Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menguraikan pertimbangan desain utama untuk cloud privat Azure VMware Solution Generasi 2 (Gen 2). Ini menjelaskan kemampuan yang dibawa generasi ini ke lingkungan cloud privat berbasis VMware, memungkinkan akses untuk aplikasi Anda dari infrastruktur lokal dan sumber daya berbasis Azure. Ada beberapa pertimbangan untuk ditinjau sebelum Anda menyiapkan cloud privat Azure VMware Solution Gen 2 Anda. Artikel ini menyediakan solusi untuk kasus penggunaan yang mungkin Anda temui saat menggunakan jenis cloud privat.
Nota
Generasi 2 tersedia di wilayah publik Azure tertentu. Hubungi tim akun Microsoft atau Microsoft Support Anda untuk mengonfirmasi cakupan.
Keterbatasan
Fungsionalitas berikut dibatasi selama waktu ini. Batasan ini akan dicabut di masa mendatang:
- Anda tidak dapat menghapus Grup Sumber Daya, yang berisi cloud privat Anda. Anda harus menghapus cloud privat terlebih dahulu sebelum menghapus grup sumber daya.
- Anda hanya dapat menyebarkan cloud privat 1 per jaringan virtual Azure.
- Anda hanya dapat membuat 1 cloud privat per Grup Sumber Daya. Beberapa cloud privat dalam satu Grup Sumber Daya tidak didukung.
- Cloud privat dan jaringan virtual Anda untuk cloud privat Anda harus berada di Grup Sumber Daya yang sama .
- Anda tidak dapat memindahkan cloud privat Anda dari satu Grup Sumber Daya ke Grup Sumber Daya lainnya setelah cloud privat dibuat.
- Anda tidak dapat memindahkan cloud privat Anda dari satu penyewa ke penyewa lain setelah cloud privat dibuat.
- Jika Anda memerlukan ExpressRoute FastPath atau Global Virtual Network Peering untuk AVS Private Cloud Anda, buat Kasus Dukungan melalui portal Azure.
- Service Endpoints konektivitas langsung dari beban kerja Azure VMware Solution tidak didukung.
- Private Endpoints saat di-peering secara global di seluruh wilayah yang tersambung ke Azure VMware Solution tidak didukung.
- Direktur vCloud yang menggunakan Titik Akhir Privat didukung. Namun, vCloud Director yang menggunakan Public Endpoints tidak didukung.
- vSAN Stretched Clusters tidak didukung.
- Dukungan untuk konfigurasi internet dengan IP Publik ke dalam VMware NSX melalui Microsoft Edge tidak akan tersedia. Anda dapat menemukan opsi internet apa yang didukung dalam opsi konektivitas Internet.
- Selama pemeliharaan yang tidak diencana - seperti kegagalan perangkat keras host - pada salah satu dari empat host pertama di SDDC Anda, Anda mungkin mengalami gangguan konektivitas jaringan North-South sementara untuk beberapa beban kerja, berlangsung hingga 30 detik. Koneksi North-South mengacu pada lalu lintas antara beban kerja VMware AVS Anda dan titik akhir eksternal di luar NSX-T Tier-0 (T0) Edge, seperti layanan Azure atau lingkungan on-premises. Batasan ini telah dihapus di wilayah Azure tertentu. Tanyakan kepada dukungan Azure untuk melihat apakah wilayah Anda terpengaruh oleh batasan ini.
- Kelompok Keamanan Jaringan yang terkait dengan jaringan virtual host cloud privat harus dibuat dalam grup sumber daya yang sama dengan cloud privat dan jaringan virtualnya.
-
Referensi lintas grup sumber daya dan lintas langganan dari jaringan virtual pelanggan ke jaringan virtual Azure VMware Solution tidak didukung secara default. Ini mencakup jenis sumber daya seperti: Rute yang ditentukan pengguna (UDR), Paket Perlindungan DDoS, dan sumber daya jaringan yang terkait lainnya. Jika jaringan virtual pelanggan dikaitkan dengan salah satu referensi ini yang berada di grup sumber daya atau langganan yang berbeda dari jaringan virtual Azure VMware Solution, pemrograman jaringan (seperti penyebaran segmen NSX) mungkin gagal. Untuk menghindari masalah, pelanggan harus memastikan bahwa jaringan virtual Azure VMware Solution tidak ditautkan ke sumber daya dalam grup sumber daya atau langganan yang berbeda dan melepaskan sumber daya tersebut (misalnya, Paket Perlindungan DDoS) dari jaringan virtual sebelum melanjutkan.
- Untuk mempertahankan referensi grup lintas sumber daya Anda, buat penetapan peran dari grup lintas sumber daya atau langganan, dan berikan kepada "AzS VIS Prod App" peran "AVS on Fleet VIS Role". Penetapan peran memungkinkan Anda menggunakan referensi dan memiliki referensi yang diterapkan dengan benar untuk cloud privat Azure VMware Solution Anda.
- Private cloud Gen 2 dapat mengalami kegagalan apabila kebijakan Azure memberlakukan aturan ketat terhadap Grup Keamanan Jaringan atau tabel penggunaan lintasan (misalnya, konvensi penamaan tertentu). Batasan kebijakan ini dapat memblokir pembuatan yang diperlukan dari Azure VMware Solution Network Security Group dan tabel jalur selama penyebaran. Anda harus menghapus kebijakan ini dari jaringan virtual Azure VMware Solution sebelum menyebarkan cloud privat Anda. Setelah cloud privat Anda disebarkan, kebijakan ini dapat ditambahkan kembali ke cloud privat Azure VMware Solution Anda.
- Jika Anda menggunakan Private DNS untuk cloud privat Azure VMware Solution Gen 2 Anda, menggunakan DNS kustom di jaringan virtual tempat cloud privat Azure VMware Solution Gen 2 disebarkan tidak didukung. DNS kustom mengganggu operasi siklus hidup seperti penskalaan, peningkatan versi, dan patching.
- Jika Anda menghapus cloud privat Anda dan beberapa sumber daya yang dibuat Azure VMware Solution tidak dihapus, Anda dapat mencoba kembali penghapusan cloud privat Azure VMware Solution menggunakan Azure CLI.
- Azure VMware Solution Gen 2 menggunakan Proksi HTTP untuk membedakan antara lalu lintas jaringan pelanggan dan manajemen. Titik akhir layanan cloud VMware tertentu mungkin tidak mengikuti jalur jaringan atau aturan proksi yang sama seperti lalu lintas umum yang dikelola oleh vCenter. Contohnya termasuk: "scapi.vmware" dan "apigw.vmware". Proksi VAMI mengatur akses internet umum keluar dari vCenter Server Appliance (VCSA), namun tidak semua interaksi dengan titik akhir layanan melewati proksi ini. Beberapa interaksi berasal langsung dari browser pengguna atau dari komponen integrasi, yang sebagai gantinya mengikuti pengaturan proksi stasiun kerja atau memulai koneksi secara independen. Akibatnya, lalu lintas ke titik akhir layanan cloud VMware dapat melewati proksi VCSA sepenuhnya.
- Migrasi HCX RAV dan massal pada Gen 2 dapat mengalami performa jauh lebih lambat karena kemacetan selama tahap Sinkronisasi Dasar dan Online. Pelanggan harus merencanakan jendela migrasi yang lebih lama dan menjadwalkan gelombang yang sesuai untuk saat ini. Untuk beban kerja yang sesuai, vMotion menawarkan opsi overhead rendah yang lebih cepat saat host dan kondisi jaringan memungkinkan.
