設定 NSX 網路元件

  • 10 分鐘

Azure VMware 解決方案會隨著 NSX Manager 部署作為軟體定義網路層。 此網路環境包含兩個閘道:

  • 在主動-主動模式下設定的 NSX 第 0 層閘道
  • 在主動-待命模式下設定的 NSX 第 1 層閘道

這兩個閘道允許邏輯交換器區段之間的連線。 這些閘道也提供內部 (East-West) 和對外 (North-South) 連線能力。

設定 NSX Manager 元件

部署 Azure VMware 解決方案之後,Azure 入口網站中的 [工作負載網路] 下會設定 NSX 元件。 入口網站為 VMware 系統管理員提供 NSX 作業的簡化檢視,並專為不熟悉 NSX Manager 的使用者設計。 如果您熟悉 NSX Manager,則可以使用它來設定進階網路設定和功能。

您有四個選項可使用 Azure 入口網站來設定 NSX 元件:

  • 區段:建立在 NSX Manager 和 vCenter Server 中顯示的網路區段。
  • DHCP:如果您使用 DHCP,請建立 DHCP 伺服器或 DHCP 轉送。
  • 連接埠鏡像:設定連接埠鏡像,以協助針對網路問題進行疑難排解。
  • DNS:建立 DNS 轉寄站,以將 DNS 要求傳送至 DNS 伺服器進行解析。

Azure 入口網站的螢幕擷取畫面,其中顯示設定區段、DHCP、連接埠鏡像和 DNS 等 NSX Manager 選項的位置。

在 Azure 入口網站中建立 NSX 網路區段

在 Azure VMware 解決方案中建立或移轉到 AVS 的虛擬機器 (VM) 應該連結至 NSX 網路區段。 您可以從 Azure 入口網站內的 Azure VMware 解決方案主控台建立 NSX 區段。 這些 NSX 網路區段會連線到預設的第 1 層閘道。 這些區段上的工作負載會具有內部和對外連線能力。 建立區段之後,該區段會顯示在 NSX Manager 和 vCenter Server 中。

  1. 在 Azure 入口網站中,選取 Azure VMware 解決方案私人雲端。

  2. 在 [工作負載網路] 下,選取 [區段] > [+新增]

    Azure 入口網站的螢幕擷取畫面,其中顯示如何新增 NSX Manager 網路區段。

  3. 提供新邏輯網路區段的詳細資料:

    Azure 入口網站的螢幕擷取畫面,其中顯示提供網路區段詳細資料的位置。

    欄位
    區段名稱 顯示在 vCenter Server 中的邏輯交換器名稱。
    連線的閘道 此閘道預設已選取,而且是唯讀的。
    T1 NSX Manager 中的第 1 層閘道名稱。 建立的區段只會連線到預設的第 1 層閘道。 這些區段的工作負載會具有內部和對外連線能力。 只能使用 NSX Manager 建立更多第 1 層閘道。 在 NSX Manager 中建立的第 1 層閘道不會顯示在 Azure VMware 解決方案主控台中。
    類型 Azure VMware 解決方案所支援的重疊網路區段。
    子網路閘道 邏輯交換器子網路的閘道 IP 位址,具有子網路遮罩。 VM 會連結至邏輯交換器,而且所有連線到此交換器的 VM 都會屬於同一個子網路。 此外,所有連結至此邏輯網路區段的 VM 都必須帶有來自相同網路區段的 IP 位址。
    DHCP 範圍 (選擇性) 邏輯網路區段的 DHCP 範圍。 必須設定 DHCP 伺服器或 DHCP 轉送,以在邏輯網路區段上使用 DHCP。

  4. 選取 [確定] 以建立邏輯網路區段,並將其連結至第 1 層閘道。 此區段現在會顯示在 Azure VMware 解決方案、NSX Manager 和 vCenter Server 中。

在 NSX 中建立 NSX 網路區段

同樣地,您可以從 NSX 主控台建立 NSX 區段。 這些 NSX 網路區段會連線到預設的第 1 層閘道。 這些區段上的工作負載會具有內部和對外連線能力。

從 Jumpbox VM,連線到 NSX Manager。 在 [管理] > [VMware 認證] 底下取得認證。

  1. 在 NSX Manager 中,選取 [網路] > [區段],然後選取 [新增區段]

    如何在 NSX Manager 中新增區段的螢幕擷取畫面。

  2. 提供新邏輯網路區段的詳細資料,然後選取 [儲存]

    如何在 NSX Manager 中新增新區段詳細資料的螢幕擷取畫面。

欄位
區段名稱 顯示在 vCenter Server 中的邏輯交換器名稱。
連線的閘道 NSX Manager 中的第 1 層閘道名稱。 建立的區段只會連線到預設的第 1 層閘道。 這些區段的工作負載會具有內部和對外連線能力。 可使用 NSX Manager 建立更多第 1 層閘道。 在 NSX Manager 中建立的第 1 層閘道不會顯示在 Azure VMware 解決方案主控台中。
傳輸區域 預先設定的覆疊傳輸區域名稱 (TNTxx-OVERLAY-TZ)。
子網路 子網路的 IP 位址範圍,CIDR 格式。 該 IP 位址必須位於非重疊的 RFC1918 位址區塊上,以確保可以連線到新區段上的 VM。

在 Azure 入口網站中建立 DHCP 伺服器或 DHCP 轉送

在私人雲端環境中執行的應用程式和工作負載需要名稱解析和 DHCP 服務,才能進行查閱和 IP 位址指派。 您可以使用內建至 NSX 的 DHCP 服務,或使用私人雲端中的本機 DHCP 伺服器。

您可以直接從 Azure 入口網站內的 Azure VMware 解決方案主控台設定 DHCP 伺服器或轉送。 DHCP 伺服器或轉送會連線到部署 Azure VMware 解決方案時所建立的第 1 層閘道。 提供 DHCP 範圍的所有區段都會屬於 NSX 的 DHCP 元件。 建立 DHCP 伺服器或 DHCP 轉送之後,您必須在 NSX 區段上定義子網路或範圍,以使用 DHCP 服務:

  1. 在 Azure VMware 解決方案私人雲端的 [工作負載網路] 下,選取 [DHCP] > [+新增]

  2. 選取 [DHCP 伺服器] 或 [DHCP 轉送]

  3. 提供伺服器或轉送的名稱,並提供三個 IP 位址。 若為 DHCP 轉送,則只需要一個 IP 位址。

    Azure 入口網站的螢幕擷取畫面,其中顯示如何將 DHCP 伺服器或 DHCP 轉送新增至 Azure VMware 解決方案私人雲端。

  4. 在邏輯區段上提供 DHCP 範圍 (如先前所設定) 以完成 DHCP 設定,然後選取 [確定]

在入口網站中設定連接埠鏡像

您可以設定連接埠鏡像監視網路流量。 連接埠鏡像需要將每個網路封包的複本從一個網路交換器連接埠轉寄到另一個。 連接埠鏡像會在接收所有鏡像資料的連接埠上放置通訊協定分析器。 連接埠鏡像會分析來自來源 (一部虛擬機器 (VM) 或一組 VM) 的流量,然後將流量傳送至目的地。 請注意,此選項應僅針對短期疑難排解啟用。

若要在 Azure VMware 解決方案主控台中設定連接埠鏡像,您必須先建立來源和目的地 VM 或 VM 群組。 來源群組具有一或多部要鏡像網路流量的 VM。

  1. 在 Azure VMware 解決方案私人雲端的 [工作負載網路] 下,選取 [連接埠鏡像] > [VM 群組] > [+新增]

  2. 為來源 VM 群組命名、選取 VM,然後選取 [確定]

  3. 重複上述步驟以建立目的地 VM 群組。

    Azure 入口網站的螢幕擷取畫面,其中顯示設定目的地 VM 或 VM 群組相關連接埠鏡像的位置。

接下來,定義來源和目的地 VM 群組的流量方向,以建立連接埠鏡像設定檔。

  1. 確定已建立來源和目的地 VM 群組。

  2. 選取 [連接埠鏡像]>[新增],然後提供下列值:

    Azure 入口網站的螢幕擷取畫面,其中顯示如何新增連接埠鏡像設定檔。

    欄位
    連接埠鏡像名稱 提供設定檔的名稱。
    方向 選取 [輸入]、[輸出] 或 [雙向]
    來源 選取來源 VM 群組。
    目的地 選取目的地 VM 群組。

  3. 選取 [確定] 以完成設定檔。 設定檔和 VM 群組現在會顯示在 Azure VMware 解決方案主控台中。

在 Azure 入口網站中設定 DNS 轉寄站

現在您將設定 DNS 轉寄站。 特定 DNS 要求會轉寄至指定的 DNS 伺服器進行解析。 DNS 轉寄站會與預設 DNS 區域和最多三個 FQDN 區域建立關聯。

DNS 服務和預設 DNS 區域會隨著 Azure VMware 解決方案私人雲端部署的一部分提供。 預設區域會將名稱解析要求轉送至預設的 Cloudflare 公用 DNS 伺服器。 此 DNS 伺服器可協助進行公用名稱解析。

如果您需要從私人裝載的 DNS 伺服器進行名稱解析,請考慮為所需的網域名稱新增條件式轉送規則。 如此一來,您可以特別將該網域區域的 DNS 要求轉送至一組選取的私人 DNS 伺服器。 若要達到此需求,您必須定義 FQDN 區域。

設定其他轉寄站:

  1. 在 VMware 解決方案私人雲端的 [工作負載網路] 下,選取 [DNS] > [DNS 區域],然後選取 [+新增]

  2. 選取 [FQDN 區域],提供名稱,並以 10.0.0.53 格式提供最多三個 DNS 伺服器 IP 位址,然後選取 [確定]

    FQDN 區域的螢幕擷取畫面,其中顯示如何新增 DNS 伺服器 IP 位址。

  3. 新增 DNS 區域可能需要幾分鐘的時間才能完成,您可以從通知追蹤進度。 建立 DNS 區域時,您會在通知中看到訊息。

  4. 重複步驟 1-3 以新增另一個 FQDN 區域,包括任何適用的反向對應區域。

收到 DNS 查詢時,DNS 轉寄站會將查詢中的網域名稱與 FQDN DNS 區域中的網域名稱進行比較。 如果找到相符項目,則會將查詢轉寄至在 FQDN DNS 區域中指定的 DNS 伺服器。 如果找不到相符項目,則會將查詢轉寄至在預設 DNS 區域中指定的 DNS 伺服器。

確認內部部署 vSphere 網路與 Azure VMware 解決方案私人雲端的連線能力

您應該會看到 Azure ExpressRoute 線路連線到邊緣路由器中的 NSX 網路區段和 Azure VMware 解決方案管理區段。 每個環境各不相同。 您可能需要允許路由回傳至內部部署網路。

某些環境具有保護 ExpressRoute 線路的防火牆。 如果沒有防火牆,請嘗試從內部部署環境偵測 NSX 區段上的 Azure VMware 解決方案 vCenter Server 或 VM。 資源應該能夠從 NSX 區段上的 VM 連線到內部部署 vSphere 環境。

在 NSX 網路區段上新增 VM

部署 VM 以測試 Azure VMware 解決方案 vCenter Server 中的網路連線能力。 此 VM 可協助驗證網路連線能力:

  • 連入和連出網際網路。
  • 連入和連出 Azure 虛擬網路。
  • 連入和連出內部部署環境。

如同在任何 vSphere 環境中一樣部署 VM:

  • 將 VM 連結至先前在 NSX Manager 中建立的其中一個網路區段。
  • VM 可以接收來自 DHCP 伺服器的網路設定,或者您可以靜態進行網路設定。

測試 NSX 區段連線能力

登入在上一個步驟中建立的 VM,並確認連線能力:

  1. 偵測網際網路上的 IP。
  2. 在網頁瀏覽器中前往網際網路網站。
  3. 偵測位於 Azure 虛擬網路上的內部 VM。

如果每個測試都能運作,Azure VMware 解決方案現在已可運作。 完成這些步驟表示您已成功建立與 Azure 虛擬網路和網際網路的連線。