Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Při použití softwarově definovaného datacentra VMware (SDDC) s cloudovým ekosystémem Azure máte jedinečnou sadu aspektů návrhu, které je potřeba vzít v úvahu pro scénáře nativní pro cloud i hybridní scénáře. Tento článek obsahuje klíčové aspekty a osvědčené postupy pro sítě a možnosti připojení v rámci nasazení Azure a Azure VMware Solution .
Článek vychází z několika principů architektury cílových zón architektury Cloud Adoption Framework na podnikové úrovni a doporučení pro správu topologie sítě a připojení ve velkém měřítku. Tuto oblast návrhu cílové zóny Azure můžete použít pro klíčové platformy Azure VMware Solution. Oblasti návrhu zahrnují:
- Hybridní integrace pro připojení mezi místními, multicloudovými, hraničními a globálními uživateli. Další informace najdete v tématu Podpora hybridního a multicloudového prostředí na podnikové úrovni.
- Výkon a spolehlivost ve velkém měřítku pro škálovatelnost úloh a konzistentní prostředí s nízkou latencí Následující článek popisuje nasazení ve dvou regionech.
- Zabezpečení sítě založené na nulové důvěryhodnosti pro zabezpečení hraniční sítě a toku provozu. Další informace najdete v tématu Strategie zabezpečení sítě v Azure.
- Rozšiřitelnost pro snadné rozšíření síťové infrastruktury bez nutnosti přepracování návrhu.
Obecné aspekty návrhu a doporučení
Následující části obsahují obecné aspekty návrhu a doporučení pro topologii sítě Azure VMware Solution a možnosti připojení.
Hvězdicová topologie vs. topologie sítě virtuální WAN
Pokud nemáte připojení ExpressRoute z místního prostředí k Azure a místo toho používáte S2S VPN, můžete k přenosu připojení mezi místní sítí VPN a Azure VMware Solution ExpressRoute použít Virtual WAN. Pokud používáte hvězdicovou topologii, potřebujete Azure Route Server. Další informace najdete v tématu Podpora azure Route Serveru pro ExpressRoute a Azure VPN.
Privátní cloudy a klastry
Všechny clustery můžou komunikovat v privátním cloudu Azure VMware Solution, protože všechny sdílejí stejný adresní prostor /22.
Všechny clustery sdílejí stejná nastavení připojení, včetně internetu, ExpressRoute, HCX, veřejné IP adresy a ExpressRoute Global Reach. Úlohy aplikací můžou také sdílet některá základní nastavení sítě, jako jsou segmenty sítě, protokol DHCP (Dynamic Host Configuration Protocol) a nastavení DNS (Domain Name System).
Před nasazením navrhněte privátní cloudy a clustery předem. Počet privátních cloudů, které požadujete, má přímý vliv na požadavky na síť. Každý privátní cloud vyžaduje vlastní adresní prostor /22 pro správu privátního cloudu a segment IP adres pro úlohy virtuálních počítačů. Zvažte definování adresních prostorů předem.
Diskutujte s týmy VMware a síťovými týmy, jak segmentovat a distribuovat privátní cloudy, clustery a síťové segmenty pro úlohy. Naplánujte si dobře a vyhněte se plýtvání IP adresami.
Další informace o správě IP adres pro privátní cloudy najdete v tématu Definování segmentu IP adres pro správu privátního cloudu.
Další informace o správě IP adres pro úlohy virtuálních počítačů najdete v tématu Definování segmentu IP adres pro úlohy virtuálních počítačů.
DNS a DHCP
Pro protokol DHCP použijte službu DHCP integrovanou do datového centra NSX-T nebo použijte místní server DHCP v privátním cloudu. Nepřesměrovávejte provoz DHCP všesměrového vysílání přes síť WAN zpět do místních sítí.
V případě DNS máte v závislosti na scénáři, který používáte, a vašich požadavků několik možností:
- Pouze pro prostředí Azure VMware Solution můžete nasadit novou infrastrukturu DNS v privátním cloudu Azure VMware Solution.
- Pro Azure VMware Solution připojené k místnímu prostředí můžete použít existující infrastrukturu DNS. V případě potřeby nasaďte služby předávání DNS tak, aby se rozšířily do služby Azure Virtual Network nebo pokud možno do azure VMware Solution. Další informace najdete v tématu Přidání služby předávání DNS.
- Pro Azure VMware Solution připojené k místním prostředím a službám a službám Azure můžete použít existující servery DNS nebo služby pro předávání DNS ve virtuální síti centra, pokud jsou k dispozici. Stávající místní infrastrukturu DNS můžete rozšířit také na virtuální síť centra Azure. Podrobnosti najdete v diagramu cílových zón na podnikové úrovni.
Další informace najdete v následujících článcích:
- Důležité informace o překladu DHCP a DNS
- Konfigurace DHCP pro řešení Azure VMware
- Konfigurace DHCP v roztažených sítích VMware HCX V2
- Konfigurace služby předávání DNS na webu Azure Portal
internet
Mezi odchozí možnosti pro povolení internetu a filtrování a kontroly provozu patří:
- Virtuální síť Azure, síťové virtuální zařízení a Azure Route Server s využitím přístupu k internetu Azure
- Místní výchozí trasa využívající místní přístup k internetu.
- Zabezpečené centrum Virtual WAN pomocí služby Azure Firewall nebo síťového virtuálního zařízení s využitím přístupu k internetu Azure
Mezi příchozí možnosti doručování obsahu a aplikací patří:
- Azure Application Gateway s ukončením protokolu L7, ssl (Secure Sockets Layer) a firewallem webových aplikací.
- DNAT a nástroj pro vyrovnávání zatížení z místního prostředí.
- Azure Virtual Network, NVA, síťové virtuální zařízení a Azure Route Server v různých scénářích.
- Zabezpečené centrum Virtual WAN pomocí služby Azure Firewall s protokolem L4 a DNAT
- Zabezpečené centrum Virtual WAN s síťovým virtuálním zařízením v různých scénářích
ExpressRoute
Přednastavené nasazení privátního cloudu v rámci Azure VMware Solution automaticky vytvoří jeden bezplatný okruh ExpressRoute o rychlosti 10 Gb/s. Tento okruh propojuje řešení Azure VMware s D-MSEE.
Zvažte nasazení řešení Azure VMware v spárovaných oblastech Azure v blízkosti datacenter. V tomto článku najdete doporučení k topologiím sítí se dvěma oblastmi pro Azure VMware Solution.
Global Reach
Global Reach je požadovaný doplněk ExpressRoute pro azure VMware Solution ke komunikaci s místními datacentry, virtuální sítí Azure a službou Virtual WAN. Alternativou je navrhnout síťové připojení k Azure Route Serveru.
Můžete propojit okruh Azure VMware Solution ExpressRoute s dalšími okruhy ExpressRoute pomocí služby Global Reach zdarma.
Global Reach můžete použít k propojení okruhů ExpressRoute prostřednictvím ISP a pro okruhy ExpressRoute Direct.
Pro místní okruhy ExpressRoute se nepodporuje služba Global Reach. V případě místního prostředí ExpressRoute můžete z Azure VMware Solution přejít do místních datacenter prostřednictvím síťových virtuálních zařízení třetích stran ve virtuální síti Azure.
Služba Global Reach není dostupná ve všech umístěních.
Bandwidth
Vyberte odpovídající skladovou položku brány virtuální sítě pro optimální šířku pásma mezi řešením Azure VMware a virtuální sítí Azure. Azure VMware Solution podporuje maximálně čtyři okruhy ExpressRoute k bráně ExpressRoute v jedné oblasti.
Zabezpečení sítě
Zabezpečení sítě zahrnuje kontrolu provozu a zrcadlení portů.
East-West kontrola provozu v rámci SDDC využívá NSX-T datacentrum nebo síťové virtuální zařízení ke kontrole provozu do služby Azure Virtual Network napříč oblastmi.
North-South inspekce provozu inspektuje obousměrný tok provozu mezi Azure VMware Solution a datovými centry. Kontrola provozu na směru sever/jih může používat:
- Firewall NVA třetí strany a Azure Route Server přes Azure.
- Místní výchozí trasa přes místní internet.
- Azure Firewall a Virtual WAN přes internet Azure
- NSX-T datové centrum v rámci SDDC přes internet řešení Azure VMware Solution.
- Síťové virtuální zařízení brány firewall třetí strany v Řešení Azure VMware v rámci SDDC přes internet řešení Azure VMware Solution
Požadavky na porty a protokoly
Nakonfigurujte všechny potřebné porty pro místní bránu firewall, abyste zajistili správný přístup ke všem komponentám privátního cloudu Azure VMware Solution. Další informace naleznete v tématu Požadované síťové porty.
Přístup ke správě řešení Azure VMware
Zvažte použití hostitele služby Azure Bastion ve službě Azure Virtual Network pro přístup k prostředí Azure VMware Solution během nasazování.
Jakmile navážete směrování do místního prostředí, síť pro správu řešení Azure VMware nepoužívá
0.0.0.0/0trasy z místních sítí, takže je potřeba oznamovat konkrétnější trasy vašich místních sítí.
Provozní kontinuita, zotavení po havárii (BCDR) a migrace
Při migracích VMware HCX zůstává výchozí brána v místní síti. Další informace najdete v tématu Nasazení a konfigurace VMware HCX.
Migrace VMware HCX můžou používat rozšíření HCX L2. Migrace, které vyžadují rozšíření vrstvy 2, také vyžadují ExpressRoute. Podpora VPN S2S je zajištěna, pokud jsou splněny minimální požadavky na základní síť. Maximální velikost jednotky přenosu (MTU) by měla být 1350, aby vyhovovala režii HCX. Další informace o návrhu rozšíření vrstvy 2 naleznete v tématu Přemostění vrstvy 2 v režimu správce (VMware.com).
Další kroky
Další informace o řešení Azure VMware v hvězdicových sítích najdete v tématu Integrace řešení Azure VMware v hvězdicové architektuře.
Další informace o síťových segmentech datového centra VMware NSX-T najdete v tématu Konfigurace síťových komponent datového centra NSX-T pomocí služby Azure VMware Solution.
Pokud se chcete seznámit s principy architektury cílové zóny na podnikové úrovni v architektuře cloud adoption Framework, různými aspekty návrhu a osvědčenými postupy pro Azure VMware Solution, přečtěte si další článek v této sérii: