Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure VMware Solution menyediakan lingkungan cloud privat VMware yang dapat diakses oleh pengguna dan aplikasi dari lingkungan atau sumber daya lokal dan berbasis Azure. Konektivitas dikirimkan melalui layanan jaringan seperti Azure ExpressRoute dan koneksi VPN. Rentang alamat jaringan dan port firewall tertentu diperlukan untuk mengaktifkan layanan ini. Artikel ini membantu Anda mengonfigurasi jaringan untuk bekerja dengan Azure VMware Solution.
Dalam tutorial ini, pelajari tentang:
- Pertimbangan jaringan virtual dan sirkuit ExpressRoute
- Persyaratan routing dan subnet
- Port jaringan yang diperlukan untuk berkomunikasi dengan layanan
- Pertimbangan DHCP dan DNS di Azure VMware Solution
Prasyarat
Pastikan semua gateway, termasuk layanan penyedia ExpressRoute, mendukung Nomor Sistem Otonom (ASN) 4-byte. Azure VMware Solution menggunakan ASN publik 4-byte untuk rute iklan.
Pertimbangan jaringan virtual dan sirkuit ExpressRoute
Saat membuat koneksi jaringan virtual di langganan Anda, sirkuit ExpressRoute akan dibuat melalui peering, menggunakan kunci otorisasi dan ID peering yang Anda minta di portal Microsoft Azure. Peering menghubungkan langsung cloud pribadi Anda dengan jaringan virtual.
Catatan
Sirkuit ExpressRoute bukan bagian dari penyebaran cloud privat. Sirkuit ExpressRoute lokal berada di luar lingkup yang dicakup oleh dokumen ini. Jika Anda memerlukan konektivitas lokal ke cloud privat Anda, gunakan salah satu sirkuit ExpressRoute yang ada atau beli di portal Azure.
Saat menyebarkan cloud privat, Anda menerima alamat IP untuk vCenter Server dan NSX Manager. Untuk mengakses antarmuka manajemen ini, buat lebih banyak sumber daya di jaringan virtual langganan Anda. Temukan prosedur untuk membuat sumber daya tersebut dan menetapkan peering privat ExpressRoute dalam tutorial.
Jaringan logis cloud privat mencakup konfigurasi NSX yang telah disediakan sebelumnya. Gateway Tier-0 dan gateway Tier-1 telah tersedia untuk Anda. Anda bisa membuat segmen dan melampirkannya ke gateway Tier-1 yang sudah ada atau melampirkannya ke gateway Tier-1 baru yang Anda tetapkan. Komponen jaringan logis NSX menyediakan konektivitas Timur-Barat antara beban kerja dan konektivitas Utara-Selatan ke internet dan layanan Azure.
Penting
Jika Anda berencana untuk menskalakan host Azure VMware Solution dengan menggunakan penyimpanan data Azure NetApp Files, menyebarkan jaringan virtual yang dekat dengan host Anda dengan gateway jaringan virtual ExpressRoute sangat penting. Semakin dekat penyimpanan ke host Anda, akan makin baik kinerjanya.
Pertimbangan perutean dan subnet
Cloud privat Azure VMware Solution tersambung ke jaringan virtual Azure Anda menggunakan koneksi Azure ExpressRoute. Koneksi bandwidth tinggi dan latensi rendah ini memungkinkan Anda mengakses layanan yang berjalan di langganan Azure Anda dari lingkungan cloud pribadi Anda. Perutean menggunakan Border Gateway Protocol (BGP), disediakan secara otomatis, dan diaktifkan secara default untuk setiap penyebaran cloud privat.
Cloud privat Azure VMware Solution memerlukan blok alamat jaringan CIDR minimum /22 untuk subnet. Jaringan ini melengkapi jaringan lokal Anda, sehingga blok alamat tidak boleh tumpang tindih dengan blok alamat yang digunakan di jaringan virtual lain di langganan dan jaringan lokal Anda. Jaringan Manajemen, vMotion, dan Replikasi disediakan secara otomatis dalam blok alamat ini.
Catatan
Rentang yang diizinkan untuk blok alamat Anda adalah ruang alamat pribadi RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), kecuali untuk 172.17.0.0/16. Jaringan replikasi tidak dapat diterapkan pada simpul AV64 dan dijadwalkan untuk penghentian umum pada tanggal yang akan datang.
Penting
Hindari menggunakan skema IP berikut yang dicadangkan untuk penggunaan NSX:
- 169.254.0.0/24 - digunakan untuk jaringan transit internal
- 169.254.2.0/23 - digunakan untuk jaringan transit antar-VRF
- 100.64.0.0/16 - digunakan untuk menyambungkan gateway T1 dan T0 secara internal
Contoh /22 blok alamat jaringan CIDR: 10.10.0.0/22
Subnet:
| Penggunaan jaringan | Deskripsi | Subnet | Contoh |
|---|---|---|---|
| Manajemen cloud pribadi | Jaringan Manajemen (seperti vCenter Server, NSX) | /26 |
10.10.0.0/26 |
| Migrasi Manajemen HCX | Konektivitas lokal untuk perangkat HCX (downlink) | /26 |
10.10.0.64/26 |
| Jangkauan Global Terbatas | Antarmuka keluar untuk ExpressRoute | /26 |
10.10.0.128/26 |
| Layanan DNS NSX | Layanan DNS NSX bawaan | /32 |
10.10.0.192/32 |
| Dicadangkan | Dicadangkan | /32 |
10.10.0.193/32 |
| Dicadangkan | Dicadangkan | /32 |
10.10.0.194/32 |
| Dicadangkan | Dicadangkan | /32 |
10.10.0.195/32 |
| Dicadangkan | Dicadangkan | /30 |
10.10.0.196/30 |
| Dicadangkan | Dicadangkan | /29 |
10.10.0.200/29 |
| Dicadangkan | Dicadangkan | /28 |
10.10.0.208/28 |
| Peering ExpressRoute | ExpressRoute Peering | /27 |
10.10.0.224/27 |
| Manajemen ESXi | Antarmuka VMkernel untuk manajemen ESXi | /25 |
10.10.1.0/25 |
| Jaringan vMotion | Antarmuka vMotion VMkernel | /25 |
10.10.1.128/25 |
| Jaringan Replikasi | Antarmuka Replikasi vSphere | /25 |
10.10.2.0/25 |
| vSAN | Antarmuka vSAN VMkernel dan komunikasi simpul | /25 |
10.10.2.128/25 |
| Uplink HCX | Uplinks untuk perangkat HCX IX dan NE menuju perangkat rekan jarak jauh | /26 |
10.10.3.0/26 |
| Dicadangkan | Dicadangkan | /26 |
10.10.3.64/26 |
| Dicadangkan | Dicadangkan | /26 |
10.10.3.128/26 |
| Dicadangkan | Dicadangkan | /26 |
10.10.3.192/26 |
Catatan
Jaringan manajemen/vmotion/replikasi ESXi secara teknis mampu mendukung 125 Host, namun maks yang didukung adalah 96 karena 29 disediakan untuk penggantian/pemeliharaan (19) dan HCX(10).
Port jaringan yang diperlukan
| Sumber | Tujuan | Protokol | Pelabuhan | Deskripsi |
|---|---|---|---|---|
| Server DNS Pribadi Cloud | Server DNS lokal | UDP | 53 | Klien DNS - Meneruskan permintaan dari Private Cloud vCenter Server untuk kueri DNS lokal apa pun (lihat bagian DNS). |
| Server DNS lokal | Server DNS Pribadi Cloud | UDP | 53 | Klien DNS - Meneruskan permintaan dari layanan lokal ke server DNS Cloud Privat (lihat bagian DNS) |
| Jaringan lokal | Komputasi Awan Pribadi vCenter Server | TCP (HTTP) | 80 | vCenter Server memerlukan port 80 untuk koneksi HTTP langsung. Port 80 mengalihkan permintaan ke port HTTPS 443. Pengalihan ini membantu jika Anda menggunakan http://server alih-alih https://server. |
| Jaringan manajemen Private Cloud | Direktori Aktif lokal | PKT | 389/636 | Aktifkan Azure VMware Solutions vCenter Server untuk berkomunikasi dengan server Active Directory lokal/LDAP. Opsional untuk mengonfigurasi AD lokal sebagai sumber identitas di Private Cloud vCenter Server. Port 636 direkomendasikan untuk tujuan keamanan. |
| Jaringan manajemen Private Cloud | Katalog Global Active Directory di Lokasi | PKT | 3268/3269 | Aktifkan Azure VMware Solutions vCenter Server untuk berkomunikasi dengan server katalog global Active Directory lokal/LDAP. Opsional untuk mengonfigurasi AD lokal sebagai sumber identitas di Private Cloud vCenter Server. Gunakan port 3269 untuk keamanan. |
| Jaringan lokal | Private Cloud vCenter Server | TCP (HTTPS) | 443 | Akses vCenter Server dari jaringan lokal. Port default untuk vCenter Server untuk mendengarkan koneksi Klien vSphere. Untuk mengaktifkan sistem vCenter Server untuk menerima data dari Klien vSphere, buka port 443 di firewall. Sistem vCenter Server juga menggunakan port 443 untuk memantau transfer data dari klien SDK. |
| Jaringan lokal | Manajer Cloud HCX | TCP (HTTPS) | 9443 | Antarmuka manajemen HCX Cloud Manager untuk konfigurasi sistem HCX pada appliance virtual. |
| Jaringan Admin lokal | Manajer Cloud HCX | SSH | 22 | Akses SSH Administrator ke peralatan virtual HCX Cloud Manager. |
| Manajer HCX | Interkoneksi (HCX-IX) | TCP (HTTPS) | 8123 | Kontrol HCX untuk Migrasi Massal. |
| Manajer HCX | Interkoneksi (HCX-IX), Ekstensi Jaringan (HCX-NE) | TCP (HTTPS) | 9443 | Kirim instruksi manajemen ke Interkoneksi HCX lokal menggunakan REST API. |
| Interkoneksi (HCX-IX) | L2C | TCP (HTTPS) | 443 | Kirim instruksi manajemen dari Interkoneksi ke L2C saat L2C menggunakan jalur yang sama dengan Interkoneksi. |
| Manajer HCX, Interkoneksi (HCX-IX) | Host ESXi | PKT | 80,443,902 | Manajemen dan penyebaran OVF. |
| Interkoneksi (HCX-IX), Ekstensi Jaringan (HCX-NE) di Sumber | Interkoneksi (HCX-IX), Ekstensi Jaringan (HCX-NE) di Tujuan | UDP | 4500 | Diperlukan untuk IPSEC Pertukaran kunci Internet (IKEv2) untuk merangkum beban kerja untuk terowongan dua arah. Mendukung Penerjemahan Alamat Jaringan-Traversal (NAT-T). |
| Interkoneksi (HCX-IX) / Ekstensi Jaringan (HCX-NE) | Interkoneksi Jarak Jauh (HCX-IX) / Ekstensi Jaringan (HCX-NE) | TCP,UDP | 5201 | Diperlukan untuk diagnostik Service Mesh dalam pengujian uplink perftest. (Dipindahkan dari port 4500 dengan HCX 4.8). |
| Interkoneksi Lokal (HCX-IX) | Interkoneksi Cloud (HCX-IX) | UDP | 4500 | Diperlukan untuk IPSEC Internet Key Exchange (ISAKMP) untuk terowongan dua arah. |
| Jaringan vCenter Server lokal | Jaringan manajemen Private Cloud | PKT | 8000 | vMotion VM dari vCenter Server lokal ke Private Cloud vCenter Server |
| Konektor HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
PKT | 443 |
connect diperlukan untuk memvalidasi kunci lisensi.hybridity diperlukan untuk pembaruan. |
Tabel ini menyajikan aturan firewall umum untuk skenario umum. Namun, Anda mungkin perlu mempertimbangkan lebih banyak item saat mengonfigurasi aturan firewall. Perhatikan ketika sumber dan tujuan mengatakan "lokal", informasi ini hanya relevan jika pusat data Anda memiliki firewall yang memeriksa alur. Jika komponen lokal Anda tidak memiliki firewall untuk diperiksa, Anda dapat mengabaikan aturan tersebut.
Untuk informasi selengkapnya, lihat daftar lengkap persyaratan port HCX VMware.
Pertimbangan resolusi DHCP dan DNS
Aplikasi dan beban kerja yang berjalan di lingkungan cloud privat memerlukan resolusi nama dan layanan DHCP untuk penetapan alamat pencarian dan IP. Infrastruktur DHCP dan DNS yang tepat diperlukan untuk menyediakan layanan ini. Anda dapat mengonfigurasi komputer virtual untuk menyediakan layanan ini di lingkungan cloud pribadi Anda.
Gunakan layanan DHCP bawaan NSX-T Data Center atau gunakan server DHCP lokal di cloud privat alih-alih merutekan lalu lintas DHCP siaran melalui WAN kembali ke lokal.
Penting
Jika Anda mengiklankan rute default ke Azure VMware Solution, maka Anda harus mengizinkan penerus DNS untuk menjangkau server DNS yang dikonfigurasi dan mereka harus mendukung resolusi nama publik.
Langkah berikutnya
Dalam tutorial ini, Anda belajar tentang pertimbangan dan persyaratan untuk menyebarkan cloud pribadi Azure VMware Solution. Setelah Anda memiliki jaringan yang tepat, lanjutkan ke tutorial berikutnya untuk membuat cloud pribadi Azure VMware Solution Anda.