你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure VMware 解决方案网络和互连概念
Azure VMware 解决方案提供了一个私有云环境,可以从本地站点和基于 Azure 的资源对其进行访问。 Azure ExpressRoute、VPN 连接或 Azure 虚拟 WAN 等服务可提供连接。 但是,这些服务需要特定的网络地址范围和防火墙端口才能启用。
部署私有云时,会创建用于管理、预配和 vMotion 的专用网络。 你将使用这些专用网络来访问 VMware vCenter Server 和 VMware NSX-T Data Center NSX-T Manager,以及虚拟机 vMotion 或部署。
ExpressRoute Global Reach 用于将私有云连接到本地环境。 它直接在 Microsoft Enterprise Edge (MSEE) 级别连接线路。 要实现该连接,你的订阅中必须存在一个使用 ExpressRoute 线路(连接到本地)的虚拟网络 (vNet)。 原因是 vNet 网关(ExpressRoute 网关)无法传输流量,这意味着可以将两条线路附加到同一个网关,但网关不会将流量从一条线路发送到另一条线路。
每个 Azure VMware 解决方案环境是其自己的 ExpressRoute 区域(其自己的虚拟 MSEE 设备),这使你能够将 Global Reach 连接到“本地”对等互连位置。 这使你能够将一个区域中的多个 Azure VMware 解决方案实例连接到同一对等互连位置。
注意
对于未启用 ExpressRoute Global Reach(例如,由于本地法规)的位置,必须使用 Azure IaaS VM 构建路由解决方案。 有关某些示例,请参阅 Azure 云采用框架 - Azure VMware 解决方案的网络拓扑和连接性。
使用 Azure 虚拟 WAN 公共 IP 功能,可从 Internet 访问部署在私有云上的虚拟机。 默认情况下,会针对新的私有云禁用 Internet 访问。
Azure VMware 解决方案私有云中有两种互连方式:
仅限 Azure 的基本互连,通过此方式可仅在 Azure 中使用单个虚拟网络来管理和使用私有云。 此实现最适合不需要从本地环境访问的 Azure VMware 解决方案评估或实现。
本地到私有云的完整互连扩展了仅限 Azure 的基本实现,使其包括本地与 Azure VMware 解决方案私有云之间的互连。
本文介绍建立网络和互连的关键概念,包括要求和限制。 此外,本文还提供了使用 Azure VMware 解决方案配置网络时需要了解的信息。
Azure VMware 解决方案私有云用例
Azure VMware 解决方案私有云的用例包括:
- 云中的新 VMware vSphere VM 工作负载
- VM 工作负载迸发到云(仅限本地到 Azure VMware 解决方案)
- VM 工作负载迁移到云(仅限本地到 Azure VMware 解决方案)
- 灾难恢复(Azure VMware 解决方案到 Azure VMware 解决方案或本地到 Azure VMware 解决方案)
- Azure 服务的消耗
提示
Azure VMware 解决方案服务的所有用例都允许使用本地到私有云的连接。
Azure 虚拟网络互连
可以将 Azure 虚拟网络与 Azure VMware 解决方案私有云互连。 可以管理 Azure VMware 解决方案私有云,使用私有云中的工作负载,以及访问其他 Azure 服务。
下图显示了在部署私有云时建立的基本网络互连。 其中显示了 Azure 中的虚拟网络和私有云之间的逻辑网络。 此连接是通过后端 ExpressRoute 建立的,它是 Azure VMware 解决方案服务的一部分。 互连满足以下主要用例:
- 对可从 Azure 订阅中的 VM 访问的 vCenter Server 和 NSX-T 管理器的入站访问。
- 从私有云上的 VM 到 Azure 服务的出站访问。
- 对私有云中运行的工作负载的入站访问。
重要
将生产Azure VMware 解决方案私有云连接到 Azure 虚拟网络时,应将具有超高性能网关 SKU 的 ExpressRoute 虚拟网络网关与已启用 FastPath 一起使用,以实现 10 Gbps 的连接。 不太关键的环境可以使用标准或高性能网关 SKU 来降低网络性能。
注意
如果要求将同一 Azure 区域中的四个以上Azure VMware 解决方案私有云连接到同一 Azure 虚拟网络,请使用 AVS 互连来聚合 Azure 区域中的私有云连接。
本地互连
在完全互连的方案中,可以从 Azure 虚拟网络和本地访问 Azure VMware 解决方案。 此实现是上一节中所述的基本实现的扩展。 需要 ExpressRoute 线路从本地连接到 Azure 中的 Azure VMware 解决方案私有云。
下图显示了本地到私有云的互连,它使得以下用例可以实现:
