Azure VMware 解决方案的工作原理
- 7 分钟
了解 Azure VMware 解决方案的定义及其功能后,让我们看看它在 Azure 上如何工作。
共同支持
本地 VMware vSphere 环境要求客户支持运行平台的所有硬件和软件。 Azure VMware 解决方案没有。 Microsoft 为客户维护平台。 我们看看客户管理的内容和 Microsoft 管理的内容。
对于下表:Microsoft 管理 = 蓝色,客户管理 = 灰色
与 VMware 合作,Microsoft涵盖 VMware 软件(ESXi、vCenter Server 和 vSAN)的生命周期管理。 Microsoft还与VMware合作,对NSX系统进行生命周期管理,并初始化网络配置。 包括,创建第 0 层网关并启用南北路由。
客户负责 NSX SDN 配置:
- 网段
- 分布式防火墙规则
- 第 1 层网关
- 负载均衡器
监视和修正
Azure VMware 解决方案持续监视基础组件和 VMware 解决方案组件的运行状况。 如果 Azure VMware 解决方案检测到故障,它将修复失败的组件。 当 Azure VMware 解决方案在 Azure VMware 解决方案节点上检测到性能下降或故障时,其将触发主机修正进程。
主机修正涉及到将错误节点替换为群集中新的健康节点。 然后,如有可能,故障主机会处于 VMware vSphere 维护模式。 VMware vMotion 会将 VM 从故障主机移到群集中的其他可用服务器上,这可能会导致工作负载的实时迁移出现零停机时间这一情况。 如果故障主机无法处于维护模式,则主机将从群集中删除。
Azure VMware 解决方案将监视主机上的以下情况:
- 处理器状态
- 内存状态
- 连接和电源状态
- 硬件风扇状态
- 网络连接丢失
- 硬件系统板状态
- vSAN 主机的磁盘上出现的错误
- 硬件电压
- 硬件温度状态
- 硬件电源状态
- 存储状态
- 连接失败
Azure 中的私有云、群集和主机
Azure VMware 解决方案提供包含 vSphere 群集的私有云。 这些群集基于专用裸机 Azure 主机构建而成。
每个私有云可以有多个群集由同一 vCenter Server 和 NSX Manager 管理。 私有云从 Azure 订阅中进行安装和管理。 订阅中的私有云数量是可缩放的。
默认情况下,对于创建的每个私有云,均有一个 vSphere 群集。 可使用 Azure 门户或 API 来添加、删除和缩放群集。 Microsoft 根据核心、内存和存储要求提供节点配置。 选择适合你的区域的节点类型;最常见的选择是 AV36P。
最小和最大节点配置为:
- 群集中至少三个节点
- 一个群集中最多 16 个节点
- Azure VMware 解决方案私有云中最多 12 个群集
- Azure VMware 解决方案私有云中最多 96 个节点
下表显示了可用 AVS 主机的 CPU、内存、磁盘和网络规范:
| 主机类型 | 中央处理器 | 内存 (RAM) | vSAN 缓存层 | vSAN 容量 |
|---|---|---|---|---|
| AV36 | 双 Intel Xeon Gold 6140 CPU,18 核/CUP @ 2.3 GHz。 总共 36 个物理核心。 | 576 GB | 3.2 TB (NVMe) | 15.20 TB (SSD) |
| AV36P | 双 Intel Xeon Gold 6240 CPU,18 核/CPU @ 2.6 GHz / 3.9 GHz Turbo。 总共 36 个物理核心。 | 768 GB | 1.5 TB (Intel 缓存) | 19.20 TB (NVMe) |
| AV52 | 双 Intel Xeon Platinum 8270 CPU,26 核/CPU @ 2.7 GHz / 4.0 GHz Turbo。 总共 52 个物理核心。 | 1,536 GB | 1.5 TB (Intel 缓存) | 38.40 TB (NVMe) |
| AV64* | 双 Intel Xeon Platinum 8370C CPU,32 核/CPU @ 2.8 GHz / 3.5 GHz Turbo。 总共 64 个物理核心。 | 1,024 GB | 3.84 TB (NVMe) | 15.36 TB (NVMe) |
(*) 在添加 AV64 主机之前,需要使用 AV36、AV36P 或 AV52 部署的 Azure VMware 解决方案私有云。
使用 vSphere 和 NSX Manager 管理群集配置或操作的大部分方面。 群集中每个主机的所有本地存储都受 vSAN 控制。 该解决方案中的每个 ESXi 主机都配置有 4 个 25 Gbps NIC、2 个为 ESXi 系统流量预配的 NIC,以及 2 个为工作负载流量预配的 NIC。
在 Azure VMware 解决方案中私有云群集的新部署中使用的 VMware 软件版本包括:
| 软件 | 版本 |
|---|---|
| VMware vCenter Server | 7.0 U3o |
| ESXi | 7.0 U3o |
| vSAN | 7.0 U3 |
| vSAN 磁盘格式 | 15 |
| HCX | 4.8.2 |
| VMware NSX | 4.1.1 |
NSX-T 是唯一支持的 NSX 版本。 在新群集已添加到现有私有云时,应用当前运行的软件版本。
Azure 中的互连性
可以从本地和基于 Azure 的资源访问 Azure VMware 解决方案的私有云环境。 以下服务提供互连:
- Azure ExpressRoute
- VPN 连接
- Azure 虚拟 WAN
- Azure ExpressRoute 网关
下图显示了 Azure VMware 解决方案的 ExpressRoute 和 ExpressRoute Global Reach 互连方法。
这些服务要求你启用特定的网络地址范围和防火墙端口。
