配置 NSX 网络组件

  • 10 分钟

Azure VMware 解决方案使用 NSX Manager 作为软件定义的网络层进行部署。 网络环境有两个网关:

  • 在主动-主动模式下配置的 NSX 第 0 层网关
  • 在主动-备用模式下配置的 NSX 第 1 层网关

使用这两个网关,都可以在逻辑交换机段之间建立连接。 这些网关还可以建立东-西和北-南连接。

设置 NSX Manager 组件

部署 Azure VMware 解决方案后,在 Azure 门户的“工作负载网络”下配置 NSX 组件。 门户为 VMware 管理员提供了 NSX 操作的简化视图,专为不熟悉 NSX Manager 的用户而设计。 如果你熟悉 NSX Manager,则可以使用它来配置高级网络设置和功能。

有四个选项可用于使用 Azure 门户配置 NSX 组件:

  • 段:创建在 NSX Manager 和 vCenter Server 中显示的网络段。
  • DHCP:如果使用 DHCP,请创建 DHCP 服务器或 DHCP 中继。
  • 端口镜像:设置端口镜像来帮助排查网络问题。
  • DNS:创建 DNS 转发器,将 DNS 请求发送到 DNS 服务器进行解析。

显示为段、DHCP、端口镜像和 DNS 配置 NSX Manager 选项的位置的 Azure 门户的屏幕截图。

在 Azure 门户中创建 NSX 网络段

在 Azure VMware 解决方案中创建或迁移到该方案的虚拟机 (VM) 应附加到 NSX 网络段。 可从 Azure 门户中的 Azure VMware 解决方案控制台创建 NSX 段。 这些 NSX 网络段连接到默认的第 1 层网关。 这些段中的工作负载将建立东-西和北-南连接。 创建的段显示在 NSX Manager 和 vCenter Server 中。

  1. 在 Azure 门户中,选择 Azure VMware 解决方案私有云。

  2. 在“工作负载网络”下,选择“段”>“+添加”

    显示如何添加 NSX Manager 网络段的 Azure 门户的屏幕截图。

  3. 提供新的逻辑网络段的详细信息:

    显示提供网络段详细信息的位置的 Azure 门户的屏幕截图。

    字段
    段名称 VCenter Server 中可见的逻辑交换机的名称。
    已连接的网关 此网关是默认选择的,处于只读状态。
    T1 NSX Manager 中第 1 层网关的名称。 创建的段只连接到默认的第 1 层网关。 这些段中的工作负载建立东-西和北-南连接。 额外的第 1 层网关只能使用 NSX Manager 创建。 在 NSX Manager 中创建的第 1 层网关在 Azure VMware 解决方案控制台中不可见。
    类型 Azure VMware 解决方案支持的叠加网络段。
    子网网关 逻辑交换机的子网的网关 IP 地址(带子网掩码)。 VM 附加到逻辑交换机,所有连接到此交换机的 VM 都属于同一子网。 另外,所有附加到此逻辑网络段的 VM 都必须携带同一网络段的 IP 地址。
    DHCP 范围(可选) 逻辑网络段的 DHCP 范围。 必须配置 DHCP 服务器或 DHCP 中继,以在逻辑网络段上使用 DHCP。

  4. 选择“确定”,以创建逻辑网络段,并将其附加到第 1 层网关。 此段现在 Azure VMware 解决方案、NSX Manager 和 vCenter Server 中可见。

在 NSX 中创建 NSX 网络段

同样,可以从 NSX 控制台创建 NSX 段。 这些 NSX 网络段连接到默认的第 1 层网关。 这些段中的工作负载将建立东-西和北-南连接。

从 Jumpbox VM 连接到 NSX Manager。 在“管理”>“VMware 凭据”下获取凭据。

  1. 在 NSX Manager 中,选择“网络”>“段”,然后选择“添加段”

    如何在 NSX Manager 中添加段的屏幕截图。

  2. 提供新的逻辑网络段的详细信息,然后选择“保存”

    有关如何在 NSX Manager 中添加新段的详细信息的屏幕截图。

字段
段名称 VCenter Server 中可见的逻辑交换机的名称。
已连接的网关 NSX Manager 中第 1 层网关的名称。 创建的段只连接到默认的第 1 层网关。 这些段中的工作负载建立东-西和北-南连接。 额外的第 1 层网关可使用 NSX Manager 创建。 在 NSX Manager 中创建的第 1 层网关在 Azure VMware 解决方案控制台中不可见。
传输区域 预配置的覆盖传输区域的名称 (TNTxx-OVERLAY-TZ)。
子网 子网的 IP 地址范围,采用 CIDR 格式。 IP 地址需要位于不重叠的 RFC1918 地址块上,这样可确保连接到新段上的 VM。

在 Azure 门户中创建 DHCP 服务器或 DHCP 中继

在私有云环境中运行的应用程序和工作负载需要使用名称解析和 DHCP 服务来进行查找和 IP 地址分配。 可以使用 NSX 内置的 DHCP 服务,也可以使用私有云中的本地 DHCP 服务器。

可直接从 Azure 门户中的 Azure VMware 解决方案控制台配置 DHCP 服务器或中继。 DHCP 服务器或中继将连接到在部署 Azure VMware 解决方案时创建的第 1 层网关。 所有提供 DHCP 范围的段都是 NSX 的 DHCP 组件的一部分。 在创建 DHCP 服务器或 DHCP 中继后,必须在 NSX 段上定义子网或范围,才能使用 DHCP 服务:

  1. 在 Azure VMware 解决方案私有云的“工作负载网络”下,选择“DHCP”>“+添加”

  2. 选中“DHCP 服务器”或“DHCP 中继”。

  3. 命名服务器或中继,并提供 3 个 IP 地址。 对于 DHCP 中继,只需要 1 个 IP 地址。

    Azure 门户的屏幕截图,展示了如何将 DHCP 服务器或 DHCP 中继添加到 Azure VMware 解决方案私有云中。

  4. 在逻辑段上提供 DHCP 范围(就像前面配置的那样)完成 DHCP 配置,然后选择“确定”。

在门户中配置端口镜像

可以配置端口镜像来监视网络流量。 端口镜像涉及将每个网络数据包的副本从一个网络交换机端口转发到另一个网络交换机端口。 端口镜像将协议分析器置于接收所有镜像数据的端口上。 端口镜像会分析来自源(虚拟机 (VM) 或一组 VM)的流量,然后将流量发送到目标。 请注意,仅应为短期故障排除启用此功能。

若要在 Azure VMware 解决方案控制台中设置端口镜像,你将首先创建源和目标 VM 或 VM 组。 源组包含一个或多个有镜像网络流量的 VM。

  1. 在 Azure VMware 解决方案私有云的“工作负载网络”下,选择“端口镜像”>“VM 组”>“+添加”

  2. 命名源 VM 组,选择 VM,然后选择“确定”。

  3. 重复上述步骤来创建目标 VM 组。

    显示与目标 VM 或 VM 组相关的端口镜像的配置位置的 Azure 门户的屏幕截图。

下一步是通过定义源和目标 VM 组的流量方向,创建端口镜像配置文件。

  1. 请确保源和目标 VM 组都已创建。

  2. 依次选择“端口镜像”>“添加”,然后提供以下值:

    显示如何添加端口镜像配置文件的 Azure 门户的屏幕截图。

    字段
    端口镜像名称 提供该配置文件的名称。
    方向 选择“流入”、“流出”或“双向”。
    Source 选择源 VM 组。
    目标 选择目标 VM 组。

  3. 选择“确定”,以完成配置文件。 此时,配置文件和 VM 组将显示在 Azure VMware 解决方案控制台中。

在 Azure 门户中配置 DNS 转发器

现在将配置 DNS 转发器。 特定 DNS 请求将被转发到指定 DNS 服务器进行解析。 一个 DNS 转发器与一个默认 DNS 区域和最多三个 FQDN 区域关联。

DNS 服务和默认 DNS 区域作为 Azure VMware 解决方案私有云部署的一部分提供。 默认区域将名称解析请求转发到默认 Cloudflare 公共 DNS 服务器。 此 DNS 服务器有助于进行公共名称解析。

如果需要通过专用托管的 DNS 服务器进行名称解析,请考虑为所需域名添加条件转发规则。 通过这样做,可以将针对该域区域的 DNS 请求转发到一组选定的专用 DNS 服务器。 若要达到此要求,需要定义 FQDN 区域。

配置其他转发器:

  1. 在 VMware 解决方案私有云中,在“工作负载网络”下,选择“DNS”>“DNS 区域”,然后选择“+添加”

  2. 选择“FQDN 区域”,提供一个名称以及最多三个格式为 10.0.0.53 的 DNS 服务器 IP 地址,然后选择“确定”

    显示如何添加 DNS 服务器 IP 地址的 FQDN 区域的屏幕截图。

  3. 添加 DNS 区域可能需要几分钟才能完成,你可以通过”通知“跟踪进度。 创建 DNS 区域后,你会在“通知”中看到一条消息。

  4. 重复步骤 1 - 3 以添加其他 FQDN 区域,包括任何适用的反向查找区域。

当收到 DNS 查询时,DNS 转发器会将查询中的域名与 FQDN DNS 区域中的域名进行比较。 如果找到匹配项,则会将查询转发到 FQDN DNS 区域中指定的 DNS 服务器。 如果没有找到匹配项,则会将查询转发到默认 DNS 区域中指定的 DNS 服务器。

验证本地 vSphere 网络与 Azure VMware 解决方案私有云的连接性

应该会在边缘路由器中看到 Azure ExpressRoute 线路连接到 NSX 网络段和 Azure VMware 解决方案管理段的位置。 每个环境都是不同的。 可能需要允许路由传播回本地网络。

一些环境有保护 ExpressRoute 线路的防火墙。 如果没有防火墙,请尝试从本地环境对 Azure VMware 解决方案 vCenter Server 或 NSX 段中的 VM 执行 ping 操作。 资源还应能够从 NSX 段中的 VM 到达本地 vSphere 环境。

在 NSX 网络段上添加 VM

在 Azure VMware 解决方案 vCenter Server 中部署 VM,以测试网络连接。 此 VM 有助于验证网络连接:

  • 与 Internet 之间的往来网络连接。
  • 与 Azure 虚拟网络之间的往来网络连接。
  • 与本地环境之间的往来网络连接。

部署 VM,就像在任何 vSphere 环境中一样:

  • 将 VM 附加到之前在 NSX Manager 中创建的网络段之一。
  • VM 可以从 DHCP 服务器接收网络配置,也可以静态配置网络配置。

测试 NSX 网段连接性

登录到上一步中创建的 VM,并验证连接性:

  1. 对 Internet 上的某个 IP 执行 ping 命令。
  2. 使用 Web 浏览器访问某个 Internet 站点。
  3. 对 Azure 虚拟网络中的内部 VM 执行 ping 操作。

如果每个测试都有效,Azure VMware 解决方案现在可正常工作。 完成这些步骤意味着,你已成功建立与 Azure 虚拟网络和 Internet 之间的往来连接。