Integrasi yang tidak didukung
Integrasi pihak ke-1 dan pihak ketiga berikut tidak tersedia:
- Zerto Disaster Recovery
Subnet yang Didelegasikan dan Grup Keamanan Jaringan untuk Gen 2
Saat cloud privat Azure VMware Solution (AVS) Gen 2 disebarkan, Azure secara otomatis membuat beberapa subnet yang didelegasikan dalam jaringan virtual host cloud privat. Subnet ini digunakan untuk mengisolasi dan melindungi komponen manajemen cloud privat.
Pelanggan dapat mengelola akses ke subnet ini menggunakan Grup Keamanan Jaringan (NSG) yang terlihat di portal Azure atau melalui Azure CLI/PowerShell. Selain NSG yang dapat dikelola pelanggan, AVS menerapkan NSG tambahan yang dikelola sistem ke antarmuka manajemen penting. NSG yang dikelola sistem ini tidak terlihat atau dapat diedit oleh pelanggan dan ada untuk memastikan bahwa cloud privat tetap aman secara default.
Sebagai bagian dari postur keamanan default:
- Akses internet dinonaktifkan untuk cloud privat kecuali pelanggan secara eksplisit mengaktifkannya.
- Hanya lalu lintas manajemen yang diperlukan yang diizinkan untuk menjangkau layanan platform.
Nota
Anda mungkin melihat peringatan di portal Azure yang menunjukkan bahwa port tertentu tampaknya terekspos ke internet. Ini terjadi karena portal hanya mengevaluasi konfigurasi Network Security Group (NSG) yang terlihat pelanggan. Namun, Azure VMware Solution juga menerapkan Kelompok Keamanan Jaringan tambahan yang dikelola sistem yang tidak terlihat di portal. Kelompok Keamanan Jaringan yang dikelola sistem ini memblokir lalu lintas masuk kecuali akses telah diaktifkan secara eksplisit melalui konfigurasi Azure VMware Solution.
Desain ini memastikan bahwa lingkungan AVS terisolasi dan aman di luar kotak, sambil tetap memungkinkan pelanggan untuk mengontrol dan menyesuaikan akses jaringan berdasarkan persyaratan spesifik mereka.
Pertimbangan perutean dan subnet
Azure VMware Solution Gen 2 cloud privat menyediakan lingkungan cloud privat VMware yang dapat diakses oleh pengguna dan aplikasi dari lingkungan di lokasi dan sumber daya berbasis Azure. Konektivitas dikirimkan melalui Jaringan Azure standar. Rentang alamat jaringan dan port firewall tertentu diperlukan untuk mengaktifkan layanan ini. Bagian ini membantu Anda mengonfigurasi jaringan untuk bekerja dengan Azure VMware Solution.
Cloud privat terhubung ke jaringan virtual Azure Anda menggunakan jaringan Azure standar. Azure VMware Solution cloud privat Gen 2 memerlukan blok alamat jaringan CIDR minimum /22 untuk subnet. Jaringan ini melengkapi jaringan lokal Anda, sehingga blok alamat tidak boleh tumpang tindih dengan blok alamat yang digunakan di jaringan virtual lain di langganan dan jaringan lokal Anda. Jaringan Manajemen, vMotion, dan Replikasi disediakan secara otomatis dalam blok alamat ini sebagai subnet di dalam jaringan virtual Anda.
Nota
Rentang yang diizinkan untuk blok alamat Anda adalah ruang alamat pribadi RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), kecuali untuk 172.17.0.0/16. Jaringan replikasi tidak berlaku untuk simpul AV64 dan direncanakan untuk penghentian umum pada tanggal mendatang.
Hindari menggunakan skema IP berikut yang dicadangkan untuk penggunaan VMware NSX.
- 169.254.0.0/24 - digunakan untuk jaringan transit internal
- 169.254.2.0/23 - digunakan untuk jaringan transit antar-VRF
- 100.64.0.0/16 - digunakan untuk menyambungkan gateway T1 dan T0 secara internal
- 100.73.x.x – digunakan oleh jaringan manajemen Microsoft
Contoh /22 blok alamat jaringan CIDR 10.31.0.0/22 dibagi menjadi subnet berikut:
| Penggunaan Jaringan | Subnet | Deskripsi | Example |
|---|---|---|---|
| Jaringan NSX VMware | /27 | Jaringan NSX Manager. | 10.31.0.0/27 |
| Jaringan vCSA | /27 | Jaringan vCenter Server. | 10.31.0.32/27 |
| Manajemen AVS | /27 | Appliance manajemen (vCenter Server, manajer NSX, dan manajer cloud HCX) berada di belakang subnet "avs-mgmt", yang dikonfigurasi sebagai rentang IP sekunder pada subnet ini. Anda mungkin perlu menyesuaikan tabel rute yang terkait dengan subnet ini jika lalu lintas jaringan untuk perangkat manajemen Anda harus merutekan melalui NVA (Network Virtual Appliance) atau firewall. | 10.31.0.64/27 |
| avs-vnet-sync | /27 | Digunakan oleh Azure VMware Solution Gen 2 untuk memprogram rute yang dibuat di VMware NSX ke jaringan virtual. | 10.31.0.96/27 |
| avs-services | /27 | Digunakan untuk layanan penyedia Azure VMware Solution Gen 2. Juga digunakan untuk mengonfigurasi resolusi DNS privat untuk cloud privat Anda. | 10.31.0.224/27 |
| avs-nsx-gw, avs-nsx-gw-1 | /27 | Subnet dari masing-masing Gateway T0 per tepi. Subnet ini digunakan untuk memprogram segmen jaringan VMware NSX sebagai alamat IP sekunder. | 10.31.0.128/27, 10.31.0.160/27 |
| esx-mgmt-vmk1 | /25 | vmk1 adalah antarmuka manajemen yang digunakan oleh pelanggan untuk mengakses host. IP dari antarmuka vmk1 berasal dari subnet ini. Semua lalu lintas vmk1 untuk semua host berasal dari rentang subnet ini. | 10.31.1.0/25 |
| esx-vmotion-vmk2 | /25 | Antarmuka vMotion VMkernel. | 10.31.1.128/25 |
| esx-vsan-vmk3 | /25 | Antarmuka vSAN VMkernel dan komunikasi simpul. | 10.31.2.0/25 |
| avs-network-infra-gw | /26 | Digunakan oleh manajemen Azure VMware Solution untuk memprogram segmen NSX. Pelanggan tidak perlu memodifikasi subnet ini karena hanya digunakan untuk infrastruktur Azure VMware Solution. Anda akan melihat segmen jaringan NSX Anda dibuat sebagai Awalan IP sekunder dalam subnet ini. Namun, segmen beban kerja masih merutekan melalui subnet avs-nsx-gw dan avs-nsx-gw-1. | 10.31.2.128/26 |
| Sudah Dipesan | /27 | Ruang Cadangan | 10.31.0.128/27 |
| Sudah Dipesan | /27 | Ruang Cadangan | 10.31.0.192/27 |
Nota
Untuk penyebaran Azure VMware Solution Gen 2, pelanggan sekarang harus mengalokasikan dua subnet /24 tambahan untuk pengelolaan dan uplink HCX, di samping /22 yang dimasukkan selama penyebaran SDDC. Di AVS Gen 2, hanya subnet HCX mgmt dan uplink HCX yang diperlukan. Jaringan vMotion dan replikasi tidak diperlukan untuk AVS Gen 2.
Langkah berikutnya
Mulailah mengonfigurasi perwakilan layanan Azure VMware Solution Anda sebagai langkah prasyarat. Untuk mempelajari caranya, lihat panduan memulai cepat Principal Layanan Azure VMware Solution.
Ikuti tutorial untuk Buat Azure VMware Gen 2 Private Cloud