Планирование топологии сети для развертывания Решения Azure VMware
Решение Azure VMware предоставляет частную облачную среду, доступ к которой можно получить как из локальных, так и из локальных сред или ресурсов Azure. Следующий шаг в развертывании решения Azure VMware включает план топологии сети.
Окружение решения Azure VMware в Azure должно передавать сетевой трафик в службы Azure и локальные окружения VMware. Выделенный канал ExpressRoute Azure обеспечивает подключение к ресурсам и службам Azure из решения Azure VMware. Отдельный канал Azure ExpressRoute, предоставленный клиентом, обеспечивает подключение к локальным окружениям VMware. Для обеспечения сетевого подключения должны быть включены определенные диапазоны IP-адресов и порты брандмауэра. При развертывании решения Azure VMware частные сети создаются для следующих компонентов vSphere:
- Управление
- Подготовка
- VMware vMotion
Эти частные сети используются для доступа к vCenter Server, NSX Manager и vMotion.
IP-сегменты
Ip-адресация должна быть запланирована перед развертыванием Решение Azure VMware частного облака. Для службы требуется предоставленный сетевой блок CIDR /22. CiDR /22 требуется для компонентов управления Решение Azure VMware. Сегменты рабочей нагрузки, на которых развертываются виртуальные машины, будут иметь другой диапазон IP-адресов. Это можно сделать, создав сегменты сети в диспетчере NSX.
CiDR управления автоматически вырезается в небольших сегментах. Эти сегменты IP-адресов используются для vCenter Server, VMware HCX, NSX и VMware vMotion. Решение Azure VMware, существующей среде Azure и локальной среде потребуется обменять маршруты для переноса виртуальных машин в Azure. Блок сетевых адресов CIDR /22, который вы определяете, не должен перекрываться с блоками сетевых адресов, уже настроенными локально или в Azure.
Чтобы создать первый сегмент NSX в частном облаке решения Azure VMware, необходимо создать IP-сегмент виртуальной машины. IP-сегмент виртуальной машины позволяет развертывать виртуальные машины в решении Azure VMware. Кроме того, сегменты сети можно расширить из локальной среды VMware, чтобы Решение Azure VMware с помощью расширения сети VMware HCX уровня 2. Локальные сети должны подключаться к распределенном коммутатору vSphere (vDS), так как стандартные коммутаторы vSphere не могут быть расширены с помощью VMware HCX.
Пример разбивки подсети
В следующей таблице показан пример того, как блок сетевых адресов CIDR /22 (10.5.0.0/22 в этом примере) вырезан на различные сегменты IP-адресов:
| Назначение сети | Подсеть | Пример |
|---|---|---|
| Управление частным облаком | /26 | 10.5.0.0/26 |
| Миграции HCX | /26 | 10.5.0.64/26 |
| Резервирование Global Reach | /26 | 10.5.0.128/26 |
| Резервирование ExpressRoute | /27 | 10.5.0.192/27 |
| Пиринг ExpressRoute | /27 | 10.5.0.224/27 |
| Управление ESXi | /25 | 10.5.1.0/25 |
| Сеть vMotion | /25 | 10.5.1.128/25 |
| Сеть репликации | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| Исходящая связь HCX | /26 | 10.5.3.0/26 |
| Зарезервировано | Блоки 3/26 | 10.5.3.64/26, 10.5.3.128/26, 10.5.3.192/26 |
Решение Azure VMware сетевое подключение
После развертывания Решение Azure VMware установка сетевого подключения становится следующим шагом для успешного развертывания.
Решение Azure VMware частное облако развертывается на выделенных серверах без операционной системы, которые назначаются только одному клиенту. Чтобы использовать ресурсы Azure, эти серверы должны подключаться к сетевой магистрали Azure. Решение Azure VMware предоставляет канал Azure ExpressRoute, который позволяет обмен данными между Решение Azure VMware частным облаком и службами Azure. Чтобы подключиться к локальной среде через ExpressRoute, можно настроить ExpressRoute Global Reach в существующем канале ExpressRoute.
Требования к ExpressRoute и маршрутизации
Существует два типа взаимодействия для решения Azure VMware.
- Базовая взаимосвязь только для Azure: Решение Azure VMware подключается к виртуальной сети Azure с помощью подключения ExpressRoute, которое развертывается с ресурсом. Канал ExpressRoute, предоставляемый Решением Azure VMware, устанавливает подключение к частному облаку Решения, а из него — к другим службам Azure, таким как Azure Monitor и Microsoft Defender для облака.
- Полная локальная связь с частным облаком: эта модель подключения расширяет базовую реализацию взаимодействия, чтобы включить взаимодействие между локальными и Решение Azure VMware частными облаками. Это подключение можно настроить с помощью канала ExpressRoute, предоставленного клиентом, среди других методов. Вы можете использовать существующий канал или приобрести новый.
ExpressRoute Global Reach служит вариантом по умолчанию для гибридного подключения в Решение Azure VMware. Однако существуют сценарии, в которых глобальный охват может не применяться— из-за его недоступности в вашем регионе или конкретных требованиях к сети или безопасности, которые не могут быть выполнены Global Reach. В таких случаях можно рассмотреть возможность передачи данных через частный пиринг ExpressRoute или VPN IPSec.
Предоставленный клиентом канал ExpressRoute не является частью развертывания Решение Azure VMware частного облака.
Предварительные требования для ExpressRoute Global Reach
Перед настройкой ExpressRoute Global Reach необходимо выполнить несколько предварительных условий.
- Требуется отдельный канал ExpressRoute, предоставляемый заказчиком. Этот канал используется для подключения локальных сред к Azure.
- Все шлюзы, включая службу поставщика ExpressRoute, должны поддерживать 4-байтовые номера автономной системы (ASN). Решение Azure VMware использует 4-байтовые общедоступные номера ASN для объявления сетевых маршрутов.
Требуемые сетевые порты
Если локальная сетевая инфраструктура является ограничивающей, необходимо разрешить следующие порты.
| Источник | Назначение | Протокол | Порт |
|---|---|---|---|
| Решение Azure VMware DNS-сервер частного облака | Локальный DNS-сервер | UDP | 53 |
| Локальный DNS-сервер | DNS-сервер решения Azure VMware | UDP | 53 |
| Локальная сеть | Решение Azure VMware vCenter Server | TCP (HTTP/HTTPS) | 80, 443 |
| Решение Azure VMware сети управления частным облаком | Локальный каталог Active Directory | Протокол tcp | 389/636 |
| Решение Azure VMware сети управления частным облаком | Локальный глобальный каталог Active Directory | Протокол tcp | 3268/3269 |
| Локальная сеть | HCX Cloud Manager | TCP (HTTPS) | 9443 |
| Локальная сеть администрирования | HCX Cloud Manager | SSH | двадцать два |
| HCX Manager | Interconnect (HCX-IX) | TCP (HTTPS) | 8123 |
| HCX Manager | Interconnect (HCX-IX), сетевое расширение (HCX-NE) | TCP (HTTPS) | 9443 |
| Interconnect (HCX-IX) | Подключение уровня 2 | TCP (HTTPS) | 443 |
| Диспетчер HCX, Interconnect (HCX-IX) | Узлы ESXi | Протокол tcp | 80, 443, 902 |
| Interconnect (HCX-IX), сетевое расширение (HCX-NE) в источнике | Межсоединение (HCX-IX), расширение сети (HCX-NE) в месте назначения | UDP | 4500 |
| Локальное взаимодействие (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 500 |
| Локальная сеть vCenter Server | Сеть управления решения Azure VMware | Протокол tcp | 8 000 |
| Соединитель HCX | connector.hcx.vmware.com hybridity.depot.vmware.com | Протокол tcp | 443 |
Рекомендации по разрешению DNS и DHCP
Для виртуальных машин, работающих в Решение Azure VMware требуется разрешение имен. Виртуальным машинам также могут потребоваться службы DHCP для поиска и назначения IP-адресов. Вы можете настроить локальную виртуальную машину или виртуальную машину Azure для упрощения разрешения имен. Вы можете использовать службу DHCP, встроенную в NSX, или использовать локальный DHCP-сервер в частном облаке Решение Azure VMware. Для настройки DHCP в решении Azure VMware не потребуется маршрутизация широковещательной рассылки DHCP-трафика через WAN обратно в локальную среду.
В следующем разделе мы продолжим развертывание решения Azure VMware. Мы рассмотрим все действия, чтобы развернуть службу в вашей среде.