你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure VMware 解决方案网络和互连概念
Azure VMware 解决方案提供了一个私有云环境,可以从本地站点和基于 Azure 的资源对其进行访问。 Azure ExpressRoute、VPN 连接或 Azure 虚拟 WAN 等服务可提供连接。 但是,这些服务需要特定的网络地址范围和防火墙端口才能启用。
部署私有云时,会创建用于管理、预配和 vMotion 的专用网络。 请使用这些专用网络来访问 VMware vCenter Server 和 VMware NSX-T Data Center NSX-T Manager,以及虚拟机 vMotion 或部署。
ExpressRoute Global Reach 用于将私有云连接到本地环境。 它直接在 Microsoft Edge 级别连接线路。 要实现该连接,你的订阅中必须存在一个使用 ExpressRoute 线路(连接到本地)的虚拟网络 (vNet)。 原因是 vNet 网关(ExpressRoute 网关)无法传输流量,这意味着可以将两条线路附加到同一个网关,但网关不会将流量从一条线路发送到另一条线路。
每个 Azure VMware 解决方案环境是其自己的 ExpressRoute 区域(其自己的虚拟 MSEE 设备),这使你能够将 Global Reach 连接到“本地”对等互连位置。 这使你能够将一个区域中的多个 Azure VMware 解决方案实例连接到同一对等互连位置。
注意
对于未启用 ExpressRoute Global Reach(例如,由于本地法规)的位置,必须使用 Azure IaaS VM 构建路由解决方案。 有关某些示例,请参阅 Azure 云采用框架 - Azure VMware 解决方案的网络拓扑和连接性。
使用 Azure 虚拟 WAN 公共 IP 功能,可从 Internet 访问部署在私有云上的虚拟机。 默认情况下,会针对新的私有云禁用 Internet 访问。
Azure VMware 解决方案私有云提供两种类型的互连:
仅限 Azure 的基本互连允许通过 Azure 中的单个虚拟网络管理和使用私有云。 此设置非常适合不需要从本地环境进行访问的计算或实现。
本地到私有云的完整互连扩展了仅限 Azure 的基本实现,使其包括本地与 Azure VMware 解决方案私有云之间的互连。
本文介绍关键的网络和互连概念,包括要求和限制。 还提供了使用 Azure VMware 解决方案配置网络所需的信息。
Azure VMware 解决方案私有云用例
Azure VMware 解决方案私有云的用例包括:
- 云中的新 VMware vSphere VM 工作负载
- VM 工作负载迸发到云(仅限本地到 Azure VMware 解决方案)
- VM 工作负载迁移到云(仅限本地到 Azure VMware 解决方案)
- 灾难恢复(Azure VMware 解决方案到 Azure VMware 解决方案或本地到 Azure VMware 解决方案)
- Azure 服务的消耗
提示
Azure VMware 解决方案服务的所有用例都允许使用本地到私有云的连接。
Azure 虚拟网络互连
可以将 Azure 虚拟网络与 Azure VMware 解决方案私有云互连。 通过此连接,可以管理 Azure VMware 解决方案私有云、使用私有云中的工作负载以及访问其他 Azure 服务。
下图演示了私有云部署期间建立的基本网络互连。 其中显示了 Azure 中的虚拟网络和私有云之间的逻辑网络。 此连接是通过后端 ExpressRoute 建立的,它是 Azure VMware 解决方案服务的一部分。 互连支持以下主要用例:
- 从 Azure 订阅中的 VM 对 vCenter Server 和 NSX 管理器进行入站访问。
- 从私有云上的 VM 到 Azure 服务的出站访问。
- 对私有云中运行的工作负载进行入站访问。
重要
将生产环境中的 Azure VMware 解决方案私有云连接到 Azure 虚拟网络时,请将 ExpressRoute 虚拟网络网关与超高性能网关 SKU 配合使用并启用 FastPath,以实现 10Gbps 连接。 对于不太关键的环境,请使用标准或高性能网关 SKU 来实现较低的网络性能。
注意
如果需要将同一 Azure 区域中的四个以上的 Azure VMware 解决方案私有云连接到同一 Azure 虚拟网络,请使用 AVS 互连来聚合 Azure 区域中的私有云连接。
本地互连
在完全互连的方案中,可以从 Azure 虚拟网络和本地访问 Azure VMware 解决方案。 此实现对上一部分中所述的基本实现进行了扩展。 需要 ExpressRoute 线路从本地连接到 Azure 中的 Azure VMware 解决方案私有云。
下图显示了本地到私有云的互连,该互连支持以下用例:
- 本地和 Azure VMware 解决方案之间的热/冷 vSphere vMotion。
- 本地到 Azure VMware 解决方案私有云的管理访问。
为了实现与私有云的完全互连,请启用 ExpressRoute Global Reach,然后在 Azure 门户中为 Global Reach 请求授权密钥和专用对等互连 ID。 授权密钥和对等互连 ID 用于在订阅中的 ExpressRoute 线路和私有云的 ExpressRoute 线路之间建立 Global Reach。 链接后,这两条 ExpressRoute 线路将在本地环境与私有云之间路由网络流量。 有关这些过程的详细信息,请参阅教程:创建与私有云对等互连的 ExpressRoute Global Reach。
重要
请勿通过 ExpressRoute 从本地或 Azure VNet 播发 bogon 路由。 bogon 路由的示例包括 0.0.0.0/5 或 192.0.0.0/3。
向 Azure VMware 解决方案播发路由的准则
当通过 ExpressRoute 从本地和 Azure 虚拟网络向 Azure VMware 解决方案播发路由时,请遵循以下准则:
| 支持 | 不支持 |
|---|---|
| 默认路由 – 0.0.0.0/0* | Bogon 路由。 例如:0.0.0.0/1, 128.0.0.0/1 0.0.0.0/5 或 192.0.0.0/3. |
RFC-1918 地址块。 例如:(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)或其子网(10.1.0.0/16, 172.24.0.0/16, 192.168.1.0/24)。 |
IANA 保留的特殊地址块。 例如,RFC 6598-100.64.0.0/10 及其子网。 |
| 客户拥有的公共 IP CIDR 块或其子网。 |
注意
当客户访问 Azure VMware 解决方案管理设备(vCenter Server、NSX 管理器、HCX 管理器)时,客户播发的到 Azure VMware 解决方案的默认路由无法用于将流量路由回来。 客户需要向 Azure VMware 解决方案播发更具体的路由,以便将流量路由回来。
限制
下表介绍了 Azure VMware 解决方案的最大限制。
| 资源 | 限制 |
|---|---|
| 每个私有云的 vSphere 群集数 | 12 |
| 每个群集的最小 ESXi 主机数 | 3(硬限制) |
| 每个群集的最大 ESXi 主机数 | 16(硬限制) |
| 每个私有云的最大 ESXi 主机数 | 96 |
| 每个私有云的最大 vCenter Server 数 | 1(硬限制) |
| 最大 HCX 站点配对数 | 25(任何版本) |
| 最大 HCX 服务网格数 | 10(任何版本) |
| 从单个位置到单个虚拟网络网关的 Azure VMware 解决方案 ExpressRoute 链接私有云数上限 | 4 使用的虚拟网络网关确定实际最大链接私有云数。 有关更多信息,请参阅关于 ExpressRoute 虚拟网关 如果超过此阈值,请使用 Azure VMware 解决方案互连来聚合 Azure 区域中的私有云连接。 |
| Azure VMware 解决方案 ExpressRoute 端口最大速度 | 10 Gbps(使用已启用 FastPath 的超高性能网关 SKU) 使用的虚拟网络网关决定了实际带宽。 有关更多信息,请参阅关于 ExpressRoute 虚拟网关 |
| 分配给 NSX-T 数据中心的 Azure 公共 IPv4 地址的最大数目 | 2,000 |
| 每个私有云的最大 Azure VMware 解决方案互连数 | 10 |
| 每个 Azure VMware 解决方案私有云的最大 Azure ExpressRoute Global Reach 连接数 | 8 |
| vSAN 容量限制 | 75% 的总可用容量(保留 25% 用于 SLA) |
| VMware Site Recovery Manager - 受保护虚拟机的最大数目 | 3,000 |
| VMware Site Recovery Manager - 每个恢复计划的虚拟机的最大数目 | 2,000 |
| VMware Site Recovery Manager - 每个恢复计划的保护组的最大数目 | 250 |
| VMware Site Recovery Manager - RPO 值 | 5 分钟或更长时间 *(硬限制) |
| VMware Site Recovery Manager - 每个保护组的虚拟机的最大数目 | 500 |
| VMware Site Recovery Manager - 恢复计划的最大数目 | 250 |
* 有关恢复点目标 (RPO) 低于 15 分钟的信息,请参阅《VSphere 复制管理指南》中的 5 分钟恢复点目标的工作原理。
有关其他 VMware 特定的限制,请使用 VMware 配置最大值工具。
后续步骤
现在你已经了解了 Azure VMware 解决方案的网络和互连概念,请考虑了解以下内容: