Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al usar un centro de datos definido por software (SDDC) de VMware con un ecosistema de nube de Azure, tiene un conjunto único de consideraciones de diseño que se deben seguir en escenarios híbridos y nativos de la nube. En este artículo se proporcionan consideraciones clave y procedimientos recomendados para las redes y la conectividad a, desde y dentro de las implementaciones de Azure y Azure VMware Solution .
El artículo se basa en varios principios y recomendaciones de arquitectura de zonas de aterrizaje a escala empresarial de Cloud Adoption Framework para administrar la topología de red y la conectividad a escala. Puede usar esta guía de área de diseño de zona de aterrizaje de Azure para plataformas críticas de Azure VMware Solution. Las áreas de diseño incluyen:
- Integración híbrida para la conectividad entre usuarios locales, multinube, perimetral y global. Para obtener más información, consulte Compatibilidad a escala empresarial para entornos híbridos y multinube.
- Rendimiento y confiabilidad a escala para la escalabilidad de la carga de trabajo y una experiencia coherente y de baja latencia. En un artículo posterior se tratan las implementaciones de regiones duales.
- Seguridad de red basada en confianza cero para la seguridad del flujo de tráfico y el perímetro de red. Para más información, consulte Estrategias de seguridad de red en Azure.
- Extensibilidad para facilitar la expansión de las superficies de red sin necesidad de volver a diseñar.
Consideraciones y recomendaciones generales de diseño
En las secciones siguientes se proporcionan consideraciones generales de diseño y recomendaciones para la topología y la conectividad de red de Azure VMware Solution.
Grupo radial frente a Topología de red de Virtual WAN
Si no tiene una conexión ExpressRoute desde el entorno local a Azure y, en su lugar, usa la VPN S2S, puede usar Virtual WAN para transitar la conectividad entre la VPN local y ExpressRoute de Azure VMware Solution. Si usa una topología de hub-spoke, necesita Azure Route Server. Para más información, consulte Compatibilidad de Azure Route Server con ExpressRoute y VPN de Azure.
Nubes privadas y clústeres
Todos los clústeres pueden comunicarse dentro de una nube privada de Azure VMware Solution porque todos comparten el mismo espacio de direcciones /22.
Todos los clústeres comparten la misma configuración de conectividad, como Internet, ExpressRoute, HCX, IP pública y Global Reach de ExpressRoute. Las cargas de trabajo de aplicaciones también pueden compartir algunas opciones de red básicas, como segmentos de red, protocolo de configuración dinámica de host (DHCP) y configuración del sistema de nombres de dominio (DNS).
Diseñe nubes privadas y clústeres de antemano antes de la implementación. El número de nubes privadas que necesita afecta directamente a los requisitos de red. Cada nube privada requiere su propio espacio de direcciones /22 para la administración de la nube privada y el segmento de direcciones IP para las cargas de trabajo de VM. Considere la posibilidad de definir esos espacios de direcciones de antemano.
Analice con los equipos de red y VMware cómo segmentar y distribuir las nubes privadas, los clústeres y los segmentos de red para cargas de trabajo. Planee bien y evite desperdiciar direcciones IP.
Para obtener más información sobre cómo administrar direcciones IP para nubes privadas, consulte Definición del segmento de direcciones IP para la administración de la nube privada.
Para más información sobre la administración de direcciones IP para cargas de trabajo de máquina virtual, consulte Definición del segmento de direcciones IP para cargas de trabajo de máquina virtual.
DNS y DHCP
Para DHCP, use el servicio DHCP integrado en NSX-T centro de datos o use un servidor DHCP local en una nube privada. No redirija el tráfico DHCP de difusión mediante WAN a las redes locales.
En el caso de DNS, en función del escenario que adopte y sus requisitos, tiene varias opciones:
- Para un entorno exclusivo de Azure VMware Solution, puede desplegar una nueva infraestructura de DNS en su nube privada de Azure VMware Solution.
- Para Azure VMware Solution conectado a un entorno local, puede usar la infraestructura DNS existente. Si es necesario, implemente reenviadores DNS para extenderse a Azure Virtual Network o, preferiblemente, en Azure VMware Solution. Para obtener más información, consulte Adición de un servicio de reenviador DNS.
- En el caso de Azure VMware Solution conectado a entornos y servicios locales y de Azure, puede usar servidores DNS o reenviadores DNS existentes en la red virtual del centro si está disponible. También puede ampliar la infraestructura DNS local existente a la red virtual del centro de Azure. Para más información, consulte el diagrama de zonas de aterrizaje a escala empresarial.
Para obtener más información, consulte los artículos siguientes:
- Consideraciones sobre la resolución de DHCP y DNS
- Configuración de DHCP para Azure VMware Solution
- Configuración de DHCP en redes de VMware HCX extendidas en L2
- Configuración de un reenviador DNS en Azure Portal
Internet
Entre las opciones de salida para habilitar Internet y filtrar e inspeccionar el tráfico se incluyen:
- Azure Virtual Network, NVA y Azure Route Server mediante el acceso a Internet de Azure.
- Ruta predeterminada local mediante acceso a Internet local.
- Hub seguro de Virtual WAN con Azure Firewall o NVA, utilizando el acceso a Internet de Azure.
Entre las opciones de entrada para entregar contenido y aplicaciones se incluyen:
- Azure Application Gateway con L7, terminación de Capa de sockets seguros (SSL) y Web Application Firewall.
- DNAT y equilibrador de carga desde el entorno local.
- Azure Virtual Network, NVA y Azure Route Server en varios escenarios.
- Centro protegido de Virtual WAN con Azure Firewall, con L4 y DNAT.
- Centro protegido de Virtual WAN con la aplicación virtual de red en varios escenarios.
ExpressRoute
La implementación integrada de la nube privada de Azure VMware Solution crea automáticamente un circuito ExpressRoute gratuito de 10 Gbps. Este circuito conecta Azure VMware Solution al D-MSEE.
Considere la posibilidad de implementar Azure VMware Solution en regiones emparejadas de Azure cerca de los centros de datos. Revise este artículo para obtener recomendaciones sobre topologías de red de doble región para Azure VMware Solution.
Global Reach
Global Reach es un complemento de ExpressRoute necesario para que Azure VMware Solution se comunique con centros de datos locales, Azure Virtual Network y Virtual WAN. La alternativa es diseñar la conectividad de red con Azure Route Server.
Puede emparejar el circuito ExpressRoute de Azure VMware Solution con otros circuitos ExpressRoute mediante Global Reach sin cargo alguno.
Puede usar Global Reach para emparejar circuitos de ExpressRoute mediante un ISP y para circuitos de ExpressRoute Direct.
Global Reach no es compatible con los circuitos locales de ExpressRoute. En el caso de ExpressRoute local, el tránsito de Azure VMware Solution a los centros de datos locales se realiza mediante la aplicación virtual de red de terceros en una red virtual de Azure.
Global Reach no está disponible en todas las ubicaciones.
Ancho de banda
Elija una SKU de puerta de enlace de red virtual adecuada para un ancho de banda óptimo entre Azure VMware Solution y Azure Virtual Network. Azure VMware Solution admite un máximo de cuatro circuitos ExpressRoute en una puerta de enlace de ExpressRoute en una región.
Seguridad de red
La seguridad de red implica la inspección del tráfico y la creación de reflejo del puerto.
La inspección del tráfico horizontal de derecha a izquierda dentro de un SDDC usa un centro de datos de NSX-T o una aplicación virtual de red para inspeccionar el tráfico a Azure Virtual Network entre regiones.
La inspección del tráfico vertical de arriba abajo inspecciona el flujo de tráfico bidireccional entre Azure VMware Solution y los centros de datos. La inspección del tráfico norte-sur puede usar:
- Una aplicación virtual de red de firewall de terceros y Azure Route Server mediante Internet de Azure.
- Una ruta predeterminada local a través de Internet local.
- Azure Firewall y Virtual WAN a través de Azure Internet
- Centro de datos de NSX-T dentro del SDDC mediante Internet de Azure VMware Solution.
- Una aplicación virtual de red de firewall de terceros en Azure VMware Solution dentro del SDDC mediante Internet de Azure VMware Solution
Puertos y requisitos de protocolo
Configure todos los puertos necesarios para un firewall local para garantizar el acceso adecuado a todos los componentes de nube privada de Azure VMware Solution. Para obtener más información, consulte Puertos de red necesarios.
Acceso de administración de Azure VMware Solution
Considere la posibilidad de usar un host de Azure Bastion en Azure Virtual Network para acceder al entorno de Azure VMware Solution durante la implementación.
Una vez establecido el enrutamiento al entorno local, la red de administración de Azure VMware Solution no respeta las
0.0.0.0/0
rutas de las redes locales, por lo que debe anunciar rutas más específicas para las redes locales.
Continuidad empresarial, recuperación ante desastres (BCDR) y migraciones
En las migraciones de VMware HCX, la puerta de enlace predeterminada permanece en el entorno local. Para más información, consulte Implementación y configuración de VMware HCX.
Las migraciones de VMware HCX pueden usar la extensión HCX L2. Las migraciones que requieren la extensión de nivel 2 también requieren ExpressRoute. La VPN S2S se admite siempre que se cumplan los requisitos mínimos de la red. El tamaño máximo de la unidad de transmisión (MTU) debe ser de 1350 para acomodar la sobrecarga de HCX. Para obtener más información sobre el diseño de la extensión de nivel 2, consulte Puente de nivel 2 en modo de administrador (VMware.com).
Pasos siguientes
Para más información sobre Azure VMware Solution en redes en estrella tipo hub-and-spoke, consulte Integración de Azure VMware Solution en una arquitectura en estrella tipo hub-and-spoke.
Para más información sobre los segmentos de red de VMware NSX-T Data Center, consulte Configuración de componentes de red de NSX-T Data Center mediante Azure VMware Solution.
Para obtener información sobre los principios de arquitectura de la zona de aterrizaje a escala empresarial de Cloud Adoption Framework, varias consideraciones de diseño y procedimientos recomendados para Azure VMware Solution, consulte el siguiente artículo de esta serie: