Topologia sieci i łączność dla rozwiązania Azure VMware Solution
W przypadku korzystania z centrum danych zdefiniowanego programowo programu VMware (SDDC) z ekosystemem chmury platformy Azure masz unikatowy zestaw zagadnień projektowych, które należy uwzględnić zarówno w scenariuszach natywnych dla chmury, jak i hybrydowych. Ten artykuł zawiera kluczowe zagadnienia i najlepsze rozwiązania dotyczące sieci i łączności z platformą Azure i wdrożeniami rozwiązania VMware Solution oraz z platformy Azure.
Ten artykuł opiera się na kilku zasadach architektury stref docelowych w skali przedsiębiorstwa i zaleceniach dotyczących zarządzania topologią sieci i łącznością na dużą skalę. Możesz użyć tych wskazówek dotyczących obszaru projektowania strefy docelowej platformy Azure dla platform azure VMware Solution o krytycznym znaczeniu. Obszary projektowe obejmują:
- Integracja hybrydowa na potrzeby łączności między użytkownikami lokalnymi, wielochmurowym, brzegowym i globalnymi. Aby uzyskać więcej informacji, zobacz Obsługa skali przedsiębiorstwa dla hybrydowych i wielochmurowych.
- Wydajność i niezawodność na dużą skalę w celu zapewnienia skalowalności obciążeń i spójnego środowiska o małych opóźnieniach. W kolejnym artykule opisano wdrożenia dwóch regionów.
- Zabezpieczenia sieci oparte na zerowym zaufaniu dla zabezpieczeń obwodu sieci i przepływu ruchu. Aby uzyskać więcej informacji, zobacz Strategie zabezpieczeń sieci na platformie Azure.
- Rozszerzalność w celu łatwego rozszerzania śladów sieci bez konieczności przeróbek projektowych.
Ogólne zagadnienia i zalecenia dotyczące projektowania
W poniższych sekcjach przedstawiono ogólne zagadnienia dotyczące projektowania i zalecenia dotyczące topologii sieci i łączności usługi Azure VMware Solution.
Topologia sieci piasty i szprychy a topologia sieci wirtualnej sieci WAN
Jeśli nie masz połączenia usługi ExpressRoute ze środowiska lokalnego do platformy Azure i zamiast tego używasz sieci VPN typu lokacja-lokacja, możesz użyć usługi Virtual WAN do przesyłania łączności między lokalną siecią VPN a usługą ExpressRoute usługi Azure VMware Solution. Jeśli używasz topologii piasty i szprych, potrzebujesz usługi Azure Route Server. Aby uzyskać więcej informacji, zobacz Obsługa usługi Azure Route Server dla usługi ExpressRoute i sieci VPN platformy Azure.
Chmury prywatne i klastry
Wszystkie klastry mogą komunikować się w chmurze prywatnej usługi Azure VMware Solution, ponieważ wszystkie współużytkują tę samą przestrzeń adresową /22.
Wszystkie klastry mają te same ustawienia łączności, w tym Internet, ExpressRoute, HCX, publiczny adres IP i ExpressRoute Global Reach. Obciążenia aplikacji mogą również współużytkować niektóre podstawowe ustawienia sieciowe, takie jak segmenty sieci, dynamiczny protokół konfiguracji hosta (DHCP) i ustawienia systemu nazw domen (DNS).
Projektuj chmury prywatne i klastry z wyprzedzeniem przed wdrożeniem. Liczba chmur prywatnych, których potrzebujesz, ma bezpośredni wpływ na wymagania dotyczące sieci. Każda chmura prywatna wymaga własnej przestrzeni adresowej /22 na potrzeby zarządzania chmurą prywatną i segmentu adresów IP dla obciążeń maszyn wirtualnych. Rozważ wcześniejsze zdefiniowanie tych przestrzeni adresowych.
Porozmawiaj z zespołami VMware i sieciowymi, jak segmentować i dystrybuować chmury prywatne, klastry i segmenty sieciowe dla obciążeń. Zaplanuj dobrze i unikaj marnowania adresów IP.
Aby uzyskać więcej informacji na temat zarządzania adresami IP dla chmur prywatnych, zobacz Definiowanie segmentu adresów IP na potrzeby zarządzania chmurą prywatną.
Aby uzyskać więcej informacji na temat zarządzania adresami IP dla obciążeń maszyn wirtualnych, zobacz Definiowanie segmentu adresów IP dla obciążeń maszyn wirtualnych.
DNS i DHCP
W przypadku protokołu DHCP użyj usługi DHCP wbudowanej w centrum danych NSX-T lub użyj lokalnego serwera DHCP w chmurze prywatnej. Nie należy kierować emisji ruchu DHCP przez sieć WAN z powrotem do sieci lokalnych.
W przypadku systemu DNS, w zależności od scenariusza, który przyjmujesz i jakie są wymagania, masz wiele opcji:
- Tylko w przypadku środowiska usługi Azure VMware Solution można wdrożyć nową infrastrukturę DNS w chmurze prywatnej usługi Azure VMware Solution.
- W przypadku rozwiązania Azure VMware Solution połączonego ze środowiskiem lokalnym można użyć istniejącej infrastruktury DNS. W razie potrzeby wdróż usługi przesyłania dalej DNS, aby rozszerzyć usługę Azure Virtual Network lub, najlepiej, na rozwiązanie Azure VMware Solution. Aby uzyskać więcej informacji, zobacz Dodawanie usługi przesyłania dalej DNS.
- W przypadku rozwiązania Azure VMware Solution połączonego zarówno ze środowiskami lokalnymi, jak i z usługami platformy Azure, możesz użyć istniejących serwerów DNS lub usług przesyłania dalej DNS w sieci wirtualnej centrum, jeśli jest dostępna. Możesz również rozszerzyć istniejącą lokalną infrastrukturę DNS na sieć wirtualną koncentratora platformy Azure. Aby uzyskać szczegółowe informacje, zobacz diagram stref docelowych w skali przedsiębiorstwa.
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Zagadnienia dotyczące rozpoznawania nazw DHCP i DNS
- Konfigurowanie protokołu DHCP dla rozwiązania Azure VMware
- Konfigurowanie protokołu DHCP w rozciągniętych sieciach VMware HCX L2
- Konfigurowanie usługi przesyłania dalej DNS w witrynie Azure Portal
Internet
Opcje ruchu wychodzącego umożliwiające włączanie Internetu i filtrowania i inspekcji ruchu obejmują:
- Azure Virtual Network, NVA i Azure Route Server przy użyciu dostępu do Internetu platformy Azure.
- Trasa domyślna lokalna przy użyciu lokalnego dostępu do Internetu.
- Wirtualne centrum sieci WAN zabezpieczone za pomocą usługi Azure Firewall lub urządzenia WUS przy użyciu dostępu do Internetu platformy Azure.
Opcje ruchu przychodzącego do dostarczania zawartości i aplikacji obejmują:
- aplikacja systemu Azure Gateway z protokołem L7, kończeniem protokołu SECURE Sockets Layer (SSL) i zaporą aplikacji internetowej.
- DNAT i moduł równoważenia obciążenia ze środowiska lokalnego.
- Usługi Azure Virtual Network, NVA i Azure Route Server w różnych scenariuszach.
- Koncentrator usługi Virtual WAN zabezpieczony za pomocą usługi Azure Firewall z L4 i DNAT.
- Wirtualne centrum sieci WAN zabezpieczone za pomocą urządzenia WUS w różnych scenariuszach.
ExpressRoute
Gotowe do użycia wdrożenie chmury prywatnej usługi Azure VMware Solution automatycznie tworzy jeden bezpłatny obwód usługi ExpressRoute o przepustowości 10 Gb/s. Ten obwód łączy rozwiązanie Azure VMware Solution z urządzeniem D-MSEE.
Rozważ wdrożenie rozwiązania Azure VMware Solution w sparowanych regionach platformy Azure w pobliżu centrów danych. Zapoznaj się z tym artykułem, aby zapoznać się z zaleceniami dotyczącymi topologii sieci w dwóch regionach dla rozwiązania Azure VMware Solution.
Global Reach
Global Reach to wymagany dodatek usługi ExpressRoute dla rozwiązania Azure VMware Solution do komunikowania się z lokalnymi centrami danych, usługą Azure Virtual Network i usługą Virtual WAN. Alternatywą jest zaprojektowanie łączności sieciowej z usługą Azure Route Server.
Możesz nawiązać komunikację równorzędną obwodu usługi ExpressRoute rozwiązania Azure VMware Solution z innymi obwodami usługi ExpressRoute przy użyciu usługi Global Reach bez opłat.
Usługa Global Reach umożliwia komunikację równorzędną obwodów usługi ExpressRoute za pośrednictwem dostawcy usług online i obwodów usługi ExpressRoute Direct.
Usługa Global Reach nie jest obsługiwana w przypadku obwodów lokalnych usługi ExpressRoute. W przypadku usługi ExpressRoute Local tranzyt z rozwiązania Azure VMware Solution do lokalnych centrów danych za pośrednictwem urządzeń WUS innych firm w sieci wirtualnej platformy Azure.
Usługa Global Reach nie jest dostępna we wszystkich lokalizacjach.
Przepustowość
Wybierz odpowiednią jednostkę SKU bramy sieci wirtualnej, aby uzyskać optymalną przepustowość między rozwiązaniem Azure VMware Solution i usługą Azure Virtual Network. Usługa Azure VMware Solution obsługuje maksymalnie cztery obwody usługi ExpressRoute do bramy usługi ExpressRoute w jednym regionie.
Bezpieczeństwo sieci
Zabezpieczenia sieci obejmują inspekcję ruchu i dublowanie portów.
Inspekcja ruchu wschodnio-zachodniego w centrum danych SDDC używa centrum danych NSX-T lub urządzeń WUS do inspekcji ruchu do usługi Azure Virtual Network w różnych regionach.
Inspekcja ruchu północno-południowego sprawdza dwukierunkowy przepływ ruchu między usługą Azure VMware Solution i centrami danych. Inspekcja ruchu północno-południowego może być używana:
- Urządzenie WUS zapory innej firmy i serwer usługi Azure Route Server za pośrednictwem Internetu platformy Azure.
- Trasa domyślna lokalna przez internet lokalny.
- Usługa Azure Firewall i usługa Virtual WAN za pośrednictwem Internetu platformy Azure
- Centrum danych NSX-T w centrum danych SDDC za pośrednictwem Internetu usługi Azure VMware Solution.
- Urządzenie WUS zapory innej firmy w rozwiązaniu Azure VMware Solution w centrum danych SDDC za pośrednictwem Internetu usługi Azure VMware Solution
Wymagania dotyczące portów i protokołów
Skonfiguruj wszystkie niezbędne porty dla zapory lokalnej, aby zapewnić odpowiedni dostęp do wszystkich składników chmury prywatnej usługi Azure VMware Solution. Aby uzyskać więcej informacji, zobacz Wymagane porty sieciowe.
Dostęp do zarządzania usługą Azure VMware Solution
Rozważ użycie hosta usługi Azure Bastion w usłudze Azure Virtual Network w celu uzyskania dostępu do środowiska usługi Azure VMware Solution podczas wdrażania.
Po ustanowieniu routingu do środowiska lokalnego sieć zarządzania usługą Azure VMware Solution nie obsługuje
0.0.0.0/0tras z sieci lokalnych, dlatego należy anonsować bardziej szczegółowe trasy dla sieci lokalnych.
Ciągłość działalności biznesowej, odzyskiwanie po awarii (BCDR) i migracje
W przypadku migracji rozwiązania VMware HCX brama domyślna pozostaje lokalna. Aby uzyskać więcej informacji, zobacz Wdrażanie i konfigurowanie oprogramowania VMware HCX.
Migracje VMware HCX mogą używać rozszerzenia HCX L2. Migracje wymagające rozszerzenia warstwy 2 również wymagają usługi ExpressRoute. Sieć VPN typu lokacja-lokacja jest obsługiwana, o ile minimalne wymagania dotyczące sieci są minimalne. Maksymalny rozmiar jednostki transmisji (MTU) powinien wynosić 1350, aby pomieścić obciążenie HCX. Aby uzyskać więcej informacji na temat projektowania rozszerzenia warstwy 2, zobacz Mostkowanie warstwy 2 w trybie menedżera (VMware.com).
Następne kroki
Aby uzyskać więcej informacji na temat rozwiązania Azure VMware Solution w sieciach piasty i szprych, zobacz Integrowanie rozwiązania Azure VMware Solution w architekturze piasty i szprych.
Aby uzyskać więcej informacji na temat segmentów sieciowych centrum danych VMware NSX-T, zobacz Konfigurowanie składników sieciowych centrum danych NSX-T przy użyciu rozwiązania Azure VMware Solution.
Aby dowiedzieć się więcej o zasadach architektury strefy docelowej w skali przedsiębiorstwa, różnych zagadnieniach projektowych i najlepszych rozwiązaniach dotyczących rozwiązania Azure VMware Solution, zobacz następny artykuł z tej serii:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla