你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure VMware 解决方案网络设计注意事项
Azure VMware 解决方案提供一个 VMware 私有云环境,用户和应用程序可通过本地和基于 Azure 的环境或资源访问此环境。 Azure ExpressRoute 和虚拟专用网络 (VPN) 连接等网络服务提供连接。
在设置 Azure VMware 解决方案环境之前,需要查看几个网络注意事项。 本文为你在使用 Azure VMware 解决方案配置网络时可能遇到的用例提供解决方案。
Azure VMware 解决方案与 AS 路径前置的兼容性
Azure VMware 解决方案有与使用 AS 路径前置进行冗余 ExpressRoute 配置相关的注意事项。 如果在本地和 Azure 之间运行两个或两个以上的 ExpressRoute 路径,请考虑以下指南,了解如何影响通过 ExpressRoute Global Reach 从 Azure VMware 解决方案流向本地位置的流量。
由于非对称路由,当 Azure VMware 解决方案未观察到 AS 路径前置并因此使用等价多路径 (ECMP) 路由通过两个 ExpressRoute 线路向你的环境发送流量时,可能会出现连接问题。 此行为可能会导致放置在现有 ExpressRoute 线路后面的状态防火墙检查设备出现问题。
先决条件
对于 AS 路径前置,请考虑以下先决条件:
- 关键点是你必须在前面添加公共 ASN 编号,这样才能影响 Azure VMware 解决方案将流量路由回本地的方式。 如果你使用专用 ASN 进行前置操作,Azure VMware 解决方案会忽略该前置操作,会出现前面提到的 ECMP 行为。 即使你在本地运行专用 BGP ASN,仍然可以将本地设备配置为在将出站路由前置时使用公共 ASN,以确保与 Azure VMware 解决方案的兼容性。
- 设计公共 ASN 之后的专用 ASN 的流量路径,供 Azure VMware 解决方案遵循。 在处理公共 ASN 后,Azure VMware 解决方案 ExpressRoute 线路不会删除路径中存在的任何专用 ASN。
- 两个线路或全部线路均通过 Azure ExpressRoute Global Reach 连接到 Azure VMware 解决方案。
- 从两个或更多个线路播发相同的网块。
- 你希望使用 AS 路径前置强制 Azure VMware 解决方案优先选择一条线路而不是另一条线路。
- 使用 2 字节或 4 字节的公共 ASN 编号。
来自本地的管理 VM 和默认路由
重要
对于 RFC1918 目标,Azure VMware 解决方案管理虚拟机 (VM) 不支持来自内部部署的默认路由。
如果你仅使用向 Azure 播发的默认路由来路由回本地网络,则从所使用的 vCenter Server 和 NSX 管理器 VM 到具有专用 IP 地址的本地目标的流量不会遵循该路由。
若要从本地访问 vCenter Server 和 NSX 管理器,请提供具体的路由,使流量具有到这些网络的返回路径。 例如,播发 RFC1918 摘要(10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16)。
到 Azure VMware 解决方案的默认路由进行 Internet 流量检查
某些部署需要检查从 Azure VMware 解决方案到 Internet 的所有出口流量。 虽然可以在 Azure VMware 解决方案中创建网络虚拟设备 (NVA),但在某些情况下,Azure 中已存在这些设备,可用于检查来自 Azure VMware 解决方案的 Internet 流量。 在本例中,可以从 Azure 中的 NVA 注入默认路由,以吸引来自 Azure VMware 解决方案的流量并对流量进行检查,然后流量才会进入到公共 Internet。
下图描述基本中心及辐射拓扑通过 ExpressRoute 连接到 Azure VMware 解决方案云和本地网络。 此图显示了 Azure 中的 NVA 如何源自默认路由 (0.0.0.0/0)。 Azure Route Server 通过 ExpressRoute 将路由传播到 Azure VMware 解决方案。
重要
NVA 通告的默认路由将传播到本地网络。 你需要添加用户定义的路由 (UDR),以确保来自 Azure VMware 解决方案的流量通过 NVA 传输。
Azure VMware 解决方案与本地网络之间的通信通常通过 ExpressRoute Global Reach 进行,如将本地环境与 Azure VMware 解决方案对等互连中所述。
Azure VMware 解决方案与本地网络之间的连接
Azure VMware 解决方案与本地网络之间通过第三方 NVA 建立连接主要有两种方案:
- 组织需要通过 NVA(通常是防火墙)在 Azure VMware 解决方案和本地网络之间发送流量。
- ExpressRoute Global Reach 在特定区域不可用,无法将 Azure VMware 解决方案的 ExpressRoute 线路和本地网络互连。
可以应用两种拓扑来满足这些方案的所有要求:超网和传输辐射型虚拟网络。
重要
连接 Azure VMware 解决方案和本地环境的首选选项是直接 ExpressRoute Global Reach 连接。 本文中描述的模式增加了环境的复杂性。
超网设计拓扑
如果两条 ExpressRoute 线路(到 Azure VMware 解决方案和到本地网络)都在同一 ExpressRoute 网关中终止,则可以假定网关将在它们之间路由数据包。 但是,ExpressRoute 网关并非为实现此操作而设计。 你需要将流量回环到可以路由流量的 NVA。
要将网络流量固定到 NVA,有两个要求:
NVA 应播发 Azure VMware 解决方案和本地前缀的超级网络。
你可以使用包含 Azure VMware 解决方案和内本地前缀的超网。 或者,你可以为 Azure VMware 解决方案和本地解决方案使用单独的前缀(始终不如通过 ExpressRoute 播发的实际前缀具体)。 切记,所有播发给路由服务器的超网前缀都传播到 Azure VMware 解决方案和本地。
GatewaySubnet 中与从 Azure VMware 解决方案和本地播发的前缀完全匹配的 UDR 会导致将来自网关子网的流量回环到 NVA。
这种拓扑会导致随着时间推移而变化的大型网络产生大量的管理开销。 请考虑以下限制:
- 每当在 Azure VMware 解决方案中创建工作负荷段时,可能需要添加 UDR,以确保来自 Azure VMware 解决方案的流量通过 NVA 传输。
- 如果你的内部部署环境中有大量更改的路由,则可能需要更新超网中的边界网关协议 (BGP) 和 UDR 配置。
- 由于单个 ExpressRoute 网关处理两个方向的网络流量,因此性能可能会受到限制。
- Azure 虚拟网络限制为 400 UDR。
下图演示了 NVA 需要如何播发更通用(不太具体)的前缀,这些前缀包括来自本地和 Azure VMware 解决方案的网络。 使用这种方法时要小心。 NVA 可能会吸引它不应该吸引的流量,因为它的播发范围更广(例如,整个 10.0.0.0/8 网络)。
传输分支虚拟网络拓扑
注意
如果由于前面所述的限制,无法使用不太具体的播发前缀,则可以实现使用两个单独的虚拟网络的替代设计。
在这种拓扑中,不同虚拟网络中的两个不同 NVA 可以相互交换路由,而不是传播不太具体的路由来吸引流量到 ExpressRoute 网关。 虚拟网络可以通过 BGP 和 Azure 路由服务器将这些路由传播到各自的 ExpressRoute 线路。 每个 NVA 都可以完全控制要传播到每个 ExpressRoute 线路的前缀。
下图演示了如何将单个 0.0.0.0/0 路由播发到 Azure VMware 解决方案。 它还演示了如何将单个 Azure VMware 解决方案前缀传播到本地网络。
重要
NVA 之间需要某种封装协议,例如 VXLAN 或 IPsec。 之所以需要封装,是因为 网络适配器 (NIC) 将从 Azure 路由服务器中学习路由,并将 NVA 作为下一个跃点,然后创建路由循环。
除了使用叠加层之外,还有另一种替代方法。 应用 NVA 中无法从 Azure 路由服务器了解路由的辅助 NIC。 然后,配置 UDR,以便 Azure 可以通过这些 NIC 将流量路由到远程环境。 你可在适用于 Azure VMware 解决方案的企业级网络拓扑和连接中找到更多详细信息。
这种拓扑需要进行复杂的初始设置。 然后,拓扑将以最小的管理开销按预期工作。 设置的复杂性包括:
- 添加另一个传输虚拟网络需要额外付费,该虚拟网络包括 Azure 路由服务器、ExpressRoute 网关和另一个 NVA。 NVA 可能还需要使用大型 VM 以满足吞吐量要求。
- 两个 NVA 之间需要 IPSec 或 VxLAN 隧道,这意味着 NVA 也在数据路径中。 根据所使用的 NVA 类型,它可能会导致这些 NVA 上的自定义和复杂配置。
后续步骤
了解 Azure VMware 解决方案的网络设计注意事项后,请考虑浏览以下文章: