本文概述 Azure VMware 解決方案第 2 代 (Gen 2) 私人雲端的重要設計考慮。 它說明這一代為 VMware 型私人雲端環境帶來的功能,可讓您從內部部署基礎結構和 Azure 型資源存取您的應用程式。 設定 Azure VMware 解決方案 Gen 2 私人雲端之前,有幾項待審查的考量。 本文提供使用私人雲端類型時可能會遇到的使用案例解決方案。
備註
第 2 代可在特定 Azure 公用區域中使用。 請連絡您的 Microsoft 帳戶小組或 Microsoft 支援服務,以確認涵蓋範圍。
局限性
在這段期間,下列功能會受到限制。 未來將會解除這些限制:
您無法刪除包含私有雲的資源群組。 您必須先刪除私有雲,才能刪除資源群組。
每個 Azure 虛擬網路您只能部署 1 個私有雲。
每個 資源群組只能建立1個私人雲端。 不支援單一資源群組中的多個私人雲端。
私有雲和私有雲的虛擬網路必須位於相同的資源群組中。
建立私有雲之後,您無法將私有雲從一個資源群組 移至 另一個資源群組。
建立私有雲之後,您無法將私有雲從一個租用戶移至另一個租用戶。
不支援來自 Azure VMware 解決方案工作負載的服務端點直接連線。
私人端點在連線到 Azure VMware 解決方案的各區域採取全域對等互連時不受支援。
vCloud Director 支援使用專用端點。 不過,不支援使用公用端點的 vCloud Director。
不支援 vSAN 延伸叢集。
不支援將公用 IP 直接指派給 VMware NSX Microsoft Edge 來設定網際網路連線。 您可以在網際網路連線選項中找到受支援的網際網路選項。
在 SDDC 的前四台主機中的任何一台上進行非計劃性維護 (例如主機硬體故障) 期間,對於某些工作負載,您可能會遇到暫時的南北向網路連線中斷情況,持續時間最長可達 30 秒。 North-South 連接指的是您的 AVS VMware 工作負載與 NSX-T Tier-0(T0)Edge 以外的外部端點之間的流量,例如 Azure 服務或本地環境。
與私人雲端主機虛擬網路相關聯的網路安全性群組必須在與私人雲端及其虛擬網路相同的資源群組中建立。
預設情況下,不支援從客戶虛擬網路到 Azure VMware 解決方案虛擬網路的跨資源群組和跨訂用帳戶參考。 這包括資源類型,例如:使用者定義的路由 (UDR)、DDoS 保護計劃和其他連結的網路資源。 如果客戶虛擬網路與其中一個參考相關聯,而這些參考位於與 Azure VMware 解決方案 虛擬網路不同的資源群組或訂用帳戶中,則網路程式設計 (例如 NSX 區段傳播) 可能會失敗。 若要避免發生問題,客戶必須確定 Azure VMware 解決方案 虛擬網路未連結至不同資源群組或訂用帳戶中的資源,並在繼續之前從虛擬網路中斷連結這類資源 (例如 DDoS 防護方案)。
- 若要維護您的跨資源群組引用,請從您的跨資源群組或訂用帳戶中建立角色指派,並將「AVS on Fleet VIS Role」授與「AzS VIS Prod App」。 角色分派可讓您使用參考,並將您的參考正確套用於您的 Azure VMware 解決方案私人雲端。
如果 Azure 原則對網路安全性群組或路由表強制執行嚴格的規則 (例如,特定的命名慣例),則第 2 代私有雲部署可能會失敗。 這些則限制可能會封鎖在部署期間建立所需的 Azure VMware 解決方案網路安全性群組和路由表。 您必須先從 Azure VMware 解決方案虛擬網路中移除這些原則,然後才能部署您的私有雲。 部署您的私有雲後,這些原則可以新增回到您的 Azure VMware 解決方案私有雲。
如果您針對您的 Azure VMware 解決方案第 2 代私有雲使用私人 DNS,則不支援在部署 Azure VMware 解決方案第 2 代私有雲的虛擬網路上使用自訂 DNS。 自訂 DNS 會中斷生命週期作業 (例如擴縮、升級和修補)。
如果您要 刪除 私人雲端,且未移除某些 Azure VMware 解決方案 建立的資源,您可以使用 Azure CLI 重試刪除 Azure VMware 解決方案 私人雲端。
Azure VMware 解決方案 第 2 代會使用 HTTP Proxy 來區分客戶和管理網路流量。 某些 VMware Cloud Service 端點 可能不會遵循與一般 vCenter 管理流量相同的網路路徑或 Proxy 規則。 範例包括:「scapi.vmware」和「apigw.vmware」。 VAMI Proxy 會控管 vCenter Server Appliance (VCSA) 的一般輸出網際網路存取,但並非所有服務端點互動都流經此 Proxy。 某些互動直接源自使用者的瀏覽器或整合元件,這些元件遵循工作站的代理設定或獨立啟動連線。 因此,流向 VMware Cloud Service 端點的流量可能會完全略過 VCSA Proxy。
由於基礎同步和線上同步階段出現停滯,第二代 HCX RAV 和批量移轉的效能可能會顯著降低。 客戶目前應規劃較長的遷移時段,並相應安排波次。 在適合工作負載的情況下,vMotion 在主機與網路條件允許時,提供更快且低開銷的選擇。
不受支援的整合
以下的第一方和第三方整合功能無法使用:
- Zerto DR
第 2 代的委派子網路和網路安全性群組
部署 Azure VMware 解決方案 (AVS) 第 2 代私人雲端時,Azure 會自動在私人雲端的主機虛擬網路內建立數個委派子網。 這些子網路用於隔離和保護私有雲的管理元件。
