分享方式:


在中樞和輪輻架構中整合 Azure VMware 解決方案

本文提供在 Azure 上現有或新的中樞和輪輻架構中整合 Azure VMware 解決方案 部署的建議。

中樞和輪輻案例假設混合式雲端環境具有下列工作負載:

  • 使用 IaaS 或 PaaS 服務的原生 Azure
  • Azure VMware 解決方案
  • vSphere 內部部署

架構

是 Azure 虛擬網絡,可作為內部部署和 Azure VMware 解決方案 私人雲端連線的中心點。 輪 是與中樞對等互連的虛擬網路,可啟用跨虛擬網路通訊。

內部部署數據中心、Azure VMware 解決方案 私人雲端與中樞之間的流量會通過 Azure ExpressRoute 連線。 輪輻虛擬網路通常包含 IaaS 型工作負載,但可以有 paaS 服務,例如 App Service 環境,其已直接與 虛擬網絡 整合,或其他已啟用 Azure Private LinkPaaS 服務。

重要

您可以使用現有的 ExpressRoute 網關聯機到 Azure VMware 解決方案,只要它未超過每個虛擬網路四個 ExpressRoute 線路的限制。 不過,若要透過 ExpressRoute 從內部部署存取 Azure VMware 解決方案,您必須擁有 ExpressRoute Global Reach,因為 ExpressRoute 網關不提供其連線線路之間的可轉移路由。

此圖顯示透過 ExpressRoute Global Reach 連線至內部部署和 Azure VMware 解決方案 Azure 中樞和輪輻部署的範例。

顯示 Azure VMware 解決方案 中樞和輪輻整合部署的圖表。

架構具有下列主要元件:

  • 內部部署網站: 客戶內部部署資料中心透過 ExpressRoute 連線連線至 Azure。

  • Azure VMware 解決方案 私人雲端:Azure VMware 解決方案 由一或多個 vSphere 叢集組成的軟體定義數據中心,每個叢集最多有 16 部主機。

  • ExpressRoute 閘道:啟用 Azure VMware 解決方案 私人雲端、中樞虛擬網路上的共享服務,以及透過 ExpressRoute 連線 ion 在輪輻虛擬網路上執行的工作負載之間的通訊。

  • ExpressRoute Global Reach:啟用內部部署與 Azure VMware 解決方案 私人雲端之間的連線。 Azure VMware 解決方案 與 Azure 網狀架構之間的連線僅限透過 ExpressRoute Global Reach。

  • S2S VPN 考慮 連線:只要符合 VMware HCX 的最低網路需求,就支援使用 Azure S2S VPN Azure VMware 解決方案 私人雲端。

  • 中樞虛擬網路:作為內部部署網路的連線中心點,並 Azure VMware 解決方案 私人雲端。

  • 輪輻虛擬網路

    • IaaS 輪輻:裝載 Azure IaaS 型工作負載,包括 VM 可用性設定組和 虛擬機器擴展集,以及對應的網路元件。

    • PaaS 輪輻:透過私人端點Private Link,使用私人地址裝載 Azure PaaS 服務。

  • Azure 防火牆:作為區隔輪輻與 Azure VMware 解決方案 流量的中心部分。

  • 應用程式閘道:公開和保護在 Azure IaaS/PaaS 或 Azure VMware 解決方案 虛擬機器 (VM) 上執行的 Web 應用程式。 它會與其他服務整合,例如 API 管理。

網路和安全性考慮

ExpressRoute 連線可讓流量在內部部署、Azure VMware 解決方案 和 Azure 網路網狀架構之間流動。 Azure VMware 解決方案 用法ExpressRoute Global Reach 可實作此連線。

由於 ExpressRoute 閘道不會在其連線線路之間提供可轉移路由,因此內部部署連線也必須使用 ExpressRoute Global Reach 在內部部署 vSphere 環境和 Azure VMware 解決方案 之間進行通訊。

  • 內部部署 Azure VMware 解決方案 流量

    顯示內部部署 Azure VMware 解決方案 流量的圖表。

  • Azure VMware 解決方案 至中樞 VNet 流量流程

    顯示中樞虛擬網路流量 Azure VMware 解決方案的圖表。

如需 Azure VMware 解決方案 網路和連線概念的詳細資訊,請參閱 Azure VMware 解決方案 產品檔

流量分割

Azure 防火牆 是中樞和輪輻拓撲的中央部分,部署在中樞虛擬網路上。 使用 Azure 防火牆 或其他 Azure 支援 網路虛擬設備 (NVA) 來建立流量規則,並分割不同輪輻與 Azure VMware 解決方案 工作負載之間的通訊。

