Топология сети и подключение для Решения Azure VMware

При использовании программно-определяемого программного центра обработки данных VMware (SDDC) с облачной экосистемой Azure у вас есть уникальный набор рекомендаций по проектированию, которые следует учитывать как для облачных, так и гибридных сценариев. В этой статье содержатся основные рекомендации и рекомендации по работе с сетями и подключением к развертываниям Azure и Решение Azure VMware.

Эта статья основана на нескольких принципах проектирования архитектуры корпоративных целевых зон Cloud Adoption Framework и рекомендациях по управлению топологией сети и подключению в большом масштабе. Вы можете использовать это руководство по проектированию целевой зоны Azure для критически важных платформ Решение Azure VMware. К областям проектирования относятся:

• Гибридная интеграция для подключения между локальными, многооблачными, пограничными и глобальными пользователями. Дополнительные сведения см. в разделе Поддержка гибридных и многооблачных сред корпоративного уровня.
• Производительность и надежность в масштабе масштабируемости рабочей нагрузки и согласованной низкой задержки. В следующей статье рассматриваются развертывания с двумя регионами.
• Безопасность сети на основе нулевого доверия для периметра сети и безопасности потока трафика. Дополнительные сведения см. в статье Стратегии безопасности в Azure.
• Расширяемость для простого расширения сетевых ресурсов без необходимости повторного проектирования.

Общие вопросы и рекомендации по проектированию

В следующих разделах приведены общие рекомендации по проектированию и рекомендации по Решение Azure VMware топологии сети и подключений.

Топология звезды и топология виртуальной глобальной сети

Если у вас нет подключения ExpressRoute из локальной среды в Azure и вы вместо этого используете VPN S2S, вы можете использовать Виртуальная глобальная сеть для транзитного подключения между локальным VPN и Решение Azure VMware ExpressRoute. Если вы используете звездообразную топологию, вам потребуется Сервер маршрутизации Azure. Дополнительные сведения см. в статье о поддержке Сервера маршрутов Azure для ExpressRoute и VPN Azure.

Частные облака и кластеры

• Все кластеры могут взаимодействовать в Решение Azure VMware частном облаке, так как все они совместно используют одно адресное пространство /22.

• Все кластеры используют одинаковые параметры подключения, включая Интернет, ExpressRoute, HCX, общедоступный IP-адрес и ExpressRoute Global Reach. Рабочие нагрузки приложений также могут совместно использовать некоторые основные параметры сети, такие как сегменты сети, протокол конфигурации динамического узла (DHCP) и параметры системы доменных имен (DNS).

• Заранее разработайте частные облака и кластеры перед развертыванием. Количество частных облаков, которые требуются, напрямую влияет на требования к сети. Каждому частному облаку требуется собственное адресное пространство /22 для управления частным облаком и сегмент IP-адресов для рабочих нагрузок виртуальных машин. Рекомендуется заранее определить эти адресные пространства.

• Обсудите с командами специалистов по VMware и сетям, как сегментировать и распределять частные облака, кластеры и сетевые сегменты для рабочих нагрузок. Спланируйте хорошо и избегайте использования IP-адресов.

Дополнительные сведения об управлении IP-адресами для частных облаков см. в статье Определение сегмента IP-адреса для управления частным облаком.

Дополнительные сведения об управлении IP-адресами для рабочих нагрузок ВМ см. в статье Определение сегмента IP-адреса для рабочих нагрузок виртуальных машин.

DNS и DHCP

Для DHCP используйте службу DHCP, встроенную в центр обработки данных NSX-T, или используйте локальный DHCP-сервер в частном облаке. Не направляйте широковещательный трафик DHCP по глобальной сети обратно в локальные сети.

Для DNS в зависимости от используемого сценария и требований у вас есть несколько вариантов:

• Только для среды Решение Azure VMware можно развернуть новую инфраструктуру DNS в частном облаке Решение Azure VMware.
• Для Решение Azure VMware подключения к локальной среде можно использовать существующую инфраструктуру DNS. При необходимости разверните серверы пересылки DNS для расширения на виртуальную сеть Azure или, желательно, на Решение Azure VMware. Дополнительные сведения см. в статье Добавление службы сервера пересылки DNS.
• Для Решение Azure VMware, подключенных как к локальным, так и к средам и службам Azure, можно использовать существующие DNS-серверы или dns-пересылки в виртуальной сети концентратора, если они доступны. Вы также можете расширить существующую локальную инфраструктуру DNS в виртуальной сети Концентратора Azure. Дополнительные сведения см. на схеме целевых зон корпоративного уровня.

Дополнительные сведения см. в следующих статьях:

• Рекомендации по разрешению DHCP и DNS
• Настройка DHCP для Решения Azure VMware
• Настройка DHCP в растянутых сетях VMware HCX
• Настройка DNS-пересылки в портал Azure

Интернет

Параметры исходящего трафика для включения Интернета и фильтрации и проверки трафика:

• Azure виртуальная сеть, NVA и Azure Route Server с помощью доступа к Интернету.
• Локальный маршрут по умолчанию с помощью локального доступа к Интернету.
• Виртуальная глобальная сеть защищенный концентратор с Брандмауэр Azure или NVA с помощью доступа к Интернету Azure.

Входящий трафик для доставки содержимого и приложений включают:

• Шлюз приложений Azure с помощью L7, ssl-завершения и Брандмауэр веб-приложений.
• DNAT и подсистема балансировки нагрузки из локальной среды.
• Azure виртуальная сеть, NVA и Azure Route Server в различных сценариях.
• Виртуальная глобальная сеть защищенный концентратор с Брандмауэр Azure с L4 и DNAT.
• Виртуальная глобальная сеть защищенный концентратор с помощью NVA в различных сценариях.

ExpressRoute

Развертывание частного облака Решение Azure VMware автоматически создает один бесплатный канал ExpressRoute 10 Гбит/с. Этот канал подключает Решение Azure VMware к серверу D-MSEE.

Рассмотрите возможность развертывания Решение Azure VMware в парных регионах Azure рядом с центрами обработки данных. Ознакомьтесь с этой статьей по рекомендациям по топологиям сети с двумя регионами для Решение Azure VMware.

Global Reach

• Global Reach — это обязательная надстройка ExpressRoute для Решения Azure VMware, которая взаимодействует с локальными центрами обработки данных, виртуальной сетью Azure и виртуальной глобальной сетью. Альтернативой является проектирование сетевого подключения с помощью Azure Route Server.

• Вы можете применять одноранговый канал ExpressRoute Решения Azure VMware с другими каналами ExpressRoute, используя Global Reach бесплатно.

• Вы можете использовать global Reach для пиринга каналов ExpressRoute через ISP и для каналов ExpressRoute Direct.

• Global Reach не поддерживается для локальных каналов ExpressRoute. Для локальной системы ExpressRoute необходимо передача данных из Решения Azure VMware в локальные центры обработки данных через сторонние NVA в виртуальной сети Azure.

• Служба Global Reach доступна не во всех расположениях.

Пропускная способность

Выберите соответствующий номер SKU шлюза виртуальной сети для оптимальной пропускной способности между Решение Azure VMware и Azure виртуальная сеть. Решение Azure VMware поддерживает не более четырех каналов ExpressRoute в шлюз ExpressRoute в одном регионе.

Безопасность сети

Безопасность сети включает проверку трафика и зеркало портов.

Проверка трафика на Востоке в SDDC использует центр обработки данных NSX-T или NVA для проверки трафика в Azure виртуальная сеть в разных регионах.

При проверке вертикального трафика проверяется двунаправленный поток трафика между Решением Azure VMware и центрами обработки данных. Для проверки вертикального трафика можно использовать:

• Сторонний брандмауэр NVA и сервер маршрутизации Azure через Интернет Azure.
• Локальный маршрут по умолчанию через локальный Интернет.
• Брандмауэр Azure и виртуальную глобальную сеть через интернет-подключение Azure;
• Центр обработки данных NSX-T в SDDC через Решение Azure VMware Интернет.
• NVA стороннего брандмауэра в Решение Azure VMware в SDDC через Решение Azure VMware Интернет

Требования к портам и протоколам

Настройте все необходимые порты для локального брандмауэра, чтобы обеспечить надлежащий доступ ко всем Решение Azure VMware компонентам частного облака. Дополнительные сведения см. в разделе Требуемые сетевые порты.

Доступ для управления Решением Azure VMware

• Рассмотрите возможность использования узла Бастиона Azure в Azure виртуальная сеть для доступа к среде Решение Azure VMware во время развертывания.

• После установки маршрутизации в локальную среду Решение Azure VMware сеть управления не учитывает 0.0.0.0/0 маршруты из локальных сетей, поэтому вам необходимо объявить более конкретные маршруты для локальных сетей.

Непрерывность бизнес-процессов, аварийное восстановление (BCDR) и миграция

• В миграциях VMware HCX шлюз по умолчанию остается локальным. Дополнительные сведения см. в статье Развертывание и настройка VMware HCX.

• Миграции VMware HCX могут использовать расширение HCX L2. Для миграций, требующих расширения уровня 2, также требуется ExpressRoute. VPN S2S поддерживается до тех пор, пока минимальные требования к сетевому наложению не являются чистыми. Максимальный размер блока передачи (MTU) должен быть равен 1350 в соответствии с нагрузкой HCX. Дополнительные сведения о проектировании расширений уровня 2 см. в статье Мост уровня 2 в режиме диспетчера (VMware.com).

Следующие шаги

• Дополнительные сведения о решении Azure VMware в сетях с топологией звезды см. в статье Интеграция Решения VMware Azure с архитектурой звезды.

• Дополнительные сведения о сетевых сегментах центра обработки данных VMware NSX-T см. в разделе "Настройка сетевых компонентов NSX-T Центра обработки данных" с помощью Решение Azure VMware.

• Сведения о принципах архитектуры целевой зоны в масштабе предприятия Cloud Adoption Framework, различных рекомендациях по проектированию и Решение Azure VMware см. в следующей статье этой серии:

  Топологии с одним регионом и периферийными топологиями