为部署 Azure VMware 解决方案计划网络拓扑
Azure VMware 解决方案提供一个私有云环境,既可从本地访问,也可从基于 Azure 的环境或资源访问。 在Azure VMware 解决方案部署中,下一步涉及到网络拓扑规划。
Azure 中的 Azure VMware 解决方案环境需要将网络流量传递到 Azure 服务和本地 VMware 环境。 专用 Azure ExpressRoute 线路可从 Azure VMware 解决方案连接到 Azure 资源和服务。 由客户单独提供的 Azure ExpressRoute 线路可以连接到本地 VMware 环境。 若要完成网络连接,必须启用特定的 IP 地址范围和防火墙端口。 部署 Azure VMware 解决方案后,会为以下 vSphere 组件创建专用网络:
- 管理
- 设置
- vMotion
你将使用这些专用网来访问 vCenter、NSX-T Manager 和 vMotion,或用于 VM 部署。
IP 段
在部署 Azure VMware 解决方案之前,必须计划 IP 地址。 此服务引入你提供的 /22 CIDR 网络地址块。 地址空间可以在 NSX-T Manager 中分割成更小的网络段。 这些 IP 段用于 vCenter、VMware HCX、NSX-T 和 vMotion。 Azure VMware 解决方案(即现有 Azure 环境)和本地环境都需要交换路由来将 VM 迁移到 Azure。 定义的 /22 CIDR 网络地址块不得与已经在本地或 Azure 中配置的网络地址块重叠。
要在 Azure VMware 解决方案私有云中创建第一个 NSX 段,必须生成一个 VM IP 段。 通过 VM IP 段,可将 VM 部署到 Azure VMware 解决方案。 (可选)可将网络段从本地 VMware 环境扩展到 Azure VMware 解决方案。 本地网络需要连接到 vSphere 分布式交换机 (vDS),因为无法扩展 vSphere 标准交换机。
示例子网分解
下表中的示例展示了如何将 /22 CIDR 网络地址块划分为不同的 IP 段:
| 网络用途 | 子网 | 示例 |
|---|---|---|
| 私有云管理 | /26 | 10.5.0.0/26 |
| HCX 迁移 | /26 | 10.5.0.64/26 |
| Global Reach 已预留 | /26 | 10.5.0.128/26 |
| ExpressRoute 已预留 | /27 | 10.5.0.192/27 |
| ExpressRoute 对等互连 | /27 | 10.5.0.224/27 |
| ESXi 管理 | /25 | 10.5.1.0/25 |
| vMotion 网络 | /25 | 10.5.1.128/25 |
| 复制网络 | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| HCX 上行链路 | /26 | 10.5.3.0/26 |
| 保留 | 3 /26 块 | 10.5.3.64/26、10.5.3.128/26、10.5.3.192/26 |
用于 Azure VMware 解决方案的 ExpressRoute 虚拟网络网关和对等互连
在 Azure VMware 解决方案部署过程中,可选择现有虚拟网络、新建虚拟网络,也可将字段留空。
如果选择现有虚拟网络,必须为 Azure VMware 解决方案 ExpressRoute 线路指定 GatewaySubnet。 如果创建全新虚拟网络,必须为 Azure VMware 解决方案 ExpressRoute 线路创建 GatewaySubnet。 无论你选择现有虚拟网络还是新建虚拟网络,都将在 Azure 中预配环境的同时为你完成所有将线路对等互连到 Azure 的 ExpressRoute 配置。
如果将“虚拟网络”留空,则必须创建虚拟网络网关,并在 Azure VMware 解决方案完成部署后,将 ExpressRoute 线路对等互连到 Azure。
ExpressRoute 和路由要求
Azure VMware 解决方案有两种类型的互连:
- 基本互连:Azure VMware 解决方案使用与资源一起部署的 ExpressRoute 连接来连接到 Azure 虚拟网络。 Azure VMware 解决方案提供的 ExpressRoute 线路可建立与其他 Azure 服务(例如 Azure Monitor、Microsoft Defender for Cloud 等)的 Azure VMware 解决方案私有云的往来连接。
- 完全互连:此连接模型扩展了基本互连实现,可以在本地和 Azure VMware 解决方案私有云之间互连。 可以通过客户提供的 ExpressRoute 线路和一些其他方法配置此连接。 可以使用现有线路,也可以购买新线路。
必须启用 ExpressRoute Global Reach,才能将流量路由到 Azure VMware 解决方案私有云,并将流量从本地环境路由到该私有云。 客户提供的 ExpressRoute 线路不属于 Azure VMware 解决方案私有云部署的一部分。
ExpressRoute Global Reach 的先决条件
在配置 ExpressRoute Global Reach 之前,需要满足一些先决条件。
- 需要客户单独提供的 ExpressRoute 线路。 此线路用于将本地环境连接到 Azure。
- 如果你是 Azure VMware 解决方案客户并需要 Global Reach,则需要用于 ExpressRoute Global Reach 对等互连的 /29 非重叠网络地址块。
- 所有网关(包括 ExpressRoute 提供商的服务)必须都支持 4 字节自治系统编号 (ASN)。 Azure VMware 解决方案使用 4 字节公共 ASN 来播发网络路由。
所需的网络端口
如果本地网络基础结构受到限制,则需要允许以下端口:
| 源 | 目标 | 协议 | 端口 |
|---|---|---|---|
| Azure VMware 解决方案私有云 DNS 服务器 | 本地 DNS 服务器 | UDP | 53 |
| 本地 DNS 服务器 | Azure VMware 解决方案 DNS 服务器 | UDP | 53 |
| 本地网络 | Azure VMware 解决方案 vCenter | TCP (HTTP/HTTPS) | 80、443 |
| Azure VMware 解决方案私有云管理网络 | 本地 Active Directory | TCP | 389 |
| 本地 vCenter | Azure VMware 解决方案管理网络 | TCP | 8000 |
| Web 浏览器 | 混合云管理器 (HCM) | TCP (HTTPS) | 9443 |
| 管理网络 | HCM | SSH | 22 |
| HCM | 云网关 | TCP (HTTPS) | 8123、9443 |
| 云网关 | 第 2 层连接 | TCP (HTTPS) | 443 |
| 云网关 | ESXi 主机 | TCP | 80、902 |
| 云网关(本地) | 云网关(远程) | UDP | 4500、500 |
DHCP 和 DNS 解析注意事项
在 Azure VMware 解决方案中运行的 VM 需要名称解析。 VM 可能需要 DHCP 服务进行查找和 IP 地址分配。 可以配置本地 VM 或 Azure VM,以便进行名称解析。 可使用 NSX 中内置的 DHCP 服务,也可选择使用 Azure VMware 解决方案私有云中的本地 DHCP 服务器。 在 Azure VMware 解决方案中配置 DHCP 不需要将 DHCP 流量通过 WAN 路由广播回本地环境。
在下一个单元中,我们将逐步介绍如何部署 Azure VMware 解决方案部署。 我们将概述所有步骤,以便你可以在环境中部署服务。