建立路由表以將流量導向 Azure 防火牆。 針對輪輻虛擬網路,建立路由,將預設路由設定為 Azure 防火牆 的內部介面。 如此一來,當 虛擬網絡 中的工作負載需要到達 Azure VMware 解決方案 位址空間時,防火牆就可以評估它,並將對應的流量規則套用至允許或拒絕。

顯示路由表以將流量導向至 Azure 防火牆的螢幕快照。

重要

不支援 GatewaySubnet 設定上地址前綴為 0.0.0.0/0 的路由。

在對應的路由表上設定特定網路的路由。 例如,從輪輻工作負載到達 Azure VMware 解決方案 管理和工作負載 IP 前綴的路由,以及其他方式。

顯示對應路由表中特定網路的設定路由的螢幕快照。

使用輪輻和中樞內的網路安全組來建立更細微流量原則的第二層流量分割。

注意

從內部部署到 Azure VMware 解決方案 的流量:全球觸達會啟用內部部署工作負載之間的流量,無論是以 vSphere 為基礎或其他工作負載,但流量不會通過中樞上的 Azure 防火牆。 在此案例中,您必須在內部部署或 Azure VMware 解決方案 中實作流量分割機制。

應用程式閘道

Azure 應用程式閘道 V1 和 V2 已使用在 Azure VMware 解決方案 VM 上執行的 Web 應用程式作為後端集區進行測試。 應用程式閘道 目前是唯一支援的方法,可將在 Azure VMware 解決方案 VM 上執行的 Web 應用程式公開給因特網。 它也可以安全地向內部使用者公開應用程式。

如需詳細資訊,請參閱 應用程式閘道 Azure VMware 解決方案 特定文章

此圖顯示使用網路安全組的第二層流量分割。

跳躍方塊和 Azure Bastion

使用跳躍方塊存取 Azure VMware 解決方案 環境,這是部署在中樞虛擬網路內共用服務子網中的 Windows 10 或 Windows Server VM。

重要

Azure Bastion 是建議連線到跳板的服務,以防止將 Azure VMware 解決方案 公開至因特網。 您無法使用 Azure Bastion 連線到 Azure VMware 解決方案 VM,因為它們不是 Azure IaaS 物件。

作為安全性最佳做法,請在中樞虛擬網路內部署 Microsoft Azure Bastion 服務。 Azure Bastion 可為部署在 Azure 上的 VM 提供順暢的 RDP 和 SSH 存取,而不需要為這些資源提供公用 IP 位址。 布建 Azure Bastion 服務之後,您可以從 Azure 入口網站 存取選取的 VM。 建立連線之後,新的索引標籤隨即開啟,顯示跳躍方塊桌面,然後從該桌面存取 Azure VMware 解決方案 私人雲端管理平面。

重要

請勿將公用IP位址提供給跳躍方塊 VM,或向公用因特網公開 3389/TCP 連接埠。

顯示 Azure Bastion Hub 虛擬網路的圖表。

Azure DNS 解析考慮

針對 Azure DNS 解析,有兩個選項可供使用:

  • 使用部署在中樞上的域控制器(如身分識別考慮中所述)作為名稱伺服器。

  • 部署及設定 Azure DNS 私人區域。

最佳方法是結合這兩種方法,為 Azure VMware 解決方案、內部部署和 Azure 提供可靠的名稱解析。

一般設計建議:使用部署至中樞虛擬網路中至少兩個 Azure VM 的現有 Active Directory 整合 DNS,並在輪輻虛擬網路中設定,以在 DNS 設定中使用這些 Azure DNS 伺服器。

您可以使用 Azure 私用 DNS,其中 Azure 私用 DNS 區域會連結至虛擬網路。 DNS 伺服器會作為混合式解析程式,並使用客戶 Azure 私用 DNS 基礎結構,將條件式轉送至內部部署或 Azure VMware 解決方案 執行 DNS。

若要自動管理在輪輻虛擬網路內部署之 VM 的 DNS 記錄生命週期,請啟用自動註冊。 啟用時,私人 DNS 區域的最大數目只有一個。 如果停用,則最大數目為 1000。

內部部署和 Azure VMware 解決方案 伺服器可以使用條件式轉寄站來設定,以解析 Azure 私用 DNS 區域中的 VM。

身分識別考慮

基於身分識別目的,最佳方法是在中樞上部署至少一個域控制器。 以區域分散式方式或 VM 可用性設定組使用兩個共用服務子網。 如需將 內部部署的 Active Directory (AD) 網域擴充至 Azure 的詳細資訊,請參閱 Azure 架構中心

此外,在 Azure VMware 解決方案 端部署另一個域控制器,以作為 vSphere 環境中的身分識別和 DNS 來源。

建議的最佳做法是整合 AD 網域與 Microsoft Entra ID