Azure VMware 解决方案的工作原理
了解 Azure VMware 解决方案的定义及其功能后,让我们看看它在 Azure 上如何工作。
共同支持
本地 VMware 环境要求客户支持用于运行该平台的所有硬件和软件。 Azure VMware 解决方案没有。 Microsoft 为客户维护平台。 让我们看看客户管理的内容和 Microsoft 管理的内容。
对于下表:Microsoft 管理 = 蓝色,客户管理 = 灰色
Microsoft 与 VMware 合作,负责 VMware 软件(ESXi、vCenter 和 vSAN)的生命周期管理。 Microsoft还适用于 VMware,用于 NSX-T 设备的生命周期管理和启动网络配置。 包括,创建第 0 层网关并启用南北路由。
客户负责 NSX-T SDN 配置:
- 网段
- 分布式防火墙规则
- 第 1 层网关
- 负载均衡器
监视和修正
Azure VMware 解决方案持续监视基础组件和 VMware 组件的运行状况。 若 Azure VMware 解决方案检测到故障,它将采取措施来修复出现故障的组件。 当 Azure VMware 解决方案在 Azure VMware 解决方案节点上检测到性能下降或故障时,其将触发主机修正进程。
主机修正涉及到将错误节点替换为群集中新的健康节点。 然后,如有可能,故障主机会处于 VMware vSphere 维护模式。 VMware vMotion 会将 VM 从故障主机移到群集中的其他可用服务器上,这可能会导致工作负载的实时迁移出现零停机时间这一情况。 如果故障主机无法处于维护模式,则主机将从群集中删除。
Azure VMware 解决方案将监视主机上的以下情况:
- 处理器状态
- 内存状态
- 连接和电源状态
- 硬件风扇状态
- 网络连接丢失
- 硬件系统板状态
- vSAN 主机的磁盘上出现的错误
- 硬件电压
- 硬件温度状态
- 硬件电源状态
- 存储状态
- 连接失败
Azure 中的私有云、群集和主机
Azure VMware 解决方案提供包含 vSphere 群集的私有云。 这些群集基于专用裸机 Azure 主机构建而成。
每个私有云可以有多个群集,这些群集由同一 vCenter 服务器和 NSX-T Manager 托管。 私有云从 Azure 订阅中进行安装和管理。 订阅中的私有云数量是可缩放的。 最初,每个订阅的私有云数限制为一个。
默认情况下,对于创建的每个私有云,均有一个 vSphere 群集。 可使用 Azure 门户或 API 来添加、删除和缩放群集。 Microsoft 根据核心、内存和存储要求提供节点配置。 选择适合你所在区域的节点类型;最常见的选择是 AV36。
最小和最大节点配置为:
- 群集中至少三个节点
- 一个群集中最多 16 个节点
- 一个 Azure 私有云中最多 12 个群集
- 一个 Azure 私有云中最多 96 个节点
每个高端主机都有 576 GB RAM 和双 Intel 18 核 2.3 GHz 处理器。 高端主机具有两个 vSAN 磁盘组,其中采用 15.20 TB (SSD) 的原始 vSAN 容量层和 3.2 TB (NVMe) vSAN 缓存层。
可使用 vSphere 和 NSX-T Manager 来管理群集配置或操作的大多数方面。 群集中每个主机的所有本地存储都受 vSAN 控制。 该解决方案中的每个 ESXi 主机都配置有 4 个 25 Gbps NIC、2 个为 ESXi 系统流量预配的 NIC,以及 2 个为工作负载流量预配的 NIC。
在 Azure VMware 解决方案私有云群集的新部署中使用的 VMware 软件版本包括:
| 软件 | 版本 |
|---|---|
| VMware vCenter Server | 7.0 U3c |
| ESXi | 7.0 U3c |
| vSAN | 7.0 U3c |
| vSAN 磁盘格式 | 10 |
| HCX | 4.4.2 |
| VMware NSX-T 数据中心 注意:VMware NSX-T Data Center 是唯一受支持的 NSX Data Center 版本。 |
3.1.2 |
NSX-T 是唯一支持的 NSX 版本。 在新群集已添加到现有私有云时,应用当前运行的软件版本。
将 Azure VMware 解决方案部署到订阅后,系统会自动生成 Azure Monitor 日志。 可使用 Azure Monitor 日志来监视 Azure VMware 解决方案中的虚拟机 (VM) 模式。
Azure 中的互连性
可从本地和基于 Azure 的资源访问 Azure VMware 解决方案的私有云环境。 以下服务提供互连:
- Azure ExpressRoute
- VPN 连接
- Azure 虚拟 WAN
下图显示了 Azure VMware 解决方案的 ExpressRoute 和 ExpressRoute Global Reach 互连方法。
这些服务要求你启用特定的网络地址范围和防火墙端口。
可使用现有的 ExpressRoute 网关连接到 Azure VMware 解决方案,只要它不超过每个虚拟网络四条 ExpressRoute 线路的限制即可。 若要通过 ExpressRoute 从本地访问 Azure VMware 解决方案,必须拥有 ExpressRoute Global Reach。
ExpressRoute Global Reach 用于将私有云连接到本地环境。 要实现该连接,你的订阅中必须存在一个使用 ExpressRoute 线路(连接到本地)的虚拟网络。 对于 Azure VMware 解决方案,在私有云中有两种互连选项:
仅限 Azure 的基本互连,通过此方式可仅在 Azure 中使用单个虚拟网络来管理和使用私有云。 此实现最适合不需要从本地环境访问的 Azure VMware 解决方案评估或实现。
本地和私有云之间的完全互连扩展了仅限 Azure 的基本实现,以包括本地环境与 Azure VMware 解决方案私有云之间的互连。
在部署私有云的过程中,系统将创建用于管理、预配和 vMotion 的专用网络。 这些专用网络用于访问 vCenter 和 NSX-T Manager,以及用于虚拟机 vMotion 或部署。
私有云存储
Azure VMware 解决方案使用群集本地的本机、完全配置的全闪存 vSAN 存储。 群集中每个主机的所有本地存储都用于 vSAN 数据存储,并且静态数据加密在默认情况下已启用。
所有磁盘组都使用 1.6 TB 的 NVMe 缓存层,每个主机基于 SSD 的原始容量为 15.4 TB。 两个磁盘组在 vSphere 群集的每个节点上创建。 每个磁盘组都包含一个缓存磁盘和三个容量磁盘。 所有数据存储都在私有云部署的过程中进行创建,可立即使用。
策略在 vSphere 群集上创建并应用于 vSAN 数据存储。 它确定如何在数据存储中预配和分配 VM 存储对象,以确保所需的服务级别。 若要维护服务级别协议,必须在 vSAN 数据存储上维护 25% 的备用容量。
可在私有云中运行的工作负载中使用 Azure 存储服务。 下图显示了可用于 Azure VMware 解决方案的可用存储服务。
安全性与符合性
Azure VMware 解决方案私有云使用 vSphere 基于角色的访问控制来实现访问和安全。 可使用 LDAP 或 LDAPS 在 Active Directory 中以 CLoudAdmin 角色配置用户和组。
vCenter 会为 cloudAdmin 角色分配一个名为 cloudadmin 的内置本地用户。 cloudAdmin 角色的 vCenter 权限不同于其他 VMware 云解决方案中的相应权限:
本地 cloudadmin 用户可链接标识源,使 Active Directory 管理员可向Azure VMware 解决方案的用户授予权限。
Azure VMware 解决方案部署中的管理员无权访问管理员用户帐户。 但是,管理员可将 Active Directory 用户和组分配到 vCenter 上的 cloudAdmin 角色。
私有云用户无法访问 Microsoft 支持和管理的特定管理组件,也无法对其进行配置。 这些组件的示例包括群集、主机、数据存储和分布式虚拟交换机。
Azure VMware 解决方案通过启用静态数据加密并默认开启此选项,确保 vSAN 存储数据存储的安全性。 加密基于密钥管理服务 (KMS),且支持用于密钥管理的 vCenter 操作。 密钥由 Azure Key Vault 主密钥存储、加密和包装。 从群集中删除主机时,SSD 上的数据将立即失效。 下图说明了加密密钥与 Azure VMware 解决方案的关系。
部署 Azure VMware 解决方案的步骤
下表概述了组织开始使用 Azure VMware 解决方案时需要采取的步骤。
| 里程碑 | 步骤 |
|---|---|
| 计划 | 规划 Azure VMware 解决方案的部署: - 评估 - 请求配额 - 标识主机 - 确定大小和连接性 |
| 部署 | 部署和配置 Azure VMware 解决方案: - 注册 Microsoft.AVS 资源提供程序 - 创建 Azure VMware 解决方案私有云 - 通过 ExpressRoute 连接到 Azure 虚拟网络 - 验证连接 |
| 连接到本地 | - 在本地 ExpressRoute 线路中创建 ExpressRoute 授权密钥 - 将私有云对等互连到本地 - 验证本地网络连接性 |
| 部署和配置 VMware HCX | 部署和配置 VMware HCX: - 下载 VMware HCX 连接器 OVA - 部署本地 VMware HCX OVA(VMware HCX 连接器) - 激活 VMware HCX 连接器 - 将本地 VMware HCX 连接器与 Azure VMware 解决方案 HCX 云管理器配对 - 配置互连(网络配置文件、计算配置文件和服务网格) - 通过检查设备状态并验证是否可以迁移来完成设置 |