Checklist voor netwerkplanning voor Azure VMware Solution
Azure VMware Solution biedt een VMware-privécloudomgeving die toegankelijk is voor gebruikers en toepassingen vanuit on-premises en op Azure gebaseerde omgevingen of resources. Verbinding maken iviteit wordt geleverd via netwerkservices zoals Azure ExpressRoute en VPN-verbindingen. Specifieke netwerkadresbereiken en firewallpoorten zijn vereist om deze services in te schakelen. Dit artikel helpt u bij het configureren van uw netwerken voor gebruik met Azure VMware Solution.
In deze zelfstudie leert u over:
- Overwegingen voor virtuele netwerken en ExpressRoute-circuits
- Vereisten voor routering en subnet
- Vereiste netwerkpoorten om te communiceren met de services
- DHCP- en DNS-overwegingen in Azure VMware Solution
Vereisten
Zorg ervoor dat alle gateways, inclusief de service van de ExpressRoute-provider, ondersteuning bieden voor 4 byte Autonomous System Number (ASN). Azure VMware Solution maakt gebruik van openbare ASN's met vier bytes voor advertentieroutes.
Overwegingen voor virtuele netwerken en ExpressRoute-circuits
Wanneer u een virtuele netwerkverbinding in uw abonnement maakt, wordt het ExpressRoute-circuit tot stand gebracht via peering, met behulp van een autorisatiesleutel en een peering-id die u aanvraagt in Azure Portal. De peering is een particuliere, een-op-een-verbinding tussen uw privécloud en het virtuele netwerk.
Notitie
Het ExpressRoute-circuit maakt geen deel uit van een implementatie van een privécloud. Het on-premises ExpressRoute-circuit valt buiten het bereik van dit document. Als u on-premises connectiviteit met uw privécloud nodig hebt, gebruikt u een van uw bestaande ExpressRoute-circuits of koopt u er een in azure Portal.
Wanneer u een privécloud implementeert, ontvangt u IP-adressen voor vCenter Server en NSX-T Manager. Als u toegang wilt krijgen tot deze beheerinterfaces, maakt u meer resources in het virtuele netwerk van uw abonnement. Zoek de procedures voor het maken van deze resources en het tot stand brengen van persoonlijke ExpressRoute-peering in de zelfstudies.
Het logische netwerk van de privécloud bevat een vooraf ingerichte NSX-T-datacentrumconfiguratie. Een Tier-0-gateway en Tier-1-gateway zijn vooraf ingericht voor u. U kunt een segment maken en dit koppelen aan de bestaande gateway van de Tier-1 of koppelen aan een nieuwe door u opgegeven tier-1-gateway. Logische netwerkonderdelen van NSX-T-datacentrum bieden connectiviteit tussen workloads en noord-zuid-connectiviteit met internet en Azure-services.
Belangrijk
Als u van plan bent om uw Azure VMware Solution-hosts te schalen met behulp van Azure NetApp Files-gegevensarchieven, is het implementeren van het vNet dicht bij uw hosts met een virtuele ExpressRoute-netwerkgateway cruciaal. Hoe dichter de opslag bij uw hosts ligt, hoe beter de prestaties.
Overwegingen voor routering en subnetten
De privécloud van Azure VMware Solution maakt verbinding met uw virtuele Azure-netwerk met behulp van een Azure ExpressRoute-verbinding. Via deze verbinding met hoge bandbreedte en lage latentie kunt u toegang krijgen tot services die worden uitgevoerd in uw Azure-abonnement vanuit uw privécloud. De routering maakt gebruik van Border Gateway Protocol (BGP), wordt automatisch ingericht en standaard ingeschakeld voor elke implementatie van de privécloud.
Privéclouds van Azure VMware Solution vereisen een minimaal /22 CIDR-netwerkadresblok voor subnetten. Dit netwerk vormt een aanvulling op uw on-premises netwerken, dus het adresblok mag niet overlappen met adresblokken die worden gebruikt in andere virtuele netwerken in uw abonnement en on-premises netwerken. Beheer-, inrichtings- en vMotion-netwerken worden automatisch ingericht binnen dit adresblok.
Notitie
Toegestane bereiken voor uw adresblok zijn de RFC 1918-privéadresruimten (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), met uitzondering van 172.17.0.0/16.
Belangrijk
Vermijd het gebruik van de volgende IP-schema's die zijn gereserveerd voor NSX-T-datacentrumgebruik:
- 169.254.0.0/24 - gebruikt voor intern doorvoernetwerk
- 169.254.2.0/23 - gebruikt voor inter-VRF-transitnetwerk
- 100.64.0.0/16 - wordt gebruikt om intern verbinding te maken met T1- en T0-gateways
Voorbeeld /22 CIDR-netwerkadresblok: 10.10.0.0/22
De subnetten:
| Netwerkgebruik | Beschrijving | Subnet | Opmerking |
|---|---|---|---|
| Privécloudbeheer | Beheernetwerk (zoals vCenter, NSX-T) | /26 |
10.10.0.0/26 |
| Migraties van HCX Mgmt | Lokale connectiviteit voor HCX-apparaten (downlinks) | /26 |
10.10.0.64/26 |
| Global Reach Reserved | Uitgaande interface voor ExpressRoute | /26 |
10.10.0.128/26 |
| NSX-T Data Center DNS-service | Ingebouwde NSX-T DNS-service | /32 |
10.10.0.192/32 |
| Gereserveerd | Gereserveerd | /32 |
10.10.0.193/32 |
| Gereserveerd | Gereserveerd | /32 |
10.10.0.194/32 |
| Gereserveerd | Gereserveerd | /32 |
10.10.0.195/32 |
| Gereserveerd | Gereserveerd | /30 |
10.10.0.196/30 |
| Gereserveerd | Gereserveerd | /29 |
10.10.0.200/29 |
| Gereserveerd | Gereserveerd | /28 |
10.10.0.208/28 |
| ExpressRoute-peering | ExpressRoute-peering | /27 |
10.10.0.224/27 |
| ESXi-beheer | VMkernel-interfaces voor ESXi-beheer | /25 |
10.10.1.0/25 |
| vMotion-network | vMotion VMkernel-interfaces | /25 |
10.10.1.128/25 |
| Replicatienetwerk | vSphere-replicatie-interfaces | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel-interfaces en knooppuntcommunicatie | /25 |
10.10.2.128/25 |
| HCX-uplink | Uplinks voor HCX IX- en NE-apparaten naar externe peers | /26 |
10.10.3.0/26 |
| Gereserveerd | Gereserveerd | /26 |
10.10.3.64/26 |
| Gereserveerd | Gereserveerd | /26 |
10.10.3.128/26 |
| Gereserveerd | Gereserveerd | /26 |
10.10.3.192/26 |
Vereiste netwerkpoorten
| Bron | Bestemming | Protocol | Port | Omschrijving |
|---|---|---|---|---|
| DNS-servers voor privécloud | On-premises DNS-servers | UDP | 53 | DNS-client: aanvragen doorsturen van de vCenter-server van de privécloud voor on-premises DNS-query's (zie de sectie DNS). |
| On-premises DNS-servers | DNS-servers voor privécloud | UDP | 53 | DNS-client: aanvragen van on-premises services doorsturen naar DNS-servers voor privéclouds (zie de sectie DNS) |
| On-premises netwerk | VCenter Server voor privécloud | TCP (HTTP) | 80 | vCenter Server vereist poort 80 voor directe HTTP-verbindingen. Poort 80 leidt aanvragen om naar HTTPS-poort 443. Deze omleiding helpt als u http://server in plaats van https://server. |
| Netwerk voor privécloudbeheer | On-premises Active Directory | TCP | 389/636 | Schakel Azure VMware Solutions vCenter Server in om te communiceren met on-premises Active Directory/LDAP-servers. Optioneel voor het configureren van on-premises AD als een identiteitsbron in het vCenter van de privécloud. Poort 636 wordt aanbevolen voor beveiligingsdoeleinden. |
| Netwerk voor privécloudbeheer | Globale catalogus van on-premises Active Directory | TCP | 3268/3269 | Schakel Azure VMware Solutions vCenter Server in om te communiceren met on-premises Active Directory/LDAP globale catalogusserver(s). Optioneel voor het configureren van on-premises AD als een identiteitsbron op de vCenter-server van de privécloud. Gebruik poort 3269 voor beveiliging. |
| On-premises netwerk | VCenter Server voor privécloud | TCP (HTTPS) | 443 | Toegang tot vCenter Server vanuit een on-premises netwerk. Standaardpoort voor vCenter Server om te luisteren naar vSphere-clientverbindingen. Als u wilt dat het vCenter Server-systeem gegevens van de vSphere-client ontvangt, opent u poort 443 in de firewall. Het vCenter Server-systeem gebruikt ook poort 443 om gegevensoverdracht van SDK-clients te bewaken. |
| On-premises netwerk | HCX Cloud Manager | TCP (HTTPS) | 9443 | HCX Cloud Manager virtual appliance management interface voor HCX-systeemconfiguratie. |
| On-premises Beheer-netwerk | HCX Cloud Manager | SSH | 22 | Beheer istrator SSH-toegang tot het virtuele HCX Cloud Manager-apparaat. |
| HCX-beheer | Interconnect (HCX-IX) | TCP (HTTPS) | 8123 | Beheer van bulkmigratie van HCX. |
| HCX-beheer | Interconnect (HCX-IX), Netwerkextensie (HCX-NE) | TCP (HTTPS) | 9443 | Beheerinstructies verzenden naar de lokale HCX Interconnect met behulp van de REST API. |
| Interconnect (HCX-IX) | L2C | TCP (HTTPS) | 443 | Stuur beheerinstructies van Interconnect naar L2C wanneer L2C hetzelfde pad gebruikt als de Interconnect. |
| HCX Manager, Interconnect (HCX-IX) | ESXi-hosts | TCP | 80,443,902 | Beheer en OVF-implementatie. |
| Interconnect (HCX-IX), Netwerkextensie (HCX-NE) bij bron | Interconnect (HCX-IX), Netwerkextensie (HCX-NE) op bestemming | UDP | 4500 | Vereist voor IPSEC IKEv2 (Internet Key Exchange) voor het inkapselen van workloads voor de bidirectionele tunnel. Ondersteunt Network Address Translation-Traversal (NAT-T). |
| On-premises Interconnect (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4500 | Vereist voor IPSEC Internet Key Exchange (ISAKMP) voor de bidirectionele tunnel. |
| On-premises vCenter Server-netwerk | Netwerk voor privécloudbeheer | TCP | 8000 | vMotion van VM's van on-premises vCenter Server naar vCenter Server van privécloud |
| HCX-Verbinding maken or | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect is nodig om de licentiesleutel te valideren.hybridity is nodig voor updates. |
Deze tabel bevat algemene firewallregels voor typische scenario's. Mogelijk moet u echter rekening houden met meer items bij het configureren van firewallregels. Let op wanneer de bron en bestemming 'on-premises' zeggen, is deze informatie alleen relevant als uw datacenter een firewall heeft die stromen inspecteert. Als uw on-premises onderdelen geen firewall hebben voor inspectie, kunt u deze regels negeren.
Zie de volledige lijst met VMware HCX-poortvereisten voor meer informatie.
Overwegingen voor DHCP- en DNS-omzetting
Toepassingen en workloads die worden uitgevoerd in een privécloud-omgeving, moeten naamomzetting en DHCP-services hebben voor het opzoeken en toewijzen van IP-adressen. U hebt de juiste DHCP- en DNS-infrastructuur nodig om deze services te kunnen leveren. U kunt een virtuele machine configureren om deze services in uw privécloud te leveren.
Gebruik de ingebouwde DHCP-service voor NSX-T-datacentrum of gebruik een lokale DHCP-server in de privécloud in plaats van DHCP-verkeer via het WAN terug te sturen naar on-premises.
Belangrijk
Als u een standaardroute naar de Azure VMware Solution adverteert, moet u toestaan dat de DNS-doorstuurserver de geconfigureerde DNS-servers bereikt en ze ondersteuning moeten bieden voor openbare naamomzetting.
Volgende stappen
In deze zelfstudie hebt u geleerd over de overwegingen en vereisten voor het implementeren van een Azure VMware Solution-privécloud. Zodra u de juiste netwerken hebt ingesteld, gaat u verder met de volgende zelfstudie om uw Azure VMware Solution-privécloud te maken.