إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة اعتبارات التصميم الرئيسية للسحب الخاصة Azure VMware Solution Generation 2 (Gen 2). وهو يشرح القدرات التي يجلبها هذا الجيل إلى بيئات السحابة الخاصة المستندة إلى VMware، ما يتيح الوصول إلى تطبيقاتك من كل من البنية الأساسية المحلية والموارد المستندة إلى Azure. هناك العديد من الاعتبارات التي يجب مراجعتها قبل إعداد سحابة Azure VMware Solution Gen 2 الخاصة. توفر هذه المقالة حلولا لحالات الاستخدام التي قد تواجهها عند استخدام نوع السحابة الخاصة.
Note
يتوفر الجيل 2 في مناطق Azure العامة المحددة. اتصل بفريق حساب Microsoft أو دعم Microsoft لتأكيد التغطية.
القيود
الوظائف التالية محدودة خلال هذا الوقت. سيتم رفع هذه القيود في المستقبل:
لا يمكنك حذف مجموعة الموارد الخاصة بك، التي تحتوي على السحابة الخاصة بك. يجب حذف السحابة الخاصة أولا قبل حذف مجموعة الموارد.
يمكنك فقط نشر سحابة خاصة واحدة لكل شبكة Azure الظاهرية.
يمكنك إنشاء سحابة خاصة واحدة فقط لكل مجموعة موارد. السحب الخاصة المتعددة في مجموعة موارد واحدة غير مدعومة.
يجب أن تكون السحابة الخاصة والشبكة الظاهرية للسحابة الخاصة بك في نفس مجموعة الموارد.
لا يمكنك نقل السحابة الخاصة بك من مجموعة موارد إلى أخرى بعد إنشاء السحابة الخاصة.
لا يمكنك نقل السحابة الخاصة بك من مستأجر إلى آخر بعد إنشاء السحابة الخاصة.
الاتصال المباشر لنقاط نهاية الخدمة من أحمال عمل Azure VMware Solution غير مدعوم.
عند الارتباط العالمي ب Azure VMware Solution لا يتم دعم نقاط النهاية الخاصة.
يتم دعم vCloud Director باستخدام نقاط النهاية الخاصة. ومع ذلك، لا يتم دعم vCloud Director الذي يستخدم نقاط النهاية العامة.
المجموعات الممتدة vSAN غير مدعومة.
لن يتم دعم عنوان IP العام وصولا إلى VMware NSX Microsoft Edge لتكوين الإنترنت. يمكنك العثور على خيارات الإنترنت المدعومة في خيارات الاتصال بالإنترنت.
أثناء الصيانة غير المخطط لها - مثل فشل الأجهزة المضيفة - على أي من المضيفين الأربعة الأوائل في SDDC الخاص بك ، قد تواجه انقطاعا مؤقتا في اتصال الشبكة North-South لبعض أحمال العمل ، يستمر حتى 30 ثانية. تشير North-South الاتصال إلى حركة المرور بين أحمال عمل AVS VMware الخاصة بك ونقاط النهاية الخارجية خارج حافة المستوى 0 (T0) NSX-T، مثل خدمات Azure أو البيئات المحلية.
يجب إنشاء مجموعات أمان الشبكة المقترنة بالشبكة الظاهرية لمضيف السحابة الخاصة في نفس مجموعة الموارد مثل السحابة الخاصة وشبكتها الظاهرية.
لا يتم دعم مراجع مجموعة الموارد والاشتراك المتبادل من الشبكات الظاهرية للعملاء إلى الشبكة الظاهرية Azure VMware Solution بشكل افتراضي. يتضمن ذلك أنواع الموارد مثل: المسارات المعرفة من قبل المستخدم (UDRs) وخطط حماية DDoS وموارد الشبكات الأخرى المرتبطة. إذا كانت الشبكة الظاهرية للعميل مقترنة بأحد هذه المراجع الموجودة في مجموعة موارد أو اشتراك مختلف عن الشبكة الظاهرية Azure VMware Solution، فقد تفشل برمجة الشبكة (مثل نشر مقطع NSX). لتجنب المشكلات، يجب على العملاء التأكد من أن الشبكة الظاهرية Azure VMware Solution غير مرتبطة بالموارد في مجموعة موارد أو اشتراك مختلف وفصل هذه الموارد (على سبيل المثال، خطط الحماية من DDoS) عن الشبكة الظاهرية قبل المتابعة.
