Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede Azure VMware Çözüm 2. Nesil (2. Nesil) özel bulutları için önemli tasarım konuları özetlenmiştir. Bu neslin VMware tabanlı özel bulut ortamlarına getirdiği özellikleri açıklar ve uygulamalarınıza hem şirket içi altyapıdan hem de Azure tabanlı kaynaklardan erişim sağlar. Azure VMware Çözümü 2. Nesil özel bulutunuzu ayarlamadan önce gözden geçirmeniz gereken birkaç nokta vardır. Bu makalede, özel bulut türünü kullanırken karşılaşabileceğiniz kullanım örnekleri için çözümler sağlanır.
Uyarı
2. nesil, belirli Azure genel bölgelerinde kullanılabilir. Kapsamı onaylamak için Microsoft hesabı ekibinize veya Microsoft Desteği'ne başvurun.
Sınırlamalar
Bu süre boyunca aşağıdaki işlevler sınırlıdır. Bu sınırlamalar gelecekte kaldırılacaktır:
Özel bulutunuzu içeren Kaynak Grubunuzu silemezsiniz. Kaynak grubunu silmeden önce özel bulutu silmeniz gerekir.
Azure sanal ağı başına yalnızca 1 özel bulut dağıtabilirsiniz.
Kaynak Grubu başına yalnızca 1 özel bulut oluşturabilirsiniz. Tek bir Kaynak Grubundaki birden çok özel bulut desteklenmez.
Özel bulutunuz için özel bulutunuz ve sanal ağınız aynı Kaynak Grubunda olmalıdır.
Özel bulut oluşturulduktan sonra özel bulutunuzu bir Kaynak Grubundan diğerine taşıyamazsınız .
Özel bulut oluşturulduktan sonra özel bulutunuzu bir kiracıdan diğerine taşıyamazsınız .
Azure VMware Çözümü iş yüklerinden hizmet uç noktaları doğrudan bağlantısı desteklenmez.
Azure VMware Çözümüne bağlı bölgeler arasında genel olarak eşlendiğinde özel uç noktalar desteklenmez.
Özel Uç Noktaları kullanan vCloud Director desteklenir. Ancak Genel Uç Noktaları kullanan vCloud Director desteklenmez.
vSAN Esnetilmiş Kümeleri desteklenmez.
İnternet'in yapılandırılması için VMware NSX Microsoft Edge'e yönelik genel IP erişimi desteklenmeyecektir. Hangi internet seçeneklerinin desteklendiğine İnternet bağlantı seçenekleri bölümünden ulaşabilirsiniz.
SDDC'nizdeki ilk dört konaktan birinde konak donanım hatası gibi plansız bakım sırasında, bazı iş yükleri için geçici North-South ağ bağlantısı kesintisi yaşayabilirsiniz ve bu da 30 saniyeye kadar sürebilir. North-South bağlantı, AVS VMware iş yükleriniz ile Azure hizmetleri veya şirket içi ortamlar gibi NSX-T Katman 0 (T0) Edge dışındaki dış uç noktalar arasındaki trafiği ifade eder.
Özel bulut ana bilgisayar sanal ağıyla ilişkili Ağ Güvenlik Grupları, özel bulut ve sanal ağıyla aynı kaynak grubunda oluşturulmalıdır.
Müşteri sanal ağlarından Azure VMware Çözümü sanal ağına çapraz kaynak grubu ve abonelikler arası başvurular varsayılan olarak desteklenmez. Buna kullanıcı tanımlı yollar (UDR' ler), DDoS Koruma Planları ve diğer bağlı ağ kaynakları gibi kaynak türleri dahildir. Müşteri sanal ağı, Azure VMware Çözümü sanal ağından farklı bir kaynak grubunda veya abonelikte bulunan bu başvurulardan biriyle ilişkiliyse, ağ programlama (NSX segment yayma gibi) başarısız olabilir. Sorunlardan kaçınmak için müşterilerin Azure VMware Çözümü sanal ağının farklı bir kaynak grubu veya abonelikteki kaynaklara bağlanmadığından emin olması ve devam etmeden önce bu kaynakları (örneğin DDoS Koruma Planları) sanal ağdan ayırması gerekir.
- Kaynak grupları arasındaki referansınızı korumak için, kaynaklar arası grubunuzdan veya aboneliğinizden bir rol ataması yapın ve "AzS VIS Prod App"e "AVS on Fleet VIS Rolü" verin. Rol ataması, referansı kullanmanıza ve Azure VMware Çözümü özel bulutunuz için referansınızın doğru şekilde uygulanmasını sağlar.
2. Nesil özel bulut dağıtımları, Ağ Güvenlik Grupları veya yol tabloları için katı kurallar uygulayan Azure ilkelerine bağlı olarak (örneğin, belirli adlandırma kuralları) başarısız olabilir. Bu ilke kısıtlamaları, dağıtım sırasında gerekli Azure VMware Çözümü Ağ Güvenlik Grubu'nu ve yönlendirme tablosu oluşturmayı engelleyebilir. Özel bulutunuzu dağıtmadan önce bu ilkeleri Azure VMware Çözümü sanal ağından kaldırmanız gerekir. Özel bulutunuz dağıtıldıktan sonra bu ilkeler Azure VMware Çözümü özel bulutunuza geri eklenebilir.
