Compartir a través de

Topología de red y conectividad para Azure VMware Solution

Al usar un centro de datos definido por software (SDDC) de VMware con un ecosistema de nube de Azure, tiene un conjunto único de consideraciones de diseño que se deben seguir en escenarios híbridos y nativos de la nube. En este artículo se proporcionan consideraciones clave y procedimientos recomendados para las redes y la conectividad a, desde y dentro de las implementaciones de Azure y Azure VMware Solution .

El artículo se basa en varios principios y recomendaciones de arquitectura de zonas de aterrizaje a escala empresarial de Cloud Adoption Framework para administrar la topología de red y la conectividad a escala. Puede usar esta guía de área de diseño de zona de aterrizaje de Azure para plataformas críticas de Azure VMware Solution. Las áreas de diseño incluyen:

Consideraciones y recomendaciones generales de diseño

En las secciones siguientes se proporcionan consideraciones generales de diseño y recomendaciones para la topología y la conectividad de red de Azure VMware Solution.

Grupo radial frente a Topología de red de Virtual WAN

Si no tiene una conexión ExpressRoute desde el entorno local a Azure y, en su lugar, usa la VPN S2S, puede usar Virtual WAN para transitar la conectividad entre la VPN local y ExpressRoute de Azure VMware Solution. Si usa una topología de hub-spoke, necesita Azure Route Server. Para más información, consulte Compatibilidad de Azure Route Server con ExpressRoute y VPN de Azure.

Nubes privadas y clústeres

  • Todos los clústeres pueden comunicarse dentro de una nube privada de Azure VMware Solution porque todos comparten el mismo espacio de direcciones /22.

  • Todos los clústeres comparten la misma configuración de conectividad, como Internet, ExpressRoute, HCX, IP pública y Global Reach de ExpressRoute. Las cargas de trabajo de aplicaciones también pueden compartir algunas opciones de red básicas, como segmentos de red, protocolo de configuración dinámica de host (DHCP) y configuración del sistema de nombres de dominio (DNS).

  • Diseñe nubes privadas y clústeres de antemano antes de la implementación. El número de nubes privadas que necesita afecta directamente a los requisitos de red. Cada nube privada requiere su propio espacio de direcciones /22 para la administración de la nube privada y el segmento de direcciones IP para las cargas de trabajo de VM. Considere la posibilidad de definir esos espacios de direcciones de antemano.

  • Analice con los equipos de red y VMware cómo segmentar y distribuir las nubes privadas, los clústeres y los segmentos de red para cargas de trabajo. Planee bien y evite desperdiciar direcciones IP.

Para obtener más información sobre cómo administrar direcciones IP para nubes privadas, consulte Definición del segmento de direcciones IP para la administración de la nube privada.

Para más información sobre la administración de direcciones IP para cargas de trabajo de máquina virtual, consulte Definición del segmento de direcciones IP para cargas de trabajo de máquina virtual.

DNS y DHCP

Para DHCP, use el servicio DHCP integrado en NSX-T centro de datos o use un servidor DHCP local en una nube privada. No redirija el tráfico DHCP de difusión mediante WAN a las redes locales.

En el caso de DNS, en función del escenario que adopte y sus requisitos, tiene varias opciones:

  • Para un entorno exclusivo de Azure VMware Solution, puede desplegar una nueva infraestructura de DNS en su nube privada de Azure VMware Solution.
  • Para Azure VMware Solution conectado a un entorno local, puede usar la infraestructura DNS existente. Si es necesario, implemente reenviadores DNS para extenderse a Azure Virtual Network o, preferiblemente, en Azure VMware Solution. Para obtener más información, consulte Adición de un servicio de reenviador DNS.
  • En el caso de Azure VMware Solution conectado a entornos y servicios locales y de Azure, puede usar servidores DNS o reenviadores DNS existentes en la red virtual del centro si está disponible. También puede ampliar la infraestructura DNS local existente a la red virtual del centro de Azure. Para más información, consulte el diagrama de zonas de aterrizaje a escala empresarial.

Para obtener más información, consulte los artículos siguientes:

Internet

Entre las opciones de salida para habilitar Internet y filtrar e inspeccionar el tráfico se incluyen:

  • Azure Virtual Network, NVA y Azure Route Server mediante el acceso a Internet de Azure.
  • Ruta predeterminada local mediante acceso a Internet local.
  • Hub seguro de Virtual WAN con Azure Firewall o NVA, utilizando el acceso a Internet de Azure.

Entre las opciones de entrada para entregar contenido y aplicaciones se incluyen:

  • Azure Application Gateway con L7, terminación de Capa de sockets seguros (SSL) y Web Application Firewall.
  • DNAT y equilibrador de carga desde el entorno local.
  • Azure Virtual Network, NVA y Azure Route Server en varios escenarios.
  • Centro protegido de Virtual WAN con Azure Firewall, con L4 y DNAT.
  • Centro protegido de Virtual WAN con la aplicación virtual de red en varios escenarios.

ExpressRoute

La implementación integrada de la nube privada de Azure VMware Solution crea automáticamente un circuito ExpressRoute gratuito de 10 Gbps. Este circuito conecta Azure VMware Solution al D-MSEE.

Considere la posibilidad de implementar Azure VMware Solution en regiones emparejadas de Azure cerca de los centros de datos. Revise este artículo para obtener recomendaciones sobre topologías de red de doble región para Azure VMware Solution.

Global Reach

  • Global Reach es un complemento de ExpressRoute necesario para que Azure VMware Solution se comunique con centros de datos locales, Azure Virtual Network y Virtual WAN. La alternativa es diseñar la conectividad de red con Azure Route Server.

  • Puede emparejar el circuito ExpressRoute de Azure VMware Solution con otros circuitos ExpressRoute mediante Global Reach sin cargo alguno.

  • Puede usar Global Reach para emparejar circuitos de ExpressRoute mediante un ISP y para circuitos de ExpressRoute Direct.

  • Global Reach no es compatible con los circuitos locales de ExpressRoute. En el caso de ExpressRoute local, el tránsito de Azure VMware Solution a los centros de datos locales se realiza mediante la aplicación virtual de red de terceros en una red virtual de Azure.

  • Global Reach no está disponible en todas las ubicaciones.

Ancho de banda

Elija una SKU de puerta de enlace de red virtual adecuada para un ancho de banda óptimo entre Azure VMware Solution y Azure Virtual Network. Azure VMware Solution admite un máximo de cuatro circuitos ExpressRoute en una puerta de enlace de ExpressRoute en una región.

Seguridad de red

La seguridad de red implica la inspección del tráfico y la creación de reflejo del puerto.

La inspección del tráfico horizontal de derecha a izquierda dentro de un SDDC usa un centro de datos de NSX-T o una aplicación virtual de red para inspeccionar el tráfico a Azure Virtual Network entre regiones.

La inspección del tráfico vertical de arriba abajo inspecciona el flujo de tráfico bidireccional entre Azure VMware Solution y los centros de datos. La inspección del tráfico norte-sur puede usar:

  • Una aplicación virtual de red de firewall de terceros y Azure Route Server mediante Internet de Azure.
  • Una ruta predeterminada local a través de Internet local.
  • Azure Firewall y Virtual WAN a través de Azure Internet
  • Centro de datos de NSX-T dentro del SDDC mediante Internet de Azure VMware Solution.
  • Una aplicación virtual de red de firewall de terceros en Azure VMware Solution dentro del SDDC mediante Internet de Azure VMware Solution

Puertos y requisitos de protocolo

Configure todos los puertos necesarios para un firewall local para garantizar el acceso adecuado a todos los componentes de nube privada de Azure VMware Solution. Para obtener más información, consulte Puertos de red necesarios.

Acceso de administración de Azure VMware Solution

  • Considere la posibilidad de usar un host de Azure Bastion en Azure Virtual Network para acceder al entorno de Azure VMware Solution durante la implementación.

  • Una vez establecido el enrutamiento al entorno local, la red de administración de Azure VMware Solution no respeta las 0.0.0.0/0 rutas de las redes locales, por lo que debe anunciar rutas más específicas para las redes locales.

Continuidad empresarial, recuperación ante desastres (BCDR) y migraciones

  • En las migraciones de VMware HCX, la puerta de enlace predeterminada permanece en el entorno local. Para más información, consulte Implementación y configuración de VMware HCX.

  • Las migraciones de VMware HCX pueden usar la extensión HCX L2. Las migraciones que requieren la extensión de nivel 2 también requieren ExpressRoute. La VPN S2S se admite siempre que se cumplan los requisitos mínimos de la red. El tamaño máximo de la unidad de transmisión (MTU) debe ser de 1350 para acomodar la sobrecarga de HCX. Para obtener más información sobre el diseño de la extensión de nivel 2, consulte Puente de nivel 2 en modo de administrador (VMware.com).

Pasos siguientes