你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure VMware 解决方案的网络规划清单
Azure VMware 解决方案提供一个 VMware 私有云环境,用户和应用程序可通过本地的和基于 Azure 的环境或资源访问它。 通过 Azure ExpressRoute 和 VPN 连接等网络服务进行连接。 需要特定的网络地址范围和防火墙端口才能启用这些服务。 本文有助于你配置网络以使用 Azure VMware 解决方案。
在本教程中了解以下内容:
- 虚拟网络和 ExpressRoute 线路注意事项
- 路由和子网要求
- 与服务通信所需的网络端口
- Azure VMware 解决方案中的 DHCP 和 DNS 注意事项
先决条件
确保所有网关(包括 ExpressRoute 提供商的服务)都支持 4 字节自治系统编号 (ASN)。 Azure VMware 解决方案使用 4 字节公共 ASN 来播发路由。
虚拟网络和 ExpressRoute 线路注意事项
在订阅中创建虚拟网络连接时,ExpressRoute 线路通过对等互连建立,并使用你在 Azure 门户中请求的授权密钥和对等互连 ID。 对等互连是私有云和虚拟网络之间的一种专用的一对一连接。
注意
ExpressRoute 线路不属于私有云部署。 本地 ExpressRoute 线路不在本文档的介绍范围之内。 如果你需要到私有云的本地连接,请使用现有的 ExpressRoute 线路之一或在 Azure 门户中购买一个。
部署私有云时,你将收到 vCenter Server 和 NSX Manager 的 IP 地址。 若要访问这些管理接口,请在订阅的虚拟网络中创建其他资源。 在教程中找到创建这些资源和建立 ExpressRoute 专用对等互连的过程。
私有云逻辑网络包含提前预配的 NSX 配置。 已为你预配了第 0 层网关和第 1 层网关。 可创建一个段,并将其附加到现有的第 1 层网关,或将其附加到所定义的新的第 1 层网关。 NSX 逻辑网络组件提供工作负载之间的东-西连接,以及与 Internet 和 Azure 服务的北-南连接。
重要
如果计划使用 Azure NetApp 文件数据存储来缩放 Azure VMware 解决方案主机,请务必将虚拟网络部署到接近具有 ExpressRoute 虚拟网络网关的主机的位置。 存储空间越接近于主机,性能越好。
路由和子网注意事项
Azure VMware 解决方案私有云通过 Azure ExpressRoute 连接连接到 Azure 虚拟网络。 这种高带宽、低延迟的连接可让你从私有云环境访问 Azure 订阅中运行的服务。 该路由使用边界网关协议 (BGP),自动进行预配,默认对每个私有云部署启用。
Azure VMware 解决方案私有云要求至少对子网使用 /22 CIDR 网络地址块。 该网络是对本地网络的补充,因此地址块不应与订阅和本地网络的其他虚拟网络中使用的地址块重叠。 在此地址块中,管理、vMotion 和复制网络会自动进行预配。
注意
地址块的允许范围为 RFC 1918 专用地址空间(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),172.17.0.0/16 除外。 复制网络不适用于 AV64 节点,并计划在未来全面弃用。
重要
避免使用以下 IP 架构,它们是为 NSX 使用而保留的:
- 169.254.0.0/24 - 用于内部传输网络
- 169.254.2.0/23 - 用于 VRF 间传输网络
- 100.64.0.0/16 - 用于在内部连接 T1 和 T0 网关
示例 /22 CIDR 网络地址块:10.10.0.0/22
子网:
| 网络用途 | 说明 | 子网 | 示例 |
|---|---|---|---|
| 私有云管理 | 管理网络(例如 vCenter、NSX) | /26 |
10.10.0.0/26 |
| HCX 管理迁移 | HCX 设备的本地连接(下行链路) | /26 |
10.10.0.64/26 |
| Global Reach 已预留 | ExpressRoute 的出站接口 | /26 |
10.10.0.128/26 |
| NSX DNS 服务 | 内置 NSX DNS 服务 | /32 |
10.10.0.192/32 |
| Reserved | 预留 | /32 |
10.10.0.193/32 |
| 预留 | 预留 | /32 |
10.10.0.194/32 |
| 预留 | 预留 | /32 |
10.10.0.195/32 |
| 预留 | 预留 | /30 |
10.10.0.196/30 |
| 预留 | 预留 | /29 |
10.10.0.200/29 |
| 预留 | 预留 | /28 |
10.10.0.208/28 |
| ExpressRoute 对等互连 | ExpressRoute 对等互连 | /27 |
10.10.0.224/27 |
| ESXi 管理 | ESXi 管理 VMkernel 接口 | /25 |
10.10.1.0/25 |
| vMotion 网络 | vMotion VMkernel 接口 | /25 |
10.10.1.128/25 |
| 复制网络 | vSphere 复制接口 | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel 接口和节点通信 | /25 |
10.10.2.128/25 |
| HCX 上行链路 | HCX IX 和 NE 设备到远程对等机的上行链路 | /26 |
10.10.3.0/26 |
| 预留 | 预留 | /26 |
10.10.3.64/26 |
| 预留 | 预留 | /26 |
