建立 Azure VMware 解決方案 SDDC 的跨租用戶網路連線

本文說明如何在跨租用戶環境中設定 Azure VMware 解決方案 軟體定義數據中心 （SDDC）。 其提供如何使用在輪輻虛擬網路中執行的 Azure 虛擬 WAN 和網路虛擬設備 （NVA） 來建立網路連線的指引。 輪輻虛擬網路會連線到虛擬 WAN。

架構

下列架構顯示跨租使用者 Azure VMware 解決方案 SDDC、Azure 和內部部署環境之間的連線。

連線性

跨租用戶環境中的網路連線是由下列連線所組成。

• Azure VMware 解決方案 SDDC 對 SDDC 連線能力
• Azure VMware 解決方案 SDDC 對 Azure 連線能力
• Azure VMware 解決方案 SDDC 對內部部署連線能力
• Azure 對 Azure 連線能力
• Azure 對內部部署連線能力

Azure VMware 解決方案 SDDC 對 SDDC 連線能力

您跨租使用者部署的兩個 Azure VMware 解決方案 SDDC 之間的連線，取決於您在其中部署的 Pod。 使用下列指示來識別部署 SDDC 的 Pod。

1. 在 Azure 入口網站 中，移至 [Azure VMware 解決方案]。
2. 選取 [ 管理]，然後選取 [ 叢集]。
3. 選取三個點，然後選取 [ 編輯]。
4. 記下主機 FQDN 值。 字母 p 在 Pod 編號之前。

針對其他 SDDC 重複相同的程式。 判斷它們是否共用任何常見的Pod。 下圖顯示部署在Pod 1中的SDDC主機。

注意

在 Azure VMware 解決方案 SDDC 部署期間，您無法選取 Pod。 Pod 指派並非預先決定，因此排程器指派給 Pod 的確切節點在每次執行進程時可能會有所不同。

識別 SDDC 共用的 Pod 之後，請執行下列其中一個選項：

• Azure VMware 解決方案 互連（全球觸達）：當兩個 SDDC 位於相同的 Azure 區域中，且不會在兩者之間共用一般 Pod 時，請使用此選項。 此選項會建立兩個 SDDC ExpressRoute 線路之間的 ExpressRoute 線路 Global Reach 連線。 此選項也會啟用可轉移的連線。 可轉移的連線能力表示 SDDC ExpressRoute 線路從 SDDC、虛擬 WAN、虛擬 WAN 直接輪輻虛擬網路學習的路由也會向其他 SDDC ExpressRoute 線路、SDDC、虛擬 WAN 和虛擬 WAN 直接輪輻虛擬網路通告。

• 使用 Azure VMware 解決方案 互連（非全域觸達）：當兩個 DC 位於相同的 Azure 區域中，並在兩者之間共用通用 Pod 時，請使用此選項。 此選項不會提供虛擬 WAN 及其直接輪輻虛擬網路公告之路由的跨租用戶可轉移連線。

• 使用 Azure VMware 解決方案 ExpressRoute Global Reach：當兩個 DC 位於不同的 Azure 區域中，無論它們是否共用 Pod 時，請使用此選項。 此選項提供虛擬 WAN 及其直接輪輻虛擬網路公告之路由的跨租用戶可轉移連線能力。

所有這些選項都可以在兩個DC之間建立網路連線。 您選擇的選項會影響 SDDC 對 Azure 連線能力 Azure VMware 解決方案。

注意

您可以使用自助模型來建立兩個 SDDC 之間的網路連線。 但是，如果 SDDC 在延展式叢集上執行，您應該提出 支援票證。

Azure VMware 解決方案 SDDC 對 Azure 連線能力

在此架構中，每個 SDDC 都會連線到虛擬 WAN，而每個虛擬 WAN 實例都會在其自己的Microsoft Entra 租使用者中執行。 使用下列程式來建立連線能力。

1. 在 Azure 入口網站、Azure CLI 或 PowerShell 中，建立 Azure VMware 解決方案 SDDC 授權密鑰。

2. 在虛擬 WAN 中，建立中樞和 ExpressRoute 閘道。

3. 若要建立 SDDC 與虛擬 WAN 之間的連線，請兌換授權密鑰。

其他 Azure 虛擬網路也會連線到此虛擬 WAN。

• 直接輪輻虛擬網路 會透過虛擬 WAN 虛擬網路連線直接連線到虛擬 WAN。 輪輻虛擬網路可以執行其中部署的 NVA。 NVA 會檢查及控制從 Azure 和 Azure VMware 解決方案 SDDC 輸出的流量。

• 間接輪輻虛擬網路 會連線到直接輪輻虛擬網路。 它們不會直接連線到虛擬 WAN。 間接輪輻虛擬網路會裝載在 Azure 中執行的工作負載。 在直接輪輻虛擬網路中執行的 NVA 會檢查源自間接輪輻虛擬網路的網路流量。

使用下列設定，在 AZURE 中建立 SSD 與虛擬網路之間的直接和間接連線。

• 直接 輪輻可以透過虛擬 WAN 與 SDDC 之間的連線，連線到在其自己的租用戶中執行的 SDDC。

• 直接輪輻可以透過 Azure VMware 解決方案 互連 （Global Reach） 或 Azure VMware 解決方案 Global Reach 連線，連線到在其他租用戶中執行的 SDDC。

• 根據預設，間接 輪輻不會連線到其租使用者中的 SDDC。 您可以將使用者定義的路由 （UDR） 與間接輪輻產生關聯。 UDR 在其租使用者中具有 SDDC 前置詞作為目的地網路，並在自己的租使用者中直接輪輻作為下一個躍點。

• 根據預設，間接 輪輻不會連線到其他租使用者中的 SDDC。 您可以將 UDR 與間接輪輻產生關聯。 UDR 將另一個租使用者中的 SDDC 前置詞作為目的地網路，並在自己的租使用者中直接輪輻作為下一個躍點。 此連線需要 Azure VMware 解決方案 互連 （Global Reach） 或 #D4D39C880A342462DB5B0608AA74691FB SDDC 之間的 Global Reach 連線。

注意

針對連線到裝載 NVA 解決方案的輪輻虛擬網路的單一中樞，請使用本指南。 如果您有多個需要連線到 Azure VMware 解決方案 SDDC 的中樞，請使用完整網狀網路架構。

Azure VMware 解決方案 SDDC 對內部部署連線能力

使用 Global Reach 來建立每個 Azure VMware 解決方案 SDDC 與內部部署環境之間的連線。 在此案例中，每個 SDDC ExpressRoute 線路和內部部署 ExpressRoute 線路彼此連線。 SDDC ExpressRoute 線路透過 Global Reach 連線學習的內部部署路由是無法傳輸的。 即使您已 Azure VMware 解決方案 SDDC 對 SDDC 連線，路由也不會跨租使用者公告。

SDDC 對內部部署連線與跨租使用者 SDDC 對 SDDC 連線共存。 在這類設定中，一個 SDDC ExpressRoute 線路會透過 Global Reach 連線學習內部部署路由，並透過 SDDC 對 SDDC 連線學習跨租使用者虛擬 WAN 路由。 跨租使用者虛擬 WAN 或 SDDC 不得透過其他方式公告內部部署前置詞，例如靜態路由或 VPN 連線。 如果發生這種情況，SDDC ExpressRoute 會學習內部部署環境的重複路由，這會建立路由迴圈並中斷連線。

如果內部部署環境有多個 ExpressRoute 線路以供備援，請使用前面加上的公用 AS 路徑，偏好使用一個線路而不是另一個線路。

注意

SDDC 對內部部署連線與 Azure 對內部部署連線共存。 您可以使用虛擬 WAN 中的 ExpressRoute 閘道來與 SDDC ExpressRoute 線路和內部部署 ExpressRoute 線路連線。 但此連線並非可轉移。

Azure 對 Azure 連線能力

直接和間接虛擬網路必須在相同的 Azure 租使用者和 Azure 租使用者中彼此通訊。 使用下列方法來建立連線。

在相同的租使用者內建立連線

• 透過虛擬 WAN 虛擬網路連線彼此連線直接輪輻。

• 透過虛擬網路對等互連將直接輪輻與間接輪輻連線。

• 透過虛擬網路對等互連連接間接輪輻與直接輪輻。

• 透過虛擬網路對等互連與直接輪輻和與直接輪輻建立關聯的 UDR，彼此連接間接輪輻。 UDR 具有間接輪輻前置詞作為目的地網路，而直接輪輻中的 NVA 則為下一個躍點。 在直接輪輻中設定 NVA，以透過其網路適配器 （NIC） 轉送流量。

跨租使用者建立連線

• 透過全域虛擬網路對等互連，將直接輪輻與跨租使用者直接輪輻連線。

• 透過與直接輪輻相關聯的直接輪輻與 UDR 之間的全域虛擬網路對等互連，將直接輪輻與跨租使用者間接輪輻聯機。 UDR 具有跨租使用者間接輪輻前置詞作為目的地網路，而跨租使用者直接輪輻中的 NVA 會作為下一個躍點。

• 透過直接輪輻虛擬網路之間的全域虛擬網路對等互連，將間接輪輻與跨租使用者直接輪輻聯機到您與直接輪輻虛擬網路相關聯的 UDR。 UDR 有一個跨租使用者直接輪輻前置詞作為目的地網路，而 NVA 在其本身的直接輪輻中作為下一個躍點。

• 透過直接輪輻虛擬網路之間的全域虛擬網路對等互連，將間接輪輻與跨租使用者間接輪輻聯機到您與直接輪輻虛擬網路相關聯的 UDR。 UDR 有一個跨租使用者間接輪輻前置詞作為目的地網路，而 NVA 在其本身的直接輪輻中作為下一個躍點。

Azure 對內部部署連線能力

使用內部部署 ExpressRoute 線路和虛擬 WAN 的 ExpressRoute 閘道來建立 Azure 對內部部署連線能力。 Azure VMware 解決方案 SDDC ExpressRoute 與相同內部部署 ExpressRoute 閘道之間的連線是無法傳輸的。 透過全域虛擬網路對等互連的直接輪輻虛擬網路與虛擬 WAN 之間的連線也是無法傳輸的。 連接到虛擬 WAN 的間接輪輻必須有 UDR，其內部部署前置詞做為目的地網路，以及以直接輪輻執行為下一個躍點的 NVA。

案例詳細資料

本文會檢查下列案例。 您可以針對跨租使用者移轉或工作負載存取目的套用這些案例。

• 跨租使用者 Azure VMware 解決方案 SDDC 對 SDDC 網路連線能力
• 跨租使用者 Azure 對 Azure 連線能力
• Azure VMware 解決方案 SDDC 與 Azure 虛擬網路之間的跨租用戶網路存取
• Azure VMware 解決方案 SDDC 與內部部署環境之間的跨租用戶網路存取
• 透過在連線至虛擬 WAN 的虛擬網路中執行的 NVA 進行跨租用戶網路流量檢查和控制

在跨租用戶環境中，Azure VMware 解決方案 SDDC、其相關聯的 Azure ExpressRoute 線路和虛擬 WAN 可以建立具有挑戰性的移轉或工作負載存取體驗。 與 Azure VMware 解決方案 SDDC 相關聯的 ExpressRoute 線路會與 SDDC 以及虛擬 WAN ExpressRoute 網關聯機。 ExpressRoute 線路會瞭解 Azure VMware 解決方案 SDDC 和虛擬 WAN 公告的路由。 ExpressRoute 線路會將租用戶之間的路由通告至連線至線路的其他 Azure VMware 解決方案 SDDC 和虛擬 WAN。 請仔細規劃您的設定，以避免虛擬 WAN、SDDC ExpressRoute 線路和虛擬 WAN ExpressRoute 網關之間的循環路由傳播。

潛在使用案例

請考慮下列可能受益於此架構的案例：

• 跨國公司在不同的Microsoft Entra 租使用者中 Azure VMware 解決方案 SDDC。

• 企業會經歷分拆或撤資程式，這會導致具有個別Microsoft Entra 租使用者的個別商務實體。 每個個別的商務實體都需要存取一般內部部署環境，而且需要跨租使用者存取 Azure VMware 解決方案 SDDC 和其他 Azure 資源。

• 兩個不同的企業有自己的個別Microsoft Entra 租使用者，但仍需要跨租使用者存取 Azure VMware 解決方案 DC 和 Azure 中執行的工作負載。

下一步

• Azure VMware 解決方案網路設計指南
• 網路規劃檢查清單

相關資源

• 準備 Azure VMware 解決方案 的連線能力