Hálózati topológia és kapcsolat az Azure VMware Solutionhez

  • Cikk

Ha VMware szoftveralapú adatközpontot (SDDC) használ egy Azure-felhőbeli ökoszisztémával, egyedi tervezési szempontokat kell figyelembe vennie mind a natív felhőbeli, mind a hibrid forgatókönyvek esetében. Ez a cikk alapvető szempontokat és ajánlott eljárásokat tartalmaz az Azure és az Azure VMware Solution üzemelő példányai közötti hálózatkezeléshez és csatlakozáshoz.

A cikk több felhőadaptálási keretrendszer nagyvállalati szintű célzóna architektúraelveire és javaslatára épül a hálózati topológia és a nagy léptékű kapcsolatok kezelésére. Ezt az Azure-beli célzóna tervezési területére vonatkozó útmutatást a kritikus fontosságú Azure VMware-megoldásplatformokhoz használhatja. A tervezési területek a következők:

  • Hibrid integráció a helyszíni, többfelhős, peremhálózati és globális felhasználók közötti kapcsolatokhoz. További információ: Nagyvállalati szintű támogatás hibrid és többfelhős rendszerekhez.
  • Teljesítmény és megbízhatóság nagy méretekben a számítási feladatok méretezhetősége és a konzisztens, alacsony késésű élmény érdekében. A következő cikk a kétrégiós üzemelő példányokat ismerteti.
  • Nulla megbízhatósági alapú hálózati biztonság a hálózati szegély és a forgalom biztonsága érdekében. További információ: Hálózati biztonsági stratégiák az Azure-ban.
  • Bővíthetőség a hálózati lábnyomok egyszerű bővítéséhez anélkül, hogy tervezési átdolgozásokra van szükség.

Általános tervezési szempontok és javaslatok

A következő szakaszok általános tervezési szempontokat és javaslatokat nyújtanak az Azure VMware Solution hálózati topológiájához és kapcsolatához.

Küllős és virtuális WAN hálózati topológia

Ha nem rendelkezik ExpressRoute-kapcsolattal a helyszínről az Azure-ba, és ehelyett S2S VPN-t használ, a Virtual WAN használatával átadhatja a kapcsolatot a helyszíni VPN és az Azure VMware Solution ExpressRoute között. Ha küllős topológiát használ, szüksége van az Azure Route Serverre. További információ: Az Azure Route Server expressroute- és Azure VPN-támogatása.

Magánfelhők és -fürtök

  • Minden fürt képes kommunikálni egy Azure VMware Solution magánfelhőben, mert mindegyik azonos /22 címtérrel rendelkezik.

  • Minden fürt ugyanazokat a kapcsolati beállításokat használja, beleértve az internetet, az ExpressRoute-ot, a HCX-et, a nyilvános IP-címet és az ExpressRoute Global Reachet. Az alkalmazás számítási feladatai megoszthatnak néhány alapvető hálózati beállítást is, például a hálózati szegmenseket, a dinamikus gazdakonfigurációs protokollt (DHCP) és a DNS-beállításokat.

  • Az üzembe helyezés előtt tervezzen magánfelhőket és fürtöket. A szükséges magánfelhők száma közvetlenül befolyásolja a hálózatkezelési követelményeket. Minden magánfelhőnek saját /22 címterületre van szüksége a magánfelhő-felügyelethez és a virtuálisgép-számítási feladatok IP-címszegmenséhez. Érdemes előre definiálni ezeket a címtereket.

  • A VMware- és hálózatkezelési csapatokkal megbeszélheti, hogyan szegmentelheti és terjesztheti a magánfelhőket, fürtöket és hálózati szegmenseket a számítási feladatokhoz. Tervezze meg jól, és kerülje az IP-címek elsiklását.

A magánfelhők IP-címeinek kezeléséről további információt a magánfelhők IP-címszegmensének definiálása című témakörben talál.

További információ a virtuálisgép-számítási feladatok IP-címeinek kezeléséről: A virtuálisgép-számítási feladatok IP-címszegmensének meghatározása.

DNS és DHCP

DHCP esetén használja az NSX-T adatközpontba beépített DHCP-szolgáltatást, vagy használjon egy helyi DHCP-kiszolgálót egy magánfelhőben. Ne irányítsa vissza a sugárzott DHCP-forgalmat a WAN-on keresztül a helyszíni hálózatokra.

A DNS esetében az alkalmazott forgatókönyvtől és a követelményektől függően több lehetősége is van:

  • Csak Azure VMware Solution-környezet esetén üzembe helyezhet egy új DNS-infrastruktúrát az Azure VMware Solution magánfelhőjében.
  • A helyszíni környezethez csatlakoztatott Azure VMware-megoldáshoz használhatja a meglévő DNS-infrastruktúrát. Ha szükséges, helyezzen üzembe DNS-továbbítókat az Azure Virtual Networkbe vagy lehetőleg az Azure VMware Solutionbe való kiterjesztéshez. További információ: DNS-továbbító szolgáltatás hozzáadása.
  • A helyszíni és az Azure-környezetekhez és -szolgáltatásokhoz csatlakoztatott Azure VMware-megoldáshoz használhat meglévő DNS-kiszolgálókat vagy DNS-továbbítókat a központi virtuális hálózaton, ha van ilyen. A meglévő helyszíni DNS-infrastruktúrát az Azure Hub virtuális hálózatára is kiterjesztheti. További részletekért tekintse meg a nagyvállalati szintű kezdőzónák diagramot.

További információért tekintse át az alábbi cikkeket:

Internet

Az internet engedélyezésének, valamint a forgalom szűrésének és vizsgálatának kimenő lehetőségei a következők:

  • Azure Virtual Network, NVA és Azure Route Server azure internet-hozzáféréssel.
  • Helyszíni alapértelmezett útvonal helyszíni internet-hozzáféréssel.
  • A Virtual WAN által védett központ az Azure Firewall vagy az NVA használatával, az Azure internet-hozzáféréssel.

A tartalmak és alkalmazások kézbesítésének bejövő lehetőségei a következők:

  • Azure-alkalmazás átjáró L7, Secure Sockets Layer (SSL) leállással és webalkalmazási tűzfallal.
  • DNST és terheléselosztó a helyszínen.
  • Az Azure Virtual Network, az NVA és az Azure Route Server különböző forgatókönyvekben.
  • A Virtual WAN biztonságos központ az Azure Firewalllal, L4 és DNAT használatával.
  • A Virtual WAN által biztosított központ az NVA-val különböző helyzetekben.

ExpressRoute

Az Azure VMware Solution beépített magánfelhő-üzembe helyezése automatikusan létrehoz egy ingyenes 10 Gb/s-os ExpressRoute-kapcsolatcsoportot. Ez a kapcsolatcsoport csatlakoztatja az Azure VMware Solutiont a D-M Standard kiadás E-hez.

Fontolja meg az Azure VMware Solution üzembe helyezését az adatközpontok közelében lévő Azure párosított régiókban . Tekintse át ezt a cikket az Azure VMware Solution kétrégiós hálózati topológiáira vonatkozó javaslatokért.

Globális elérhetőség

  • A Global Reach egy szükséges ExpressRoute-bővítmény az Azure VMware Solutionhez a helyszíni adatközpontokkal, az Azure Virtual Networknel és a Virtual WAN-ral való kommunikációhoz. A másik lehetőség a hálózati kapcsolat megtervezése az Azure Route Serverrel.

  • Az Azure VMware Solution ExpressRoute-kapcsolatcsoportot díjmentesen társíthatja más ExpressRoute-kapcsolatcsoportokkal a Global Reach használatával.

  • Az ExpressRoute-kapcsolatcsoportok internetszolgáltatón és ExpressRoute Direct-kapcsolatcsoportokon keresztüli társviszony-létesítéséhez használhatja a Global Reachet.

  • A Global Reach nem támogatott az ExpressRoute helyi kapcsolatcsoportjaihoz. Az ExpressRoute Local esetében az Azure VMware Solutionből a helyszíni adatközpontokbe történő átvitel külső NVA-kon keresztül egy Azure-beli virtuális hálózaton keresztül.

  • A Global Reach nem érhető el minden helyen.

Sávszélesség

Válasszon egy megfelelő virtuális hálózati átjáró termékváltozatot az Azure VMware Solution és az Azure Virtual Network közötti optimális sávszélességhez. Az Azure VMware Solution legfeljebb négy ExpressRoute-kapcsolatcsoportot támogat egy ExpressRoute-átjáróhoz egy régióban.

Hálózati biztonság

A hálózati biztonság magában foglalja a forgalomvizsgálatot és a porttükrözést.

Az SDDC-n belüli kelet-nyugati forgalomvizsgálat NSX-T adatközpontot vagy NVA-kat használ az Azure Virtual Network felé irányuló forgalom régiók közötti vizsgálatához.

Az észak-déli forgalomvizsgálat az Azure VMware Solution és az adatközpontok közötti kétirányú forgalomra is kitér. Az észak-déli forgalom ellenőrzése a következőt használhatja:

  • Külső NVA-tűzfal és Azure Route Server az Azure interneten keresztül.
  • Egy helyszíni alapértelmezett útvonal a helyszíni interneten keresztül.
  • Azure Firewall és Virtual WAN az Azure interneten keresztül
  • NSX-T adatközpont az SDDC-ben az Azure VMware Solution interneten keresztül.
  • Külső NVA tűzfal az Azure VMware Solutionben az SDDC-n belül az Azure VMware Solution interneten keresztül

Portok és protokollkövetelmények

Konfigurálja a helyszíni tűzfalhoz szükséges összes portot, hogy megfelelő hozzáférést biztosítson az Összes Azure VMware Solution magánfelhő-összetevőhöz. További információ: Szükséges hálózati portok.

Azure VMware-megoldáskezelési hozzáférés

  • Fontolja meg egy Azure Bastion-gazdagép azure-beli virtuális hálózatban való használatát az Azure VMware Solution környezetének eléréséhez az üzembe helyezés során.

  • Miután útválasztást létesített a helyszíni környezetbe, az Azure VMware Megoldáskezelő hálózat nem tartja tiszteletben a 0.0.0.0/0 helyszíni hálózatok útvonalait, ezért konkrétabb útvonalakat kell meghirdetnie a helyszíni hálózatok számára.

Üzletmenet-folytonosság, vészhelyreállítás (BCDR) és migrálások

  • A VMware HCX-migrálások során az alapértelmezett átjáró a helyszínen marad. További információ: VMware HCX üzembe helyezése és konfigurálása.

  • A VMware HCX-áttelepítések HCX L2-bővítményt használhatnak. A 2. rétegbeli bővítményt igénylő migrálásokhoz az ExpressRoute is szükséges. Az S2S VPN mindaddig támogatott, amíg a minimális hálózati aláfedés minimumkövetelményei nettóak. A maximális átviteli egység (MTU) méretének 1350-nek kell lennie a HCX többletterhelésének kielégítéséhez. A 2. rétegbeli bővítmények kialakításáról további információt a 2. réteg áthidalása kezelő módban (VMware.com) című témakörben talál.

Következő lépések