如果现有 ExpressRoute 网关不超过每个虚拟网络的四条 ExpressRoute 线路的限制,则可以使用现有 ExpressRoute 网关连接到 Azure VMware 解决方案。 若要通过 ExpressRoute 从本地访问 Azure VMware 解决方案,请使用 ExpressRoute Global Reach 作为首选选项。 如果由于特定的网络或安全要求而不可用或不适合,请考虑使用备用选项。
ExpressRoute Global Reach 用于将私有云连接到本地环境。 要实现该连接,你的订阅中必须存在一个使用 ExpressRoute 线路(连接到本地)的虚拟网络。 对于 Azure VMware 解决方案,在私有云中有两种互连选项:
仅限 Azure 的基本互连,通过此方式可仅在 Azure 中使用单个虚拟网络来管理和使用私有云。 此实现最适合不需要从本地环境访问的 Azure VMware 解决方案评估或实现。
本地和私有云之间的完全互连扩展了仅限 Azure 的基本实现,以包括本地环境与 Azure VMware 解决方案私有云之间的互连。
在部署私有云期间,将创建用于管理、预配和 vMotion 的专用网络。 这些专用网络用于访问 vCenter Server 和 NSX-T Manager、虚拟机 vMotion 或虚拟机部署。
私有云存储
Azure VMware 解决方案使用属于该群集的本地、经过完全配置的全闪存 VMware vSAN 存储。 群集中每个主机的所有本地存储都用于 VMware vSAN 数据存储,默认情况下启用静态数据加密。
vSAN 原始存储体系结构使用称为磁盘组的资源单元。 每个磁盘组由一个缓存和容量层组成。 所有磁盘组都使用 NVMe 或 Intel 缓存,如下表所述。 缓存和容量层的大小因 Azure VMware 解决方案主机类型而异。 两个磁盘组在 vSphere 群集的每个节点上创建。 每个磁盘组都包含一个缓存磁盘和三个容量磁盘。 所有数据存储都在私有云部署的过程中进行创建,可立即使用。
| 主机类型 | vSAN 缓存层 (TB,原始) | vSAN 容量层 (TB,原始) |
|---|---|---|
| AV36 | 3.2 (NVMe) | 15.20 (SSD) |
| AV36P | 1.5(Intel 缓存) | 19.20 (NVMe) |
| AV52 | 1.5(Intel 缓存) | 38.40 (NVMe) |
| AV64 | 3.84 (NVMe) | 15.36 (NVMe) |
策略在 vSphere 群集上创建并应用于 vSAN 数据存储。 它确定如何在 vSAN 数据存储中预配和分配 VM 存储对象,以确保所需的服务级别。 若要维护服务级别协议,必须在 vSAN 数据存储上维护 25% 的备用容量。 此外,需要应用适用的 FTT(无法容忍)策略,以维护 Azure VMware 解决方案的服务级别协议。 该更改基于群集大小。
可在私有云中运行的工作负载中使用 Azure 存储服务。 下图显示了一些可用于 Azure VMware 解决方案的可用存储服务。
安全性与符合性
Azure VMware 解决方案私有云使用 vSphere 基于角色的访问控制来实现访问和安全。 可以使用 LDAP 或 LDAPS 通过 CloudAdmin 角色在 Active Directory 中配置用户和组。
在 Azure VMware 解决方案中,vCenter Server 具有一个名为 cloudadmin 的内置本地用户,该用户分配给 cloudAdmin 角色。 cloudAdmin 角色具有与其他 VMware 云解决方案中的管理员权限不同的 vCenter Server 权限:
本地 CloudAdmin 用户无权将标识源(例如本地轻型目录访问协议(LDAP)或安全 LDAP(LDAPS)服务器添加到 vCenter Server。 可以使用“运行”命令添加标识源并将 CloudAdmin 角色分配给用户和组。
在 Azure VMware 解决方案部署中,管理员无权访问管理员用户帐户。 管理员可以将 Active Directory 用户和组分配到 vCenter Server 上的 CloudAdmin 角色。
私有云用户无权访问且无法配置Microsoft支持和管理的特定管理组件。 这些组件的示例包括群集、主机、数据存储和分布式虚拟交换机。
Azure VMware 解决方案通过启用静态数据加密并默认开启此选项,确保 vSAN 存储数据存储的安全性。 加密基于密钥管理服务(KMS),并支持 vCenter Server 的密钥管理操作。 密钥由 Azure Key Vault 主密钥存储、加密和包装。 从群集中删除主机时,SSD 上的数据将立即失效。 下图说明了加密密钥与 Azure VMware 解决方案的关系。
部署 Azure VMware 解决方案的步骤
下表概述了组织开始使用 Azure VMware 解决方案时需要采取的步骤。
| 里程碑 | 步骤 |
|---|---|
| 计划 | 规划 Azure VMware 解决方案的部署: - 评估工作负荷 - 确定尺寸 - 标识主机 - 请求报价 - 确定网络和连接性 |
| 部署 | 部署和配置 Azure VMware 解决方案: - 注册 Microsoft.AVS 资源提供程序 - 创建 Azure VMware 解决方案私有云 - 通过 ExpressRoute 连接到 Azure 虚拟网络 - 验证连接 |
| 连接到本地 | 在本地 ExpressRoute 线路中创建 ExpressRoute 授权密钥: - 将私有云对等互连到本地 - 验证本地网络连接 还可以使用其他连接选项。 |
| 部署和配置 VMware HCX | 部署和配置 VMware HCX: - 启用 HCX 服务加载项 - 下载 VMware HCX 连接器 OVA - 部署本地 VMware HCX OVA(VMware HCX 连接器) - 激活 VMware HCX 连接器 - 将本地 VMware HCX 连接器与 Azure VMware 解决方案 HCX 云管理器配对 - 配置互连(网络配置文件、计算配置文件和服务网格) - 通过检查设备状态并验证是否可以迁移来完成设置 |