Netwerktopologie en connectiviteit voor Azure VMware Solution
Wanneer u een VMware-softwaregedefinieerde datacenter (SDDC) gebruikt met een Azure-cloudecosysteem, hebt u een unieke set ontwerpoverwegingen die u moet volgen voor zowel cloudeigen als hybride scenario's. Dit artikel bevat belangrijke overwegingen en aanbevolen procedures voor netwerken en connectiviteit met, van en binnen Azure- en Azure VMware Solution-implementaties .
Het artikel bouwt voort op verschillende architectuurprincipes en aanbevelingen voor landingszones op ondernemingsniveau van Cloud Adoption Framework voor het beheren van netwerktopologie en connectiviteit op schaal. U kunt deze ontwerpzonerichtlijnen voor Azure-landingszones gebruiken voor essentiële Azure VMware Solution-platformen. Ontwerpgebieden zijn onder andere:
- Hybride integratie voor connectiviteit tussen on-premises, multicloud, edge en globale gebruikers. Zie Ondersteuning op ondernemingsniveau voor hybride en multicloud voor meer informatie.
- Prestaties en betrouwbaarheid op schaal voor schaalbaarheid van workloads en consistente ervaring met lage latentie. In een volgend artikel vindt u informatie over implementaties in twee regio's.
- Netwerkbeveiliging op basis van nulvertrouwen voor netwerkperimeter- en verkeersstroombeveiliging. Zie Netwerkbeveiligingsstrategieën in Azure voor meer informatie.
- Uitbreidbaarheid voor eenvoudige uitbreiding van netwerkvoetafdrukken zonder dat er ontwerpherwerken nodig zijn.
Algemene ontwerpoverwegingen en aanbevelingen
De volgende secties bevatten algemene ontwerpoverwegingen en aanbevelingen voor de netwerktopologie en -connectiviteit van Azure VMware Solution.
Hub-spoke versus Virtual WAN-netwerktopologie
Als u geen ExpressRoute-verbinding hebt van on-premises naar Azure en u in plaats daarvan S2S VPN gebruikt, kunt u Virtual WAN gebruiken om connectiviteit tussen uw on-premises VPN en de Azure VMware Solution ExpressRoute door te voeren. Als u een stertopologie gebruikt, hebt u Azure Route Server nodig. Zie azure Route Server-ondersteuning voor ExpressRoute en Azure VPN voor meer informatie.
Privéclouds en -clusters
Alle clusters kunnen communiceren binnen een Azure VMware Solution-privécloud omdat ze allemaal dezelfde /22-adresruimte delen.
Alle clusters delen dezelfde connectiviteitsinstellingen, waaronder internet, ExpressRoute, HCX, openbaar IP en ExpressRoute Global Reach. Toepassingsworkloads kunnen ook enkele basisnetwerkinstellingen delen, zoals netwerksegmenten, DHCP-instellingen (Dynamic Host Configuration Protocol) en DNS-instellingen (Domain Name System).
Ontwerp vooraf privéclouds en clusters vóór uw implementatie. Het aantal privéclouds dat u nodig hebt, is rechtstreeks van invloed op uw netwerkvereisten. Elke privécloud vereist een eigen /22-adresruimte voor privécloudbeheer en IP-adressegment voor VM-workloads. Overweeg vooraf deze adresruimten te definiëren.
Bespreek met uw VMware- en netwerkteams hoe u uw privéclouds, clusters en netwerksegmenten kunt segmenteren en distribueren voor workloads. Plan goed en vermijd het verspillen van IP-adressen.
Zie Het IP-adressegment definiëren voor privécloudbeheer voor meer informatie over het beheren van IP-adressen voor privéclouds.
Zie Het IP-adressegment voor VM-workloads definiëren voor VM-workloads voor meer informatie over het beheren van IP-adressen.
DNS en DHCP
Gebruik voor DHCP de DHCP-service die is ingebouwd in NSX-T-datacentrum of gebruik een lokale DHCP-server in een privécloud. Verzend DHCP-verkeer niet via het WAN terug naar on-premises netwerken.
Voor DNS hebt u, afhankelijk van het scenario dat u aanneemt en uw vereisten, meerdere opties:
- Alleen voor een Azure VMware Solution-omgeving kunt u een nieuwe DNS-infrastructuur implementeren in uw Azure VMware Solution-privécloud.
- Voor Azure VMware Solution die is verbonden met een on-premises omgeving, kunt u een bestaande DNS-infrastructuur gebruiken. Implementeer indien nodig DNS-doorstuurservers om uit te breiden naar Azure Virtual Network of, bij voorkeur, in Azure VMware Solution. Zie Een DNS-doorstuurservice toevoegen voor meer informatie.
- Voor Azure VMware Solution die is verbonden met zowel on-premises als Azure-omgevingen en -services, kunt u indien beschikbaar bestaande DNS-servers of DNS-doorstuurservers gebruiken in uw virtuele hubnetwerk. U kunt ook een bestaande on-premises DNS-infrastructuur uitbreiden naar het virtuele Azure Hub-netwerk. Zie het diagram van landingszones op ondernemingsniveau voor meer informatie.
Raadpleeg voor meer informatie de volgende artikelen:
- Overwegingen voor DHCP- en DNS-omzetting
- DHCP configureren voor Azure VMware Solution
- DHCP configureren op uitgerekte VMware HCX-netwerken in L2
- Een DNS-doorstuurserver configureren in Azure Portal
Internet
Uitgaande opties voor het inschakelen van internet en filteren en inspecteren van verkeer zijn onder andere:
- Azure Virtual Network, NVA en Azure Route Server met behulp van internettoegang van Azure.
- On-premises standaardroute met on-premises internettoegang.
- Virtuele WAN-beveiligde hub met Azure Firewall of NVA, met behulp van internettoegang van Azure.
Inkomende opties voor het leveren van inhoud en toepassingen zijn onder andere:
- Azure-toepassing Gateway met L7, SSL-beëindiging (Secure Sockets Layer) en Web Application Firewall.
- DNAT en load balancer van on-premises.
- Azure Virtual Network, NVA en Azure Route Server in verschillende scenario's.
- Virtual WAN beveiligde hub met Azure Firewall, met L4 en DNAT.
- Virtual WAN beveiligde hub met NVA in verschillende scenario's.
ExpressRoute
Met de kant-en-klare implementatie van Azure VMware Solution wordt automatisch één gratis ExpressRoute-circuit van 10 Gbps gemaakt. Dit circuit verbindt Azure VMware Solution met de D-MSEE.
Overweeg om Azure VMware Solution te implementeren in gekoppelde Azure-regio's in de buurt van uw datacenters. Raadpleeg dit artikel voor aanbevelingen over netwerktopologieën met twee regio's voor Azure VMware Solution.
Globaal bereik
Global Reach is een vereiste ExpressRoute-invoegtoepassing voor Azure VMware Solution om te communiceren met on-premises datacenters, Azure Virtual Network en Virtual WAN. Het alternatief is om uw netwerkverbinding te ontwerpen met Azure Route Server.
U kunt het Azure VMware Solution ExpressRoute-circuit zonder kosten koppelen aan andere ExpressRoute-circuits met behulp van Global Reach.
U kunt Global Reach gebruiken voor peering van ExpressRoute-circuits via een internetprovider en voor ExpressRoute Direct-circuits.
Global Reach wordt niet ondersteund voor lokale ExpressRoute-circuits. Voor ExpressRoute Local gaat u van Azure VMware Solution naar on-premises datacenters via NVA's van derden in een virtueel Azure-netwerk.
Global Reach is niet beschikbaar op alle locaties.
Bandbreedte
Kies een geschikte virtuele netwerkgateway-SKU voor optimale bandbreedte tussen Azure VMware Solution en Azure Virtual Network. Azure VMware Solution ondersteunt maximaal vier ExpressRoute-circuits naar een ExpressRoute-gateway in één regio.
Netwerkbeveiliging
Netwerkbeveiliging omvat verkeersinspectie en poortspiegeling.
Oost-West-verkeersinspectie binnen een SDDC maakt gebruik van NSX-T-datacentrum of NVA's om verkeer naar Azure Virtual Network tussen regio's te inspecteren.
Noord-Zuid-verkeersinspectie inspecteert de bidirectionele verkeersstroom tussen Azure VMware Solution en datacenters. Inspectie van het noord-zuidverkeer kan gebruikmaken van:
- Een externe firewall NVA en Azure Route Server via Azure Internet.
- Een on-premises standaardroute via on-premises internet.
- Azure Firewall en Virtual WAN via Azure Internet
- NSX-T-datacentrum binnen het SDDC via Azure VMware Solution Internet.
- Een externe firewall NVA in Azure VMware Solution binnen de SDDC via Azure VMware Solution Internet
Poorten en protocolvereisten
Configureer alle benodigde poorten voor een on-premises firewall om de juiste toegang te garanderen tot alle onderdelen van de privécloud van Azure VMware Solution. Zie Vereiste netwerkpoorten voor meer informatie.
Toegang tot Azure VMware Solution-beheer
Overweeg het gebruik van een Azure Bastion-host in Azure Virtual Network voor toegang tot de Azure VMware Solution-omgeving tijdens de implementatie.
Zodra u routering naar uw on-premises omgeving tot stand brengt, wordt het beheernetwerk van Azure VMware Solution niet gehonoreerd aan de
0.0.0.0/0routes van on-premises netwerken. Daarom moet u specifiekere routes voor uw on-premises netwerken adverteren.
Bedrijfscontinuïteit, herstel na noodgevallen (BCDR) en migraties
In VMware HCX-migraties blijft de standaardgateway on-premises. Zie VMware HCX implementeren en configureren voor meer informatie.
VMware HCX-migraties kunnen de HCX L2-extensie gebruiken. Voor migraties waarvoor laag 2-extensie is vereist, is ook ExpressRoute vereist. S2S VPN wordt ondersteund zolang de minimale netwerkonderlay minimale vereisten net zijn. De maximale transmissie-eenheid (MTU) moet 1350 zijn om de overhead van HCX te kunnen opvangen. Zie Laag 2-overbrugging in de beheermodus (VMware.com) voor meer informatie over het ontwerp van laag 2-extensies.
Volgende stappen
Zie Azure VMware Solution integreren in een hub- en spoke-architectuur voor meer informatie over Azure VMware Solution in hub- en spoke-netwerken.
Zie NSX-T Data Center-netwerkonderdelen configureren met behulp van Azure VMware Solution voor meer informatie over netwerksegmenten van VMware NSX-T Data Center.
Zie het volgende artikel in deze reeks voor meer informatie over architectuurprincipes voor landingszones op ondernemingsniveau van Cloud Adoption Framework, verschillende ontwerpoverwegingen en best practices voor Azure VMware Solution:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor