你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure VMware 解决方案的网络规划清单
Azure VMware 解决方案提供一个 VMware 私有云环境,用户和应用程序可通过本地和基于 Azure 的环境或资源访问它。 通过 Azure ExpressRoute 和 VPN 连接等网络服务进行连接。 需要特定的网络地址范围和防火墙端口才能启用这些服务。 本文提供正确配置网络以使用 Azure VMware 解决方案所需的信息。
本教程介绍:
- 虚拟网络和 ExpressRoute 线路注意事项
- 路由和子网要求
- 与服务通信所需的网络端口
- Azure VMware 解决方案中的 DHCP 和 DNS 注意事项
先决条件
确保所有网关(包括 ExpressRoute 提供商的服务)都支持 4 字节自治系统编号 (ASN)。 Azure VMware 解决方案使用 4 字节公共 ASN 来播发路由。
虚拟网络和 ExpressRoute 线路注意事项
在订阅中创建虚拟网络连接时,ExpressRoute 线路通过对等互连建立,并使用你在 Azure 门户中请求的授权密钥和对等互连 ID。 对等互连是私有云和虚拟网络之间的一种专用的一对一连接。
注意
ExpressRoute 线路不属于私有云部署。 本地 ExpressRoute 线路不在本文档的介绍范围之内。 如果你需要与私有云的本地连接,可使用一个现有的 ExpressRoute 线路或在 Azure 门户中购买一个。
部署私有云时,你将收到 vCenter Server 和 NSX-T Manager 的 IP 地址。 若要访问这些管理接口,需要在订阅的虚拟网络中创建更多资源。 在本教程中,可找到有关创建这些资源和建立 ExpressRoute 专用对等互连的过程。
私有云逻辑网络随附提前预配的 NSX-T Data Center 配置。 已为你预配了第 0 层网关和第 1 层网关。 可创建一个段,并将其附加到现有的第 1 层网关,或将其附加到所定义的新的第 1 层网关。 NSX-T Data Center 逻辑网络组件提供工作负载之间的东-西连接,以及与 Internet 和 Azure 服务的北-南连接。
重要
如果计划使用 Azure NetApp 文件数据存储来缩放 Azure VMware 解决方案主机,请务必将 vNet 部署到接近具有 ExpressRoute 虚拟网络网关的主机的位置。 存储空间越接近于主机,性能越好。
路由和子网注意事项
使用 Azure ExpressRoute 连接将 Azure VMware 解决方案私有云连接到 Azure 虚拟网络。 这种高带宽、低延迟的连接可让你从私有云环境访问 Azure 订阅中运行的服务。 该路由以边界网关协议 (BGP) 为基础、自动进行预配并且默认对每个私有云部署启用。
Azure VMware 解决方案私有云要求至少对子网使用 CIDR 网络地址块 /22,如下所示。 此网络将补充你的本地网络。 因此,地址块不应与订阅和本地网络中的其他虚拟网络中使用的地址块重叠。 在此地址块中,管理、配置和 VMotion 网络会自动进行预配。
注意
地址块的允许范围为 RFC 1918 专用地址空间(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),172.17.0.0/16 除外。
重要
此外,以下 IP 架构是为使用 NSX-T 数据中心而保留的,不应使用:
- 169.254.0.0/24 - 用于内部传输网络
- 169.254.2.0/23 - 用于 VRF 间传输网络
- 100.64.0.0/16 - 用于在内部连接 T1 和 T0 网关
示例 /22 CIDR 网络地址块:10.10.0.0/22
子网:
| 网络用途 | 说明 | 子网 | 示例 |
|---|---|---|---|
| 私有云管理 | 管理网络(即 vCenter、NSX-T) | /26 |
10.10.0.0/26 |
| HCX 管理迁移 | HCX 设备的本地连接(下行链路) | /26 |
10.10.0.64/26 |
| Global Reach 已预留 | ExpressRoute 的出站接口 | /26 |
10.10.0.128/26 |
| NSX-T Data Center DNS 服务 | 内置 NSX-T DNS 服务 | /32 |
10.10.0.192/32 |
| 预留 | 预留 | /32 |
10.10.0.193/32 |
| 预留 | 预留 | /32 |
10.10.0.194/32 |
| 预留 | 预留 | /32 |
10.10.0.195/32 |
| 预留 | 预留 | /30 |
10.10.0.196/30 |
| 预留 | 预留 | /29 |
10.10.0.200/29 |
| 预留 | 预留 | /28 |
10.10.0.208/28 |
| ExpressRoute 对等互连 | ExpressRoute 对等互连 | /27 |
10.10.0.224/27 |
| ESXi 管理 | ESXi 管理 VMkernel 接口 | /25 |
10.10.1.0/25 |
| vMotion 网络 | vMotion VMkernel 接口 | /25 |
10.10.1.128/25 |
| 复制网络 | vSphere 复制接口 | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel 接口和节点通信 | /25 |
10.10.2.128/25 |
| HCX 上行 | HCX IX 和 NE 设备到远程对等机的上行链路 | /26 |
10.10.3.0/26 |
| 预留 | 预留 | /26 |
