Топология сети и подключение для Решения Azure VMware

  • Статья

При использовании программно-определяемого программного центра обработки данных VMware (SDDC) с облачной экосистемой Azure у вас есть уникальный набор рекомендаций по проектированию, которые следует учитывать как для облачных, так и гибридных сценариев. В этой статье содержатся основные рекомендации и рекомендации по работе с сетями и подключением к развертываниям Azure и Решение Azure VMware.

Эта статья основана на нескольких принципах проектирования архитектуры корпоративных целевых зон Cloud Adoption Framework и рекомендациях по управлению топологией сети и подключению в большом масштабе. Вы можете использовать это руководство по проектированию целевой зоны Azure для критически важных платформ Решение Azure VMware. К областям проектирования относятся:

  • Гибридная интеграция для подключения между локальными, многооблачными, пограничными и глобальными пользователями. Дополнительные сведения см. в разделе Поддержка гибридных и многооблачных сред корпоративного уровня.
  • Производительность и надежность в масштабе масштабируемости рабочей нагрузки и согласованной низкой задержки. В следующей статье рассматриваются развертывания с двумя регионами.
  • Безопасность сети на основе нулевого доверия для периметра сети и безопасности потока трафика. Дополнительные сведения см. в статье Стратегии безопасности в Azure.
  • Расширяемость для простого расширения сетевых ресурсов без необходимости повторного проектирования.

Общие вопросы и рекомендации по проектированию

В следующих разделах приведены общие рекомендации по проектированию и рекомендации по Решение Azure VMware топологии сети и подключений.

Топология звезды и топология виртуальной глобальной сети

Если у вас нет подключения ExpressRoute из локальной среды в Azure и вы вместо этого используете VPN S2S, вы можете использовать Виртуальная глобальная сеть для транзитного подключения между локальным VPN и Решение Azure VMware ExpressRoute. Если вы используете звездообразную топологию, вам потребуется Сервер маршрутизации Azure. Дополнительные сведения см. в статье о поддержке Сервера маршрутов Azure для ExpressRoute и VPN Azure.

Частные облака и кластеры

  • Все кластеры могут взаимодействовать в Решение Azure VMware частном облаке, так как все они совместно используют одно адресное пространство /22.

  • Все кластеры используют одинаковые параметры подключения, включая Интернет, ExpressRoute, HCX, общедоступный IP-адрес и ExpressRoute Global Reach. Рабочие нагрузки приложений также могут совместно использовать некоторые основные параметры сети, такие как сегменты сети, протокол конфигурации динамического узла (DHCP) и параметры системы доменных имен (DNS).

  • Заранее разработайте частные облака и кластеры перед развертыванием. Количество частных облаков, которые требуются, напрямую влияет на требования к сети. Каждому частному облаку требуется собственное адресное пространство /22 для управления частным облаком и сегмент IP-адресов для рабочих нагрузок виртуальных машин. Рекомендуется заранее определить эти адресные пространства.

  • Обсудите с командами специалистов по VMware и сетям, как сегментировать и распределять частные облака, кластеры и сетевые сегменты для рабочих нагрузок. Спланируйте хорошо и избегайте использования IP-адресов.

Дополнительные сведения об управлении IP-адресами для частных облаков см. в статье Определение сегмента IP-адреса для управления частным облаком.

Дополнительные сведения об управлении IP-адресами для рабочих нагрузок ВМ см. в статье Определение сегмента IP-адреса для рабочих нагрузок виртуальных машин.

DNS и DHCP

Для DHCP используйте службу DHCP, встроенную в центр обработки данных NSX-T, или используйте локальный DHCP-сервер в частном облаке. Не направляйте широковещательный трафик DHCP по глобальной сети обратно в локальные сети.

Для DNS в зависимости от используемого сценария и требований у вас есть несколько вариантов:

  • Только для среды Решение Azure VMware можно развернуть новую инфраструктуру DNS в частном облаке Решение Azure VMware.
  • Для Решение Azure VMware подключения к локальной среде можно использовать существующую инфраструктуру DNS. При необходимости разверните серверы пересылки DNS для расширения на виртуальную сеть Azure или, желательно, на Решение Azure VMware. Дополнительные сведения см. в статье Добавление службы сервера пересылки DNS.
  • Для Решение Azure VMware, подключенных как к локальным, так и к средам и службам Azure, можно использовать существующие DNS-серверы или dns-пересылки в виртуальной сети концентратора, если они доступны. Вы также можете расширить существующую локальную инфраструктуру DNS в виртуальной сети Концентратора Azure. Дополнительные сведения см. на схеме целевых зон корпоративного уровня.

Дополнительные сведения см. в следующих статьях:

Интернет

Параметры исходящего трафика для включения Интернета и фильтрации и проверки трафика:

  • Azure виртуальная сеть, NVA и Azure Route Server с помощью доступа к Интернету.
  • Локальный маршрут по умолчанию с помощью локального доступа к Интернету.
  • Виртуальная глобальная сеть защищенный концентратор с Брандмауэр Azure или NVA с помощью доступа к Интернету Azure.

Входящий трафик для доставки содержимого и приложений включают:

  • Шлюз приложений Azure с помощью L7, ssl-завершения и Брандмауэр веб-приложений.
  • DNAT и подсистема балансировки нагрузки из локальной среды.
  • Azure виртуальная сеть, NVA и Azure Route Server в различных сценариях.
  • Виртуальная глобальная сеть защищенный концентратор с Брандмауэр Azure с L4 и DNAT.
  • Виртуальная глобальная сеть защищенный концентратор с помощью NVA в различных сценариях.

ExpressRoute

Развертывание частного облака Решение Azure VMware автоматически создает один бесплатный канал ExpressRoute 10 Гбит/с. Этот канал подключает Решение Azure VMware к серверу D-MSEE.

Рассмотрите возможность развертывания Решение Azure VMware в парных регионах Azure рядом с центрами обработки данных. Ознакомьтесь с этой статьей по рекомендациям по топологиям сети с двумя регионами для Решение Azure VMware.

Global Reach

  • Global Reach — это обязательная надстройка ExpressRoute для Решения Azure VMware, которая взаимодействует с локальными центрами обработки данных, виртуальной сетью Azure и виртуальной глобальной сетью. Альтернативой является проектирование сетевого подключения с помощью Azure Route Server.

  • Вы можете применять одноранговый канал ExpressRoute Решения Azure VMware с другими каналами ExpressRoute, используя Global Reach бесплатно.

  • Вы можете использовать global Reach для пиринга каналов ExpressRoute через ISP и для каналов ExpressRoute Direct.

  • Global Reach не поддерживается для локальных каналов ExpressRoute. Для локальной системы ExpressRoute необходимо передача данных из Решения Azure VMware в локальные центры обработки данных через сторонние NVA в виртуальной сети Azure.

  • Служба Global Reach доступна не во всех расположениях.

Пропускная способность

Выберите соответствующий номер SKU шлюза виртуальной сети для оптимальной пропускной способности между Решение Azure VMware и Azure виртуальная сеть. Решение Azure VMware поддерживает не более четырех каналов ExpressRoute в шлюз ExpressRoute в одном регионе.

Безопасность сети

Безопасность сети включает проверку трафика и зеркало портов.

Проверка трафика на Востоке в SDDC использует центр обработки данных NSX-T или NVA для проверки трафика в Azure виртуальная сеть в разных регионах.

При проверке вертикального трафика проверяется двунаправленный поток трафика между Решением Azure VMware и центрами обработки данных. Для проверки вертикального трафика можно использовать:

  • Сторонний брандмауэр NVA и сервер маршрутизации Azure через Интернет Azure.
  • Локальный маршрут по умолчанию через локальный Интернет.
  • Брандмауэр Azure и виртуальную глобальную сеть через интернет-подключение Azure;
  • Центр обработки данных NSX-T в SDDC через Решение Azure VMware Интернет.
  • NVA стороннего брандмауэра в Решение Azure VMware в SDDC через Решение Azure VMware Интернет

Требования к портам и протоколам

Настройте все необходимые порты для локального брандмауэра, чтобы обеспечить надлежащий доступ ко всем Решение Azure VMware компонентам частного облака. Дополнительные сведения см. в разделе Требуемые сетевые порты.

Доступ для управления Решением Azure VMware

  • Рассмотрите возможность использования узла Бастиона Azure в Azure виртуальная сеть для доступа к среде Решение Azure VMware во время развертывания.

  • После установки маршрутизации в локальную среду Решение Azure VMware сеть управления не учитывает 0.0.0.0/0 маршруты из локальных сетей, поэтому вам необходимо объявить более конкретные маршруты для локальных сетей.

Непрерывность бизнес-процессов, аварийное восстановление (BCDR) и миграция

  • В миграциях VMware HCX шлюз по умолчанию остается локальным. Дополнительные сведения см. в статье Развертывание и настройка VMware HCX.

  • Миграции VMware HCX могут использовать расширение HCX L2. Для миграций, требующих расширения уровня 2, также требуется ExpressRoute. VPN S2S поддерживается до тех пор, пока минимальные требования к сетевому наложению не являются чистыми. Максимальный размер блока передачи (MTU) должен быть равен 1350 в соответствии с нагрузкой HCX. Дополнительные сведения о проектировании расширений уровня 2 см. в статье Мост уровня 2 в режиме диспетчера (VMware.com).

Следующие шаги