Azure VMware Çözümü için ağ topolojisi ve bağlantısı
Azure bulut ekosistemi ile VMware yazılım tanımlı veri merkezini (SDDC) kullanırken, hem bulutta yerel hem de hibrit senaryolarda izleyebileceğiniz benzersiz tasarım konuları vardır. Bu makalede, Azure ve Azure VMware Çözümü dağıtımlarına ağ ve bağlantı için önemli noktalar ve en iyi yöntemler sağlanmaktadır.
Makale, ağ topolojisini ve bağlantıyı büyük ölçekte yönetmeye yönelik çeşitli Bulut Benimseme Çerçevesi kurumsal ölçekli giriş bölgeleri mimari ilkelerini ve önerilerini temel alır. Görev açısından kritik Azure VMware Çözümü platformları için bu Azure giriş bölgesi tasarım alanı kılavuzunu kullanabilirsiniz. Tasarım alanları şunlardır:
- Şirket içi, çoklu bulut, uç ve genel kullanıcılar arasında bağlantı için karma tümleştirme . Daha fazla bilgi için bkz . Hibrit ve çoklu bulut için kurumsal ölçekli destek.
- İş yükü ölçeklenebilirliği ve tutarlı, düşük gecikme süresi deneyimi için uygun ölçekte performans ve güvenilirlik. Sonraki bir makale, İkili bölge dağıtımlarını kapsar.
- Ağ çevresi ve trafik akışı güvenliği için sıfır güven tabanlı ağ güvenliği. Daha fazla bilgi için bkz . Azure'da ağ güvenlik stratejileri.
- Tasarım yeniden çalışmalarına gerek kalmadan ağ ayak izlerinin kolay genişletilmesi için genişletilebilirlik .
Genel tasarım konuları ve önerileri
Aşağıdaki bölümler, Azure VMware Çözümü ağ topolojisi ve bağlantısı için genel tasarım konuları ve öneriler sağlar.
Merkez-uç ve Sanal WAN ağ topolojisi karşılaştırması
Şirket içinden Azure'a ExpressRoute bağlantınız yoksa ve bunun yerine S2S VPN kullanıyorsanız, Sanal WAN kullanarak şirket içi VPN'inizle expressRoute Azure VMware Çözümü arasında bağlantı aktarabilirsiniz. Merkez-uç topolojisi kullanıyorsanız Azure Route Server'a ihtiyacınız vardır. Daha fazla bilgi için bkz . ExpressRoute ve Azure VPN için Azure Route Server desteği.
Özel bulutlar ve kümeler
Tüm kümeler Azure VMware Çözümü özel bulut içinde iletişim kurabilir çünkü hepsi aynı /22 adres alanını paylaşır.
İnternet, ExpressRoute, HCX, genel IP ve ExpressRoute Global Reach gibi tüm kümeler aynı bağlantı ayarlarını paylaşır. Uygulama iş yükleri ağ kesimleri, dinamik konak yapılandırma protokolü (DHCP) ve Etki Alanı Adı Sistemi (DNS) ayarları gibi bazı temel ağ ayarlarını da paylaşabilir.
Dağıtımınızdan önce özel bulutlar ve kümeler tasarlar. İhtiyaç duymanız gereken özel bulut sayısı, ağ gereksinimlerinizi doğrudan etkiler. Her özel bulut, özel bulut yönetimi için kendi /22 adres alanını ve VM iş yükleri için IP adresi segmentini gerektirir. Bu adres alanlarını önceden tanımlamayı göz önünde bulundurun.
VMware ve ağ ekiplerinizle iş yükleri için özel bulutlarınızı, kümelerinizi ve ağ kesimlerinizi nasıl segmentlere ayırmayı ve dağıtmayı tartışın. İyi planlayın ve IP adreslerini boşa harcamaktan kaçının.
Özel bulutlar için IP adreslerini yönetme hakkında daha fazla bilgi için bkz . Özel bulut yönetimi için IP adresi kesimini tanımlama.
VM iş yükleri için IP adreslerini yönetme hakkında daha fazla bilgi için bkz . VM iş yükleri için IP adresi kesimini tanımlama.
DNS ve DHCP
DHCP için, NSX-T Veri Merkezi'nde yerleşik olarak bulunan DHCP hizmetini kullanın veya özel bir bulutta yerel bir DHCP sunucusu kullanın. YAYıN DHCP trafiğini WAN üzerinden şirket içi ağlara yönlendirmeyin.
DNS için, benimsediğiniz senaryoya ve gereksinimlerinize bağlı olarak birden çok seçeneğiniz vardır:
- Yalnızca Azure VMware Çözümü bir ortam için, Azure VMware Çözümü özel bulutunuza yeni bir DNS altyapısı dağıtabilirsiniz.
- Şirket içi ortama bağlı Azure VMware Çözümü için mevcut DNS altyapısını kullanabilirsiniz. Gerekirse DNS ileticilerini azure Sanal Ağ veya tercihen Azure VMware Çözümü genişletmek için dağıtın. Daha fazla bilgi için bkz . DNS ileticisi hizmeti ekleme.
- Hem şirket içi hem de Azure ortamlarına ve hizmetlerine bağlı Azure VMware Çözümü varsa merkez sanal ağınızdaki mevcut DNS sunucularını veya DNS ileticilerini kullanabilirsiniz. Ayrıca mevcut şirket içi DNS altyapısını Azure hub sanal ağına genişletebilirsiniz. Ayrıntılar için kurumsal ölçekli giriş bölgeleri diyagramına bakın.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- DHCP ve DNS çözümlemesi ile ilgili dikkat edilmesi gerekenler
- dhcp'yi Azure VMware Çözümü için yapılandırma
- L2 esnetilmiş VMware HCX ağlarında DHCP'yi yapılandırma
- Azure portalında DNS ileticisi yapılandırma
İnternet
İnternet'i etkinleştirmek, trafiği filtrelemek ve incelemek için giden seçenekler şunlardır:
- Azure İnternet erişimini kullanarak Azure Sanal Ağ, NVA ve Azure Route Server.
- Şirket içi internet erişimini kullanan şirket içi varsayılan yol.
- Azure internet erişimini kullanarak Azure Güvenlik Duvarı veya NVA ile güvenli hub'ı Sanal WAN.
İçerik ve uygulama teslimi için gelen seçenekler şunlardır:
- L7 ile Azure Uygulaması Lication Gateway, Güvenli Yuva Katmanı (SSL) sonlandırma ve Web Uygulaması Güvenlik Duvarı.
- Şirket içinden DNAT ve yük dengeleyici.
- Çeşitli senaryolarda Azure Sanal Ağ, NVA ve Azure Route Server.
- Azure Güvenlik Duvarı, L4 ve DNAT ile güvenli merkez Sanal WAN.
- Çeşitli senaryolarda NVA ile güvenli merkez Sanal WAN.
ExpressRoute
Azure VMware Çözümü kullanıma açık özel bulut dağıtımı otomatik olarak bir adet ücretsiz 10 Gb/sn ExpressRoute bağlantı hattı oluşturur. Bu bağlantı hattı Azure VMware Çözümü D-MSEE'ye bağlar.
Azure VMware Çözümü veri merkezlerinizin yakınındaki Eşleştirilmiş Azure bölgelerinde dağıtmayı göz önünde bulundurun. Azure VMware Çözümü için çift bölgeli ağ topolojileri hakkında öneriler için bu makaleyi gözden geçirin.
Global Reach
Global Reach, Azure VMware Çözümü şirket içi veri merkezleri, Azure Sanal Ağ ve Sanal WAN ile iletişim kurmak için gerekli bir ExpressRoute eklentisidir. Bunun alternatifi, Azure Route Server ile ağ bağlantınızı tasarlamaktır.
Azure VMware Çözümü ExpressRoute bağlantı hattını, Global Reach'i ücretsiz olarak kullanarak diğer ExpressRoute bağlantı hatlarıyla eşleyebilirsiniz.
ExpressRoute bağlantı hatlarını bir ISS aracılığıyla eşlemek ve ExpressRoute Direct bağlantı hatları için Global Reach'i kullanabilirsiniz.
Global Reach, ExpressRoute Yerel bağlantı hatları için desteklenmez. ExpressRoute Local için azure sanal ağındaki üçüncü taraf NVA'lar aracılığıyla Azure VMware Çözümü şirket içi veri merkezlerine geçiş.
Global Reach tüm konumlarda kullanılamaz.
Bant genişliği
Azure VMware Çözümü ile Azure Sanal Ağ arasında en uygun bant genişliği için uygun bir sanal ağ geçidi SKU'su seçin. Azure VMware Çözümü, bir bölgedeki ExpressRoute ağ geçidine yönelik en fazla dört ExpressRoute bağlantı hattını destekler.
Ağ güvenliği
Ağ güvenliği, trafik denetimi ve bağlantı noktası yansıtmayı içerir.
SDDC içindeki Doğu-Batı trafik denetimi, bölgeler arasında Azure Sanal Ağ trafiğini incelemek için NSX-T Veri Merkezi veya NVA'ları kullanır.
Kuzey-Güney trafik denetimi, Azure VMware Çözümü ve veri merkezleri arasındaki çift yönlü trafik akışını denetler. Kuzey-güney trafik denetimi şu kullanımları kullanabilir:
- Azure İnternet üzerinden üçüncü taraf güvenlik duvarı NVA ve Azure Route Server.
- Şirket içi İnternet üzerinden şirket içi varsayılan yol.
- Azure İnternet üzerinden Azure Güvenlik Duvarı ve Sanal WAN
- İnternet üzerinden SDDC içinde NSX-T Veri Merkezi Azure VMware Çözümü.
- İnternet üzerinden SDDC'de Azure VMware Çözümü üçüncü taraf güvenlik duvarı NVA'sı Azure VMware Çözümü
Bağlantı noktaları ve protokol gereksinimleri
Tüm Azure VMware Çözümü özel bulut bileşenlerine düzgün erişim sağlamak için şirket içi güvenlik duvarı için gerekli tüm bağlantı noktalarını yapılandırın. Daha fazla bilgi için bkz . Gerekli ağ bağlantı noktaları.
yönetim erişimi Azure VMware Çözümü
Dağıtım sırasında Azure VMware Çözümü ortamına erişmek için Azure Sanal Ağ'de bir Azure Bastion konağı kullanmayı göz önünde bulundurun.
Şirket içi ortamınıza yönlendirmeyi oluşturduktan sonra, Azure VMware Çözümü yönetim ağı şirket içi ağlardan gelen yolları kabul etmez
0.0.0.0/0, bu nedenle şirket içi ağlarınız için daha belirli yolları tanıtmalısınız.
İş sürekliliği, olağanüstü durum kurtarma (BCDR) ve geçişler
VMware HCX geçişlerinde varsayılan ağ geçidi şirket içinde kalır. Daha fazla bilgi için bkz . VMware HCX'i dağıtma ve yapılandırma.
VMware HCX geçişleri HCX L2 uzantısını kullanabilir. Katman 2 uzantısı gerektiren geçişler de ExpressRoute gerektirir. Minimum ağ alt katmanı minimum gereksinimleri net olduğu sürece S2S VPN desteklenir. HCX ek yükünü karşılamak için maksimum iletim birimi (MTU) boyutu 1350 olmalıdır. Katman 2 uzantısı tasarımı hakkında daha fazla bilgi için bkz . Yönetici modunda Katman 2 köprü oluşturma (VMware.com).
Sonraki adımlar
Merkez-uç ağlarındaki Azure VMware Çözümü hakkında daha fazla bilgi için bkz. Merkez-uç mimarisinde Azure VMware Çözümü tümleştirme.
VMware NSX-T Veri Merkezi ağ kesimleri hakkında daha fazla bilgi için bkz. Azure VMware Çözümü kullanarak NSX-T Veri Merkezi ağ bileşenlerini yapılandırma.
kurumsal ölçekli giriş bölgesi mimari ilkelerini, çeşitli tasarım konularını ve Azure VMware Çözümü için en iyi yöntemleri Bulut Benimseme Çerçevesi öğrenmek için bu serinin sonraki makalesine bakın:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin