Azure VMware Solution のネットワーク計画のチェックリスト
Azure VMware Solution は、オンプレミスおよび Azure ベースの環境またはリソースからユーザーやアプリケーションがアクセスできる VMware プライベート クラウド環境を提供します。 接続は、Azure ExpressRoute 接続や VPN 接続などのネットワーク サービスを通じて提供されます。 サービスを有効にするには、特定のネットワーク アドレス範囲とファイアウォール ポートが必要です。 この記事では、Azure VMware Solution で動作するようにネットワークを適切に構成するために必要な情報を提供します。
このチュートリアルで学習する内容は次のとおりです。
- 仮想ネットワークと ExpressRoute 回線に関する考慮事項
- ルーティングとサブネットの要件
- サービスと通信するために必要なネットワーク ポート
- Azure VMware Solution での DHCP と DNS に関する考慮事項
前提条件
ExpressRoute プロバイダーのサービスを含め、すべてのゲートウェイで 4 バイトの自律システム番号 (ASN) がサポートされていることを確認します。 Azure VMware Solution では、4 バイトのパブリック ASN を使用してルートをアドバタイズします。
仮想ネットワークと ExpressRoute 回線に関する考慮事項
サブスクリプション内に仮想ネットワーク接続を作成するときには、ピアリングによって ExpressRoute 回線が確立され、Azure portal で要求した承認キーとピアリング ID が使用されます。 ピアリングは、プライベート クラウドと仮想ネットワークの間のプライベートな 1 対 1 の接続です。
Note
ExpressRoute 回線は、プライベート クラウドのデプロイには含まれません。 オンプレミスの ExpressRoute 回線については、このドキュメントでは取り扱いません。 プライベート クラウドへのオンプレミス接続が必要な場合は、既存の ExpressRoute 回線のいずれかを使用するか、Azure portal で購入することができます。
プライベート クラウドをデプロイすると、vCenter Server および NSX-T Manager の IP アドレスが提供されます。 これらの管理インターフェイスにアクセスするには、ご使用のサブスクリプションの仮想ネットワークにさらに多くのリソースを作成する必要があります。 これらのリソースを作成し、ExpressRoute プライベート ピアリングを確立する手順については、チュートリアルを参照してください。
プライベート クラウドの論理ネットワークには、事前にプロビジョニングされた NSX-T Data Center の構成が付属しています。 Tier-0 ゲートウェイと Tier-1 ゲートウェイが事前にプロビジョニングされています。 セグメントを作成し、それを既存の Tier-1 ゲートウェイにアタッチすることも、自分が定義する新しい Tier-1 ゲートウェイにアタッチすることもできます。 NSX-T データ センター論理ネットワーク コンポーネントは、ワークロード間の East-West 接続と、インターネットおよび Azure サービスへの North-South 接続を提供します。
重要
Azure NetApp Files データストアを使用して Azure VMware Solution ホストをスケーリングする予定がある場合は、ExpressRoute 仮想ネットワーク ゲートウェイを使用して vNet をホストの近くにデプロイすることが重要です。 ストレージがホストに近いほど、パフォーマンスが向上します。
ルーティングとサブネットに関する考慮事項
Azure VMware Solution プライベート クラウドは、Azure ExpressRoute 接続を使用して Azure 仮想ネットワークに接続されます。 この高い帯域幅と短い待ち時間の接続によって、ご自分のプライベート クラウド環境から、ご自分の Azure サブスクリプションで実行されているサービスにアクセスできます。 ルーティングは Border Gateway Protocol (BGP) ベースであり、プライベート クラウドのデプロイごとに既定で自動的にプロビジョニングされ、有効になります。
Azure VMware Solution プライベート クラウドでは、次に示すように、サブネット用に少なくとも /22 の CIDR ネットワーク アドレス ブロックが必要です。 このネットワークによって、ご自分のオンプレミス ネットワークが補完されます。 そのため、アドレス ブロックは、サブスクリプションの他の仮想ネットワークやオンプレミス ネットワークで使用されているアドレス ブロックと重複しないようにする必要があります。 このアドレス ブロック内では、管理、プロビジョニング、vMotion ネットワークが自動的にプロビジョニングされます。
Note
アドレス ブロックで許可される範囲は RFC 1918 プライベート アドレス空間 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) です。ただし、172.17.0.0/16 を除きます。
重要