10.10.3.64/26 |
| 预留 | 预留 | /26 |
10.10.3.128/26 |
| 预留 | 预留 | /26 |
10.10.3.192/26 |
所需的网络端口
| 源 | 目标 | 协议 | 端口 | 说明 |
|---|---|---|---|---|
| 私有云 DNS 服务器 | 本地 DNS 服务器 | UDP | 53 | DNS 客户端 - 为任何本地 DNS 查询转发来自私有云 vCenter Server 的请求(查看下面的“DNS”部分) |
| 本地 DNS 服务器 | 私有云 DNS 服务器 | UDP | 53 | DNS 客户端 - 将来自本地服务的请求转发到私有云 DNS 服务器(查看下面的“DNS”部分) |
| 本地网络 | 私有云 vCenter Server | TCP (HTTP) | 80 | vCenter Server 要求对直接 HTTP 连接使用端口 80。 端口 80 将请求重定向到 HTTPS 端口 443。 如果使用 http://server 而不是 https://server,则这种重定向很有帮助。 |
| 私有云管理网络 | 本地 Active Directory | TCP | 389/636 | 这些端口是开放的,允许 Azure VMware Solutions vCenter Server 与任何本地 Active Directory/LDAP 服务器进行通信。 这些端口是可选的 - 用于将本地 AD 配置为 Private Cloud vCenter 上的标识源。 出于安全目的,建议使用端口 636。 |
| 私有云管理网络 | 本地 Active Directory 全局目录 | TCP | 3268/3269 | 这些端口是开放的,允许 Azure VMware Solutions vCenter Server 与任何本地 Active Directory/LDAP 全局目录服务器进行通信。 这些端口是可选的 - 用于将本地 AD 配置为私有云 vCenter Server 上的标识源。 出于安全目的,建议使用端口 3269。 |
| 本地网络 | 私有云 vCenter Server | TCP (HTTPS) | 443 | 可使用此端口从本地网络访问 vCenter Server。 vCenter Server 系统用于侦听来自 vSphere 客户端的连接的默认端口。 要使 vCenter Server 系统能够从 vSphere 客户端接收数据,请在防火墙中打开端口 443。 vCenter Server 系统还使用端口 443 监视来自 SDK 客户端的数据传输。 |
| 本地网络 | HCX 云管理器 | TCP (HTTPS) | 9443 | 适用于 HCX 系统配置的 HCX 云管理器虚拟设备管理接口。 |
| 本地管理员网络 | HCX 云管理器 | SSH | 22 | 对 HCX 云管理器虚拟设备的管理员 SSH 访问。 |
| HCX 管理器 | 互连 (HCX-IX) | TCP (HTTPS) | 8123 | HCX 批量迁移控制 |
| HCX 管理器 | 互连 (HCX-IX)、网络扩展 (HCX-NE) | TCP (HTTPS) | 9443 | 使用 REST API 将管理指令发送到本地 HCX 互连。 |
| 互连 (HCX-IX) | L2C | TCP (HTTPS) | 443 | 当 L2C 使用与互连相同的路径时,将管理指令从互连发送到 L2C。 |
| HCX 管理器、互连 (HCX-IX) | ESXi 主机 | TCP | 80,443,902 | 管理和 OVF 部署。 |
| 互连 (HCX-IX)、源上的网络扩展 (HCX-NE) | 互连 (HCX-IX)、目标上的网络扩展 (HCX-NE) | UDP | 4500 | IPSEC 需要此端口 进行 Internet 密钥交换 (IKEv2) 以封装双向隧道的工作负荷。 还支持网络地址转换 (NAT-T)。 |
| 本地互连 (HCX-IX) | 云互连 (HCX-IX) | UDP | 500 | IPSEC 需要此端口 双向隧道的 Internet 密钥交换 (ISAKMP)。 |
| 本地 vCenter Server 网络 | 私有云管理网络 | TCP | 8000 | 从本地 vCenter Server 到私有云 vCenter Server 的 VM vMotion |
| HCX 连接器 | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | 需要 connect 来验证许可证密钥。需要 hybridity 进行更新。 |
当涉及到防火墙规则时,需要考虑更多事项,这旨在为常见方案提供通用规则。 请注意,当源和目标显示“本地”时,这仅在具有用于检查数据中心内的流的防火墙时才非常重要。 如果不具有在本地组件之间进行检查的防火墙,则可以忽略这些规则,因为不需要使用它们。
DHCP 和 DNS 解析注意事项
在私有云环境中运行的应用程序和工作负载需要使用名称解析和 DHCP 服务来进行查找和 IP 地址分配。 需有适当的 DHCP 和 DNS 基础结构才能提供这些服务。 在私有云环境中,可以配置一个虚拟机来提供这些服务。
使用内置于 NSX-T 数据中心的 DHCP 服务,或使用私有云中的本地 DHCP 服务器,而不要通过 WAN 将广播 DHCP 流量路由回本地。
重要
如果将默认路由播发到 Azure VMware 解决方案,则必须允许 DNS 转发器访问配置的 DNS 服务器,并且它们必须支持公用名称解析。
后续步骤
本教程介绍了部署 Azure VMware 解决方案私有云的注意事项和要求。 正确设置网络后,请继续学习下一篇教程以创建 Azure VMware 解决方案私有云。