- للحفاظ على مرجع المجموعة عبر الموارد، قم بإنشاء تعيين دور من مجموعة الموارد أو الاشتراك عبر الموارد وامنح "تطبيق AzS VIS Prod" "دور AVS على Fleet VIS". يسمح لك تعيين الدور باستخدام المرجع وتطبيق مرجعك بشكل صحيح على سحابة Azure VMware Solution الخاصة.
قد تفشل عمليات توزيع السحابة الخاصة من Gen 2 إذا كانت نهج Azure التي تفرض قواعد صارمة لمجموعات أمان الشبكة أو جداول التوجيه (على سبيل المثال، اصطلاحات التسمية المحددة). يمكن أن تحظر قيود النهج هذه مجموعة أمان شبكة Azure VMware Solution المطلوبة وإنشاء جدول التوجيه أثناء التوزيع. يجب إزالة هذه النهج من الشبكة الظاهرية Azure VMware Solution قبل نشر السحابة الخاصة بك. بمجرد نشر السحابة الخاصة بك، يمكن إضافة هذه النهج مرة أخرى إلى سحابة Azure VMware Solution الخاصة.
إذا كنت تستخدم DNS الخاص لسحابة Azure VMware Solution Gen 2 الخاصة، فإن استخدام DNS المخصص على الشبكة الظاهرية حيث يتم نشر سحابة Azure VMware Solution Gen 2 الخاصة غير مدعوم. يكسر DNS المخصص عمليات دورة الحياة مثل التحجيم والترقيات والتصحيح.
إذا كنت تقوم بحذف السحابة الخاصة بك ولم تتم إزالة بعض الموارد التي تم إنشاؤها بواسطة Azure VMware Solution، فيمكنك إعادة محاولة حذف السحابة الخاصة ل Azure VMware Solution باستخدام Azure CLI.
يستخدم Azure VMware Solution Gen 2 وكيل HTTP للتمييز بين نسبة استخدام الشبكة للعميل والإدارة. قد لا تتبع بعض نقاط نهاية خدمة VMware السحابية نفس مسار الشبكة أو قواعد الوكيل مثل نسبة استخدام الشبكة العامة المدارة بواسطة vCenter. تشمل الأمثلة: "scapi.vmware" و "apigw.vmware". يتحكم وكيل VAMI في الوصول العام إلى الإنترنت الصادر لجهاز خادم vCenter (VCSA)، ولكن لا تتدفق جميع تفاعلات نقطة نهاية الخدمة عبر هذا الوكيل. تنشأ بعض التفاعلات مباشرة من متصفح المستخدم أو من مكونات التكامل، والتي تتبع بدلا من ذلك إعدادات وكيل محطة العمل أو تبدأ الاتصالات بشكل مستقل. ونتيجة لذلك، قد تتجاوز نسبة استخدام الشبكة إلى نقاط نهاية الخدمة السحابية ل VMware وكيل VCSA تماما.
يمكن أن تشهد ترحيلات HCX RAV وBulk في الجيل الثاني أداء أبطأ بكثير بسبب التوقف خلال مراحل Base Sync وOnline Sync. يجب على العملاء التخطيط لفترات ترحيل أطول وجدولة الموجات وفقا لذلك في الوقت الحالي. بالنسبة لأحمال العمل المناسبة، يقدم vMotion خيارا أسرع ومنخفض الحمل عندما تسمح ظروف المضيف والشبكة بذلك.
عمليات التكامل غير المدعومة
لا تتوفر عمليات الدمج التالية للطرف الأول والطرف الثالث:
- زيرت دي آر
الشبكات الفرعية المفوضة ومجموعات أمان الشبكة للجيل 2
عند نشر سحابة Azure VMware Solution (AVS) Gen 2 الخاصة، يقوم Azure تلقائيا بإنشاء العديد من الشبكات الفرعية المفوضة داخل الشبكة الظاهرية المضيفة للسحابة الخاصة. تستخدم هذه الشبكات الفرعية لعزل مكونات إدارة السحابة الخاصة وحمايتها.
يمكن للعملاء إدارة الوصول إلى هذه الشبكات الفرعية باستخدام مجموعات أمان الشبكة (NSGs) المرئية في مدخل Microsoft Azure أو من خلال Azure CLI/PowerShell. بالإضافة إلى مجموعات أمان الشبكة التي يمكن للإدارة من قبل العميل، تطبق AVS مجموعات أمان الشبكة الإضافية المدارة من قبل النظام على واجهات الإدارة الهامة. مجموعات أمان الشبكة المدارة من قبل النظام غير مرئية أو قابلة للتحرير من قبل العملاء وموجودة لضمان بقاء السحابة الخاصة آمنة بشكل افتراضي.
كجزء من وضع الأمان الافتراضي:
- يتم تعطيل الوصول إلى الإنترنت للسحابة الخاصة ما لم يقوم العميل بتمكينها صراحة.
- يسمح فقط بحركة مرور الإدارة المطلوبة للوصول إلى خدمات النظام الأساسي.
Note
قد ترى تحذيرا في مدخل Microsoft Azure يشير إلى أن منافذ معينة تبدو وكأنها مكشوفة للإنترنت. يحدث هذا لأن المدخل يقوم فقط بتقييم تكوين مجموعة أمان الشبكة (NSG) المرئية للعميل. ومع ذلك، يطبق Azure VMware Solution أيضا مجموعات أمان شبكة إضافية مدارة من قبل النظام غير مرئية في المدخل. تحظر مجموعات أمان الشبكة المدارة من قبل النظام نسبة استخدام الشبكة الواردة ما لم يتم تمكين الوصول بشكل صريح من خلال تكوين Azure VMware Solution.
يضمن هذا التصميم أن بيئة AVS معزولة وآمنة خارج الصندوق ، مع السماح للعملاء بالتحكم في الوصول إلى الشبكة وتخصيصه بناء على متطلباتهم الخاصة.
اعتبارات التوجيه والشبكة الفرعية
توفر السحب الخاصة Azure VMware Solution Gen 2 بيئة سحابية خاصة ل VMware يمكن للمستخدمين والتطبيقات الوصول إليها من البيئات أو الموارد المحلية والمستندة إلى Azure. يتم تسليم الاتصال من خلال شبكة Azure القياسية. مطلوب نطاقات عناوين شبكة اتصال محددة ومنافذ جدار الحماية لتمكين هذه الخدمات. يساعدك هذا القسم على تكوين شبكتك للعمل مع Azure VMware Solution.
تتصل السحابة الخاصة بشبكة Azure الظاهرية باستخدام شبكات Azure القياسية. تتطلب السحب الخاصة Azure VMware Solution Gen 2 كتلة عنوان شبكة CIDR /22 كحد أدنى للشبكات الفرعية. تكمل هذه الشبكة الشبكات المحلية، لذلك يجب ألا تتداخل كتلة العنوان مع كتل العناوين المستخدمة في الشبكات الظاهرية الأخرى في اشتراكك والشبكات المحلية. يتم توفير شبكات الإدارة وvMotion والنسخ المتماثل تلقائيا داخل كتلة العناوين هذه كشبكات فرعية داخل شبكتك الظاهرية.
Note
النطاقات المسموح بها لعنوان كتلة العنوان هي مساحات العناوين الخاصة RFC 1918 (10.0.0.0/8، 172.16.0.0/12، 192.168.0.0/16)، باستثناء 172.17.0.0/16. لا تنطبق شبكة النسخ المتماثل على عقد AV64 ومن المخطط إهمالها بشكل عام في تاريخ مستقبلي.
تجنب استخدام مخطط IP التالي المحجوز لاستخدام VMware NSX:
- 169.254.0.0/24 - يستخدم لشبكة النقل الداخلي
- 169.254.2.0/23 - يستخدم لشبكة النقل العابر بين VRF
- 100.64.0.0/16 - يستخدم لتوصيل بوابات T1 وT0 داخليا
- 100.73.x.x – تستخدمه شبكة إدارة Microsoft
مثال /22 يتم تقسيم كتلة عنوان شبكة CIDR 10.31.0.0/22 إلى الشبكات الفرعية التالية:
| استخدام الشبكة | Subnet | Description | Example |
|---|---|---|---|
| شبكة VMware NSX | /27 | شبكة NSX Manager. | 10.31.0.0/27 |
| شبكة vCSA | /27 | شبكة خادم vCenter. | 10.31.0.32/27 |
| AVS-MGMT | /27 | توجد أجهزة الإدارة (خادم vCenter ومدير NSX) خلف الشبكة الفرعية "avs-mgmt"، المبرمجية كنطاقات IP ثانوية على هذه الشبكة الفرعية. | 10.31.0.64/27 |
| مزامنة AVS-VNet | /27 | يستخدمه Azure VMware Solution Gen 2 لبرمجة المسارات التي تم إنشاؤها في VMware NSX في الشبكة الظاهرية. | 10.31.0.96/27 |
| AVS-Services | /27 | يستخدم لخدمات موفر Azure VMware Solution Gen 2. يستخدم أيضا لتكوين دقة DNS الخاصة للسحابة الخاصة بك. | 10.31.0.160/27 |
| AVS-NSX-GW, AVS-NSX-GW-1 | /28 | الشبكات الفرعية خارج كل بوابات T0 لكل حافة. يتم استخدام هذه الشبكات الفرعية لبرمجة مقاطع شبكة VMware NSX كعناوين IP ثانوية. | 10.31.0.224/28, 10.31.0.240/28 |
| ESX-MGMT-VMK1 | /24 | vmk1 هي واجهة الإدارة التي يستخدمها العملاء للوصول إلى المضيف. تأتي عناوين IP من واجهة vmk1 من هذه الشبكات الفرعية. تأتي جميع حركة مرور vmk1 لجميع المضيفين من نطاق الشبكة الفرعية هذا. | 10.31.1.0/24 |
| esx-vmotion-vmk2 | /24 | واجهات vMotion VMkernel. | 10.31.2.0/24 |
| esx-vsan-vmk3 | /24 | واجهات vSAN VMkernel واتصال العقدة. | 10.31.3.0/24 |
| شبكة VMware HCX | /22 | شبكة VMware HCX | 10.31.4.0/22 |
| Reserved | /27 | مساحة محجوزة. | 10.31.0.128/27 |
| Reserved | /27 | مساحة محجوزة. | 10.31.0.192/27 |
Note
بالنسبة لنشر Azure VMware Solution Gen 2، يجب على العملاء الآن تخصيص شبكة فرعية إضافية /22 لإدارة HCX والاتصال، بالإضافة إلى /22 التي تم إدخالها أثناء نشر SDDC. هذا ال/22 الإضافي غير مطلوب للجيل الأول.
الخطوات التالية
ابدأ بتكوين كيان خدمة Azure VMware Solution كشرط أساسي. لمعرفة كيفية إجراء ذلك، راجع التشغيل السريع لتمكين كيان خدمة Azure VMware Solution .
اتبع البرنامج التعليمي لإنشاء سحابة خاصة Azure VMware Gen 2