Aspekty návrhu sítě Azure VMware Solution
Azure VMware Solution nabízí prostředí privátního cloudu VMware, ke kterému mají uživatelé a aplikace přístup z místních prostředí nebo prostředků založených na Azure. Síťové služby, jako jsou Azure ExpressRoute a připojení k virtuální privátní síti (VPN), zajišťují připojení.
Před nastavením prostředí Azure VMware Solution je potřeba zvážit několik aspektů sítě. Tento článek obsahuje řešení pro případy použití, se kterými se můžete setkat, když ke konfiguraci sítí používáte Azure VMware Solution.
Kompatibilita řešení Azure VMware s předběžnou cestou AS
Azure VMware Solution má důležité informace týkající se použití předběžné cesty AS-Path pro redundantní konfigurace ExpressRoute. Pokud používáte dvě nebo více cest ExpressRoute mezi místním prostředím a Azure, zvažte následující doprovodné materiály k ovlivnění provozu z Řešení Azure VMware směrem k místnímu umístění přes ExpressRoute GlobalReach.
Kvůli asymetrickému směrování může dojít k problémům s připojením v případě, že řešení Azure VMware nedodržuje prepend cestu AS-Path, a proto používá směrování ECMP (Equal-Cost MultiPath) k odesílání provozu do vašeho prostředí přes oba okruhy ExpressRoute. Toto chování může způsobit problémy se stavovými kontrolními zařízeními brány firewall umístěnými za existujícími okruhy ExpressRoute.
Požadavky
U předpendu as-path zvažte následující požadavky:
- Klíčovým bodem je to, že musíte předem zadat veřejná čísla ASN, abyste mohli ovlivnit, jak Azure VMware Solution směruje provoz zpět do místního prostředí. Pokud jste předem použili privátní ASN, Azure VMware Solution bude předpendu ignorovat a dojde k dříve zmíněnému chování ECMP. I když provozujete privátní BGP ASN místně, je stále možné nakonfigurovat místní zařízení tak, aby při odchozím směrování využívala veřejné ASN, aby zajistila kompatibilitu s řešením Azure VMware.
- Navrhněte cestu provozu pro privátní sítě ASN po veřejné ASN, aby bylo možné respektovat službu Azure VMware Solution. Okruh Azure VMware Solution ExpressRoute neodebere žádné privátní sítě ASN, které existují v cestě po zpracování veřejného ASN.
- Oba nebo všechny okruhy jsou připojené ke službě Azure VMware Solution prostřednictvím služby Azure ExpressRoute Global Reach.
- Stejné netblocky se inzerují ze dvou nebo více okruhů.
- Chcete použít prepend AS-Path k vynucení, aby řešení Azure VMware preferoval jeden okruh před druhým.
- Použijte 2 bajtová nebo 4 bajtová veřejná čísla ASN.
Správa virtuálních počítačů a výchozích tras z místního prostředí
Důležité
Virtuální počítače pro správu řešení Azure VMware nebudou respektovat výchozí trasu z místního prostředí pro cíle RFC1918.
Pokud směrujete zpátky do místních sítí pomocí pouze výchozí trasy inzerované do Azure, provoz z virtuálních počítačů vCenter Serveru a NSX Manageru, které se používají k místním cílům s privátními IP adresami, nebude tato trasa následovat.
Pokud chcete získat přístup k vCenter Serveru a Správci NSX z místního prostředí, poskytněte konkrétní trasy, které umožní provoz, aby měl zpáteční cestu k těmto sítím. Můžete například inzerovat souhrny RFC1918 (10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16).
Výchozí trasa do azure VMware Solution pro kontrolu internetového provozu
Určitá nasazení vyžadují kontrolu veškerého výchozího provozu z Azure VMware Solution směrem k internetu. I když je možné vytvořit síťová virtuální zařízení (NVA) ve službě Azure VMware Solution, existují případy použití, kdy tato zařízení už existují v Azure a je možné je použít ke kontrole internetového provozu z Řešení Azure VMware. V takovém případě je možné do síťového virtuálního zařízení v Azure v Azure vloženého výchozí trasu přitáhnout provoz z Řešení Azure VMware a zkontrolovat provoz před tím, než přejde do veřejného internetu.
Následující diagram popisuje základní hvězdicovou topologii připojenou ke cloudu Azure VMware Solution a k místní síti prostřednictvím ExpressRoute. Diagram znázorňuje, jak síťové virtuální zařízení v Azure pochází z výchozí trasy (0.0.0.0/0
). Azure Route Server rozšíří trasu do řešení Azure VMware prostřednictvím ExpressRoute.
Důležité
Výchozí trasa, kterou inzeruje síťové virtuální zařízení, se rozšíří do místní sítě. Abyste zajistili, že provoz z Azure VMware Solution prochází přes síťové virtuální zařízení, musíte přidat trasy definované uživatelem.
Komunikace mezi azure VMware Solution a místní sítí obvykle probíhá přes ExpressRoute Global Reach, jak je popsáno v partnerských místních prostředích s Azure VMware Solution.
Připojení ivity mezi azure VMware Solution a místní sítí
Existují dva hlavní scénáře připojení mezi azure VMware Solution a místní sítí prostřednictvím síťového virtuálního zařízení třetí strany:
- Organizace musí posílat provoz mezi azure VMware Solution a místní sítí prostřednictvím síťového virtuálního zařízení (obvykle brány firewall).
- ExpressRoute Global Reach není v konkrétní oblasti k dispozici pro propojení okruhů ExpressRoute řešení Azure VMware a místní sítě.
Existují dvě topologie, které můžete použít ke splnění všech požadavků v těchto scénářích: virtuální síť supernet a přenosová paprsková virtuální síť.
Důležité
Upřednostňovanou možností připojení řešení Azure VMware a místních prostředí je přímé připojení ExpressRoute Global Reach. Vzory popsané v tomto článku přidávají do prostředí složitost.
Topologie návrhu supernetu
Pokud jsou oba okruhy ExpressRoute (do řešení Azure VMware i do místního prostředí) ukončeny ve stejné bráně ExpressRoute, můžete předpokládat, že brána bude směrovat pakety napříč nimi. Brána ExpressRoute ale není navržená tak, aby to udělala. Provoz je potřeba vysunout do síťového virtuálního zařízení, které může směrovat provoz.
Síťové přenosy do síťového virtuálního zařízení mají dva požadavky:
Síťové virtuální zařízení by mělo inzerovat supernet pro azure VMware Solution a místní předpony.
Můžete použít supernet, který zahrnuje jak Azure VMware Solution, tak i místní předpony. Nebo můžete použít jednotlivé předpony pro Azure VMware Solution a místní prostředí (vždy méně specifické než skutečné předpony inzerované přes ExpressRoute). Mějte na paměti, že se všechny předpony supernetu inzerované na Route Server rozšíří do řešení Azure VMware i do místního prostředí.
Trasy definované uživatelem v podsíti brány, které přesně odpovídají předponám inzerovaným z řešení Azure VMware a místně, způsobují provoz připnutí z podsítě brány do síťového virtuálního zařízení.
Tato topologie vede k vysoké režii při správě velkých sítí, které se v průběhu času mění. Zvažte tato omezení:
- Kdykoli se segment úloh vytvoří ve službě Azure VMware Solution, může být potřeba přidat trasy definované uživatelem, aby se zajistilo, že provoz z Řešení Azure VMware prochází přes síťové virtuální zařízení.
- Pokud má vaše místní prostředí velký počet tras, které se mění, bude možná potřeba aktualizovat konfiguraci protokolu BGP (Border Gateway Protocol) a trasy definované uživatelem v supernetu.
- Vzhledem k tomu, že jedna brána ExpressRoute zpracovává síťový provoz v obou směrech, může být výkon omezený.
- Existuje limit služby Azure Virtual Network na 400 trasy definované uživatelem.
Následující diagram ukazuje, jak síťové virtuální zařízení potřebuje inzerovat předpony, které jsou obecnější (méně specifické) a které zahrnují sítě z místního prostředí a řešení Azure VMware. Buďte s tímto přístupem opatrní. Síťové virtuální zařízení může potenciálně přilákat provoz, který by neměl, protože inzeruje širší rozsahy (například celou 10.0.0.0/8
síť).
Topologie virtuální sítě paprskové přenosu
Poznámka:
Pokud kvůli dříve popsaným omezením není možné inzerovat předpony, které jsou méně specifické, můžete implementovat alternativní návrh, který používá dvě samostatné virtuální sítě.
V této topologii se místo šíření tras, které jsou méně specifické pro přilákání provozu do brány ExpressRoute, můžou mezi sebou vyměňovat dvě různá síťová virtuální zařízení v samostatných virtuálních sítích. Virtuální sítě můžou tyto trasy rozšířit do příslušných okruhů ExpressRoute přes protokol BGP a Azure Route Server. Každé síťové virtuální zařízení má plnou kontrolu nad tím, které předpony se šíří do každého okruhu ExpressRoute.
Následující diagram ukazuje, jak 0.0.0.0/0
se jedna trasa inzeruje do řešení Azure VMware. Ukazuje také, jak se jednotlivé předpony řešení Azure VMware šíří do místní sítě.
Důležité
Mezi síťovými virtuálními zařízeními se vyžaduje zapouzdřený protokol, jako je VXLAN nebo IPsec. Zapouzdření je potřeba, protože síťový adaptér síťového virtuálního zařízení (NIC) by se naučil trasy z Azure Route Serveru s síťovým virtuálním zařízením jako dalším segmentem směrování a vytvořil smyčku směrování.
Existuje alternativa k použití překrytí. Použijte sekundární síťové karty v síťovém virtuálním zařízení, které se nenaučí trasy z Azure Route Serveru. Potom nakonfigurujte trasy definované uživatelem, aby Azure mohl směrovat provoz do vzdáleného prostředí přes tyto síťové karty. Další podrobnosti najdete v topologii sítě na podnikové úrovni a možnostech připojení pro Azure VMware Solution.
Tato topologie vyžaduje komplexní počáteční nastavení. Topologie pak funguje podle očekávání s minimální režií na správu. Mezi složitosti nastavení patří:
- Další tranzitní virtuální síť, která zahrnuje Azure Route Server, bránu ExpressRoute a další síťové virtuální zařízení, je potřeba přidat další tranzitní virtuální síť. Síťová virtuální zařízení můžou také potřebovat používat velké velikosti virtuálních počítačů, aby splňovaly požadavky na propustnost.
- Tunelování IPsec nebo VXLAN se vyžaduje mezi dvěma síťovými virtuálními zařízeními, což znamená, že síťové virtuální zařízení jsou také v cestě k datům. V závislosti na typu síťového virtuálního zařízení, které používáte, může mít za následek vlastní a složitou konfiguraci těchto síťových virtuálních zařízení.
Další kroky
Po seznámení s aspekty návrhu sítě pro Azure VMware Solution zvažte prozkoumání následujících článků: