規劃 Azure VMware 解決方案部署的網路拓撲
Azure VMware 解決方案提供私人雲端環境,您可從內部部署和 Azure 環境或資源進行存取。 Azure VMware 解決方案部署的下一個步驟牽涉到規劃網路拓撲。
Azure 中的 Azure VMware 解決方案環境必須將網路流量傳遞至 Azure 服務和內部部署 VMware 環境。 專用 Azure ExpressRoute 線路可讓您從 Azure VMware 解決方案連線到 Azure 資源和服務。 客戶提供的個別 Azure ExpressRoute 線路則可讓您連線到內部部署 VMware 環境。 若要完成網路連線,必須啟用特定 IP 位址範圍和防火牆連接埠。 部署 Azure VMware 解決方案之後,系統會針對下列 vSphere 元件建立私人網路:
- 管理
- 佈建
- VMware VMotion
您使用這些私人網路存取 vCenter Server、NSX Manager 和 vMotion。
IP 區段
在 Azure VMware 解決方案私人雲端部署之前,必須先規劃 IP 定址。 此服務需要您所提供的 /22 CIDR 網路位址區塊。 Azure VMware 解決方案的管理元件需要 /22 CIDR。 部署虛擬機器 (VM) 的工作負載區段將會有不同的 IP 位址範圍。 您可以在 NSX Manager 內建立網路區段來執行此動作。
管理 CIDR 會自動刻在較小的區段中。 那些 IP 區段可用於 vCenter Server、VMware HCX、NSX 和 VMware VMotion。 Azure VMware 解決方案、您現有的 Azure 環境及內部部署環境需要交換路由,以將 VM 移轉到 Azure。 您定義的 /22 CIDR 網路位址區塊,不得與內部部署或 Azure 中已設定的網路位址區塊重疊。
您必須建置 VM IP 區段,才能在 Azure VMware 解決方案私人雲端中建立第一個 NSX 區段。 VM IP 區段可讓您將 VM 部署到 Azure VMware 解決方案。 您可以使用 VMWare HCX 層 2 網路延伸模組,選擇性地將網路區段從內部部署 VMware 環境延伸到 Azure VMware 解決方案。 內部部署網路必須連線到 vSphere Distributed Switch (vDS),因為無法使用 VMWare HCX 延伸 vSphere Standard Switch。
範例子網路明細
下表示範如何將 /22 CIDR 網路位址區塊切割成不同的 IP 區段 (此範例為 10.5.0.0/22):
| 網路使用量 | 子網路 | 範例 |
|---|---|---|
| 私人雲端管理 | /26 | 10.5.0.0/26 |
| HCX 移轉 | /26 | 10.5.0.64/26 |
| Global Reach 保留 | /26 | 10.5.0.128/26 |
| ExpressRoute 保留 | /27 | 10.5.0.192/27 |
| ExpressRoute 對等互連 | /27 | 10.5.0.224/27 |
| ESXi 管理 | /25 | 10.5.1.0/25 |
| vMotion 網路 | /25 | 10.5.1.128/25 |
| 複寫網路 | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| HCX 上行鏈路 | /26 | 10.5.3.0/26 |
| 已保留 | 3 個 /26 區塊 | 10.5.3.64/26、10.5.3.128/26、10.5.3.192/26 |
Azure VMware 解決方案網路連線能力
部署 Azure VMware 解決方案之後,建立網路連線是成功部署的下一個步驟。
Azure VMware 解決方案私人雲端部署在專屬指派給單一客戶的專用裸機伺服器上。 若要使用 Azure 資源,這些伺服器必須連線到 Azure 網路骨幹。 Azure VMware 解決方案提供 Azure ExpressRoute 線路,可允許 Azure VMware 解決方案私人雲端與 Azure 服務之間的通訊。 若要透過 ExpressRoute 與內部部署環境連線,您可以將 ExpressRoute Global Reach 設定為現有的 ExpressRoute 線路。
ExpressRoute 和路由需求
Azure VMware 解決方案有下列兩種類型的互連能力:
- 僅限 Azure 的基本互連能力:Azure VMware 解決方案使用與資源一起部署的 ExpressRoute 連線,連線到 Azure 虛擬網路。 Azure VMware 解決方案提供的 ExpressRoute 線路會為其他 Azure 服務 (例如 Azure 監視器和適用於雲端的 Microsoft Defender),建立與 Azure VMware 解決方案私人雲端的連線。
- 完整內部部署至私人雲端互連能力:此連線模型延伸了基本互連能力的實作,以包含內部部署與 Azure VMware 解決方案私人雲端之間的互連能力。 您可以透過客戶提供的 ExpressRoute 線路,以及其他方法來設定此連線。 您可以使用現有的線路,或購買新的線路。
ExpressRoute Global Reach 可作為 Azure VMware 解決方案中混合式連線的預設選擇。 不過,在某些情況下,Global Reach 可能無法適用:其無法在您的區域中使用,或 Global Reach 無法符合特定網路或安全性的要求。 在這種情況下,您可以考慮透過 ExpressRoute 私人對等互連或使用 IPSec VPN 傳輸資料。
客戶提供的 ExpressRoute 線路不是 Azure VMware 解決方案私人雲端部署的一部分。
ExpressRoute Global Reach 的必要條件
設定 ExpressRoute Global Reach 之前,有幾個必要條件。
- 需要客戶提供的個別 ExpressRoute 線路。 此線路可用來將內部部署環境連線到 Azure。
- 所有閘道 (包括 ExpressRoute 提供者的服務) 都必須支援 4 位元組的自發系統編號 (ASN)。 Azure VMware 解決方案使用 4 位元組公用 ASN 公告網路路由。
必要的網路連接埠
如果內部部署網路基礎結構受到限制,則必須允許下列連接埠:
| 來源 | Destination | 通訊協定 | 連接埠 |
|---|---|---|---|
| Azure VMware 解決方案私人雲端 DNS 伺服器 | 內部部署 DNS 伺服器 | UDP | 53 |
| 內部部署 DNS 伺服器 | Azure VMware 解決方案 DNS 伺服器 | UDP | 53 |
| 內部部署網路 | Azure VMware 解決方案 vCenter Server | TCP (HTTP/HTTPS) | 80、443 |
| Azure VMware 解決方案私人雲端管理網路 | 內部部署 Active Directory | TCP | 389/636 |
| Azure VMware 解決方案私人雲端管理網路 | 內部部署 Active Directory 通用類別目錄 | TCP | 3268/3269 |
| 內部部署網路 | HCX 雲端管理員 | TCP (HTTPS) | 9443 |
| 內部部署管理員網路 | HCX 雲端管理員 | SSH | 22 |
| HCX 管理員 | 互連 (HCX-IX) | TCP (HTTPS) | 8123 |
| HCX 管理員 | 互連 (HCX-IX),網路延伸模組 (HCX-NE) | TCP (HTTPS) | 9443 |
| 互連 (HCX-IX) | 第 2 層連線能力 | TCP (HTTPS) | 443 |
| HCX 管理員,互連 (HCX-IX) | ESXi 主機 | TCP | 80, 443, 902 |
| 來源的互連 (HCX-IX),網路延伸模組 (HCX-NE) | 目的地的互連 (HCX-IX),網路延伸模組 (HCX-NE) | UDP | 4500 |
| 內部部署互連 (HCX-IX) | 雲端互連 (HCX-IX) | UDP | 500 |
| 內部部署 vCenter Server 網路 | Azure VMware 解決方案管理網路 | TCP | 8000 |
| HCX 連接器 | connector.hcx.vmware.com hybridity.depot.vmware.com | TCP | 443 |
DHCP 和 DNS 解析考量事項
在 Azure VMware 解決方案中執行的虛擬機器 (VM) 需要名稱解析。 VM 可能也需要 DHCP 服務才能進行查閱和 IP 位址指派。 您可以設定內部部署 VM 或 Azure VM 以協助進行名稱解析。 您可以使用內建於 NSX 的 DHCP 服務,也可以選擇在 Azure VMware 解決方案私人雲端中使用本機 DHCP 伺服器。 在 Azure VMware 解決方案中設定 DHCP 不需要透過 WAN 將 DHCP 流量廣播路由傳送回內部部署環境。
在下一個單元中,我們將完成 Azure VMware 解決方案的部署。 我們將概述所有步驟,讓您可以在自己的環境中部署該服務。