- 本地和 Azure VMware 解决方案之间的热/冷 vSphere vMotion。
- 本地到 Azure VMware 解决方案私有云的管理访问。
为了与私有云完全互连,需要启用 ExpressRoute Global Reach,然后在 Azure 门户中为 Global Reach 请求授权密钥和专用对等互连 ID。 授权密钥和对等互连 ID 用于在订阅中的 ExpressRoute 线路和私有云的 ExpressRoute 线路之间建立 Global Reach。 链接后,这两条 ExpressRoute 线路将本地环境之间的网络流量路由到私有云。 有关这些过程的详细信息,请参阅教程:创建与私有云对等互连的 ExpressRoute Global Reach。
重要
客户不应从本地或其 Azure VNet 通过 ExpressRoute 播发 bogon 路由。 博格路由的示例包括 0.0.0.0/5 或 192.0.0.0/3。
将播发准则路由到Azure VMware 解决方案
在将路由从本地和 Azure VNET 播发到通过 ExpressRoute Azure VMware 解决方案时,需要遵循以下准则:
| 支持 | 不支持 |
|---|---|
| 默认路由 - 0.0.0.0/0* | 博格恩路线。 例如: 0.0.0.0/1, 128.0.0.0/1 0.0.0.0/5、 或 192.0.0.0/3. |
RFC-1918 地址块。 例如, (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) 或其子网 ( 10.1.0.0/16, 172.24.0.0/16, 192.168.1.0/24) 。 |
IANA 保留的特殊地址块。 例如,RFC 6598-100.64.0.0/10 及其子网。 |
| 客户拥有的公共 IP CIDR 块或其子网。 |
注意
当客户访问Azure VMware 解决方案管理设备 (vCenter Server、NSX-T Manager、HCX Manager) 时,客户播发到Azure VMware 解决方案的默认路由不能用于路由回流量。 客户需要向Azure VMware 解决方案播发更具体的路由,才能将流量路由回去。
限制
下表介绍了 Azure VMware 解决方案的最大限制。
| 资源 | 限制 |
|---|---|
| 每个私有云的 vSphere 群集数 | 12 |
| 每个群集的最小 ESXi 主机数 | 3(硬限制) |
| 每个群集的最大 ESXi 主机数 | 16(硬限制) |
| 每个私有云的最大 ESXi 主机数 | 96 |
| 每个私有云的最大 vCenter Server 数 | 1(硬限制) |
| 最大 HCX 站点配对数 | 25(任何版本) |
| 最大 HCX 服务网格数 | 10(任何版本) |
| 从单个位置到单个虚拟网络网关的 Azure VMware 解决方案 ExpressRoute 链接私有云数上限 | 4 使用的虚拟网络网关确定实际最大链接私有云数。 有关详细信息,请参阅关于 ExpressRoute 虚拟网络网关 如果超过此阈值,请使用 Azure VMware 解决方案互连来聚合 Azure 区域中的私有云连接。 |
| Azure VMware 解决方案 ExpressRoute 端口最大速度 | 10 Gbps(使用已启用 FastPath 的超高性能网关 SKU) 使用的虚拟网络网关决定了实际带宽。 有关详细信息,请参阅关于 ExpressRoute 虚拟网络网关 |
| 分配给 NSX-T 数据中心的 Azure 公共 IPv4 地址的最大数目 | 2,000 |
| 每个私有云的最大 Azure VMware 解决方案互连数 | 10 |
| vSAN 容量限制 | 75% 的总可用容量(保留 25% 用于 SLA) |
| VMware Site Recovery Manager - 受保护虚拟机的最大数目 | 3,000 |
| VMware Site Recovery Manager - 每个恢复计划的虚拟机的最大数目 | 2,000 |
| VMware Site Recovery Manager - 每个恢复计划的保护组的最大数目 | 250 |
| VMware Site Recovery Manager - RPO 值 | 5 分钟或更长时间 *(硬限制) |
| VMware Site Recovery Manager - 每个保护组的虚拟机的最大数目 | 500 |
| VMware Site Recovery Manager - 恢复计划的最大数目 | 250 |
* 有关恢复点目标 (RPO) 低于 15 分钟的信息,请参阅《VSphere 复制管理指南》中的 5 分钟恢复点目标的工作原理。
有关其他 VMware 特定的限制,请使用 VMware 配置最大值工具。
后续步骤
现在你已经了解了 Azure VMware 解决方案网络和互连概念,你可能想要了解: