Azure VMware Çözümü için ağ planlama denetim listesi
Azure VMware Çözümü, şirket içi ve Azure tabanlı ortamlardan veya kaynaklardan kullanıcılara ve uygulamalara erişilebilen bir VMware özel bulut ortamı sağlar. Bağlantı, Azure ExpressRoute ve VPN bağlantıları gibi ağ hizmetleri aracılığıyla teslim edilir. Bu hizmetleri etkinleştirmek için belirli ağ adresi aralıkları ve güvenlik duvarı bağlantı noktaları gereklidir. Bu makale, ağınızı Azure VMware Çözümü ile çalışacak şekilde yapılandırmanıza yardımcı olur.
Bu öğreticide, aşağıdakiler hakkında bilgi edinin:
- Sanal ağ ve ExpressRoute bağlantı hattında dikkat edilmesi gerekenler
- Yönlendirme ve alt ağ gereksinimleri
- Hizmetlerle iletişim kurmak için gerekli ağ bağlantı noktaları
- Azure VMware Çözümü'de DHCP ve DNS ile ilgili dikkat edilmesi gerekenler
Önkoşullar
ExpressRoute sağlayıcısının hizmeti de dahil olmak üzere tüm ağ geçitlerinin 4 baytlık Otonom Sistem Numarası'nı (ASN) desteklediğinden emin olun. Azure VMware Çözümü reklam yolları için 4 baytlık genel ASN'ler kullanır.
Sanal ağ ve ExpressRoute bağlantı hattında dikkat edilmesi gerekenler
Aboneliğinizde bir sanal ağ bağlantısı oluşturduğunuzda ExpressRoute bağlantı hattı, Azure portalında istediğiniz yetkilendirme anahtarı ve eşleme kimliği kullanılarak eşleme yoluyla oluşturulur. Eşleme, özel bulutunuzla sanal ağ arasında özel, bire bir bağlantıdır.
Not
ExpressRoute bağlantı hattı özel bulut dağıtımının bir parçası değildir. Şirket içi ExpressRoute bağlantı hattı bu belgenin kapsamının dışındadır. Özel bulutunuza şirket içi bağlantı gerekiyorsa mevcut ExpressRoute bağlantı hatlarınızdan birini kullanın veya Azure portalından bir bağlantı hattı satın alın.
Özel bulut dağıtırken vCenter Server ve NSX Yöneticisi için IP adresleri alırsınız. Bu yönetim arabirimlerine erişmek için aboneliğinizin sanal ağında daha fazla kaynak oluşturun. Öğreticilerde bu kaynakları oluşturma ve ExpressRoute özel eşlemesi oluşturma yordamlarını bulun.
Özel bulut mantıksal ağı önceden sağlanan bir NSX yapılandırması içerir. Katman-0 ağ geçidi ve Katman 1 ağ geçidi sizin için önceden sağlanır. Bir segment oluşturup mevcut Katman 1 ağ geçidine ekleyebilir veya tanımladığınız yeni bir Katman-1 ağ geçidine ekleyebilirsiniz. NSX mantıksal ağ bileşenleri, iş yükleri arasında Doğu-Batı bağlantısı ve İnternet ile Azure hizmetlerine Kuzey-Güney bağlantısı sağlar.
Önemli
Azure NetApp Files veri depolarını kullanarak Azure VMware Çözümü konaklarınızı ölçeklendirmeyi planlıyorsanız, sanal ağı bir ExpressRoute sanal ağ geçidi ile konaklarınıza yakın bir şekilde dağıtmak çok önemlidir. Depolama alanı konaklarınıza ne kadar yakın olursa performans o kadar iyi olur.
Yönlendirme ve alt ağ ile ilgili dikkat edilmesi gerekenler
Azure VMware Çözümü özel bulut, Azure ExpressRoute bağlantısı kullanarak Azure sanal ağınıza bağlanır. Bu yüksek bant genişliği, düşük gecikme süresi bağlantısı, Azure aboneliğinizde çalışan hizmetlere özel bulut ortamınızdan erişmenizi sağlar. Yönlendirme, Sınır Ağ Geçidi Protokolü (BGP) kullanır, otomatik olarak sağlanır ve her özel bulut dağıtımı için varsayılan olarak etkinleştirilir.
Azure VMware Çözümü özel bulutlar için en az /22 Alt ağlar için CIDR ağ adresi bloğu. Bu ağ şirket içi ağlarınızı tamamlar, bu nedenle adres bloğu aboneliğinizdeki diğer sanal ağlarda ve şirket içi ağlarda kullanılan adres bloklarıyla çakışmamalıdır. Yönetim, vMotion ve Çoğaltma ağları bu adres bloğu içinde otomatik olarak sağlanır.
Not
Adres bloğunuz için izin verilen aralıklar RFC 1918 özel adres alanlarıdır (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), 172.17.0.0/16 hariç. Çoğaltma ağı AV64 düğümleri için geçerli değildir ve gelecekteki bir tarihte genel kullanımdan kaldırılmaya hazırlanmıştır.
Önemli
NSX kullanımı için ayrılmış aşağıdaki IP şemalarını kullanmaktan kaçının:
- 169.254.0.0/24 - iç aktarım ağı için kullanılır
- 169.254.2.0/23 - VRF arası geçiş ağı için kullanılır
- 100.64.0.0/16 - T1 ve T0 ağ geçitlerini dahili olarak bağlamak için kullanılır
Örnek /22 CIDR ağ adresi bloğu: 10.10.0.0/22
Alt ağlar:
| Ağ kullanımı | Açıklama | Alt ağ | Örnek |
|---|---|---|---|
| Özel bulut yönetimi | Yönetim Ağı (vCenter, NSX gibi) | /26 |
10.10.0.0/26 |
| HCX Mgmt Geçişleri | HCX gereçleri için yerel bağlantı (aşağı bağlantılar) | /26 |
10.10.0.64/26 |
| Global Reach Ayrılmış | ExpressRoute için giden arabirim | /26 |
10.10.0.128/26 |
| NSX DNS Hizmeti | Yerleşik NSX DNS Hizmeti | /32 |
10.10.0.192/32 |
| Ayrıldı | Ayrıldı | /32 |
10.10.0.193/32 |
| Ayrıldı | Ayrıldı | /32 |
10.10.0.194/32 |
| Ayrıldı | Ayrıldı | /32 |
10.10.0.195/32 |
| Ayrıldı | Ayrıldı | /30 |
10.10.0.196/30 |
| Ayrıldı | Ayrıldı | /29 |
10.10.0.200/29 |
| Ayrıldı | Ayrıldı | /28 |
10.10.0.208/28 |
| ExpressRoute eşlemesi | ExpressRoute Eşlemesi | /27 |
10.10.0.224/27 |
| ESXi Yönetimi | ESXi yönetimi VMkernel arabirimleri | /25 |
10.10.1.0/25 |
| vMotion Ağı | vMotion VMkernel arabirimleri | /25 |
10.10.1.128/25 |
| Çoğaltma Ağı | vSphere Çoğaltma arabirimleri | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel arabirimleri ve düğüm iletişimi | /25 |
10.10.2.128/25 |
| HCX yukarı bağlantısı | Uzak eşlere HCX IX ve NE gereçleri için yukarı bağlantılar | /26 |
10.10.3.0/26 |
| Ayrıldı | Ayrıldı | /26 |
10.10.3.64/26 |
| Ayrıldı | Ayrıldı | /26 |
10.10.3.128/26 |
| Ayrıldı | Ayrıldı | /26 |
10.10.3.192/26 |
Not
ESXi yönetimi/vmotion/çoğaltma ağları teknik olarak 125 Ana Bilgisayarı destekleyebilir, ancak 29 değiştirme/bakım(19) ve HCX(10) için ayrıldığından desteklenen maksimum 96'dır.
Gerekli ağ bağlantı noktaları
| Kaynak | Hedef | Protokol | Bağlantı noktası | Açıklama |
|---|---|---|---|---|
| Özel Bulut DNS sunucusu | Şirket içi DNS Sunucusu | UDP | 53 | DNS İstemcisi - Şirket içi DNS sorguları için Özel Bulut vCenter Server'dan gelen istekleri iletin (bkz . DNS bölümü). |
| Şirket içi DNS Sunucusu | Özel Bulut DNS sunucusu | UDP | 53 | DNS İstemcisi - Şirket içi hizmetlerden gelen istekleri Özel Bulut DNS sunucularına iletme (bkz . DNS bölümü) |
| Şirket içi ağı | Özel Bulut vCenter Sunucusu | TCP (HTTP) | 80 | vCenter Server, doğrudan HTTP bağlantıları için 80 numaralı bağlantı noktasını gerektirir. 80 numaralı bağlantı noktası, istekleri HTTPS bağlantı noktası 443'e yönlendirir. Bu yeniden yönlendirme, yerine https://serverkullanmanıza http://server yardımcı olur. |
| Özel Bulut yönetim ağı | Şirket içi Active Directory | TCP | 389/636 | şirket içi Active Directory/LDAP sunucularıyla iletişim kurmak için Azure VMware Çözümü vCenter Server'ı etkinleştirin. Şirket içi AD'yi Özel Bulut vCenter'da bir kimlik kaynağı olarak yapılandırmak için isteğe bağlı. Güvenlik amacıyla 636 numaralı bağlantı noktası önerilir. |
| Özel Bulut yönetim ağı | Şirket içi Active Directory Genel Kataloğu | TCP | 3268/3269 | şirket içi Active Directory/LDAP genel katalog sunucularıyla iletişim kurmak için Azure VMware Çözümü vCenter Server'ı etkinleştirin. Şirket içi AD'yi Özel Bulut vCenter Server'da bir kimlik kaynağı olarak yapılandırmak için isteğe bağlıdır. Güvenlik için 3269 numaralı bağlantı noktasını kullanın. |
