Azure VMware 解決方案的網路規劃檢查清單
Azure VMware 解決方案提供 VMWare 私人雲端環境,可讓使用者和應用程式從內部部署和 Azure 型環境或資源進行存取。 連線的傳遞方式是透過 Azure ExpressRoute 和 VPN 連線等網路服務來進行。 需要特定的網路位址範圍和防火牆連接埠,才能啟用這些服務。 本文可協助您設定網路功能以使用 Azure VMware 解決方案。
在本教學課程中,了解:
- 虛擬網路與 ExpressRoute 線路考量
- 路由和子網路需求
- 與服務通訊所需的網路連接埠
- Azure VMware 解決方案中的 DHCP 和 DNS 考量
必要條件
請確定包含 ExpressRoute 提供者服務的所有網路閘道都支援 4 個位元組的「自發系統編號 (ASN)」。 Azure VMware 解決方案使用 4 個位元組的公用 ASN 來公告路由。
虛擬網路與 ExpressRoute 線路考量
在訂用帳戶中建立虛擬網路連線時,您會使用在 Azure 入口網站中要求的授權金鑰和對等互連識別碼,透過對等互連建立 ExpressRoute 線路。 對等互連是私人雲端與虛擬網路之間的私人一對一連線。
注意
ExpressRoute 線路不屬於私人雲端部署的一部分。 內部部署 ExpressRoute 線路已超出本文件的範圍。 如需內部部署連線到私人雲端,則可以使用其中一個現有的 ExpressRoute 線路,或在 Azure 入口網站中購買線路。
部署私人雲端時,您會收到 vCenter Server 和 NSX Manager 的 IP 位址。 若要存取這些管理介面,請在訂用帳戶的虛擬網路中建立多個資源。 在教學課程中,找到建立這些資源及建立 ExpressRoute 私人對等互連的相關程序。
私人雲端邏輯網路包含預先佈建的 NSX 設定。 已為您預先佈建第 0 層網路閘道和第 1 層網路閘道。 您可以建立區段,並將其附加至現有的第 1 層閘道,或將其附加至您定義新的第 1 層閘道。 NSX 邏輯網路元件提供工作負載之間的東西向連線能力以及與網際網路和 Azure 服務的南北向連線能力。
重要
如果您計劃使用 Azure NetApp Files 資料存放區來調整 Azure VMware 解決方案主機,則使用 ExpressRoute 虛擬網路閘道在靠近主機的位置部署虛擬網路至關重要。 儲存體越接近您的主機,效能就越好。
路由和子網考量
Azure VMware 解決方案私人雲端使用 Azure ExpressRoute 連線來連線到您的 Azure 虛擬網路。 此高頻寬、低延遲連線可讓您從私人雲端環境存取在 Azure 訂用帳戶中執行的服務。 該路由使用邊界閘道協定 (BGP) 並自動佈建,以及依預設啟用每個私人雲端部署。
Azure VMware 解決方案私人雲端的子網路至少需要 /22
個 CIDR 網路位址區塊。 此網路可補充您的內部部署網路,因此位址區塊不應與其他虛擬網路中使用的位址區塊重疊,而這些虛擬網路位於您的訂用帳戶和內部部署網路中。 管理、vMotion 和復寫網路會自動在此位址區塊內布建。
注意
您位址區塊允許的範圍為 RFC 1918 私人位址空間 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),但 172.17.0.0/16 除外。 復寫網路不適用於AV64節點,並定於未來日期進行一般淘汰。
重要
請避免使用保留給 NSX 使用量的下列 IP 結構描述:
- 169.254.0.0/24 - used for internal transit network
- 169.254.2.0/23 - used for inter-VRF transit network
- 100.64.0.0/16 - used to connect T1 and T0 gateways internally
範例 /22
CIDR 網路位址區塊:10.10.0.0/22
子網路:
網路使用量 | 描述 | 子網路 | 範例 |
---|---|---|---|
私人雲端管理 | 管理網路 (例如 vCenter、NSX) | /26 |
10.10.0.0/26 |
HCX 管理移轉 | HCX 設備的本地連線 (下行連結) | /26 |
10.10.0.64/26 |
保留全域觸達 | ExpressRoute 的輸出介面 | /26 |
10.10.0.128/26 |
NSX DNS 服務 | 內建 NSX DNS 服務 | /32 |
10.10.0.192/32 |
已保留 | 已保留 | /32 |
10.10.0.193/32 |
已保留 | 已保留 | /32 |
10.10.0.194/32 |
已保留 | 已保留 | /32 |
10.10.0.195/32 |
已保留 | 已保留 | /30 |
10.10.0.196/30 |
已保留 | 已保留 | /29 |
10.10.0.200/29 |
已保留 | 已保留 | /28 |
10.10.0.208/28 |
ExpressRoute 對等互連 | ExpressRoute 對等互連 | /27 |
10.10.0.224/27 |
ESXi 管理 | ESXi 管理 VMkernel 介面 | /25 |
10.10.1.0/25 |
vMotion 網路 | vMotion VMkernel 介面 | /25 |
10.10.1.128/25 |
複寫網路 | vSphere 複寫介面 | /25 |
10.10.2.0/25 |
vSAN | vSAN VMkernel 介面和節點通訊 | /25 |
10.10.2.128/25 |
HCX 上行鏈路 | HCX IX 和 NE 設備到遠端對等的上行連結 | /26 |
10.10.3.0/26 |
已保留 | 已保留 | /26 |
10.10.3.64/26 |
已保留 | 已保留 | /26 |
10.10.3.128/26 |
