Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure VMware Solution egy olyan VMware magánfelhő-környezetet biztosít, amely a helyszíni és azure-alapú környezetekből vagy erőforrásokból származó felhasználók és alkalmazások számára érhető el. A kapcsolat olyan hálózati szolgáltatásokon keresztül valósul meg, mint az Azure ExpressRoute és a VPN-kapcsolatok. A szolgáltatások engedélyezéséhez meghatározott hálózati címtartományokra és tűzfalportokra van szükség. Ez a cikk segít konfigurálni a hálózatkezelést az Azure VMware Solution használatára.
Ebben az oktatóanyagban a következőket ismerheti meg:
- A virtuális hálózat és az ExpressRoute-kapcsolatcsoport szempontjai
- Útválasztási és alhálózati követelmények
- A szolgáltatásokkal való kommunikációhoz szükséges hálózati portok
- DHCP- és DNS-szempontok az Azure VMware Solutionben
Prerequisites
Győződjön meg arról, hogy az összes átjáró , beleértve az ExpressRoute-szolgáltató szolgáltatását is, támogatja a 4 bájtos autonóm rendszerszámot (ASN). Az Azure VMware Solution 4 bájtos nyilvános ASN-eket használ a hirdetési útvonalakhoz.
A virtuális hálózat és az ExpressRoute-kapcsolatcsoport szempontjai
Amikor virtuális hálózati kapcsolatot hoz létre az előfizetésében, az ExpressRoute-összeköttetés peering révén jön létre, egy engedélyezési kulcs és egy peering-azonosító használatával, amelyet az Azure portálon kér le. A peering egy privát, közvetlen kapcsolat a magánfelhő és a virtuális hálózat között.
Note
Az ExpressRoute-kapcsolatcsoport nem része magánfelhő-telepítésnek. A helyszíni ExpressRoute-kapcsolatcsoport meghaladja a dokumentum hatókörét. Ha helyszíni kapcsolatot szeretne a magánfelhőhöz, használjon egy meglévő ExpressRoute-kapcsolatcsoportot, vagy vásároljon egyet az Azure Portalon.
Magánfelhő üzembe helyezésekor a vCenter Serverhez és az NSX Managerhez ip-címeket kap. A felügyeleti felületek eléréséhez hozzon létre további erőforrásokat az előfizetés virtuális hálózatában. Az oktatóanyagokban megtalálja az erőforrások létrehozásának és az ExpressRoute privát társviszony-létesítésének eljárásait.
A magánfelhő logikai hálózata előre kiépített NSX-konfigurációt tartalmaz. A 0. rétegbeli átjáró és az 1. rétegbeli átjáró előre ki van építve Önnek. Létrehozhat egy szegmenst, és csatolhatja a meglévő 1. rétegbeli átjáróhoz, vagy csatolhatja egy ön által definiált új 1. rétegbeli átjáróhoz. Az NSX logikai hálózati összetevői kelet-nyugati kapcsolatot biztosítanak a számítási feladatok között, valamint észak-déli kapcsolatot az internethez és az Azure-szolgáltatásokhoz.
Important
Ha az Azure NetApp Files-adattárak használatával tervezi skálázni az Azure VMware Solution-gazdagépeket, kulcsfontosságú, hogy az ExpressRoute virtuális hálózati átjáróval a gazdagépekhez közeli virtuális hálózatot helyezze üzembe. Minél közelebb van a tárhely a gazdagépekhez, annál jobb a teljesítmény.
Útválasztási és alhálózati szempontok
Az Azure VMware Solution magánfelhő egy Azure ExpressRoute-kapcsolattal csatlakozik az Azure-beli virtuális hálózathoz. Ez a nagy sávszélességű, alacsony késésű kapcsolat lehetővé teszi az Azure-előfizetésében futó szolgáltatások elérését a magánfelhő-környezetből. Az útválasztás a Border Gateway Protocol (BGP) protokollt használja, amely automatikusan ki van építve, és alapértelmezés szerint engedélyezve van minden magánfelhő-telepítéshez.
Az Azure VMware Solution magánfelhőinek minimális /22 CIDR hálózati címblokkra van szükségük az alhálózatokhoz. Ez a hálózat kiegészíti a helyszíni hálózatokat, így a címblokk nem fedheti át az előfizetés és a helyszíni hálózatok más virtuális hálózataiban használt címblokkokat. A felügyeleti, vMotion- és replikációs hálózatok automatikusan ki vannak építve ezen a címblokkon belül.
Note
A címblokk engedélyezett tartományai az RFC 1918 privát címterek (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), kivéve a 172.17.0.0/16-ot. A replikációs hálózat nem alkalmazható az AV64-csomópontokra, és egy későbbi időpontban általános elavuláshoz lesz tervezve.
Important
Ne használja a következő, NSX-használathoz fenntartott IP-sémákat:
- 169.254.0.0/24 – belső tranzithálózathoz használatos
- 169.254.2.0/23 – VRF közötti tranzithálózathoz használatos
- 100.64.0.0/16 – T1 és T0 átjárók belső csatlakoztatására szolgál
Példa /22 CIDR hálózati címblokkra: 10.10.0.0/22
Az alhálózatok:
| Hálózati használat | Description | Subnet | Example |
|---|---|---|---|
| Magánfelhő-kezelés | Felügyeleti hálózat (például vCenter, NSX) | /26 |
10.10.0.0/26 |
| HCX menedzsmentmigrációk | Helyi kapcsolat HCX-berendezésekhez (leágazások) | /26 |
10.10.0.64/26 |
| Fenntartott Globális Elérés | Kimenő felület az ExpressRoute-hoz | /26 |
10.10.0.128/26 |
| NSX DNS szolgáltatás | Beépített NSX DNS-szolgáltatás | /32 |
10.10.0.192/32 |
| Reserved | Reserved | /32 |
10.10.0.193/32 |
| Reserved | Reserved | /32 |
10.10.0.194/32 |
| Reserved | Reserved | /32 |
10.10.0.195/32 |
| Reserved | Reserved | /30 |
10.10.0.196/30 |
| Reserved | Reserved | /29 |
10.10.0.200/29 |
| Reserved | Reserved | /28 |
10.10.0.208/28 |
| ExpressRoute-társviszony-létesítés | ExpressRoute társviszony létesítés | /27 |
10.10.0.224/27 |
| ESXi-kezelés | ESXi felügyeleti VMkernel-interfészek | /25 |
10.10.1.0/25 |
| vMotion Network | vMotion VMkernel-interfészek | /25 |
10.10.1.128/25 |
| Replikációs hálózat | vSphere replikációs felületek | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel-interfészek és csomópont-kommunikáció | /25 |
10.10.2.128/25 |
| HCX uplink | Uplinkek HCX IX és NE berendezésekhez a távoli partnerekkel | /26 |
10.10.3.0/26 |
| Reserved | Reserved | /26 |
10.10.3.64/26 |
| Reserved | Reserved | /26 |
10.10.3.128/26 |
| Reserved | Reserved | /26 |
10.10.3.192/26 |
Note
Az ESXi felügyeleti/vmotion/replikációs hálózatai technikailag képesek 125 gazdagép támogatására, de a támogatott maximális érték 96, mivel 29 a csere/karbantartás (19) és a HCX (10) számára van fenntartva.
Szükséges hálózati portok
| Source | Destination | Protocol | Port | Description |
|---|---|---|---|---|
| Magánfelhő DNS-kiszolgálója | Helyszíni DNS-kiszolgáló | UDP | 53 | DNS-ügyfél – A magánfelhő vCenter-kiszolgálójától érkező kérések továbbítása helyszíni DNS-lekérdezésekhez (lásd a DNS-szakaszt). |
| Helyszíni DNS-kiszolgáló | Magánfelhő DNS-kiszolgálója | UDP | 53 | DNS-ügyfél – Helyszíni szolgáltatások kéréseinek továbbítása magánfelhőbeli DNS-kiszolgálókra (lásd a DNS-szakaszt) |
| Helyszíni hálózat | Privát felhő vCenter Server | TCP (HTTP) | 80 | A vCenter Server közvetlen HTTP-kapcsolatokhoz a 80-s portot igényli. A 80-as port átirányítja a kérelmeket a HTTPS 443-ra. Ez az átirányítás segít, ha a http://server-t használja https://server helyett. |
| Magánfelhő-felügyeleti hálózat | Helyszíni Active Directory | TCP | 389/636 | Engedélyezze az Azure VMware Solutions vCenter Server számára a helyszíni Active Directory/LDAP-kiszolgáló(k) közötti kommunikációt. Nem kötelező a helyszíni AD identitásforrásként való konfigurálásához a Privát felhő vCenterben. A 636-os port biztonsági okokból ajánlott. |
| Magánfelhő-felügyeleti hálózat | Helyszíni Active Directory globális katalógus | TCP | 3268/3269 | Engedélyezze az Azure VMware Solutions vCenter Server számára a helyszíni Active Directory/LDAP globális katalóguskiszolgáló(k) közötti kommunikációt. Nem kötelező a helyszíni AD identitásforrásként való konfigurálásához a magánfelhő vCenter-kiszolgálón. Használja a 3269-s portot a biztonság érdekében. |
| Helyszíni hálózat | Privát felhő vCenter Server | TCP (HTTPS) | 443 | A vCenter Server elérése helyszíni hálózatról. A vCenter Server alapértelmezett portja a vSphere-ügyfélkapcsolatok figyeléséhez. Ha engedélyezni szeretné, hogy a vCenter Server rendszer adatokat fogadjon a vSphere-ügyfélről, nyissa meg a 443-at a tűzfalon. A vCenter Server rendszer a 443-as portot is használja az SDK-ügyfelek adatátvitelének figyeléséhez. |
| Helyszíni hálózat | HCX Cloud Manager | TCP (HTTPS) | 9443 | HCX Cloud Manager virtuális berendezés felügyeleti felülete HCX-rendszerkonfigurációhoz. |
| Helyszíni felügyeleti hálózat | HCX Cloud Manager | SSH | 22 | Rendszergazdai SSH-hozzáférés a HCX Cloud Manager virtuális berendezéshez. |
| HCX Menedzser | Összekapcsolás (HCX-IX) | TCP (HTTPS) | 8123 | HCX tömeges áttelepítés vezérlése. |
| HCX Menedzser | Interconnect (HCX-IX), Network Extension (HCX-NE) | TCP (HTTPS) | 9443 | Kezelési utasítások küldése a helyi HCX Interconnectnek a REST API használatával. |
| Interconnect (HCX-IX) | L2C | TCP (HTTPS) | 443 | Ha az L2C ugyanazt az útvonalat használja, mint az Összekapcsolás, küldjön kezelési utasításokat az Interconnectről az L2C-nek. |
| HCX Manager, Interconnect (HCX-IX) | ESXi-gazdagépek | TCP | 80,443,902 | Felügyelet és OVF üzembe helyezés. |
| Interconnect (HCX-IX), Network Extension (HCX-NE) a Forrásban | Csatlakozás (HCX-IX), Hálózati bővítmény (HCX-NE) a célhelyen | UDP | 4500 | Az IPSEC-hez szükséges Internetes kulcscsere (IKEv2) a kétirányú alagút számítási feladatainak beágyazásához. Támogatja a hálózati címfordítás-átjárhatóságot (NAT-T). |
| Interconnect (HCX-IX) / Network Extension (HCX-NE) | Távoli összekapcsolás (HCX-IX) / Hálózati bővítmény (HCX-NE) | TCP,UDP | 5201 | A Service Mesh-diagnosztikához szükséges a perftest uplink teszthez. (A 4500-ás portról a HCX 4.8-zal áthelyezve). |
| Helyszíni hálózati összeköttetés (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4500 | Az IPSEC-hez szükséges Internet Key Exchange (ISAKMP) a kétirányú alagúthoz. |
| Helyszíni vCenter Server-hálózat | Magánfelhő-felügyeleti hálózat | TCP | 8000 | Virtuális gépek vMotion-használata a helyszíni vCenter-kiszolgálóról a privát felhőbeli vCenter-kiszolgálóra |
| HCX-összekötő | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 |
connect a licenckulcs érvényesítéséhez szükséges.hybridity szükséges a frissítésekhez. |
Ez a táblázat általános tűzfalszabályokat mutat be a tipikus forgatókönyvekhez. Előfordulhat azonban, hogy több elemet is figyelembe kell vennie a tűzfalszabályok konfigurálásakor. Vegye figyelembe, hogy amikor a forrás és a cél a "helyszíni" kifejezést használja, ezek az információk csak akkor relevánsak, ha az adatközpont rendelkezik a forgalmat ellenőrző tűzfallal. Ha a helyszíni összetevők nem rendelkeznek ellenőrzésre szolgáló tűzfallal, figyelmen kívül hagyhatja ezeket a szabályokat.
További információ: A VMware HCX portkövetelményeinek teljes listája.
DHCP- és DNS-feloldási szempontok
A magánfelhő-környezetben futó alkalmazások és számítási feladatok névfeloldást és DHCP-szolgáltatásokat igényelnek a keresési és IP-címhozzárendelésekhez. Ezeknek a szolgáltatásoknak a biztosításához megfelelő DHCP- és DNS-infrastruktúrára van szükség. A virtuális gépet úgy konfigurálhatja, hogy ezeket a szolgáltatásokat a magánfelhő-környezetben nyújthassa.
Használja az NSX-T Data Center beépített DHCP szolgáltatását, vagy a magánfelhőben lévő helyi DHCP-kiszolgálót, ahelyett, hogy a DHCP sugárzott forgalmat a WAN-on keresztül visszavezetné a helyszíni infrastruktúrára.
Important
Ha alapértelmezett útvonalat hirdet az Azure VMware-megoldáshoz, engedélyeznie kell a DNS-továbbító számára, hogy elérje a konfigurált DNS-kiszolgálókat, és támogatnia kell a nyilvános névfeloldásokat.
Következő lépések
Ebben az oktatóanyagban megismerhette az Azure VMware Solution magánfelhő üzembe helyezésének szempontjait és követelményeit. Miután a megfelelő hálózatkezelést elvégezte, folytassa a következő oktatóanyagtal az Azure VMware Solution magánfelhőjének létrehozásához.