| Şirket içi ağı | Özel Bulut vCenter Sunucusu | TCP (HTTPS) | 443 | Şirket içi ağdan vCenter Server'a erişin. vSphere İstemci bağlantılarını dinlemek için vCenter Server için varsayılan bağlantı noktası. vCenter Server sisteminin vSphere İstemcisinden veri almasını sağlamak için güvenlik duvarında 443 numaralı bağlantı noktasını açın. vCenter Server sistemi ayrıca SDK istemcilerinden veri aktarımını izlemek için 443 numaralı bağlantı noktasını kullanır. |
| Şirket içi ağı | HCX Cloud Manager | TCP (HTTPS) | 9443 | HCX sistem yapılandırması için HCX Cloud Manager sanal gereç yönetimi arabirimi. |
| Şirket İçi Yönetici Ağı | HCX Cloud Manager | SSH | 22 | HCX Cloud Manager sanal gerecine yönetici SSH erişimi. |
| HCX Yöneticisi | Interconnect (HCX-IX) | TCP (HTTPS) | 8123 | HCX Toplu Geçiş Denetimi. |
| HCX Yöneticisi | Ara Bağlantı (HCX-IX), Ağ Uzantısı (HCX-NE) | TCP (HTTPS) | 9443 | REST API kullanarak yerel HCX Interconnect'e yönetim yönergeleri gönderin. |
| Interconnect (HCX-IX) | L2C | TCP (HTTPS) | 443 | L2C, Interconnect ile aynı yolu kullandığında Yönetim yönergelerini Interconnect'ten L2C'ye gönderin. |
| HCX Yöneticisi, Ara Bağlantı (HCX-IX) | ESXi Konakları | TCP | 80,443,902 | Yönetim ve OVF dağıtımı. |
| Kaynakta Ara Bağlantı (HCX-IX), Ağ Uzantısı (HCX-NE) | Hedefte Ara Bağlantı (HCX-IX), Ağ Uzantısı (HCX-NE) | UDP | 4500 | IPSEC için gerekli çift yönlü tünelin iş yüklerini kapsüllemek için İnternet anahtar değişimi (IKEv2). Ağ Adresi Çevirisi-Dolaşmayı (NAT-T) destekler. |
| Şirket İçi Bağlantı (HCX-IX) | Bulut Bağlantısı (HCX-IX) | UDP | 4500 | IPSEC için gerekli Çift yönlü tünel için İnternet Anahtar Değişimi (ISAKMP). |
| Şirket içi vCenter Server ağı | Özel Bulut yönetim ağı | TCP | 8000 | Şirket içi vCenter Server'dan Özel Bulut vCenter Server'a VM'lerin vMotion'ı |
| HCX Bağlayıcısı | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect lisans anahtarını doğrulamak için gereklidir.hybridity güncelleştirmeler için gereklidir. |
Bu tablo, tipik senaryolar için ortak güvenlik duvarı kuralları sunar. Ancak, güvenlik duvarı kurallarını yapılandırırken daha fazla öğeyi göz önünde bulundurmanız gerekebilir. Kaynak ve hedef "şirket içi" dediğinde, bu bilgilerin yalnızca veri merkezinizde akışları inceleyen bir güvenlik duvarı varsa ilgili olduğunu unutmayın. Şirket içi bileşenlerinizde inceleme için güvenlik duvarı yoksa bu kuralları yoksayabilirsiniz.
Daha fazla bilgi için VMware HCX bağlantı noktası gereksinimlerinin tam listesine bakın.
DHCP ve DNS çözümlemesi ile ilgili dikkat edilmesi gerekenler
Özel bulut ortamında çalışan uygulamalar ve iş yükleri, arama ve IP adresi atamaları için ad çözümlemesi ve DHCP hizmetleri gerektirir. Bu hizmetleri sağlamak için uygun bir DHCP ve DNS altyapısı gerekir. Özel bulut ortamınızda bu hizmetleri sağlamak için bir sanal makine yapılandırabilirsiniz.
NSX-T Veri Merkezi'nde yerleşik DHCP hizmetini kullanın veya YAYıN DHCP trafiğini WAN üzerinden şirket içi ortama yönlendirmek yerine özel bulutta yerel bir DHCP sunucusu kullanın.
Önemli
Azure VMware Çözümü varsayılan bir yol tanıtıyorsanız, DNS ileticisinin yapılandırılmış DNS sunucularına ulaşmasına izin vermelisiniz ve ortak ad çözümlemesini desteklemelidir.
Sonraki adımlar
Bu öğreticide, Azure VMware Çözümü özel bulutu dağıtmak için dikkat edilmesi gerekenler ve gereksinimler hakkında bilgi edindiyseniz. Uygun ağı oluşturduktan sonra, Azure VMware Çözümü özel bulutunuzu oluşturmak için sonraki öğreticiye geçin.