Dela via


Upprätta nätverksanslutningar mellan klientorganisationer för Azure VMware Solution SDDCs

I den här artikeln beskrivs hur du konfigurerar programvarudefinierade datacenter (SDDC) för Azure VMware Solution i en miljö mellan klientorganisationer. Den ger vägledning om hur du upprättar nätverksanslutningar med hjälp av Azure Virtual WAN och virtuella nätverksinstallationer (NVA) som körs i ett virtuellt ekernätverk. Det virtuella ekernätverket ansluter till Virtual WAN.

Arkitektur

Följande arkitektur visar anslutningen mellan Azure VMware Solution SDDCs, Azure och en lokal miljö.

Diagram som visar Azure VMware Solution SDDCs för flera klientorganisationer med Virtual WAN och NVAs.

Anslutning

Nätverksanslutning i en miljö mellan klientorganisationer består av följande anslutningar.

Azure VMware Solution SDDC-till-SDDC-anslutning

Anslutningen mellan två Azure VMware Solution SDDCs som du distribuerar mellan klienter beror på podden där du distribuerar dem. Använd följande instruktioner för att identifiera de poddar där du distribuerar SDDCs.

  1. I Azure Portal går du till Azure VMware Solution.
  2. Välj Hantera och välj sedan Kluster.
  3. Välj de tre punkterna och välj sedan Redigera.
  4. Observera värdet för värd-FQDN. Bokstaven p föregår poddnumret.

Upprepa samma process för andra SDDC:er. Avgör om de delar några vanliga poddar. Följande bild visar SDDC-värdar som distribueras i podd 1.

Diagram som visar Azure VMware Solution-podden.

Kommentar

Du kan inte välja en podd under en Azure VMware Solution SDDC-distribution. Poddtilldelningen är inte förutbestämd, så den exakta nod som en schemaläggare tilldelar till en podd kan variera varje gång en process körs.

När du har identifierat de poddar som SDDCs delar gör du något av följande alternativ:

  • Azure VMware Solution Interconnect (Global Reach): Använd det här alternativet när två SDDC:er finns i samma Azure-region och inte delar vanliga poddar mellan dem. Det här alternativet etablerar en ExpressRoute-krets Global Reach-anslutning mellan två SDDC ExpressRoute-kretsar. Det här alternativet möjliggör även transitiv anslutning. Transitiv anslutning innebär att de vägar som SDDC ExpressRoute-kretsen lär sig från SDDC, Virtual WAN, virtuella virtual WAN-direkt ekernätverk även annonserar över klientorganisationen till den andra SDDC ExpressRoute-kretsen, SDDC, Virtual WAN och virtuella Virtuella WAN-direkt ekernätverk.

  • Använd Azure VMware Solution Interconnect (icke-global räckvidd): Använd det här alternativet när två SDDC:er finns i samma Azure-region och delar en gemensam podd mellan dem. Det här alternativet tillhandahåller inte transitiv anslutning mellan klientorganisationer för vägar som Virtual WAN och dess virtuella nätverk med direkt eker annonserar.

  • Använd Azure VMware Solution ExpressRoute Global Reach: Använd det här alternativet när två SDDC:er finns i olika Azure-regioner oavsett om de delar en podd eller inte. Det här alternativet ger transitiv anslutning mellan klientorganisationer för vägar som Virtual WAN och dess virtuella nätverk med direkt eker annonserar.

Alla dessa alternativ kan upprätta nätverksanslutning mellan två SDDC:er. Det alternativ som du väljer påverkar Azure VMware Solution SDDC-till-Azure-anslutning.

Kommentar

Du kan använda en självbetjäningsmodell för att upprätta nätverksanslutning mellan två SDDC:er. Men om SDDC:er körs på stretchkluster bör du skapa en supportbegäran.

Azure VMware Solution SDDC-till-Azure-anslutning

I den här arkitekturen ansluter varje SDDC till Virtual WAN och varje Virtual WAN-instans körs i sin egen Microsoft Entra-klientorganisation. Använd följande procedur för att upprätta anslutning.

  1. I Azure Portal, Azure CLI eller PowerShell skapar du en Azure VMware Solution SDDC-auktoriseringsnyckel.

  2. I Virtual WAN skapar du en hubb och en ExpressRoute-gateway.

  3. Lös in auktoriseringsnyckeln för att upprätta anslutningen mellan SDDC och Virtual WAN.

Andra virtuella Azure-nätverk ansluter också till det här virtuella WAN-nätverket.

  • Virtuella direct spoke-nätverk ansluter direkt till Virtual WAN via den virtuella nätverksanslutningen för Virtual WAN. Ett virtuellt ekernätverk kan köra en NVA som distribueras i det. NVA inspekterar och kontrollerar trafik som går utgående från Azure och Azure VMware Solution SDDC.

  • Virtuella nätverk med indirekt eker ansluter till virtuella direkt ekernätverk. De ansluter inte direkt till Virtual WAN. Virtuella indirekta ekernätverk är värd för arbetsbelastningar som körs i Azure. NVA:er som körs i virtuella direkt ekernätverk inspekterar nätverkstrafik som kommer från virtuella nätverk med indirekt eker.

Använd följande konfigurationer för att upprätta direkt och indirekt anslutning mellan SDDCs och virtuella nätverk i Azure.

  • Direkt ekrar kan ansluta till en SDDC som körs i sin egen klientorganisation via anslutning mellan Virtual WAN och SDDC.

  • Direkt ekrar kan ansluta till en SDDC som körs i den andra klientorganisationen via Azure VMware Solution Interconnect (Global Reach) eller Azure VMware Solution Global Reach-anslutning.

  • Indirekta ekrar ansluter inte till en SDDC i klientorganisationen som standard. Du kan associera en användardefinierad väg (UDR) med indirekta ekrar. En UDR har SDDC-prefix i klientorganisationen som målnätverk och en direkt eker i sin egen klientorganisation som nästa hopp.

  • Indirekta ekrar ansluter inte till en SDDC i den andra klientorganisationen som standard. Du kan associera en UDR med indirekta ekrar. En UDR har SDDC-prefix i den andra klientorganisationen som målnätverk och direkt eker i sin egen klientorganisation som nästa hopp. Den här anslutningen kräver antingen Azure VMware Solution Interconnect (Global Reach) eller Azure VMware Solution Global Reach-anslutning mellan SDDC:er.

Kommentar

Använd den här vägledningen för en enda hubb som ansluter till ett virtuellt ekernätverk som är värd för en NVA-lösning. Om du har flera hubbar som behöver ansluta till en Azure VMware Solution SDDC använder du en nätverksarkitektur med fullständigt nät.

Azure VMware Solution SDDC-till-lokal anslutning

Använd Global Reach för att upprätta anslutningar mellan varje Azure VMware Solution SDDC och den lokala miljön. I det här scenariot ansluter varje SDDC ExpressRoute-krets och lokal ExpressRoute-krets till varandra. De lokala vägar som SDDC ExpressRoute-kretsen lär sig via en Global Reach-anslutning är intetransitiva. Vägarna annonserar inte i klientorganisationen, även om du har Azure VMware Solution SDDC-till-SDDC-anslutning.

SDDC-till-lokal anslutning samexisterar med SDDC-till-SDDC-anslutning mellan klientorganisationer. I en sådan konfiguration lär sig en SDDC ExpressRoute-krets lokala vägar via en Global Reach-anslutning och lär sig även virtuella WAN-vägar mellan klientorganisationer via SDDC-till-SDDC-anslutning. Virtual WAN eller SDDC för flera klientorganisationer får inte annonsera de lokala prefixen på annat sätt, till exempel en statisk väg eller en VPN-anslutning. Om detta inträffar lär sig SDDC ExpressRoute duplicerade vägar för den lokala miljön, vilket skapar en routningsloop och bryter anslutningen.

Om den lokala miljön har flera ExpressRoute-kretsar för redundans använder du den offentliga AS-sökvägens prepend för att föredra den ena kretsen framför den andra.

Kommentar

SDDC-till-lokal anslutning samexisterar med Azure-till-lokal anslutning. Du kan använda en ExpressRoute-gateway i Virtual WAN för att ansluta till SDDC ExpressRoute-kretsen och den lokala ExpressRoute-kretsen. Men den här anslutningen är inte transitiv.

Azure-till-Azure-anslutning

Direkta och indirekta virtuella nätverk måste kommunicera med varandra i samma Azure-klientorganisation och mellan Azure-klientorganisationer. Använd följande metoder för att upprätta anslutningar.

Upprätta anslutningar inom samma klientorganisation

  • Anslut direkt ekrar med varandra via en virtuell Virtual WAN-nätverksanslutning.

  • Anslut direkt ekrar med indirekta ekrar via peering för virtuella nätverk.

  • Anslut indirekta ekrar med direkta ekrar via peering för virtuella nätverk.

  • Anslut indirekta ekrar med varandra via peering för virtuella nätverk med en direkt eker och en UDR som du associerar med den direkta ekern. En UDR har ett indirekt ekerprefix som målnätverk och en NVA i direkt ekern som nästa hopp. Konfigurera NVA i den direkta ekern för att vidarebefordra trafiken via nätverkskortet (NIC).

Upprätta anslutningar i klientorganisationen

  • Anslut direkt ekrar med direkt ekrar mellan klientorganisationer via global peering för virtuella nätverk.

  • Anslut direkta ekrar med indirekta ekrar mellan klientorganisationer via global peering för virtuella nätverk mellan direkta ekrar och UDR:er som du associerar med den direkta ekern. En UDR har ett indirekt ekerprefix mellan klientorganisationer som målnätverk och en NVA i direktekern mellan klientorganisationer som nästa hopp.

  • Anslut indirekta ekrar med direkt ekrar mellan klientorganisationer via global peering för virtuella nätverk mellan virtuella direkt ekernätverk och en UDR som du associerar med de virtuella direkt ekernätverken. UDR har ett direkt ekerprefix mellan klientorganisationer som målnätverk och en NVA i sin egen direkt eker som nästa hopp.

  • Anslut indirekta ekrar med indirekta ekrar mellan klientorganisationer via global peering för virtuella nätverk mellan virtuella direkt ekernätverk och en UDR som du associerar med de virtuella direkt ekernätverken. UDR har ett indirekt ekerprefix mellan klientorganisationer som målnätverk och en NVA i sin egen direkt eker som nästa hopp.

Azure-till-lokal anslutning

Använd den lokala ExpressRoute-kretsen och ExpressRoute-gatewayen för Virtual WAN för att upprätta azure-till-lokal anslutning. Anslutningen mellan Azure VMware Solution SDDC ExpressRoute och samma lokala ExpressRoute-gateway är intetransitiv. Anslutningen mellan det virtuella direkt ekernätverket och Virtual WAN via global peering för virtuella nätverk är också icke-överföringsbar. Den indirekta eker som ansluter till Virtual WAN måste ha en UDR som har ett lokalt prefix som målnätverk och en NVA som körs i direkt ekern som nästa hopp.

Information om scenario

Den här artikeln undersöker följande scenarier. Du kan använda dessa scenarier för migrering mellan klientorganisationer eller för arbetsbelastningsåtkomst.

  • Azure VMware Solution SDDC-till-SDDC-nätverksanslutning mellan klientorganisationer
  • Azure-till-Azure-anslutning mellan klientorganisationer
  • Nätverksåtkomst mellan klientorganisationer mellan azure VMware Solution SDDC och virtuella Azure-nätverk
  • Nätverksåtkomst mellan klientorganisationer mellan en Azure VMware Solution SDDC och en lokal miljö
  • Kontroll och kontroll av nätverkstrafik mellan klientorganisationer via en NVA som körs i ett virtuellt nätverk som ansluter till Virtual WAN

I en miljö mellan klientorganisationer kan Azure VMware Solution SDDC, dess associerade Azure ExpressRoute-krets och Virtual WAN skapa en utmanande migrering eller arbetsbelastningsåtkomstupplevelse. ExpressRoute-kretsen som är associerad med Azure VMware Solution SDDC ansluter till SDDC och även med Virtual WAN ExpressRoute-gatewayen. ExpressRoute-kretsen lär sig de vägar som Azure VMware Solution SDDC och Virtual WAN annonserar. ExpressRoute-kretsen annonserar dessa vägar över klientorganisationen till den andra Azure VMware Solution SDDC och Virtual WAN som ansluter till kretsen. Planera konfigurationen noggrant för att undvika cyklisk vägspridning mellan Virtual WAN, SDDC ExpressRoute-kretsen och Virtual WAN ExpressRoute-gatewayen.

Potentiella användningsfall

Tänk på följande scenarier som kan dra nytta av den här arkitekturen:

  • Multinationella företag kör Azure VMware Solution SDDC i olika Microsoft Entra-klienter.

  • Ett företag genomgår en avgränsnings- eller avyttringsprocess, vilket resulterar i separata affärsentiteter som har separata Microsoft Entra-klienter. Varje separat affärsentitet kräver åtkomst till en gemensam lokal miljö och kräver åtkomst mellan klientorganisationer till Azure VMware Solution SDDC och andra Azure-resurser.

  • Två separata företag har egna separata Microsoft Entra-klienter men kräver fortfarande åtkomst mellan klientorganisationer till arbetsbelastningar som körs i både Azure VMware Solution SDDCs och Azure.

Nästa steg