已保留 | 已保留 | /26 |
10.10.3.192/26 |
注意
ESXi 管理/vmotion/複寫網路在技術上能夠支援 125 部主機,但支援的最大值為 96,因為 29 個會保留給取代/維護(19) 和 HCX(10)。
必要的網路連接埠
來源 | Destination | 通訊協定 | Port | 描述 |
---|---|---|---|---|
私人雲端 DNS 伺服器 | 內部部署 DNS 伺服器 | UDP | 53 | DNS 用戶端 - 從私人雲端 vCenter Server 轉送任何內部部署 DNS 查詢的要求 (請參閱 DNS 小節)。 |
內部部署 DNS 伺服器 | 私人雲端 DNS 伺服器 | UDP | 53 | DNS 用戶端:從內部部署服務到私人雲端 DNS 伺服器的轉送要求 (請參閱 DNS 小節) |
內部部署網路 | 私人雲端 vCenter Server | TCP (HTTP) | 80 | vCenter Server 需要連接埠 80 以進行直接 HTTP 連線。 連接埠 80 會將要求重新導向至 HTTPS 連接埠 443。 如果您使用 http://server 而不是 https://server ,則此重新導向會有所幫助。 |
私人雲端管理網路 | 內部部署 Active Directory | TCP | 389/636 | 讓 Azure VMWare 解決方案 vCenter Server 與內部部署 Active Directory/LDAP 伺服器通訊。 選用,可用來將內部部署 AD 設定為私人雲端 vCenter 上的身分識別來源。 基於安全性考量,建議使用連接埠 636。 |
私人雲端管理網路 | 內部部署 Active Directory 通用類別目錄 | TCP | 3268/3269 | 讓 Azure VMWare 解決方案 vCenter Server 與內部部署 Active Directory/LDAP 全域編錄伺服器通訊。 選用,可用來將內部部署 AD 設定為私人雲端 vCenter Server 上的身分識別來源。 基於安全性,使用連接埠 3269。 |
內部部署網路 | 私人雲端 vCenter Server | TCP (HTTPS) | 443 | 從內部部署網路存取 vCenter Server。 vCenter Server 接聽 vSphere 用戶端連線的預設埠。 若要讓 vCenter Server 系統從 vSphere 用戶端接收資料,請在防火牆中開啟連接埠 443。 vCenter Server 系統也會使用連接埠 443 來監視來自 SDK 用戶端的資料傳輸。 |
內部部署網路 | HCX 雲端管理員 | TCP (HTTPS) | 9443 | 適用於 HCX 系統設定的 HCX 雲端管理員虛擬設備管理介面。 |
內部部署管理員網路 | HCX 雲端管理員 | SSH | 22 | 系統管理員 SSH 存取 HCX 雲端管理員虛擬設備。 |
HCX 管理員 | 互連 (HCX-IX) | TCP (HTTPS) | 8123 | HCX 大量移轉控制。 |
HCX 管理員 | 互連 (HCX-IX),網路延伸模組 (HCX-NE) | TCP (HTTPS) | 9443 | 使用 REST API 將管理指示傳送至本地 HCX 互連。 |
互連 (HCX-IX) | L2C | TCP (HTTPS) | 443 | 若 L2C 使用與互連相同的路徑,系統會將管理指示從互連傳送至 L2C。 |
HCX 管理員,互連 (HCX-IX) | ESXi 主機 | TCP | 80,443,902 | 管理和 OVF 部署。 |
來源的互連 (HCX-IX),網路延伸模組 (HCX-NE) | 目的地的互連 (HCX-IX),網路延伸模組 (HCX-NE) | UDP | 4500 | IPSEC 的必要項目 網際網路金鑰交換 (IKEv2) 可封裝雙向通道的工作負載。 支援網路位址轉譯-周遊 (NAT-T)。 |
內部部署互連 (HCX-IX) | 雲端互連 (HCX-IX) | UDP | 4500 | IPSEC 的必要項目 雙向通道的網際網路金鑰交換 (ISAKMP)。 |
內部部署 vCenter Server 網路 | 私人雲端管理網路 | TCP | 8000 | 從內部部署 vCenter Server 到私人雲端 vCenter Server 的 VM 之 vMotion |
HCX 連接器 | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | 需要 connect 才能驗證授權金鑰。更新需要 hybridity 。 |
下表提供一般案例的常見防火牆規則。 不過,設定防火牆規則時,您可能需要考量更多項目。 請注意,若來源和目的地指出「內部部署」,只有您的資料中心有防火牆檢查流程時,此資訊才有相關。 如果您的內部部署元件沒有防火牆進行檢查,則可忽略這些規則。
如需詳細資訊,請參閱 VMWare HCX 連接埠需求的完整清單。
DHCP 和 DNS 解析考量事項
在私人雲端環境中執行的應用程式和工作負載需要名稱解析和 DHCP 服務,才能進行查閱和 IP 位址指派。 必須有適當的 DHCP 和 DNS 基礎結構,才能提供這些服務。 您可以設定虛擬機器,以在私人雲端環境中提供這些服務。
使用 NSX-T Data Center 內建的 DHCP 服務,或使用私人雲端中的本地 DHCP 伺服器,而不是透過 WAN 將廣播 DHCP 流量路由回內部部署。
重要
如果您將預設路由公告到 Azure VMware 解決方案,則必須允許 DNS 轉寄站觸達設定的 DNS 伺服器,而且必須支援公用名稱解析。
下一步
在本教學課程中,您已了解部署 Azure VMware 解決方案私人雲端的相關考量和需求。 準備好適當的網路功能後,請繼續進行下一個教學課程,以建立您的 Azure VMware 解決方案私人雲端。