署的下一步是建立网络连接。
Azure VMware 解决方案私有云部署在专门分配给单个客户的专用裸机服务器上。 若要使用 Azure 资源,这些服务器需要连接到 Azure 主干网。 Azure VMware 解决方案提供了一条 Azure ExpressRoute 线路,用于在 Azure VMware 解决方案私有云与 Azure 服务之间通信。 若要通过 ExpressRoute 连接到本地环境,可以将 ExpressRoute Global Reach 配置为现有的 ExpressRoute 线路。
ExpressRoute 和路由要求
Azure VMware 解决方案有两种类型的互连:
- 仅限 Azure 的基本互连:Azure VMware 解决方案使用与资源一起部署的 ExpressRoute 连接来连接到 Azure 虚拟网络。 Azure VMware 解决方案提供的 ExpressRoute 线路可建立与其他 Azure 服务(例如 Azure Monitor、Microsoft Defender for Cloud 等)的 Azure VMware 解决方案私有云的往来连接。
- 本地到私有云的完全互连:此连接模型扩展了基本互连实现,可以在本地和 Azure VMware 解决方案私有云之间互连。 可以通过客户提供的 ExpressRoute 线路和一些其他方法配置此连接。 可以使用现有线路,也可以购买新线路。
ExpressRoute Global Reach 是 Azure VMware 解决方案中默认选择的混合连接。 然而,在某些情况下,Global Reach 可能不适用 - 要么是因为它在你所在的区域不可用,要么是因为 Global Reach 无法满足特定的网络或安全要求。 对于这些情况,可以考虑通过 ExpressRoute 专用对等互连或使用 IPSec VPN 传输数据。
客户提供的 ExpressRoute 线路不属于 Azure VMware 解决方案私有云部署的一部分。
ExpressRoute Global Reach 的先决条件
在配置 ExpressRoute Global Reach 之前,需要满足一些先决条件。
- 需要客户单独提供的 ExpressRoute 线路。 此线路用于将本地环境连接到 Azure。
- 所有网关(包括 ExpressRoute 提供商的服务)必须都支持 4 字节自治系统编号 (ASN)。 Azure VMware 解决方案使用 4 字节公共 ASN 来播发网络路由。
所需的网络端口
如果本地网络基础结构受到限制,则需要允许以下端口:
| 源 | 目标 | 协议 | 端口 |
|---|---|---|---|
| Azure VMware 解决方案私有云 DNS 服务器 | 本地 DNS 服务器 | UDP | 53 |
| 本地 DNS 服务器 | Azure VMware 解决方案 DNS 服务器 | UDP | 53 |
| 本地网络 | Azure VMware 解决方案 vCenter Server | TCP (HTTP/HTTPS) | 80、443 |
| Azure VMware 解决方案私有云管理网络 | 本地 Active Directory | TCP | 389/636 |
| Azure VMware 解决方案私有云管理网络 | 本地 Active Directory 全局目录 | TCP | 3268/3269 |
| 本地网络 | HCX 云管理器 | TCP (HTTPS) | 9443 |
| 本地管理员网络 | HCX 云管理器 | SSH | 22 |
| HCX 管理器 | 互连 (HCX-IX) | TCP (HTTPS) | 8123 |
| HCX 管理器 | 互连 (HCX-IX)、网络扩展 (HCX-NE) | TCP (HTTPS) | 9443 |
| 互连 (HCX-IX) | 第 2 层连接 | TCP (HTTPS) | 443 |
| HCX 管理器、互连 (HCX-IX) | ESXi 主机 | TCP | 80、443、902 |
| 互连 (HCX-IX)、源上的网络扩展 (HCX-NE) | 互连 (HCX-IX)、目标上的网络扩展 (HCX-NE) | UDP | 4500 |
| 本地互连 (HCX-IX) | 云互连 (HCX-IX) | UDP | 500 |
| 本地 vCenter Server 网络 | Azure VMware 解决方案管理网络 | TCP | 8000 |
| HCX 连接器 | connector.hcx.vmware.com hybridity.depot.vmware.com | TCP | 443 |
DHCP 和 DNS 解析注意事项
在 Azure VMware 解决方案中运行的虚拟机 (VM) 需要名称解析。 VM 可能需要 DHCP 服务进行查找和 IP 地址分配。 可以配置本地 VM 或 Azure VM,以便进行名称解析。 可使用 NSX 中内置的 DHCP 服务,也可选择使用 Azure VMware 解决方案私有云中的本地 DHCP 服务器。 在 Azure VMware 解决方案中配置 DHCP 不需要将 DHCP 流量通过 WAN 路由广播回本地环境。
在下一个单元中,我们将逐步介绍如何部署 Azure VMware 解决方案部署。 我们将概述所有步骤,以便你可以在环境中部署服务。