Netwerktopologie en connectiviteit voor Azure VMware Solution

Wanneer u een VMware-softwaregedefinieerde datacenter (SDDC) gebruikt met een Azure-cloudecosysteem, hebt u een unieke set ontwerpoverwegingen die u moet volgen voor zowel cloudeigen als hybride scenario's. Dit artikel bevat belangrijke overwegingen en aanbevolen procedures voor netwerken en connectiviteit met, van en binnen Azure- en Azure VMware Solution-implementaties .

Het artikel bouwt voort op verschillende architectuurprincipes en aanbevelingen voor landingszones op ondernemingsniveau van Cloud Adoption Framework voor het beheren van netwerktopologie en connectiviteit op schaal. U kunt deze ontwerpzonerichtlijnen voor Azure-landingszones gebruiken voor essentiële Azure VMware Solution-platformen. Ontwerpgebieden zijn onder andere:

• Hybride integratie voor connectiviteit tussen on-premises, multicloud, edge en globale gebruikers. Zie Ondersteuning op ondernemingsniveau voor hybride en multicloud voor meer informatie.
• Prestaties en betrouwbaarheid op schaal voor schaalbaarheid van workloads en consistente ervaring met lage latentie. In een volgend artikel vindt u informatie over implementaties in twee regio's.
• Netwerkbeveiliging op basis van nulvertrouwen voor netwerkperimeter- en verkeersstroombeveiliging. Zie Netwerkbeveiligingsstrategieën in Azure voor meer informatie.
• Uitbreidbaarheid voor eenvoudige uitbreiding van netwerkvoetafdrukken zonder dat er ontwerpherwerken nodig zijn.

Algemene ontwerpoverwegingen en aanbevelingen

De volgende secties bevatten algemene ontwerpoverwegingen en aanbevelingen voor de netwerktopologie en -connectiviteit van Azure VMware Solution.

Hub-spoke versus Virtual WAN-netwerktopologie

Als u geen ExpressRoute-verbinding hebt van on-premises naar Azure en u in plaats daarvan S2S VPN gebruikt, kunt u Virtual WAN gebruiken om connectiviteit tussen uw on-premises VPN en de Azure VMware Solution ExpressRoute door te voeren. Als u een stertopologie gebruikt, hebt u Azure Route Server nodig. Zie azure Route Server-ondersteuning voor ExpressRoute en Azure VPN voor meer informatie.

Privéclouds en -clusters

• Alle clusters kunnen communiceren binnen een Azure VMware Solution-privécloud omdat ze allemaal dezelfde /22-adresruimte delen.

• Alle clusters delen dezelfde connectiviteitsinstellingen, waaronder internet, ExpressRoute, HCX, openbaar IP en ExpressRoute Global Reach. Toepassingsworkloads kunnen ook enkele basisnetwerkinstellingen delen, zoals netwerksegmenten, DHCP-instellingen (Dynamic Host Configuration Protocol) en DNS-instellingen (Domain Name System).

• Ontwerp vooraf privéclouds en clusters vóór uw implementatie. Het aantal privéclouds dat u nodig hebt, is rechtstreeks van invloed op uw netwerkvereisten. Elke privécloud vereist een eigen /22-adresruimte voor privécloudbeheer en IP-adressegment voor VM-workloads. Overweeg vooraf deze adresruimten te definiëren.

• Bespreek met uw VMware- en netwerkteams hoe u uw privéclouds, clusters en netwerksegmenten kunt segmenteren en distribueren voor workloads. Plan goed en vermijd het verspillen van IP-adressen.

Zie Het IP-adressegment definiëren voor privécloudbeheer voor meer informatie over het beheren van IP-adressen voor privéclouds.

Zie Het IP-adressegment voor VM-workloads definiëren voor VM-workloads voor meer informatie over het beheren van IP-adressen.

DNS en DHCP

Gebruik voor DHCP de DHCP-service die is ingebouwd in NSX-T-datacentrum of gebruik een lokale DHCP-server in een privécloud. Verzend DHCP-verkeer niet via het WAN terug naar on-premises netwerken.

Voor DNS hebt u, afhankelijk van het scenario dat u aanneemt en uw vereisten, meerdere opties:

• Alleen voor een Azure VMware Solution-omgeving kunt u een nieuwe DNS-infrastructuur implementeren in uw Azure VMware Solution-privécloud.
• Voor Azure VMware Solution die is verbonden met een on-premises omgeving, kunt u een bestaande DNS-infrastructuur gebruiken. Implementeer indien nodig DNS-doorstuurservers om uit te breiden naar Azure Virtual Network of, bij voorkeur, in Azure VMware Solution. Zie Een DNS-doorstuurservice toevoegen voor meer informatie.
• Voor Azure VMware Solution die is verbonden met zowel on-premises als Azure-omgevingen en -services, kunt u indien beschikbaar bestaande DNS-servers of DNS-doorstuurservers gebruiken in uw virtuele hubnetwerk. U kunt ook een bestaande on-premises DNS-infrastructuur uitbreiden naar het virtuele Azure Hub-netwerk. Zie het diagram van landingszones op ondernemingsniveau voor meer informatie.

Raadpleeg voor meer informatie de volgende artikelen:

• Overwegingen voor DHCP- en DNS-omzetting
• DHCP configureren voor Azure VMware Solution
• DHCP configureren op uitgerekte VMware HCX-netwerken in L2
• Een DNS-doorstuurserver configureren in Azure Portal

Internet

Uitgaande opties voor het inschakelen van internet en filteren en inspecteren van verkeer zijn onder andere:

• Azure Virtual Network, NVA en Azure Route Server met behulp van internettoegang van Azure.
• On-premises standaardroute met on-premises internettoegang.
• Virtuele WAN-beveiligde hub met Azure Firewall of NVA, met behulp van internettoegang van Azure.

Inkomende opties voor het leveren van inhoud en toepassingen zijn onder andere:

• Azure-toepassing Gateway met L7, SSL-beëindiging (Secure Sockets Layer) en Web Application Firewall.
• DNAT en load balancer van on-premises.
• Azure Virtual Network, NVA en Azure Route Server in verschillende scenario's.
• Virtual WAN beveiligde hub met Azure Firewall, met L4 en DNAT.
• Virtual WAN beveiligde hub met NVA in verschillende scenario's.

ExpressRoute

Met de kant-en-klare implementatie van Azure VMware Solution wordt automatisch één gratis ExpressRoute-circuit van 10 Gbps gemaakt. Dit circuit verbindt Azure VMware Solution met de D-MSEE.

Overweeg om Azure VMware Solution te implementeren in gekoppelde Azure-regio's in de buurt van uw datacenters. Raadpleeg dit artikel voor aanbevelingen over netwerktopologieën met twee regio's voor Azure VMware Solution.

Globaal bereik

• Global Reach is een vereiste ExpressRoute-invoegtoepassing voor Azure VMware Solution om te communiceren met on-premises datacenters, Azure Virtual Network en Virtual WAN. Het alternatief is om uw netwerkverbinding te ontwerpen met Azure Route Server.

• U kunt het Azure VMware Solution ExpressRoute-circuit zonder kosten koppelen aan andere ExpressRoute-circuits met behulp van Global Reach.

• U kunt Global Reach gebruiken voor peering van ExpressRoute-circuits via een internetprovider en voor ExpressRoute Direct-circuits.

• Global Reach wordt niet ondersteund voor lokale ExpressRoute-circuits. Voor ExpressRoute Local gaat u van Azure VMware Solution naar on-premises datacenters via NVA's van derden in een virtueel Azure-netwerk.

• Global Reach is niet beschikbaar op alle locaties.

Bandbreedte

Kies een geschikte virtuele netwerkgateway-SKU voor optimale bandbreedte tussen Azure VMware Solution en Azure Virtual Network. Azure VMware Solution ondersteunt maximaal vier ExpressRoute-circuits naar een ExpressRoute-gateway in één regio.

Netwerkbeveiliging

Netwerkbeveiliging omvat verkeersinspectie en poortspiegeling.

Oost-West-verkeersinspectie binnen een SDDC maakt gebruik van NSX-T-datacentrum of NVA's om verkeer naar Azure Virtual Network tussen regio's te inspecteren.

Noord-Zuid-verkeersinspectie inspecteert de bidirectionele verkeersstroom tussen Azure VMware Solution en datacenters. Inspectie van het noord-zuidverkeer kan gebruikmaken van:

• Een externe firewall NVA en Azure Route Server via Azure Internet.
• Een on-premises standaardroute via on-premises internet.
• Azure Firewall en Virtual WAN via Azure Internet
• NSX-T-datacentrum binnen het SDDC via Azure VMware Solution Internet.
• Een externe firewall NVA in Azure VMware Solution binnen de SDDC via Azure VMware Solution Internet

Poorten en protocolvereisten

Configureer alle benodigde poorten voor een on-premises firewall om de juiste toegang te garanderen tot alle onderdelen van de privécloud van Azure VMware Solution. Zie Vereiste netwerkpoorten voor meer informatie.

Toegang tot Azure VMware Solution-beheer

• Overweeg het gebruik van een Azure Bastion-host in Azure Virtual Network voor toegang tot de Azure VMware Solution-omgeving tijdens de implementatie.

• Zodra u routering naar uw on-premises omgeving tot stand brengt, wordt het beheernetwerk van Azure VMware Solution niet gehonoreerd aan de 0.0.0.0/0 routes van on-premises netwerken. Daarom moet u specifiekere routes voor uw on-premises netwerken adverteren.

Bedrijfscontinuïteit, herstel na noodgevallen (BCDR) en migraties

• In VMware HCX-migraties blijft de standaardgateway on-premises. Zie VMware HCX implementeren en configureren voor meer informatie.

• VMware HCX-migraties kunnen de HCX L2-extensie gebruiken. Voor migraties waarvoor laag 2-extensie is vereist, is ook ExpressRoute vereist. S2S VPN wordt ondersteund zolang de minimale netwerkonderlay minimale vereisten net zijn. De maximale transmissie-eenheid (MTU) moet 1350 zijn om de overhead van HCX te kunnen opvangen. Zie Laag 2-overbrugging in de beheermodus (VMware.com) voor meer informatie over het ontwerp van laag 2-extensies.

Volgende stappen

• Zie Azure VMware Solution integreren in een hub- en spoke-architectuur voor meer informatie over Azure VMware Solution in hub- en spoke-netwerken.

• Zie NSX-T Data Center-netwerkonderdelen configureren met behulp van Azure VMware Solution voor meer informatie over netwerksegmenten van VMware NSX-T Data Center.

• Zie het volgende artikel in deze reeks voor meer informatie over architectuurprincipes voor landingszones op ondernemingsniveau van Cloud Adoption Framework, verschillende ontwerpoverwegingen en best practices voor Azure VMware Solution:

  Stertopologieën met één regio