Azure VMware Çözümü 2. Nesil özel bulutunuz için Özel DNS kullanıyorsanız, Azure VMware Çözümü 2. Nesil özel bulutunun dağıtıldığı sanal ağda Özel DNS kullanmak desteklenmez. Özel DNS, ölçeklendirme, yükseltme ve güncelleme yaması ile ilgili yaşam döngüsü işlemlerini bozar.
Özel bulutunuzu siliyorsanız ve Azure VMware Çözümü tarafından oluşturulan bazı kaynaklar kaldırılmazsa, Azure CLI kullanarak Azure VMware Çözümü özel bulutunu silmeyi yeniden deneyebilirsiniz.
Azure VMware Çözümü 2. Nesil, müşteri ve yönetim ağ trafiğini ayırt etmek için bir HTTP Ara Sunucusu kullanır. Bazı VMware bulut hizmeti uç noktaları , genel vCenter tarafından yönetilen trafikle aynı ağ yolunu veya ara sunucu kurallarını izlemeyebilir. Örnekler şunlardır: "scapi.vmware" ve "apigw.vmware". VAMI proxy'si, vCenter Server Appliance'ın (VCSA) genel giden İnternet erişimini yönetir, ancak tüm hizmet uç noktası etkileşimleri bu proxy üzerinden akmıyor. Bazı etkileşimler doğrudan kullanıcının tarayıcısından veya tümleştirme bileşenlerinden kaynaklanır ve bunun yerine iş istasyonunun proxy ayarlarını izler veya bağlantıları bağımsız olarak başlatır. Sonuç olarak, VMware bulut hizmeti uç noktalarına yönelik trafik VCSA proxy'sini tamamen atlayabilir.
2. Nesil'de HCX RAV ve Toplu geçişler, Temel Senkronizasyon ve Çevrimiçi Senkronizasyon aşamaları sırasındaki duraklamalar nedeniyle performansları önemli ölçüde yavaşlayabilir. Müşteriler daha uzun geçiş pencereleri planlamalı ve şimdilik buna göre dalgalar zamanlamalıdır. Uygun iş yükleri için, konak ve ağ koşulları izin verildiğinde vMotion daha hızlı ve düşük ek yük seçeneği sunar.
Desteklenmeyen tümleştirmeler
Aşağıdaki 1. taraf ve 3. taraf tümleştirmeleri kullanılamaz:
- Zerto DR
2. Nesil için Temsilci Alt Ağları ve Ağ Güvenlik Grupları
Azure VMware Çözümü (AVS) 2. Nesil özel bulut dağıtıldığında Azure, özel bulut ana bilgisayar sanal ağı içinde otomatik olarak birkaç temsilci alt ağ oluşturur. Bu alt ağlar özel bulut yönetim bileşenlerini yalıtmak ve korumak için kullanılır.
Müşteriler, Azure portalında veya Azure CLI/PowerShell aracılığıyla görünen Ağ Güvenlik Gruplarını (NSG) kullanarak bu alt ağlara erişimi yönetebilir. Müşteri tarafından yönetilebilen NSG'lere ek olarak, AVS kritik yönetim arabirimlerine sistem tarafından yönetilen ek NSG'ler uygular. Sistem tarafından yönetilen bu NSG'ler müşteriler tarafından görünür veya düzenlenebilir değildir ve özel bulutların varsayılan olarak güvenli kalmasını sağlamak için mevcuttur.
Varsayılan güvenlik duruşunun bir parçası olarak:
- Müşteri açıkça etkinleştirmediği sürece özel bulut için İnternet erişimi devre dışı bırakılır.
- Yalnızca gerekli yönetim trafiğinin platform hizmetlerine ulaşmasına izin verilir.
Uyarı
Azure portalında belirli bağlantı noktalarının İnternet'te kullanıma sunulduğunu belirten bir uyarı görebilirsiniz. Bunun nedeni portalın yalnızca müşteri tarafından görünen Ağ Güvenlik Grubu (NSG) yapılandırmasını değerlendirmesidir. Ancak Azure VMware Çözümü, portalda görünmeyen ek sistem tarafından yönetilen Ağ Güvenlik Grupları da uygular. Bu sistem tarafından yönetilen Ağ Güvenlik Grupları, erişim Azure VMware Çözümü yapılandırması aracılığıyla açıkça etkinleştirilmediği sürece gelen trafiği engeller.
Bu tasarım, AVS ortamının yalıtılmış ve güvenli olmasını sağlarken müşterilerin ağ erişimini belirli gereksinimleri temelinde denetlemesine ve özelleştirmesine izin verir.
Yönlendirme ve alt ağ ile ilgili dikkat edilmesi gerekenler
Azure VMware Çözümü 2. Nesil özel bulutları, şirket içi ve Azure tabanlı ortamlardan veya kaynaklardan kullanıcılara ve uygulamalara erişilebilen bir VMware özel bulut ortamı sağlar. Bağlantı, standart Azure Ağı aracılığıyla sunulur. Bu hizmetleri etkinleştirmek için belirli ağ adresi aralıkları ve güvenlik duvarı bağlantı noktaları gereklidir. Bu bölüm, ağınızı Azure VMware Çözümü ile çalışacak şekilde yapılandırmanıza yardımcı olur.
Özel bulut, standart Azure ağını kullanarak Azure sanal ağınıza bağlanır. Azure VMware Çözümü 2. Nesil özel bulutlar, alt ağlar için en az /22 CIDR ağ adresi bloğu gerektirir. Bu ağ şirket içi ağlarınızı tamamlar, bu nedenle adres bloğu aboneliğinizdeki diğer sanal ağlarda ve şirket içi ağlarda kullanılan adres bloklarıyla çakışmamalıdır. Yönetim, vMotion ve Çoğaltma ağları bu adres bloğunda otomatik olarak sanal ağınızda alt ağ olarak sağlanır.
Uyarı
Adres bloğunuz için izin verilen aralıklar RFC 1918 özel adres alanlarıdır (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), 172.17.0.0/16 hariç. Çoğaltma ağı AV64 düğümleri için geçerli değildir ve gelecekteki bir tarihte genel kullanımdan kaldırılması planlanmaktadır.
VMware NSX kullanımı için ayrılmış aşağıdaki IP şemasını kullanmaktan kaçının:
- 169.254.0.0/24 - iç aktarım ağı için kullanılır
- 169.254.2.0/23 - VRF arası geçiş ağı için kullanılır
- 100.64.0.0/16 - T1 ve T0 ağ geçitlerini dahili olarak bağlamak için kullanılır
- 100.73.x.x – Microsoft'un yönetim ağı tarafından kullanılır
Örnek /22 CIDR ağ adres bloğu 10.31.0.0/22 aşağıdaki alt ağlara ayrılmıştır:
| Ağ Kullanımı | alt ağ | Açıklama | Örnek |
|---|---|---|---|
| VMware NSX Ağı | /27 | NSX Yöneticisi ağı. | 10.31.0.0/27 |
| vCSA Ağı | /27 | vCenter Server ağı. | 10.31.0.32/27 |
| avs-mgmt | /27 | Yönetim cihazları (vCenter Server ve NSX yöneticisi), "avs-mgmt" alt ağının içinde yer almakta olup bu alt ağda ikincil IP aralıkları şeklinde yapılandırılmıştır. | 10.31.0.64/27 |
| avs-vnet-sync | /27 | Azure VMware Çözümü 2. Nesil tarafından VMware NSX'te oluşturulan yolları sanal ağa programlamak için kullanılır. | 10.31.0.96/27 |
| avs-services | /27 | Azure VMware Çözümü 2. Nesil sağlayıcı hizmetleri için kullanılır. Özel bulutunuz için özel DNS çözümlemesini yapılandırmak için de kullanılır. | 10.31.0.160/27 |
| avs-nsx-gw, avs-nsx-gw-1 | /28 | Uç başına T0 Ağ Geçitlerinin her birinin alt ağları. Bu alt ağlar, VMware NSX ağ kesimlerini ikincil IP adresleri olarak programlamak için kullanılır. | 10.31.0.224/28, 10.31.0.240/28 |
| esx-mgmt-vmk1 | /24 | vmk1, müşterilerin konağa erişmek için kullandığı yönetim arabirimidir. vmk1 arabiriminden IP'ler bu alt ağlardan gelir. Tüm ana bilgisayarlar için vmk1 trafiği, bu alt ağ aralığından gelir. | 10.31.1.0/24 |
| esx-vmotion-vmk2 | /24 | vMotion VMkernel arabirimleri. | 10.31.2.0/24 |
| esx-vsan-vmk3 | /24 | vSAN VMkernel arabirimleri ve düğüm iletişimi. | 10.31.3.0/24 |
| Rezerve edildi | /27 | Ayrılmış Alan. | 10.31.0.128/27 |
| Rezerve edildi | /27 | Ayrılmış Alan. | 10.31.0.192/27 |
Uyarı
Azure VMware Çözümü 2. Nesil dağıtımları için müşterilerin artık SDDC dağıtımı sırasında girilen /22'ye ek olarak HCX yönetimi ve yukarı bağlantı için iki ek /24 alt ağı ayırması gerekir. Bu ek /24'ler 1. Nesil için gerekli değildir.
Sonraki adımlar
Azure VMware Çözümü hizmet ilkenizi bir önkoşul olarak yapılandırmaya başlayın. Nasıl yapılacağını öğrenmek için Azure VMware Çözümü Hizmet Sorumlusunu Etkinleştirme hızlı başlangıcı kılavuzuna bakın.
Azure VMware 2. Nesil Özel Bulut oluşturma öğreticisini izleyin