Lista de comprobación del planeamiento de red para Azure VMware Solution
Azure VMware Solution ofrece un entorno de nube privada de VMware accesible para usuarios y aplicaciones a partir de recursos o entornos locales y basados en Azure. La conectividad se proporciona a través de servicios de redes, como las conexiones VPN y Azure ExpressRoute. Requiere intervalos de direcciones de red y puertos de firewall específicos para habilitar los servicios. En este artículo se proporciona la información necesaria para configurar correctamente las redes para que funcionen con Azure VMware Solution.
En este tutorial, aprenderá:
- Consideraciones sobre la red virtual y el circuito ExpressRoute
- Requisitos de enrutamiento y subred
- Puertos de red necesarios para la comunicación con los servicios
- Consideraciones sobre DHCP y DNS en Azure VMware Solution
Requisito previo
Asegúrese de que todas las puertas de enlace, incluido el servicio del proveedor de ExpressRoute, admitan un número de sistema autónomo (ASN) de 4 bytes. Azure VMware Solution utiliza ASN públicos de 4 bytes para anunciar rutas.
Consideraciones sobre la red virtual y el circuito ExpressRoute
Al crear una conexión de red virtual en la suscripción, el circuito ExpressRoute se establece por medio del emparejamiento, usa una clave de autorización y un identificador de emparejamiento que se solicita en Azure Portal. El emparejamiento es una conexión privada de uno a uno entre la nube privada y la red virtual.
Nota
El circuito ExpressRoute no forma parte de una implementación de nube privada. El circuito de ExpressRoute local está fuera del ámbito de este documento. Si necesita una conectividad desde el entorno local a su nube privada, puede utilizar uno de los circuitos de ExpressRoute existentes o comprar uno en Azure Portal.
Al implementar una nube privada, se reciben direcciones IP de vCenter Server y NSX-T Manager. Para acceder a esas interfaces de administración, deberá crear más recursos en la red virtual de la suscripción. En los tutoriales puede encontrar los procedimientos para crear esos recursos y establecer el emparejamiento privado de ExpressRoute.
Las redes lógicas de nube privada incluyen la configuración del centro de datos NSX-T previamente aprovisionado. Se aprovisionan previamente de forma automática una puerta de enlace de nivel 0 y una de nivel 1. Puede crear un segmento y asociarlo a la puerta de enlace de nivel 1 existente o hacerlo a una nueva puerta de enlace de nivel 1 que puede definir. Los componentes de redes lógicas del centro de datos NSX-T proporcionan conectividad horizontal de derecha a izquierda entre cargas de trabajo y conectividad vertical de arriba abajo a Internet y a los servicios de Azure.
Importante
Si tiene pensado modificar la escala de los hosts de Azure VMware Solution mediante almacenes de datos de Azure NetApp Files, es fundamental que implemente la red virtual cerca de los hosts con una puerta de enlace de red virtual de ExpressRoute. Cuanto más cerca esté el almacenamiento de los hosts, mejor será el rendimiento.
Consideraciones sobre el enrutamiento y la subred
La nube privada de Azure VMware Solution se conecta a la red virtual de Azure mediante una conexión de Azure ExpressRoute. Esta conexión de alto ancho de banda y baja latencia permite acceder a los servicios que se ejecutan en la suscripción de Azure desde el entorno de nube privada. El enrutamiento se basa en el Protocolo de puerta de enlace de borde (BGP), que se aprovisiona y habilita automáticamente de forma predeterminada para cada implementación de nube privada.
Las nubes privadas de Azure VMware Solution requieren un mínimo de un bloque de direcciones de red CIDR /22 para las subredes, que se muestran a continuación. Esta red complementa las redes locales. Por lo tanto, el bloque de direcciones no debe superponerse a los bloques de direcciones usados en otras redes virtuales ubicadas en la suscripción y las redes locales. Dentro de este bloque de direcciones, la administración, el aprovisionamiento y las redes de vMotion se aprovisionan automáticamente.
Nota
Los rangos permitidos para el bloque de direcciones son los espacios de direcciones privados RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), excepto 172.17.0.0/16.