さらに、次の IP スキーマは NSX-T データ センターの使用のために予約済みであり、使用できません。
- 169.254.0.0/24 - 内部転送ネットワークに使用
- 169.254.2.0/23 - VRF 間転送ネットワークに使用
- 100.64.0.0/16 - T1 および T0 ゲートウェイを内部的に接続するために使用
/22 CIDR ネットワーク アドレス ブロックの例: 10.10.0.0/22
サブネット:
| ネットワークの使用法 | 説明 | Subnet | 例 |
|---|---|---|---|
| プライベート クラウドの管理 | 管理ネットワーク (vCenter、NSX-T など) | /26 |
10.10.0.0/26 |
| HCX 管理の移行 | HCX アプライアンスのローカル接続 (ダウンリンク) | /26 |
10.10.0.64/26 |
| 予約済み Global Reach | ExpressRoute の送信インターフェイス | /26 |
10.10.0.128/26 |
| NSX-T データ センター DNS サービス | 組み込みの NSX-T DNS サービス | /32 |
10.10.0.192/32 |
| 予約済み | 予約済み | /32 |
10.10.0.193/32 |
| 予約済み | 予約済み | /32 |
10.10.0.194/32 |
| 予約済み | 予約済み | /32 |
10.10.0.195/32 |
| 予約済み | 予約済み | /30 |
10.10.0.196/30 |
| 予約済み | 予約済み | /29 |
10.10.0.200/29 |
| 予約済み | 予約済み | /28 |
10.10.0.208/28 |
| ExpressRoute ピアリング | ExpressRoute ピアリング | /27 |
10.10.0.224/27 |
| ESXi の管理 | ESXi 管理 VMkernel インターフェイス | /25 |
10.10.1.0/25 |
| vMotion ネットワーク | vMotion VMkernel インターフェイス | /25 |
10.10.1.128/25 |
| レプリケーション ネットワーク | vSphere レプリケーション インターフェイス | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel インターフェイスとノード通信 | /25 |
10.10.2.128/25 |
| HCX アップリンク | HCX IX および NE アプライアンスのリモート ピアへのアップリンク | /26 |
10.10.3.0/26 |
| 予約済み | 予約済み | /26 |
10.10.3.64/26 |
| 予約済み | 予約済み | /26 |
10.10.3.128/26 |
| 予約済み | 予約済み | /26 |
10.10.3.192/26 |
必要なネットワーク ポート
| source | 宛先 | Protocol | Port | 説明 |
|---|---|---|---|---|
| プライベート クラウドの DNS サーバー | オンプレミスの DNS サーバー | UDP | 53 | DNS クライアント - オンプレミスの DNS クエリのために、プライベート クラウドの vCenter Server からの要求を転送します (後述の DNS に関するセクションを確認してください) |
| オンプレミスの DNS サーバー | プライベート クラウドの DNS サーバー | UDP | 53 | DNS クライアント - オンプレミスのサービスからの要求をプライベート クラウド DNS サーバーに転送します (後述の DNS に関するセクションを確認してください) |
| オンプレミス ネットワーク | プライベート クラウドの vCenter Server | TCP (HTTP) | 80 | vCenter Server では、直接 HTTP 接続用にポート 80 が必要です。 ポート 80 から HTTPS ポート 443 に要求がリダイレクトされます。 このリダイレクトは、https://server の代わりに http://server を使用する場合に役立ちます。 |
| プライベート クラウドの管理ネットワーク | オンプレミスの Active Directory | TCP | 389/636 | これらのポートは、Azure VMware Solutions vCenter サーバーが任意のオンプレミスの Active Directory/LDAP サーバーと通信するための通信を許可するために開いています。 これらのポートはオプションです。プライベート クラウドの vCenter 上でオンプレミス AD を ID ソースとして構成するために使用します。 セキュリティ上の目的でポート 636 がお勧めです。 |
| プライベート クラウドの管理ネットワーク | オンプレミスの Active Directory のグローバル カタログ | TCP | 3268/3269 | これらのポートは、Azure VMware Solutions vCenter Server が任意のオンプレミスの Active Directory/LDAP グローバル カタログ サーバーと通信するための通信を許可するために開いています。 これらのポートはオプションです。プライベート クラウドの vCenter Server 上でオンプレミス AD を ID ソースとして構成するために使用します。 セキュリティ上の目的でポート 3269 がお勧めです。 |
| オンプレミス ネットワーク | プライベート クラウドの vCenter Server | TCP (HTTPS) | 443 | このポートを使用すると、オンプレミス ネットワークから vCenter Server にアクセスできます。 vCenter Server システムが vSphere クライアントからの接続をリッスンするために使用する既定のポート。 vCenter Server システムが vSphere クライアントからデータを受信できるようにするには、ファイアウォールでポート 443 を開きます。 また、vCenter Server システムは、ポート 443 を使用して、SDK クライアントからのデータ転送を監視します。 |
| オンプレミス ネットワーク | HCX クラウド マネージャー | TCP (HTTPS) | 9443 | HCX のシステム構成用の HCX クラウド マネージャー仮想アプライアンス管理インターフェイス。 |
| オンプレミス管理ネットワーク | HCX クラウド マネージャー | SSH | 22 | HCX クラウド マネージャー仮想アプライアンスへの管理者 SSH アクセス。 |
| HCX Manager | 相互接続 (HCX-IX) | TCP (HTTPS) | 8123 | HCX 一括移行の制御 |
| HCX Manager | 相互接続 (HCX-IX)、ネットワーク拡張機能 (HCX-NE) | TCP (HTTPS) | 9443 | REST API を使用して、ローカル HCX 相互接続に管理指示を送信します。 |
| 相互接続 (HCX-IX) | L2C | TCP (HTTPS) | 443 | L2C で相互接続と同じパスを使用する場合、相互接続から L2C に管理指示を送信します。 |
| HCX Manager、相互接続 (HCX-IX) | ESXi ホスト | TCP | 80、443、902 | 管理と OVF のデプロイ。 |
| ソースの相互接続 (HCX-IX)、ネットワーク拡張機能 (HCX-NE) | 宛先の相互接続 (HCX-IX)、ネットワーク拡張機能 (HCX-NE) | UDP | 4500 | IPsec に必要 双方向トンネルのワークロードをカプセル化するためのインターネット キー交換 (IKEv2)。 ネットワーク アドレス変換トラバーサル (NAT-T) もサポートされています。 |
| オンプレミス相互接続 (HCX-IX) | クラウド相互接続 (HCX-IX) | UDP | 500 | IPsec に必要 双方向トンネルのためのインターネット キー交換 (ISAKMP)。 |
| オンプレミスの vCenter Server ネットワーク | プライベート クラウドの管理ネットワーク | TCP | 8000 | オンプレミスの vCenter Server からプライベート クラウドの vCenter Server への VM の vMotion |
| HCX コネクタ | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect はライセンス キーを検証するために必要です。hybridity は更新に必要です。 |
ファイアウォール規則に関しては考慮すべき項目が他にもあります。これは、一般的なシナリオに共通の規則を提供することを目的としています。 ソースと宛先で "オンプレミス" と言う場合、データセンター内のフローを検査するファイアウォールがある場合にのみ重要です。 オンプレミス コンポーネント間で検査するファイアウォールがない場合は不要であるため、これらの規則を無視できます。
DHCP と DNS の解決に関する考慮事項
プライベート クラウド環境で実行されるアプリケーションとワークロードには、ルックアップと IP アドレスの割り当てのための名前解決と DHCP サービスが必要です。 これらのサービスを提供するために、DHCP と DNS の適切なインフラストラクチャが必要です。 仮想マシンを構成して、ご自分のプライベート クラウド環境でこれらのサービスを提供することができます。
ブロードキャスト DHCP トラフィックを WAN 経由でオンプレミスにルーティングして戻すのではなく、NSX-T Data Center に組み込まれている DHCP サービスを使用するか、プライベート クラウドのローカル DHCP サーバーを使用します。
重要
Azure VMware Solution に既定のルートをアドバタイズする場合は、DNS フォワーダーが構成された DNS サーバーに到達できるよう許可し、またそれらでパブリック名前解決がサポートされている必要があります。
次の手順
このチュートリアルでは、Azure VMware Solution プライベート クラウドをデプロイするための考慮事項と要件について説明しました。 適切なネットワークを準備できたら、次のチュートリアルに進んで Azure VMware Solution のプライベート クラウドを作成します。