客戶可以使用 Azure 入口網站中可見的網路安全性群組 (NSG) 或透過 Azure CLI/PowerShell 來管理對這些子網的存取。 除了客戶可管理的 NSG 之外,AVS 還會將其他系統管理的 NSG 套用至關鍵管理介面。 這些系統管理的 NSG 不會由客戶看到或編輯,而且存在是為了確保私有雲預設保持安全。
作為預設安全性狀態的一部分:
- 私有雲的網際網路存取會被停用,除非客戶明確啟用。
- 只允許必要的管理流量到達平台服務。
備註
您可能會在 Azure 入口網站 中看到警告,指出某些埠似乎會公開給因特網。 發生這種情況是因為入口網站只會評估客戶可見的網路安全性群組 (NSG) 設定。 不過,Azure VMware 解決方案也會套用入口網站中看不到的其他系統管理網路安全性群組。 這些系統管理的網路安全性群組會封鎖輸入流量,除非已透過 Azure VMware 解決方案 設定明確啟用存取。
這種設計可確保 AVS 環境在開箱即用時即保持隔離和安全,同時仍允許客戶根據其特定要求控制和自訂網路存取。
路由和子網考量
Azure VMware 解決方案 Gen 2 私人雲端提供 VMware 私人雲端環境,可供來自內部部署和 Azure 環境或資源的使用者和應用程式存取。 連接能力是透過標準 Azure 網路來提供。 需要特定的網路位址範圍和防火牆連接埠,才能啟用這些服務。 本節可協助您設定網路功能以使用 Azure VMware 解決方案。
私人雲端會使用標準 Azure 網路連線到您的 Azure 虛擬網路。 Azure VMware 解決方案 Gen 2 私人雲端的子網路至少需要 /22 CIDR 網路位址區塊。 此網路可補充您的內部部署網路,因此位址區塊不應與其他虛擬網路中使用的位址區塊重疊,而這些虛擬網路位於您的訂用帳戶和內部部署網路中。 管理、vMotion 和複寫網路會在此位址區塊內自動佈建為您的虛擬網路內的子網路。
備註
您位址區塊允許的範圍為 RFC 1918 私人位址空間 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),但 172.17.0.0/16 除外。 複寫網路不適用於 AV64 節點,而且計劃在未來日期全面淘汰。
請避免使用下列保留給 VMware NSX 使用量的 IP 架構:
- 169.254.0.0/24 - 用於內部傳輸網路
- 169.254.2.0/23 - 用於 VRF 間傳輸網路
- 100.64.0.0/16 - 用來在內部連線 T1 和 T0 閘道
- 100.73.x.x 由 Microsoft 的管理網路所使用
範例 /22 CIDR 網络位址區塊 10.31.0.0/22 分成下列子網:
| 網路使用方式 | 子網路 | 說明 | 範例 |
|---|---|---|---|
| VMware NSX 網路 | /27 | NSX Manager 網路。 | 10.31.0.0/27 |
| vCSA 網路 | /27 | vCenter Server 網路。 | 10.31.0.32/27 |
| avs-mgmt | /27 | 管理設備(vCenter Server 和 NSX 管理員)位於「avs-mgmt」子網後方,其程式設計為此子網上的次要IP範圍。 | 10.31.0.64/27 |
| avs-vnet-sync | /27 | 供 Azure VMware 解決方案 Gen 2 用來將在 VMware NSX 中建立的路由編寫程式至虛擬網路。 | 10.31.0.96/27 |
| avs-services | /27 | 用於 Azure VMware 解決方案 Gen 2 提供者服務。 也用來設定私人雲端的私人 DNS 解析。 | 10.31.0.160/27 |
| avs-nsx-gw、avs-nsx-gw-1 | /28 | 每個邊緣的每個 T0 閘道的子網路都會關閉。 這些子網用來將 VMware NSX 網路區段程式設計為次要IP位址。 | 10.31.0.224/28, 10.31.0.240/28 |
| esx-mgmt-vmk1 | /24 | vmk1 是客戶用來存取主機的管理介面。 來自 vmk1 介面的 IP 來自這些子網。 所有主機的所有 vmk1 流量都來自此子網範圍。 | 10.31.1.0/24 |
| esx-vmotion-vmk2 | /24 | vMotion VMkernel 介面。 | 10.31.2.0/24 |
| esx-vsan-vmk3 | /24 | vSAN VMkernel 介面和節點通訊。 | 10.31.3.0/24 |
| VMware HCX 網路 | /22 | VMware HCX 網路 | 10.31.4.0/22 |
| 已保留 | /27 | 保留空間。 | 10.31.0.128/27 |
| 已保留 | /27 | 保留空間。 | 10.31.0.192/27 |
備註
對於 Azure VMware Solution Gen 2 部署,除了在 SDDC 部署期間輸入的 /22 子網路之外,客戶現在還必須為 HCX 管理和上行鏈路分配額外的 /22 子網路。 此額外的 /22 並非第一代所需。
後續步驟
開始設定您的 Azure VMware 解決方案服務主體作為必要條件。 若要瞭解如何,請參閱 啟用 Azure VMware 解決方案服務主體 快速入門。