Lista de comprobación del planeamiento de red para Azure VMware Solution
Azure VMware Solution proporciona un entorno de nube privada VMware accesible a usuarios y aplicaciones desde entornos o recursos locales y basados en Azure. La conectividad se proporciona a través de servicios de red como Azure ExpressRoute y conexiones VPN. Para habilitar estos servicios se necesitan rangos de direcciones de red y puertos de firewall específicos. Este artículo le ayuda a configurar su red para trabajar con Azure VMware Solution.
En este tutorial, obtendrá información sobre:
- Consideraciones sobre la red virtual y el circuito ExpressRoute
- Requisitos de enrutamiento y subred
- Puertos de red necesarios para la comunicación con los servicios
- Consideraciones sobre DHCP y DNS en Azure VMware Solution
Requisitos previos
Asegúrese de que todas las puertas de enlace, incluido el servicio del proveedor de ExpressRoute, admitan el número de sistema autónomo (ASN) de 4 bytes. Azure VMware Solution utiliza ASN públicos de 4 bytes para anunciar rutas.
Consideraciones sobre la red virtual y el circuito ExpressRoute
Al crear una conexión de red virtual en la suscripción, el circuito ExpressRoute se establece por medio del emparejamiento, usa una clave de autorización y un identificador de emparejamiento que se solicita en Azure Portal. El emparejamiento es una conexión privada de uno a uno entre la nube privada y la red virtual.
Nota
El circuito ExpressRoute no forma parte de una implementación de nube privada. El circuito de ExpressRoute local está fuera del ámbito de este documento. Si necesita conectividad local a su nube privada, utilice uno de sus circuitos ExpressRoute existentes o adquiera uno en el Azure portal.
Al implementar una nube privada, se reciben direcciones IP de vCenter Server y NSX-T Manager. Para acceder a estas interfaces de administración, cree más recursos en la red virtual de su suscripción. En los tutoriales encontrará los procedimientos para crear estos recursos y establecer el emparejamiento privado de ExpressRoute.
La red lógica de la nube privada incluye una configuración de centro de datos NSX-T aprovisionada previamente. Se aprovisionan previamente de forma automática una puerta de enlace de nivel 0 y una de nivel 1. Puede crear un segmento y asociarlo a la puerta de enlace de nivel 1 existente o hacerlo a una nueva puerta de enlace de nivel 1 que puede definir. Los componentes de redes lógicas del centro de datos NSX-T proporcionan conectividad horizontal de derecha a izquierda entre cargas de trabajo y conectividad vertical de arriba abajo a Internet y a los servicios de Azure.
Importante
Si tiene pensado modificar la escala de los hosts de Azure VMware Solution mediante almacenes de datos de Azure NetApp Files, es fundamental que implemente la red virtual cerca de los hosts con una puerta de enlace de red virtual de ExpressRoute. Cuanto más cerca esté el almacenamiento de los hosts, mejor será el rendimiento.
Consideraciones sobre el enrutamiento y la subred
La nube privada Azure VMware Solution se conecta a su red virtual Azure mediante una conexión Azure ExpressRoute. Esta conexión de alto ancho de banda y baja latencia permite acceder a los servicios que se ejecutan en la suscripción de Azure desde el entorno de nube privada. El enrutamiento utiliza Protocolo de puerta de enlace de borde (BGP), se aprovisiona automáticamente y se activa por defecto para cada implementación de nube privada.
Las nubes privadas Azure VMware Solution requieren un bloque mínimo de direcciones de /22 red CIDR para las subredes. Esta red complementa sus redes locales, por lo que el bloque de direcciones no debería solaparse con los bloques de direcciones utilizados en otras redes virtuales de sus redes de suscripción y locales. Las redes de administración, aprovisionamiento y vMotion se aprovisionan automáticamente dentro de este bloque de direcciones.
Nota:
Los rangos permitidos para el bloque de direcciones son los espacios de direcciones privados RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), excepto 172.17.0.0/16.
Importante
Evite utilizar los siguientes esquemas IP reservados para el uso del Centro de datos NSX-T:
- 169.254.0.0/24: se usa para la red de tránsito interna
- 169.254.2.0/23: se usa para la red de tránsito entre VRF
- 100.64.0.0/16: se usa para conectar puertas de enlace T1 y T0 internamente
Un ejemplo de bloque de direcciones de red CIDR /22 es 10.10.0.0/22
Las subredes:
| Uso de red | Descripción | Subnet | Ejemplo |
|---|---|---|---|
| Administración de la nube privada | Red de administración (como vCenter, NSX-T) | /26 |
10.10.0.0/26 |
| Migraciones de administración de HCX | Conectividad local para dispositivos HCX (vínculos de descarga) | /26 |
10.10.0.64/26 |
| Global Reach reservado | Interfaz de salida para ExpressRoute | /26 |
10.10.0.128/26 |
| Servicio DNS del centro de datos NSX-T | Servicio DNS de NSX-T integrado | /32 |
10.10.0.192/32 |
| Reservado | Reservado | /32 |
10.10.0.193/32 |
| Reservado | Reservado | /32 |
10.10.0.194/32 |
| Reservado | Reservado | /32 |
10.10.0.195/32 |
| Reservado | Reservado | /30 |
10.10.0.196/30 |
| Reservado | Reservado | /29 |
10.10.0.200/29 |
| Reservado | Reservado | /28 |
10.10.0.208/28 |
| Emparejamiento de ExpressRoute | Emparejamiento de ExpressRoute | /27 |
10.10.0.224/27 |
| Administración de ESXi | Interfaces de VMkernel de administración ESXi | /25 |
10.10.1.0/25 |
| Red de vMotion | Interfaces VMkernel de vMotion | /25 |
10.10.1.128/25 |
| Red de replicación | Interfaces de replicación de vSphere | /25 |
10.10.2.0/25 |
| vSAN | Interfaces vSAN de VMkernel y comunicación de nodos | /25 |
10.10.2.128/25 |
| Enlace ascendente de HCX | Vínculos de subida para dispositivos HCX IX y NE a nodos del mismo nivel remotos | /26 |
10.10.3.0/26 |
| Reservado | Reservado | /26 |
10.10.3.64/26 |
| Reservado | Reservado | /26 |
10.10.3.128/26 |
| Reservado | Reservado | /26 |
10.10.3.192/26 |
Puertos de red necesarios
| Source | Destination | Protocolo | Port | Descripción |
|---|---|---|---|---|
| Servidor DNS de la nube privada | Servidor DNS local | UDP | 53 | Cliente DNS: reenvía las solicitudes del vCenter Server de Nube privada para cualquier consulta de DNS local (consulte la sección DNS). |
| Servidor DNS local | Servidor DNS de la nube privada | UDP | 53 | Cliente DNS: Reenvía las peticiones de los servicios locales a los servidores DNS de Nube Privada (consulte la sección DNS) |
| Red local | Servidor vCenter de nube privada | TCP (HTTP) | 80 | vCenter Server requiere el puerto 80 para conexiones HTTP directas. El puerto 80 redirige las solicitudes al puerto HTTPS 443. Este redireccionamiento ayuda si usa http://server en lugar de https://server. |
| Red de administración de la nube privada | Active Directory local | TCP | 389/636 | Habilite Azure VMware Solutions vCenter Server para comunicarse con los servidores Active Directory/LDAP locales. Opcional para configurar AD local como fuente de identidad en el vCenter de Nube privada. El puerto 636 se recomienda por motivos de seguridad. |
| Red de administración de la nube privada | Catálogo global de un entorno de Active Directory local | TCP | 3268/3269 | Habilite Azure VMware Solutions vCenter Server para comunicarse con los servidores de catálogo global Active Directory/LDAP locales. Opcional para configurar AD local como fuente de identidad en el vCenter Server de Nube privada. Utilice el puerto 3269 por seguridad. |
| Red local | Servidor vCenter de nube privada | TCP (HTTPS) | 443 | Acceda al vCenter Server desde una red local. Puerto predeterminado para que vCenter Server escuche las conexiones de vSphere Client. Para permitir que el sistema vCenter Server reciba datos desde vSphere Cliente, abra el puerto 443 en el firewall. El sistema vCenter Server también utiliza el puerto 443 para supervisar la transferencia de datos desde clientes del SDK. |
| Red local | HCX Cloud Manager | TCP (HTTPS) | 9443 | Interfaz de administración de aplicaciones virtuales de HCX Cloud Manager para la configuración del sistema de HCX. |
| Red de administración local | HCX Cloud Manager | SSH | 22 | Acceso SSH de administrador a la aplicación virtual HCX Cloud Manager. |
| HCX Manager | Interconexión (HCX-IX) | TCP (HTTPS) | 8123 | Control de migración masiva HCX. |
| HCX Manager | Interconexión (HCX-IX), Extensión de red (HCX-NE) | TCP (HTTPS) | 9443 | Enviar instrucciones de administración a la instancia de interconexión de HCX local mediante la API REST. |
| Interconexión (HCX-IX) | L2C | TCP (HTTPS) | 443 | Se envían instrucciones de administración desde interconexión a L2C cuando L2C usa la misma ruta que la interconexión. |
| Administrador de HCX, interconexión (HCX-IX) | Hosts de ESXi | TCP | 80,443,902 | Administración e implementación de OVF. |
| Interconexión (HCX-IX), Extensión de red (HCX-NE) en el origen | Interconectar (HCX-IX), Extensión de red (HCX-NE) en el destino | UDP | 4500 | Necesario para IPSEC Intercambio de claves por red (IKEv2) para encapsular las cargas de trabajo para el túnel bidireccional. Admite la Traducción de direcciones de red-Traversal (NAT-T). |
| Interconexión local (HCX-IX) | Interconexión en la nube (HCX-IX) | UDP | 4500 | Obligatorio para IPSEC Internet Key Exchange (ISAKMP) para el túnel bidireccional. |
| Red del servidor vCenter local | Red de administración de la nube privada | TCP | 8000 | Migración de máquinas virtuales mediante vMotion, de una instancia local del servidor vCenter a una instancia en la nube privada del servidor vCenter de nube privada |
| Conector HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect es necesario para validar la clave de licencia.hybridity es necesario para las actualizaciones. |
Esta tabla presenta reglas de firewall comunes para escenarios típicos. Sin embargo, es posible que deba tener en cuenta más elementos al configurar las reglas del firewall. Tenga en cuenta que cuando el origen y el destino dicen " locales", esta información solo es relevante si su centro de datos tiene un firewall que inspecciona los flujos. Si sus componentes locales no tienen un firewall de inspección, puede ignorar esas reglas.
Para obtener más información, consulte la lista completa de requisitos de puerto de VMware HCX.
Consideraciones sobre DHCP y la resolución de DNS
Las aplicaciones y cargas de trabajo que se ejecutan en un entorno de nube privada requieren servicios de resolución de nombres y DHCP para la búsqueda y las asignaciones de direcciones IP. Para proporcionar estos servicios se requiere una infraestructura de DHCP y DNS adecuada. Puede configurar una máquina virtual para proporcionar estos servicios en el entorno de nube privada.
Utilice el servicio DHCP integrado en NSX-T Data Center o un servidor DHCP local en la nube privada en lugar de enrutar el tráfico DHCP de difusión sobre la WAN de nuevo al entorno local.
Importante
Si anuncia una ruta predeterminada a Azure VMware Solution, debe permitir que el reenviador DNS llegue a los servidores DNS configurados y estos deben admitir la resolución de nombres públicos.
Pasos siguientes
En este tutorial ha aprendido acerca de las consideraciones y los requisitos para implementar una nube privada de Azure VMware Solution. Una vez que tenga la red adecuada en su lugar, continúe con el siguiente tutorial para crear la nube privada de Azure VMware Solution.