Checklista för nätverksplanering för Azure VMware Solution
Azure VMware Solution tillhandahåller en privat VMware-molnmiljö som är tillgänglig för användare och program från lokala och Azure-baserade miljöer eller resurser. Anslut ivity levereras via nätverkstjänster som Azure ExpressRoute och VPN-anslutningar. Specifika nätverksadressintervall och brandväggsportar krävs för att aktivera dessa tjänster. Den här artikeln hjälper dig att konfigurera ditt nätverk så att det fungerar med Azure VMware Solution.
I den här självstudien lär du dig mer om:
- Överväganden för virtuella nätverk och ExpressRoute-kretsar
- Krav för routning och undernät
- Nödvändiga nätverksportar för att kommunicera med tjänsterna
- DHCP- och DNS-överväganden i Azure VMware Solution
Förutsättningar
Se till att alla gatewayer, inklusive ExpressRoute-providerns tjänst, stöder 4 byte autonomt systemnummer (ASN). Azure VMware Solution använder 4 byte offentliga ASN:er för annonseringsvägar.
Överväganden för virtuella nätverk och ExpressRoute-kretsar
När du skapar en virtuell nätverksanslutning i din prenumeration upprättas ExpressRoute-kretsen via peering med hjälp av en auktoriseringsnyckel och ett peering-ID som du begär i Azure-portalen. Peering är en privat en-till-en-anslutning mellan ditt privata moln och det virtuella nätverket.
Kommentar
ExpressRoute-kretsen är inte en del av en privat molndistribution. Den lokala ExpressRoute-kretsen ligger utanför det här dokumentets omfång. Om du behöver lokal anslutning till ditt privata moln använder du en av dina befintliga ExpressRoute-kretsar eller köper en i Azure-portalen.
När du distribuerar ett privat moln får du IP-adresser för vCenter Server och NSX-T Manager. Om du vill komma åt dessa hanteringsgränssnitt skapar du fler resurser i prenumerationens virtuella nätverk. Hitta procedurerna för att skapa dessa resurser och upprätta privat ExpressRoute-peering i självstudierna.
Det privata molnets logiska nätverk innehåller en företablerad NSX-T Data Center-konfiguration. En nivå 0-gateway och nivå 1-gateway är företablerade åt dig. Du kan skapa ett segment och koppla det till den befintliga tier-1-gatewayen eller koppla det till en ny gateway på nivå 1 som du definierar. NSX-T Data Center logiska nätverkskomponenter ger öst-västlig anslutning mellan arbetsbelastningar och nord-syd-anslutning till Internet och Azure-tjänster.
Viktigt!
Om du planerar att skala dina Azure VMware Solution-värdar med hjälp av Azure NetApp Files-datalager är det viktigt att distribuera det virtuella nätverket nära dina värdar med en virtuell ExpressRoute-nätverksgateway. Desto närmare lagringen är dina värdar, desto bättre prestanda.
Routnings- och undernätsöverväganden
Det privata Azure VMware Solution-molnet ansluter till ditt virtuella Azure-nätverk med hjälp av en Azure ExpressRoute-anslutning. Med den här anslutningen med hög bandbredd och låg svarstid kan du komma åt tjänster som körs i din Azure-prenumeration från din privata molnmiljö. Routningen använder BGP (Border Gateway Protocol), etableras automatiskt och aktiveras som standard för varje privat molndistribution.
Privata moln i Azure VMware Solution kräver ett minsta /22 CIDR-nätverksadressblock för undernät. Det här nätverket kompletterar dina lokala nätverk, så adressblocket bör inte överlappa med adressblock som används i andra virtuella nätverk i din prenumeration och lokala nätverk. Hanterings-, etablerings- och vMotion-nätverk etableras automatiskt i det här adressblocket.
Kommentar
Tillåtna intervall för ditt adressblock är de privata adressutrymmena för RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), förutom 172.17.0.0/16.
Viktigt!
Undvik att använda följande IP-scheman som är reserverade för NSX-T Data Center-användning:
- 169.254.0.0/24 – används för internt transitnätverk
- 169.254.2.0/23 – används för inter-VRF-överföringsnät
- 100.64.0.0/16 – används för att ansluta T1- och T0-gatewayer internt
Exempel på /22 CIDR-nätverksadressblock: 10.10.0.0/22
Undernäten:
| Nätverksanvändning | beskrivning | Undernät | Exempel |
|---|---|---|---|
| Hantering av privata moln | Hanteringsnätverk (till exempel vCenter, NSX-T) | /26 |
10.10.0.0/26 |
| HCX Mgmt-migreringar | Lokal anslutning för HCX-enheter (nedlänkar) | /26 |
10.10.0.64/26 |
| Global räckvidd reserverad | Utgående gränssnitt för ExpressRoute | /26 |
10.10.0.128/26 |
| NSX-T Data Center DNS-tjänst | Inbyggd NSX-T DNS-tjänst | /32 |
10.10.0.192/32 |
| Reserverad | Reserverad | /32 |
10.10.0.193/32 |
| Reserverad | Reserverad | /32 |
10.10.0.194/32 |
| Reserverad | Reserverad | /32 |
10.10.0.195/32 |
| Reserverad | Reserverad | /30 |
10.10.0.196/30 |
| Reserverad | Reserverad | /29 |
10.10.0.200/29 |
| Reserverad | Reserverad | /28 |
10.10.0.208/28 |
| ExpressRoute kikar | ExpressRoute-peering | /27 |
10.10.0.224/27 |
| ESXi Management | VMkernel-gränssnitt för ESXi-hantering | /25 |
10.10.1.0/25 |
| vMotion-nätverk | VMotion VMkernel-gränssnitt | /25 |
10.10.1.128/25 |
| Replikeringsnätverk | vSphere Replication-gränssnitt | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel-gränssnitt och nodkommunikation | /25 |
10.10.2.128/25 |
| HCX-överlänk | Överlänkar för HCX IX- och NE-apparater till fjärranslutna peer-datorer | /26 |
10.10.3.0/26 |
| Reserverad | Reserverad | /26 |
10.10.3.64/26 |
| Reserverad | Reserverad | /26 |
10.10.3.128/26 |
| Reserverad | Reserverad | /26 |
10.10.3.192/26 |
Nödvändiga nätverksportar
| Källa | Mål | Protokoll | Port | beskrivning |
|---|---|---|---|---|
| DNS-server för privat moln | Lokal DNS-server | UDP | 53 | DNS-klient – Vidarebefordra begäranden från Private Cloud vCenter Server för eventuella lokala DNS-frågor (se DNS-avsnittet). |
| Lokal DNS-server | DNS-server för privat moln | UDP | 53 | DNS-klient – Vidarebefordra begäranden från lokala tjänster till DNS-servrar för privata moln (se AVSNITTET DNS) |
| Lokalt nätverk | Private Cloud vCenter Server | TCP (HTTP) | 80 | vCenter Server kräver port 80 för direkta HTTP-anslutningar. Port 80 omdirigerar begäranden till HTTPS-port 443. Den här omdirigeringen hjälper dig om du använder http://server i stället https://serverför . |
| Privat molnhanteringsnätverk | Lokalt Active Directory | TCP | 389/636 | Aktivera Azure VMware Solutions vCenter Server för att kommunicera med lokal Active Directory/LDAP-server(ar). Valfritt för att konfigurera lokal AD som en identitetskälla i det privata molnet vCenter. Port 636 rekommenderas för säkerhetsändamål. |
| Privat molnhanteringsnätverk | Lokal Global Active Directory-katalog | TCP | 3268/3269 | Aktivera Azure VMware Solutions vCenter Server för att kommunicera med lokal Active Directory/LDAP globala katalogservrar. Valfritt för att konfigurera lokal AD som en identitetskälla på private cloud vCenter Server. Använd port 3269 för säkerhet. |
| Lokalt nätverk | Private Cloud vCenter Server | TCP (HTTPS) | 443 | Få åtkomst till vCenter Server från ett lokalt nätverk. Standardport för vCenter Server för att lyssna efter vSphere-klientanslutningar. Om du vill att vCenter Server-systemet ska kunna ta emot data från vSphere-klienten öppnar du port 443 i brandväggen. VCenter Server-systemet använder också port 443 för att övervaka dataöverföring från SDK-klienter. |
| Lokalt nätverk | HCX Cloud Manager | TCP (HTTPS) | 9443 | Hanteringsgränssnitt för virtuella HCX Cloud Manager-installationer för HCX-systemkonfiguration. |
| Lokalt administratörsnätverk | HCX Cloud Manager | SSH | 22 | Administratörs-SSH-åtkomst till en virtuell HCX Cloud Manager-installation. |
| HCX Manager | Sammanlänkning (HCX-IX) | TCP (HTTPS) | 8123 | Massmigreringskontroll för HCX. |
| HCX Manager | Interconnect (HCX-IX), Network Extension (HCX-NE) | TCP (HTTPS) | 9443 | Skicka hanteringsinstruktioner till den lokala HCX Interconnect med hjälp av REST-API:et. |
| Sammanlänkning (HCX-IX) | L2C | TCP (HTTPS) | 443 | Skicka hanteringsinstruktioner från Interconnect till L2C när L2C använder samma sökväg som Interconnect. |
| HCX Manager, Interconnect (HCX-IX) | ESXi-värdar | TCP | 80,443,902 | Hantering och OVF-distribution. |
| Interconnect (HCX-IX), Network Extension (HCX-NE) vid Källan | Interconnect (HCX-IX), Network Extension (HCX-NE) på Destination | UDP | 4 500 | Krävs för IPSEC Internet key exchange (IKEv2) för att kapsla in arbetsbelastningar för den dubbelriktade tunneln. Stöder NAT-T (Network Address Translation-Traversal). |
| Lokal anslutning (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4 500 | Krävs för IPSEC Internet Key Exchange (ISAKMP) för den dubbelriktade tunneln. |
| Lokalt vCenter Server-nätverk | Privat molnhanteringsnätverk | TCP | 8000 | vMotion av virtuella datorer från lokal vCenter Server till Private Cloud vCenter Server |
| HCX-Anslut eller | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect krävs för att verifiera licensnyckeln.hybridity behövs för uppdateringar. |
Den här tabellen innehåller vanliga brandväggsregler för vanliga scenarier. Du kan dock behöva överväga fler objekt när du konfigurerar brandväggsregler. Observera att när källan och målet säger "lokalt" är den här informationen endast relevant om ditt datacenter har en brandvägg som inspekterar flöden. Om dina lokala komponenter inte har någon brandvägg för inspektion kan du ignorera dessa regler.
Mer information finns i den fullständiga listan över VMware HCX-portkrav.
Överväganden för DHCP- och DNS-matchning
Program och arbetsbelastningar som körs i en privat molnmiljö kräver namnmatchning och DHCP-tjänster för uppslags- och IP-adresstilldelningar. En korrekt DHCP- och DNS-infrastruktur krävs för att tillhandahålla dessa tjänster. Du kan konfigurera en virtuell dator för att tillhandahålla dessa tjänster i din privata molnmiljö.
Använd den inbyggda DHCP-tjänsten i NSX-T Data Center eller använd en lokal DHCP-server i det privata molnet i stället för att dirigera sändnings-DHCP-trafik via WAN tillbaka till det lokala nätverket.
Viktigt!
Om du annonserar en standardväg till Azure VMware-lösningen måste du tillåta dns-vidarebefordraren att nå de konfigurerade DNS-servrarna och de måste ha stöd för offentlig namnmatchning.
Nästa steg
I den här självstudien har du lärt dig om överväganden och krav för att distribuera ett privat Azure VMware Solution-moln. När du har rätt nätverk på plats fortsätter du till nästa självstudie för att skapa ditt privata Azure VMware Solution-moln.