配置 NSX 网络组件
Azure VMware 解决方案随附 NSX-T Manager 一起部署,将后者用作软件定义的网络层。 网络环境有两个网关:
- 在主动-主动模式下配置的 NSX-T 第 0 层网关
- 在主动-备用模式下配置的 NSX-T 第 1 层网关
使用这两个网关,都可以在逻辑交换机段之间建立连接。 这些网关还可以建立东-西和北-南连接。
设置 NSX-T Manager 组件
部署 Azure VMware 解决方案后,在 Azure 门户的“工作负载网络”下配置 NSX-T 组件。 门户提供简化的 NSX-T 操作管理窗格视图。 如果你不熟悉 NSX-T Manager,请使用门户来配置 Azure VMware 解决方案网络。 如果你熟悉 NSX-T Manager,则可以使用 vSphere 中的控制台视图来配置高级网络设置和功能。
可使用 Azure 门户为 Azure VMware 解决方案中的 NSX Manager 配置下列 4 个选项:
- 段:创建在 NSX-T Manager 和 vCenter 中显示的网络段。
- DHCP:如果要使用 DHCP,请创建 DHCP 服务器或 DHCP 中继。
- 端口镜像:设置端口镜像来帮助排查网络问题。
- DNS:创建 DNS 转发器,将 DNS 请求发送到 DNS 服务器进行解析。
在 Azure 门户中创建 NSX-T Manager 网络段
在 Azure VMware 解决方案中创建或迁移到该方案的 VM 应附加到 NSX-T 网络段。 可从 Azure 门户中的 Azure VMware 解决方案控制台创建 NSX-T 段。 这些 NSX-T 网络段连接到默认的第 1 层网关。 这些段中的工作负载将建立东-西和北-南连接。 创建的段显示在 NSX-T Manager 和 vCenter 中。
在 Azure 门户中,选择 Azure VMware 解决方案私有云。
在“工作负载网络”下,选择“段”>“添加”:
提供新的逻辑网络段的详细信息:
字段 值 段名称 VCenter 中可见的逻辑交换机的名称。 已连接的网关 此网关是默认选择的,处于只读状态。 T1 NSX-T Manager 中第 1 层网关的名称。 使用 ASV 创建的段只连接到默认的第 1 层网关。 这些段中的工作负载建立东-西和北-南连接。 额外的第 1 层网关只能使用 NSX-T Manager 创建。 在 NSX-T Manager 中创建的第 1 层网关在 Azure VMware 解决方案控制台中不可见。 类型 Azure VMware 解决方案支持的叠加网络段。 子网网关 逻辑交换机的子网的网关 IP 地址(带子网掩码)。 VM 附加到逻辑交换机,所有连接到此交换机的 VM 都属于同一子网。 另外,所有附加到此逻辑网络段的 VM 都必须携带同一网络段的 IP 地址。 DHCP 范围(可选) 逻辑网络段的 DHCP 范围。 必须配置 DHCP 服务器或 DHCP 中继,以在逻辑网络段上使用 DHCP。 选择“确定”,以创建逻辑网络段,并将其附加到第 1 层网关。 此段现在 Azure VMware 解决方案、NSX-T Manager 和 vCenter 中可见。
在 Azure 门户中创建 DHCP 服务器或 DHCP 中继
可直接从 Azure 门户中的 Azure VMware 解决方案控制台创建 DHCP 服务器或中继。 DHCP 服务器或中继将连接到在部署 Azure VMware 解决方案时创建的第 1 层网关。 所有提供 DHCP 范围的段都是 NSX-T 的 DHCP 组件的一部分。 在创建 DHCP 服务器或 DHCP 中继后,必须在 NSX-T 段上定义子网或范围,才能使用 DHCP 服务:
在 Azure VMware 解决方案私有云的“工作负载网络”下,选择“DHCP”>“添加”。
选中“DHCP 服务器”或“DHCP 中继”。
命名服务器或中继,并提供 3 个 IP 地址。 对于 DHCP 中继,只需要 1 个 IP 地址。
在逻辑段上提供 DHCP 范围(就像前面配置的那样)完成 DHCP 配置,然后选择“确定”。
在门户中配置端口镜像
可以配置端口镜像来监视网络流量。 端口镜像涉及将每个网络数据包的副本从一个网络交换机端口转发到另一个网络交换机端口。 端口镜像将协议分析器置于接收所有镜像数据的端口上。 端口镜像分析来自源(即一个或一组 VM)的流量,然后将流量发送到目标。
若要在 Azure VMware 解决方案控制台中设置端口镜像,你将首先创建源和目标 VM 或 VM 组。 源组包含一个或多个有镜像网络流量的 VM。
在 Azure VMware 解决方案私有云的“工作负载网络”下,选择“端口镜像”>“VM 组”>“添加”。
命名源 VM 组,选择 VM,然后选择“确定”。
重复上述步骤来创建目标 VM 组。
下一步是通过定义源和目标 VM 组的流量方向,创建端口镜像配置文件。
请确保源和目标 VM 组都已创建。
依次选择“端口镜像”>“添加”,然后提供以下值:
字段 值 端口镜像名称 提供该配置文件的名称。 方向 选择“流入”、“流出”或“双向”。 Source 选择源 VM 组。 目标 选择目标 VM 组。 说明 提供端口镜像配置的说明。 选择“确定”,以完成配置文件。 此时,配置文件和 VM 组将显示在 Azure VMware 解决方案控制台中。
在 Azure 门户中配置 DNS 转发器
现在将配置 DNS 转发器。 特定 DNS 请求将被转发到指定 DNS 服务器进行解析。 一个 DNS 转发器与一个默认 DNS 区域和最多三个 FQDN 区域关联。
在 Azure VMware 解决方案控制台中设置 DNS 转发器。 你将配置默认 DNS 区域和 FQDN 区域,以向上游服务器发送 DNS 查询。 当收到 DNS 查询时,DNS 转发器会将查询中的域名与 FQDN DNS 区域中的域名进行比较。 如果找到匹配项,则会将查询转发到 FQDN DNS 区域中指定的 DNS 服务器。 如果没有找到匹配项,则会将查询转发到默认 DNS 区域中指定的 DNS 服务器。 在配置 FQDN 区域之前,必须先定义默认区域。
执行以下步骤:
在 Azure VMware 解决方案私有云的“工作负载网络”下,依次选择“DNS”>“DNS 区域”>“添加”。
选中“默认 DNS 区域”或“FQDN 区域”,并提供以下信息:
- DNS 区域:一个名称和最多三个 DNS 服务器 IP 地址(格式为
8.8.8.8)。 - FQDN 区域:一个名称、FQDN 域和最多三个 DNS 服务器 IP 地址(格式为
8.8.8.8)。
- DNS 区域:一个名称和最多三个 DNS 服务器 IP 地址(格式为
若要配置 DNS 服务,请依次选择“DNS 服务”选项卡和“添加”,然后提供以下信息:
字段 值 名称 输入 DNS 服务的名称。 DNS 服务 IP 输入 DNS 服务的 IP 地址。 默认 DNS 区域 选择在“DNS 区域”选项卡下创建的默认 DNS 区域。 FDQN 区域 选择在“DNS 区域”选项卡下添加的 FQDN 区域。 日志级别 选择所需的级别。 选择“确定”。 此时,DNS 服务已成功添加。
验证本地与 Azure VMware 解决方案私有云的网络连接
应该会在边缘路由器中看到 Azure ExpressRoute 线路连接到 NSX-T 网络段和 Azure VMware 解决方案管理段的位置。 每个环境都是不同的。 可能需要允许路由传播回本地网络。
一些环境有保护 ExpressRoute 线路的防火墙。 如果没有防火墙,请尝试从本地环境对 Azure VMware 解决方案 vCenter 服务器或 NSX-T 段中的 VM 执行 ping 操作。 此外,资源还应能够从 NSX-T 段中的 VM 到达本地环境。
在 NSX-T 网络段上添加 VM
在 Azure VMware 解决方案 vCenter 中部署 VM,以测试网络连接。 此 VM 将有助于验证网络连接:
- 与 Internet 之间的往来网络连接。
- 与 Azure 虚拟网络之间的往来网络连接。
- 与本地环境之间的往来网络连接。
部署 VM,就像在任何 vSphere 环境中一样:
- 将 VM 附加到之前在 NSX-T Manager 中创建的网络段之一。
- VM 可以从 DHCP 服务器接收网络配置,也可以静态配置网络配置。
测试 NSX-T 网段连接性
登录到上一步中创建的 VM,并验证连接性:
- 对 Internet 上的某个 IP 执行 ping 命令。
- 使用 Web 浏览器访问某个 Internet 站点。
- 对 Azure 虚拟网络中的内部 VM 执行 ping 操作。
如果每个测试都有效,Azure VMware 解决方案现在可正常工作。 完成这些步骤意味着,你已成功建立与 Azure 虚拟网络和 Internet 之间的往来连接。