Importante
Además, los siguientes esquemas IP están reservados para el uso del Centro de datos NSX-T y no se deben usar:
- 169.254.0.0/24: se usa para la red de tránsito interna
- 169.254.2.0/23: se usa para la red de tránsito entre VRF
- 100.64.0.0/16: se usa para conectar puertas de enlace T1 y T0 internamente
Un ejemplo de bloque de direcciones de red CIDR /22 es 10.10.0.0/22
Las subredes:
| Uso de red | Descripción | Subnet | Ejemplo |
|---|---|---|---|
| Administración de la nube privada | Red de administración (es decir, vCenter, NSX-T) | /26 |
10.10.0.0/26 |
| Migraciones de administración de HCX | Conectividad local para dispositivos HCX (vínculos de descarga) | /26 |
10.10.0.64/26 |
| Global Reach reservado | Interfaz de salida para ExpressRoute | /26 |
10.10.0.128/26 |
| Servicio DNS del centro de datos NSX-T | Servicio DNS de NSX-T integrado | /32 |
10.10.0.192/32 |
| Reservado | Reservado | /32 |
10.10.0.193/32 |
| Reservado | Reservado | /32 |
10.10.0.194/32 |
| Reservado | Reservado | /32 |
10.10.0.195/32 |
| Reservado | Reservado | /30 |
10.10.0.196/30 |
| Reservado | Reservado | /29 |
10.10.0.200/29 |
| Reservado | Reservado | /28 |
10.10.0.208/28 |
| Emparejamiento de ExpressRoute | Emparejamiento de ExpressRoute | /27 |
10.10.0.224/27 |
| Administración de ESXi | Interfaces de VMkernel de administración ESXi | /25 |
10.10.1.0/25 |
| Red de vMotion | Interfaces VMkernel de vMotion | /25 |
10.10.1.128/25 |
| Red de replicación | Interfaces de replicación de vSphere | /25 |
10.10.2.0/25 |
| vSAN | Interfaces vSAN de VMkernel y comunicación de nodos | /25 |
10.10.2.128/25 |
| Vínculo superior de HCX | Vínculos de subida para dispositivos HCX IX y NE a nodos del mismo nivel remotos | /26 |
10.10.3.0/26 |
| Reservado | Reservado | /26 |
10.10.3.64/26 |
| Reservado | Reservado | /26 |
10.10.3.128/26 |
| Reservado | Reservado | /26 |
10.10.3.192/26 |
Puertos de red necesarios
| Source | Destination | Protocolo | Port | Descripción |
|---|---|---|---|---|
| Servidor DNS de la nube privada | Servidor DNS local | UDP | 53 | Cliente DNS: solicitudes de reenvío desde la instancia del servidor vCenter de la nube privada para cualquier consulta de DNS local (consulte la sección DNS siguiente) |
| Servidor DNS local | Servidor DNS de la nube privada | UDP | 53 | Cliente DNS: solicitudes de reenvío desde servicios locales a servidores DNS de la nube privada (consulte la sección DNS siguiente). |
| Red local | Servidor vCenter de nube privada | TCP (HTTP) | 80 | vCenter Server requiere el puerto 80 para conexiones HTTP directas. El puerto 80 redirige las solicitudes al puerto HTTPS 443. Este redireccionamiento ayuda si usa http://server en lugar de https://server. |
| Red de administración de la nube privada | Active Directory local | TCP | 389/636 | Estos puertos están abiertos para permitir que vCenter Server de Azure VMware Solutions se comunique con cualquier servidor de Active Directory/LDAP local. Estos puertos son opcionales, para configurar un entorno de AD local como un origen de identidad en el servidor vCenter de nube privada. El puerto 636 se recomienda por motivos de seguridad. |
| Red de administración de la nube privada | Catálogo global de un entorno de Active Directory local | TCP | 3268/3269 | Estos puertos están abiertos para permitir que el servidor vCenter de Azure VMware Solutions se comuniquen con cualquier servidor Active Directory/LDAP local del catálogo global. Estos puertos son opcionales, para configurar un entorno de AD local como un origen de identidad en el servidor vCenter de nube privada. El puerto 3269 se recomienda por motivos de seguridad. |
| Red local | Servidor vCenter de nube privada | TCP (HTTPS) | 443 | Este puerto permite acceder al servidor vCenter desde una red local. El puerto predeterminado que el sistema vCenter Server usa para escuchar las conexiones desde vSphere Client. Para permitir que el sistema vCenter Server reciba datos desde vSphere Cliente, abra el puerto 443 en el firewall. El sistema vCenter Server también utiliza el puerto 443 para supervisar la transferencia de datos desde clientes del SDK. |
| Red local | HCX Cloud Manager | TCP (HTTPS) | 9443 | Interfaz de administración de aplicaciones virtuales de HCX Cloud Manager para la configuración del sistema de HCX. |
| Red de administración local | HCX Cloud Manager | SSH | 22 | Acceso SSH de administrador a la aplicación virtual HCX Cloud Manager. |
| HCX Manager | Interconexión (HCX-IX) | TCP (HTTPS) | 8123 | Control de migración masiva de HCX |
| HCX Manager | Interconexión (HCX-IX), Extensión de red (HCX-NE) | TCP (HTTPS) | 9443 | Enviar instrucciones de administración a la instancia de interconexión de HCX local mediante la API REST. |
| Interconexión (HCX-IX) | L2C | TCP (HTTPS) | 443 | Se envían instrucciones de administración desde interconexión a L2C cuando L2C usa la misma ruta que la interconexión. |
| Administrador de HCX, interconexión (HCX-IX) | Hosts de ESXi | TCP | 80,443,902 | Administración e implementación de OVF. |
| Interconexión (HCX-IX), Extensión de red (HCX-NE) en el origen | Interconectar (HCX-IX), Extensión de red (HCX-NE) en el destino | UDP | 4500 | Necesario para IPSEC Intercambio de claves por red (IKEv2) para encapsular las cargas de trabajo para el túnel bidireccional. También se admite la traducción transversal de direcciones de red (NAT-T). |
| Interconexión local (HCX-IX) | Interconexión en la nube (HCX-IX) | UDP | 500 | Obligatorio para IPSEC Intercambio de claves por red (ISAKMP) para el túnel bidireccional. |
| Red del servidor vCenter local | Red de administración de la nube privada | TCP | 8000 | Migración de máquinas virtuales mediante vMotion, de una instancia local del servidor vCenter a una instancia en la nube privada del servidor vCenter de nube privada |
| Conector HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect es necesario para validar la clave de licencia.hybridity es necesario para las actualizaciones. |
Puede haber más elementos a considerar en lo que respecta a las reglas de firewall; esto está pensado para proporcionar reglas comunes para escenarios comunes. Tenga en cuenta que cuando el origen y el destino dicen "local", esto solo es importante si tiene un firewall que inspecciona los flujos dentro del centro de datos. Si no tiene un firewall que inspeccione entre componentes locales, puede omitir esas reglas, ya que no serían necesarias.
Lista completa de requisitos de puerto VMware HCX
Consideraciones sobre DHCP y la resolución de DNS
Las aplicaciones y cargas de trabajo que se ejecutan en un entorno de nube privada requieren servicios de resolución de nombres y DHCP para la búsqueda y las asignaciones de direcciones IP. Para proporcionar estos servicios se requiere una infraestructura de DHCP y DNS adecuada. Puede configurar una máquina virtual para proporcionar estos servicios en el entorno de nube privada.
Utilice el servicio DHCP integrado en NSX-T Data Center o un servidor DHCP local en la nube privada en lugar de enrutar el tráfico DHCP de difusión sobre la WAN de nuevo al entorno local.
Importante
Si anuncia una ruta predeterminada a Azure VMware Solution, debe permitir que el reenviador DNS llegue a los servidores DNS configurados y estos deben admitir la resolución de nombres públicos.
Pasos siguientes
En este tutorial ha aprendido acerca de las consideraciones y los requisitos para implementar una nube privada de Azure VMware Solution. Una vez que tenga la red adecuada en su lugar, continúe con el siguiente tutorial para crear la nube privada de Azure VMware Solution.