Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Azure VMware Solution tillhandahåller en privat VMware-molnmiljö som är tillgänglig för användare och program från lokala och Azure-baserade miljöer eller resurser. Anslutningen levereras via nätverkstjänster som Azure ExpressRoute- och VPN-anslutningar. Specifika nätverksadressområden och brandväggsportar krävs för att möjliggöra dessa tjänster. Den här artikeln hjälper dig att konfigurera ditt nätverk så att det fungerar med Azure VMware Solution.
I den här självstudien lär du dig mer om:
- Överväganden för virtuella nätverk och ExpressRoute-kretsar
- Krav för routning och undernät
- Nödvändiga nätverksportar för att kommunicera med tjänsterna
- DHCP- och DNS-överväganden i Azure VMware Solution
Prerequisites
Se till att alla gatewayer, inklusive ExpressRoute-providerns tjänst, stöder 4 byte autonomt systemnummer (ASN). Azure VMware Solution använder 4 byte offentliga ASN:er för annonseringsvägar.
Överväganden för virtuella nätverk och ExpressRoute-kretsar
När du skapar en virtuell nätverksanslutning i din prenumeration upprättas ExpressRoute-kretsen via peering med hjälp av en auktoriseringsnyckel och ett peering-ID som du begär i Azure-portalen. Peering är en privat en-till-en-anslutning mellan ditt privata moln och det virtuella nätverket.
Note
ExpressRoute-kretsen är inte en del av en privat molndistribution. Den lokala ExpressRoute-kretsen ligger utanför det här dokumentets omfång. Om du behöver lokal anslutning till ditt privata moln använder du en av dina befintliga ExpressRoute-kretsar eller köper en i Azure-portalen.
När du distribuerar ett privat moln får du IP-adresser för vCenter Server och NSX Manager. Om du vill komma åt dessa hanteringsgränssnitt skapar du fler resurser i prenumerationens virtuella nätverk. Hitta procedurerna för att skapa dessa resurser och upprätta privat ExpressRoute-peering i självstudierna.
Det privata logiska molnet innehåller en förkonfigurerad NSX-konfiguration. En nivå 0-gateway och nivå 1-gateway är företablerade åt dig. Du kan skapa ett segment och koppla det till den befintliga tier-1-gatewayen eller koppla det till en ny gateway på nivå 1 som du definierar. NSX-komponenter för logiska nätverk ger East-West anslutning mellan arbetsbelastningar och North-South anslutning till Internet och Azure-tjänster.
Important
Om du planerar att skala dina Azure VMware Solution-värdar med hjälp av Azure NetApp Files-datalager är det viktigt att distribuera det virtuella nätverket nära dina värdar med en virtuell ExpressRoute-nätverksgateway. Desto närmare lagringen är dina värdar, desto bättre prestanda.
Routnings- och undernätsöverväganden
Det privata Azure VMware Solution-molnet ansluter till ditt virtuella Azure-nätverk med hjälp av en Azure ExpressRoute-anslutning. Med den här anslutningen med hög bandbredd och låg svarstid kan du komma åt tjänster som körs i din Azure-prenumeration från din privata molnmiljö. Routningen använder BGP (Border Gateway Protocol), etableras automatiskt och aktiveras som standard för varje privat molndistribution.
Privata moln i Azure VMware Solution kräver ett minsta /22 CIDR-nätverksadressblock för undernät. Detta nätverk kompletterar dina lokala nätverk, så adressblocket bör inte överlappa med adressblock som används i andra virtuella nätverk inom din prenumeration och i lokala nätverk. Hanterings-, vMotion- och replikeringsnätverk etableras automatiskt i det här adressblocket.
Note
Tillåtna intervall för din adressblock är de privata adressutrymmena enligt RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), förutom 172.17.0.0/16. Replikeringsnätverket gäller inte för AV64-noder och är planerat för allmän utfasning vid ett framtida datum.
Important
Undvik att använda följande IP-scheman som är reserverade för NSX-användning:
- 169.254.0.0/24 - används för internt transitnätverk
- 169.254.2.0/23 - används för transitnätverk mellan olika VRF
- 100.64.0.0/16 - används för att ansluta T1- och T0-gateways internt
Exempel på /22 CIDR-nätverksadressblock: 10.10.0.0/22
Undernäten:
| Nätverksanvändning | Description | Subnet | Example |
|---|---|---|---|
| Hantering av privata moln | Hanteringsnätverk (till exempel vCenter, NSX) | /26 |
10.10.0.0/26 |
| HCX Mgmt-migreringar | Lokal anslutning för HCX-enheter (nedlänkar) | /26 |
10.10.0.64/26 |
| Reserverad global räckvidd | Utgående gränssnitt för ExpressRoute | /26 |
10.10.0.128/26 |
| NSX DNS-tjänst | Inbyggd NSX DNS-tjänst | /32 |
10.10.0.192/32 |
| Reserved | Reserved | /32 |
10.10.0.193/32 |
| Reserved | Reserved | /32 |
10.10.0.194/32 |
| Reserved | Reserved | /32 |
10.10.0.195/32 |
| Reserved | Reserved | /30 |
10.10.0.196/30 |
| Reserved | Reserved | /29 |
10.10.0.200/29 |
| Reserved | Reserved | /28 |
10.10.0.208/28 |
| ExpressRoute kikar | ExpressRoute Peering | /27 |
10.10.0.224/27 |
| ESXi Management | VMkernel-gränssnitt för ESXi-hantering | /25 |
10.10.1.0/25 |
| vMotion-nätverk | VMotion VMkernel-gränssnitt | /25 |
10.10.1.128/25 |
| Replikeringsnätverk | vSphere Replication-gränssnitt | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel-gränssnitt och nodkommunikation | /25 |
10.10.2.128/25 |
| HCX-överlänk | Överlänkar för HCX IX- och NE-apparater till fjärranslutna peer-datorer | /26 |
10.10.3.0/26 |
| Reserved | Reserved | /26 |
10.10.3.64/26 |
| Reserved | Reserved | /26 |
10.10.3.128/26 |
| Reserved | Reserved | /26 |
10.10.3.192/26 |
Note
ESXi-hanterings-/vmotion-/replikeringsnätverk kan tekniskt sett stödja 125 värdar, men max 96 stöds eftersom 29 är reserverade för ersättningar/underhåll(19) och HCX(10).
Nödvändiga nätverksportar
| Source | Destination | Protocol | Port | Description |
|---|---|---|---|---|
| DNS-server för privat moln | Lokal DNS-server | UDP | 53 | DNS-klient – Vidarebefordra begäranden från Private Cloud vCenter Server för eventuella lokala DNS-frågor (se DNS-avsnittet). |
| Lokal DNS-server | DNS-server för privat moln | UDP | 53 | DNS-klient – Vidarebefordra begäranden från lokala tjänster till DNS-servrar för privata moln (se AVSNITTET DNS) |
| Lokalt nätverk | Private Cloud vCenter Server | TCP (HTTP) | 80 | vCenter Server kräver port 80 för direkta HTTP-anslutningar. Port 80 omdirigerar begäranden till HTTPS-port 443. Den här omdirigeringen är till hjälp om du använder http://server i stället för https://server. |
| Privat molnhanteringsnätverk | Lokalt installerad Active Directory | TCP | 389/636 | Aktivera Azure VMware Solutions vCenter Server för att kommunicera med lokala Active Directory/LDAP-servrar. Valfritt för att konfigurera lokal AD som en identitetskälla i det privata molnet vCenter. Port 636 rekommenderas för säkerhetsändamål. |
| Privat molnhanteringsnätverk | Lokal Global Active Directory-katalog | TCP | 3268/3269 | Aktivera Azure VMware Solutions vCenter Server för att kommunicera med lokala globala katalogservrar i Active Directory/LDAP. Valfritt för att konfigurera lokal AD som en identitetskälla på private cloud vCenter Server. Använd port 3269 för säkerhet. |
| Lokalt nätverk | Private Cloud vCenter Server | TCP (HTTPS) | 443 | Få åtkomst till vCenter Server från ett lokalt nätverk. Standardport för vCenter Server för att lyssna efter vSphere-klientanslutningar. Om du vill att vCenter Server-systemet ska kunna ta emot data från vSphere-klienten öppnar du port 443 i brandväggen. VCenter Server-systemet använder också port 443 för att övervaka dataöverföring från SDK-klienter. |
| Lokalt nätverk | HCX Cloud Manager | TCP (HTTPS) | 9443 | Hanteringsgränssnitt för virtuella HCX Cloud Manager-installationer för HCX-systemkonfiguration. |
| Lokalt administratörsnätverk | HCX Cloud Manager | SSH | 22 | Administratörs-SSH-åtkomst till en virtuell HCX Cloud Manager-installation. |
| HCX Manager | Sammanlänkning (HCX-IX) | TCP (HTTPS) | 8123 | Massmigreringskontroll för HCX. |
| HCX Manager | Interconnect (HCX-IX), Network Extension (HCX-NE) | TCP (HTTPS) | 9443 | Skicka hanteringsinstruktioner till den lokala HCX Interconnect med hjälp av REST-API:et. |
| Sammanlänkning (HCX-IX) | L2C | TCP (HTTPS) | 443 | Skicka hanteringsinstruktioner från Interconnect till L2C när L2C använder samma sökväg som Interconnect. |
| HCX Manager, Interconnect (HCX-IX) | ESXi-värdar | TCP | 80,443,902 | Hantering och OVF-distribution. |
| Interconnect (HCX-IX), Network Extension (HCX-NE) vid källan | Interconnect (HCX-IX), Network Extension (HCX-NE) vid destinationen | UDP | 4500 | Krävs för IPSEC Internet key exchange (IKEv2) för att kapsla in arbetsbelastningar för den dubbelriktade tunneln. Stöder nätverksadress Translation-Traversal (NAT-T). |
| Interconnect (HCX-IX) / Network Extension (HCX-NE) | Fjärranslutning (HCX-IX) / Nätverkstillägg (HCX-NE) | TCP,UDP | 5201 | Krävs för Service Mesh-diagnostik för perftest upplänktestet. (Flyttas från port 4500 med HCX 4.8). |
| Lokal sammanlänkning (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4500 | Krävs för IPSEC Internet Key Exchange (ISAKMP) för den dubbelriktade tunneln. |
| Lokalt vCenter Server-nätverk | Privat molnhanteringsnätverk | TCP | 8000 | vMotion av virtuella datorer från lokal vCenter Server till Private Cloud vCenter Server |
| HCX Connector | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 |
connect krävs för att verifiera licensnyckeln.hybridity behövs för uppdateringar. |
Den här tabellen innehåller vanliga brandväggsregler för vanliga scenarier. Du kan dock behöva överväga fler objekt när du konfigurerar brandväggsregler. Observera att när källan och målet säger "lokalt" är den här informationen endast relevant om ditt datacenter har en brandvägg som inspekterar flöden. Om dina lokala komponenter inte har någon brandvägg för inspektion kan du ignorera dessa regler.
Mer information finns i den fullständiga listan över VMware HCX-portkrav.
Överväganden för DHCP- och DNS-upplösning
Program och arbetsbelastningar som körs i en privat molnmiljö kräver namnmatchning och DHCP-tjänster för uppslags- och IP-adresstilldelningar. En korrekt DHCP- och DNS-infrastruktur krävs för att tillhandahålla dessa tjänster. Du kan konfigurera en virtuell dator för att tillhandahålla dessa tjänster i din privata molnmiljö.
Använd den inbyggda DHCP-tjänsten i NSX-T Data Center eller använd en lokal DHCP-server i det privata molnet i stället för att dirigera DHCP-trafik via WAN tillbaka till det lokala nätverket.
Important
Om du annonserar en standardväg till Azure VMware-lösningen måste du tillåta dns-vidarebefordraren att nå de konfigurerade DNS-servrarna och de måste ha stöd för offentlig namnmatchning.
Nästa steg
I den här självstudien har du lärt dig om överväganden och krav för att distribuera ett privat Azure VMware Solution-moln. När du har rätt nätverk på plats fortsätter du till nästa självstudie för att skapa ditt privata Azure VMware Solution-moln.