你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure VMware 解决方案工作负载的网络注意事项

  • 项目

本文讨论Azure VMware 解决方案工作负荷的网络设计领域。 架构良好的网络对于启用连接、优化响应时间、分配流量以及帮助确保Azure VMware 解决方案工作负载的持续可用性至关重要。

分发负载以实现高可用性

影响:可靠性、性能效率

若要实现可伸缩性和优化性能,应在Azure VMware 解决方案基础结构中跨目标分配流量。 对Azure VMware 解决方案流量进行负载均衡时,可以通过各种算法(例如考虑性能和权重的算法)来分发流量。 分配传入流量可提高工作负载应用程序的规模和可靠性。 如果应用程序跨多个软件定义的数据中心 (SDDC) ,则 Azure 负载均衡器可以在所有环境中分配流量。

建议
  • 使用负载均衡器(如 VMware NSX 高级负载均衡器)均匀分配流量。 支持面向内部和面向外部的应用程序网关。 使用负载均衡器进行路由、应用程序传递和 TLS 终止。
  • 对于扩展到 Azure 的工作负载,请使用 Azure 应用程序网关。 此负载均衡器分配流量以提高应用程序性能。 应用程序网关还提供入侵检测和防护系统 (IDPS) 和 Azure Web 应用程序防火墙功能。 Azure 负载均衡器可以跨区域分配流量,为跨多个 Azure 可用性区域的工作负载提供高可用性和容错能力。

最小化全局分布中的距离

影响:可靠性、性能效率、成本优化

对于全球存在的应用程序,必须尽量减少实例和用户之间的距离。 可以通过将流量路由到最近的Azure VMware 解决方案 SDDC 来实现此目标。 如果使用流量管理器,还可以降低出站数据传输成本。 具体而言,可以将用户发送到最近的Azure VMware 解决方案部署或边缘位置。 缩短数据传输距离有助于避免长时间数据传输。

建议
  • 对于跨多个区域的应用程序,请考虑部署基于域名系统的全局流量负载均衡解决方案,例如 Azure 流量管理器。
  • 创建流量路由配置文件。 配置各种路由方法,例如基于优先级的路由、加权轮循机制、基于性能的路由或基于地理的路由。

传送内容

影响:性能、成本优化

高流量应用程序需要以最佳方式检索内容。 压缩和 HTTP 加速器等优化技术可以提高Azure VMware 解决方案环境中资产的检索性能。 在传输文件之前,可以对文件使用压缩技术。 这种做法可以通过减少传输的数据量来降低成本。 内容分发网络缓存经常访问的内容。 因此,将内容分发网络与Azure VMware 解决方案配合使用有助于优化检索和分发。 内容分发网络还可以通过其他方式帮助你节省成本。 由于这些网络在靠近用户的边缘位置缓存日期,因此会缩短数据传输距离。

建议
  • 使用 Azure 内容分发网络提高响应能力并减少访问应用程序和网站的用户的延迟。
  • 使用压缩将静态资产的有效负载降到最低。
  • 使用 Redis 或 Azure Cache for Redis 等缓存解决方案来缓存经常访问的数据。

将防火墙用于面向 Internet 的工作负载

影响:安全性

Azure VMware 解决方案中的面向前端的工作负载映射到公共 IP 地址。 因此,它们可以向 Internet 公开,并接受来自外部源的传入连接。 这种与虚拟机 (VM) 或负载均衡器的关联会给工作负荷带来风险。

建议
  • 对于面向 Internet 的应用程序,请使用防火墙(如 Azure 防火墙 或经过认证的第三方 NVA)检查发到 Internet 和 Azure 的Azure VMware 解决方案流量。
  • 请确保防火墙具有限制和筛选入站流量的规则和访问控制列表。

保护内部工作负载之间的流量

影响:安全性

网络是Azure VMware 解决方案环境中的关键外围。 网络有助于控制访问、保护数据和缓解威胁。 可靠的网络安全措施有助于确保Azure VMware 解决方案工作负载的可用性和复原能力。 例如,通过分段和使用虚拟 LAN 来实现网络隔离有助于防止Azure VMware 解决方案环境的组件之间发生未经授权的访问。 可以使用网络安全组来隔离和保护工作负荷虚拟网络中的流量。

建议
  • 为Azure VMware 解决方案工作负载创建网段。
  • 在 VMware NSX-T 数据中心内创建防火墙规则。

为增长设计 IP 寻址方案

影响:安全性、卓越运营

可以使用有意的子网安全策略来设计Azure VMware 解决方案和云虚拟网络,实现增长。 此设计涉及战略性地组织 IP 地址分配。 还需要使用 IP 寻址工具并强制分配。

除了 /22 RFC-1918 地址范围外,工作负载段还有单独的无冲突无类域间路由 (CIDR) 范围。 计划为 VM、公共 IP 地址和负载均衡器提供足够的 IP 地址。

建议
  • 确保 IP 地址范围足够大,以适应所有当前和未来的Azure VMware 解决方案工作负载。
  • 使用电子表格或 IP 地址管理 (IPAM) 工具来有效地组织可用的 IP 地址、跟踪 IP 地址使用情况并帮助避免 IP 地址冲突。
  • 规划设备、段或子网的潜在增长。 使用可以处理需求增加的 IP 寻址方案。
  • 使用动态主机配置协议 (DHCP) 进行动态 IP 地址分配。

后续步骤

在Azure VMware 解决方案中检查网络后,请调查监视基础结构和应用程序的最佳做法。

监视

使用评估工具评估设计选项。

评估