Lista de verificação de planejamento de rede para a Solução VMware do Azure
A Solução VMware do Azure fornece um ambiente de nuvem privada VMware acessível a usuários e aplicativos de ambientes ou recursos locais e baseados no Azure. A conectividade é fornecida por meio de serviços de rede, como Azure ExpressRoute e conexões VPN. Intervalos de endereços de rede específicos e portas de firewall são necessários para habilitar esses serviços. Este artigo ajuda você a configurar sua rede para trabalhar com a Solução VMware do Azure.
Neste tutorial, saiba mais sobre:
- Considerações sobre rede virtual e circuito de Rota Expressa
- Requisitos de roteamento e sub-rede
- Portas de rede necessárias para se comunicar com os serviços
- Considerações sobre DHCP e DNS na Solução VMware do Azure
Pré-requisitos
Certifique-se de que todos os gateways, incluindo o serviço do provedor de Rota Expressa, suportem ASN (Número de Sistema Autônomo) de 4 bytes. A Solução VMware do Azure usa ASNs públicos de 4 bytes para rotas de publicidade.
Considerações sobre rede virtual e circuito de Rota Expressa
Quando você cria uma conexão de rede virtual em sua assinatura, o circuito de Rota Expressa é estabelecido por meio de emparelhamento, usando uma chave de autorização e uma ID de emparelhamento solicitada no portal do Azure. O emparelhamento é uma conexão privada um-para-um entre sua nuvem privada e a rede virtual.
Nota
O circuito ExpressRoute não faz parte de uma implantação de nuvem privada. O circuito de Rota Expressa local está além do escopo deste documento. Se precisar de conectividade local com a sua nuvem privada, utilize um dos seus circuitos de Rota Expressa existentes ou adquira um no portal do Azure.
Ao implantar uma nuvem privada, você recebe endereços IP para o vCenter Server e o NSX Manager. Para acessar essas interfaces de gerenciamento, crie mais recursos na rede virtual da sua assinatura. Encontre os procedimentos para criar esses recursos e estabelecer o emparelhamento privado da Rota Expressa nos tutoriais.
A rede lógica de nuvem privada inclui uma configuração NSX pré-provisionada. Um gateway de nível 0 e um gateway de nível 1 são pré-provisionados para você. Você pode criar um segmento e anexá-lo ao gateway de camada 1 existente ou anexá-lo a um novo gateway de camada 1 que você definir. Os componentes lógicos de rede NSX fornecem conectividade Leste-Oeste entre cargas de trabalho e conectividade Norte-Sul com a Internet e os serviços do Azure.
Importante
Se você planeja dimensionar seus hosts da Solução VMware do Azure usando armazenamentos de dados do Azure NetApp Files, implantar a rede virtual perto de seus hosts com um gateway de rede virtual ExpressRoute é crucial. Quanto mais próximo o armazenamento estiver dos seus anfitriões, melhor será o desempenho.
Considerações sobre roteamento e sub-rede
A nuvem privada da Solução VMware do Azure liga-se à sua rede virtual do Azure utilizando uma ligação do Azure ExpressRoute. Esta ligação de alta largura de banda e baixa latência permite-lhe aceder a serviços em execução na sua subscrição do Azure a partir do seu ambiente de nuvem privada. O roteamento usa o Border Gateway Protocol (BGP), é provisionado automaticamente e habilitado por padrão para cada implantação de nuvem privada.
As nuvens privadas da Solução VMware do Azure exigem um bloco de endereço de rede CIDR mínimo /22 para sub-redes. Essa rede complementa suas redes locais, portanto, o bloco de endereço não deve se sobrepor aos blocos de endereços usados em outras redes virtuais em sua assinatura e redes locais. As redes de gerenciamento, vMotion e replicação são provisionadas automaticamente dentro desse bloco de endereços.
Nota
Os intervalos permitidos para o seu bloco de endereço são os espaços de endereço privado RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), exceto 172.17.0.0/16. A rede de replicação não é aplicável a nós AV64 e está programada para substituição geral em uma data futura.
Importante
Evite usar os seguintes esquemas IP reservados para uso do NSX:
- 169.254.0.0/24 - utilizados para a rede de trânsito interno
- 169.254.2.0/23 - utilizado para a rede de trânsito inter-VRF
- 100.64.0.0/16 - usado para conectar gateways T1 e T0 internamente
Exemplo /22 de bloco de endereço de rede CIDR: 10.10.0.0/22
As sub-redes:
| Utilização da rede | Description | Sub-rede | Exemplo |
|---|---|---|---|
| Gestão de clouds privadas | Rede de gerenciamento (como vCenter, NSX) | /26 |
10.10.0.0/26 |
| Migrações HCX Mgmt | Conectividade local para dispositivos HCX (downlinks) | /26 |
10.10.0.64/26 |
| Alcance Global Reservado | Interface de saída para ExpressRoute | /26 |
10.10.0.128/26 |
| Serviço DNS NSX | Serviço NSX DNS integrado | /32 |
10.10.0.192/32 |
| Reservado | Reservado | /32 |
10.10.0.193/32 |
| Reservado | Reservado | /32 |
10.10.0.194/32 |
| Reservado | Reservado | /32 |
10.10.0.195/32 |
| Reservado | Reservado | /30 |
10.10.0.196/30 |
| Reservado | Reservado | /29 |
10.10.0.200/29 |
| Reservado | Reservado | /28 |
10.10.0.208/28 |
| Peering do ExpressRoute | Emparelhamento de Rota Expressa | /27 |
10.10.0.224/27 |
| Gerenciamento ESXi | Interfaces VMkernel de gerenciamento ESXi | /25 |
10.10.1.0/25 |
| Rede vMotion | Interfaces VMkernel vMotion | /25 |
10.10.1.128/25 |
| Rede de replicação | Interfaces de replicação do vSphere | /25 |
10.10.2.0/25 |
| vSAN | Interfaces vSAN VMkernel e comunicação de nós | /25 |
10.10.2.128/25 |
| Ligação ascendente HCX | Uplinks para dispositivos HCX IX e NE para pares remotos | /26 |
10.10.3.0/26 |
| Reservado | Reservado | /26 |
10.10.3.64/26 |
| Reservado | Reservado | /26 |
10.10.3.128/26 |
| Reservado | Reservado | /26 |
10.10.3.192/26 |
Nota
As redes de gerenciamento/vmotion/replicação ESXi são tecnicamente capazes de suportar 125 hosts, no entanto, o máximo suportado é de 96, pois 29 são reservados para substituições/manutenção(19) e HCX(10).
Portas de rede necessárias
| Origem | Destino | Protocolo | Porta | Description |
|---|---|---|---|---|
| Servidor DNS na nuvem privada | Servidor DNS local | UDP | 53 | Cliente DNS - Encaminhe solicitações do Private Cloud vCenter Server para quaisquer consultas DNS locais (consulte a seção DNS). |
| Servidor DNS local | Servidor DNS na nuvem privada | UDP | 53 | Cliente DNS - Encaminha solicitações de serviços locais para servidores DNS de nuvem privada (consulte a seção DNS) |
| Rede no local | Servidor vCenter de nuvem privada | TCP (HTTP) | 80 | O vCenter Server requer a porta 80 para conexões HTTP diretas. A porta 80 redireciona as solicitações para a porta HTTPS 443. Esse redirecionamento ajuda se você usar http://server em vez de https://server. |
| Rede de gestão de nuvem privada | Active Directory no local | TCP | 389/636 | Habilite o Azure VMware Solutions vCenter Server para se comunicar com o(s) servidor(es) Ative Directory/LDAP local. Opcional para configurar o AD local como uma fonte de identidade no Private Cloud vCenter. A porta 636 é recomendada para fins de segurança. |
| Rede de gestão de nuvem privada | Catálogo Global do Ative Directory local | TCP | 3268/3269 | Habilite o Azure VMware Solutions vCenter Server para se comunicar com o(s) servidor(es) de catálogo global do Ative Directory/LDAP local. Opcional para configurar o AD local como uma fonte de identidade no Private Cloud vCenter Server. Use a porta 3269 para segurança. |
| Rede no local | Servidor vCenter de nuvem privada | TCP (HTTPS) | 443 | Aceda ao vCenter Server a partir de uma rede local. Porta padrão para o vCenter Server escutar conexões do vSphere Client. Para habilitar o sistema vCenter Server para receber dados do vSphere Client, abra a porta 443 no firewall. O sistema vCenter Server também usa a porta 443 para monitorar a transferência de dados de clientes SDK. |
| Rede no local | HCX Cloud Manager | TCP (HTTPS) | 9443 | Interface de gerenciamento de dispositivo virtual HCX Cloud Manager para configuração do sistema HCX. |
| Rede de administração local | HCX Cloud Manager | SSH | 22 | Acesso SSH do administrador ao dispositivo virtual HCX Cloud Manager. |
| Gerente HCX | Interconexão (HCX-IX) | TCP (HTTPS) | 8123 | Controle de migração em massa HCX. |
| Gerente HCX | Interconexão (HCX-IX), Extensão de Rede (HCX-NE) | TCP (HTTPS) | 9443 | Envie instruções de gerenciamento para a Interconexão HCX local usando a API REST. |
| Interconexão (HCX-IX) | L2C | TCP (HTTPS) | 443 | Envie instruções de gerenciamento de Interconnect para L2C quando L2C usar o mesmo caminho que a Interconnect. |
| HCX Manager, Interconexão (HCX-IX) | Anfitriões ESXi | TCP | 80,443,902 | Gestão e implantação de OVF. |
| Interconexão (HCX-IX), extensão de rede (HCX-NE) na origem | Interconexão (HCX-IX), extensão de rede (HCX-NE) no destino | UDP | 4500 | Necessário para IPSEC Internet key exchange (IKEv2) para encapsular cargas de trabalho para o túnel bidirecional. Suporta Network Address Translation-Traversal (NAT-T). |
| Interconexão local (HCX-IX) | Interconexão na nuvem (HCX-IX) | UDP | 4500 | Necessário para IPSEC Internet Key Exchange (ISAKMP) para o túnel bidirecional. |
| Rede local do vCenter Server | Rede de gestão de nuvem privada | TCP | 8000 | vMotion de VMs do vCenter Server local para o Private Cloud vCenter Server |
| Conector HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect é necessário para validar a chave de licença.hybridity é necessário para atualizações. |
Esta tabela apresenta regras de firewall comuns para cenários típicos. No entanto, talvez seja necessário considerar mais itens ao configurar regras de firewall. Observe quando a origem e o destino dizem "localmente", essas informações só são relevantes se o datacenter tiver um firewall que inspeciona fluxos. Se seus componentes locais não tiverem um firewall para inspeção, você poderá ignorar essas regras.
Para obter mais informações, consulte a lista completa de requisitos de porta VMware HCX.
Considerações sobre resolução de DHCP e DNS
Aplicativos e cargas de trabalho executados em um ambiente de nuvem privada exigem resolução de nomes e serviços DHCP para pesquisa e atribuições de endereços IP. Uma infraestrutura DHCP e DNS adequada são necessárias para fornecer esses serviços. Você pode configurar uma máquina virtual para fornecer esses serviços em seu ambiente de nuvem privada.
Use o serviço DHCP integrado ao NSX-T Data Center ou use um servidor DHCP local na nuvem privada em vez de rotear o tráfego DHCP de difusão pela WAN de volta para o local.
Importante
Se você anunciar uma rota padrão para a Solução VMware do Azure, deverá permitir que o encaminhador DNS alcance os servidores DNS configurados e eles deverão oferecer suporte à resolução de nomes públicos.
Próximos passos
Neste tutorial, você aprendeu sobre as considerações e os requisitos para implantar uma nuvem privada da Solução VMware do Azure. Depois de ter a rede adequada instalada, continue para o próximo tutorial para criar sua nuvem privada da Solução VMware do Azure.