10.10.3.128/26 |
| 预留 | 保留 | /26 |
10.10.3.192/26 |
注意
ESXi 管理/vmotion/复制网络在技术上能够支持 125 台主机,但最多支持 96 台,因为其中 29 台保留用于替换/维护 (19) 和 HCX (10)。
所需的网络端口
| 源 | 目标 | 协议 | 端口 | 说明 |
|---|---|---|---|---|
| 私有云 DNS 服务器 | 本地 DNS 服务器 | UDP | 53 | DNS 客户端 - 为任何本地 DNS 查询转发来自私有云 vCenter Server 的请求(参阅 DNS 部分)。 |
| 本地 DNS 服务器 | 私有云 DNS 服务器 | UDP | 53 | DNS 客户端 - 将来自本地服务的请求转发到私有云 DNS 服务器(参阅 DNS 部分) |
| 本地网络 | 私有云 vCenter Server | TCP (HTTP) | 80 | vCenter Server 要求对直接 HTTP 连接使用端口 80。 端口 80 将请求重定向到 HTTPS 端口 443。 如果使用 http://server 而不是 https://server,则这种重定向很有帮助。 |
| 私有云管理网络 | 本地 Active Directory | TCP | 389/636 | 启用 Azure VMware 解决方案 vCenter Server,以便与本地 Active Directory/LDAP 服务器进行通信。 选择用于将本地 AD 配置为私有云 vCenter 上的标识源。 出于安全目的,建议使用端口 636。 |
| 私有云管理网络 | 本地 Active Directory 全局目录 | TCP | 3268/3269 | 启用 Azure VMware 解决方案 vCenter Server,以便与本地 Active Directory/LDAP 全局目录服务器进行通信。 选择用于将本地 AD 配置为私有云 vCenter Server 上的标识源。 为了安全起见,请使用端口 3269。 |
| 本地网络 | 私有云 vCenter Server | TCP (HTTPS) | 443 | 从本地网络访问 vCenter Server。 vCenter Server 的用于侦听 vSphere 客户端连接的默认端口。 要使 vCenter Server 系统能够从 vSphere 客户端接收数据,请在防火墙中打开端口 443。 vCenter Server 系统还使用端口 443 监视来自 SDK 客户端的数据传输。 |
| 本地网络 | HCX 云管理器 | TCP (HTTPS) | 9443 | 适用于 HCX 系统配置的 HCX 云管理器虚拟设备管理接口。 |
| 本地管理员网络 | HCX 云管理器 | SSH | 22 | 对 HCX 云管理器虚拟设备的管理员 SSH 访问。 |
| HCX 管理器 | 互连 (HCX-IX) | TCP (HTTPS) | 8123 | HCX 批量迁移控制。 |
| HCX 管理器 | 互连 (HCX-IX)、网络扩展 (HCX-NE) | TCP (HTTPS) | 9443 | 使用 REST API 将管理指令发送到本地 HCX 互连。 |
| 互连 (HCX-IX) | L2C | TCP (HTTPS) | 443 | 当 L2C 使用与互连相同的路径时,将管理指令从互连发送到 L2C。 |
| HCX 管理器、互连 (HCX-IX) | ESXi 主机 | TCP | 80,443,902 | 管理和 OVF 部署。 |
| 互连 (HCX-IX)、源上的网络扩展 (HCX-NE) | 互连 (HCX-IX)、目标上的网络扩展 (HCX-NE) | UDP | 4500 | IPSEC 需要此端口 进行 Internet 密钥交换 (IKEv2) 以封装双向隧道的工作负荷。 支持网络地址转换-遍历 (NAT-T)。 |
| 本地互连 (HCX-IX) | 云互连 (HCX-IX) | UDP | 4500 | IPSEC 需要此端口 双向隧道的 Internet 密钥交换 (ISAKMP)。 |
| 本地 vCenter Server 网络 | 私有云管理网络 | TCP | 8000 | 从本地 vCenter Server 到私有云 vCenter Server 的 VM vMotion |
| HCX 连接器 | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | 需要 connect 来验证许可证密钥。需要 hybridity 进行更新。 |
此表显示了典型方案的常见防火墙规则。 但在配置防火墙规则时,可能需要考虑其他项。 请注意,当源和目标显示“本地”时,该信息仅在数据中心有一个检查流的防火墙时才相关。 如果本地组件没有用于检查的防火墙,你可以忽略这些规则。
有关详细信息,请参阅 VMware HCX 端口要求的完整列表。
DHCP 和 DNS 解析注意事项
在私有云环境中运行的应用程序和工作负载需要使用名称解析和 DHCP 服务来进行查找和 IP 地址分配。 需有适当的 DHCP 和 DNS 基础结构才能提供这些服务。 在私有云环境中,可以配置一个虚拟机来提供这些服务。
使用内置于 NSX-T 数据中心的 DHCP 服务,或使用私有云中的本地 DHCP 服务器,而不要通过 WAN 将广播 DHCP 流量路由回本地。
重要
如果将默认路由播发到 Azure VMware 解决方案,则必须允许 DNS 转发器访问配置的 DNS 服务器,并且它们必须支持公用名称解析。
后续步骤
本教程介绍了部署 Azure VMware 解决方案私有云的注意事项和要求。 正确设置网络后,请继续学习下一篇教程以创建 Azure VMware 解决方案私有云。