Azure VMware 解決方案提供 VMware 私人雲端環境,使用者和應用程式可以從本機和基於 Azure 的環境或資源存取該環境。 連接是透過 Azure ExpressRoute 和 VPN 連接等網路服務實現的。 若要啟用這些服務,需要特定的網路位址範圍和防火牆連接埠。 本文將協助您設定網路功能,使其與 Azure VMware 解決方案協同工作。
在本教學課程中了解:
- 虛擬網路和 ExpressRoute 線路考量
- 路由和子網路需求
- 與服務通訊所需的網路連接埠
- Azure VMware 解決方案中的 DHCP 和 DNS 注意事項
先決條件
確定所有閘道 (包括 Azure ExpressRoute 提供者的服務) 都支援 4 位元組的自發系統編號 (ASN)。 Azure VMware 解決方案使用 4 位元組公用 ASN 公告路由。
虛擬網路和 ExpressRoute 線路考量
在訂閱中建立虛擬網路連線時,ExpressRoute 線路是透過對等互連建立的,使用您在 Azure 入口網站中要求的授權金鑰和對等互連 ID。 對等互連是指您的私人雲端與虛擬網路之間建立的私有的一對一連線。
附註
ExpressRoute 線路不屬於私人雲端部署的一部分。 內部部署 ExpressRoute 線路已超出本文件的範圍。 如果您需要將本機連線連接到您的私人雲端,請使用您現有的 ExpressRoute 線路或在 Azure 入口網站中購買一條。
部署私人雲端時,您將收到 vCenter Server 和 NSX Manager 的 IP 位址。 若要存取這些管理介面,請在訂閱的虛擬網路中建立更多資源。 請在教學課程中尋找建立這些資源和建立 ExpressRoute 私人對等互連的步驟。
私人雲端邏輯網路包含預先配置的 NSX 配置。 我們已為您預先設定了 Tier-0 閘道和 Tier-1 閘道。 您可以建立一個區段並將其連接到現有的 Tier-1 閘道,或將其連接到您定義的新 Tier-1 閘道。 NSX 邏輯網路元件提供工作負載之間的東西向連線以及與網際網路和 Azure 服務的南北連接。
重要事項
如果您計劃使用 Azure NetApp 檔案資料存放區來調整 Azure VMware 解決方案主機,則使用 ExpressRoute 虛擬網路閘道在靠近主機的位置部署虛擬網路至關重要。 儲存設備離主機越近,效能越好。
路由和子網路考量
Azure VMware 解決方案私人雲端使用 Azure ExpressRoute 連線連接到您的 Azure 虛擬網路。 這種高頻寬、低延遲的連線可讓您從私人雲端環境存取在 Azure 訂閱中執行的服務。 該路由使用邊界閘道協定 (BGP) 並自動佈建,以及依預設啟用每個私人雲端部署。
Azure VMware 解決方案私人雲端要求子網路具有最小 /22 CIDR 網路位址區塊。 此網路與您的本地網路相輔相成,因此位址區塊不應與您的訂閱和本地網路中其他虛擬網路使用的位址區塊重疊。 管理網路、vMotion 網路和複製網路將在該位址區塊內自動設定。
附註
您的位址區塊允許的範圍是 RFC 1918 私人位址空間 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),但不包含 172.17.0.0/16。 複寫網路不適用於 AV64 節點,並將於未來某個日期全面棄用。
重要事項
請勿使用下列專為 NSX 保留的 IP 位址方案:
- 169.254.0.0/24 - 用於內部傳輸網路
- 169.254.2.0/23 - 用於 VRF 間傳輸網路
- 100.64.0.0/16 - 用來在內部連線 T1 和 T0 閘道
範例 /22CIDR 網路位址區塊:10.10.0.0/22
子網路:
| 網路使用量 | 描述 | 子網路 | 範例 |
|---|---|---|---|
| 私人雲端管理 | 管理網路 (例如 vCenter、NSX) | /26 |
10.10.0.0/26 |
| HCX 管理移轉 | HCX 設備 (下行連結) 的本地連接 | /26 |
10.10.0.64/26 |
| Global Reach 保留 | ExpressRoute 的輸出介面 | /26 |
10.10.0.128/26 |
| NSX DNS 服務 | 內建 NSX DNS 服務 | /32 |
10.10.0.192/32 |
| 已保留 | 已保留 | /32 |
10.10.0.193/32 |
| 已保留 | 已保留 | /32 |
10.10.0.194/32 |
| 已保留 | 已保留 | /32 |
10.10.0.195/32 |
| 已保留 | 已保留 | /30 |
10.10.0.196/30 |
| 已保留 | 已保留 | /29 |
10.10.0.200/29 |
| 已保留 | 已保留 | /28 |
10.10.0.208/28 |
| ExpressRoute 對等互連 | ExpressRoute 對等互連 | /27 |
10.10.0.224/27 |
| ESXi 管理 | ESXi 管理 VMkernel 介面 | /25 |
10.10.1.0/25 |
| vMotion 網路 | vMotion VMkernel 介面 | /25 |
10.10.1.128/25 |
| 複寫網路 | vSphere 複寫介面 | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel 介面和節點通訊 | /25 |
10.10.2.128/25 |
| HCX 上行鏈路 | HCX IX 和 NE 設備到遠端對等設備的上行連結 | /26 |
10.10.3.0/26 |
| 已保留 | 已保留 | /26 |
10.10.3.64/26 |
| 已保留 | 已保留 | /26 |
10.10.3.128/26 |
| 已保留 | 已保留 | /26 |
10.10.3.192/26 |
附註
ESXi 管理/vMotion/複寫網路在技術上能夠支援 125 台主機,但最大支援數量為 96 台,因為 29 台預留用於取代/維護 (19) 和 HCX (10)。
必要的網路連接埠
| 來源 | Destination | 通訊協定 | 連接埠 | 描述 |
|---|---|---|---|---|
| 私人雲端 DNS 伺服器 | 內部部署 DNS 伺服器 | UDP | 53 | DNS 用戶端 - 將來自私人雲端 vCenter Server 的請求轉送給任何本機 DNS 查詢 (請參閱 DNS 部分)。 |
| 內部部署 DNS 伺服器 | 私人雲端 DNS 伺服器 | UDP | 53 | DNS 用戶端 - 將來自本機服務的請求轉送到私人雲端 DNS 伺服器 (請參閱 DNS 部分) |
| 內部部署網路 | 私人雲端 vCenter Server | TCP(HTTP) | 80 | vCenter Server 需要連接埠 80 以進行直接 HTTP 連線。 連接埠 80 會將要求重新導向至 HTTPS 連接埠 443。 如果您使用 http://server 而不是 https://server,則此重新導向會有所幫助。 |
| 私人雲端管理網路 | 內部部署 Active Directory | TCP | 389/636 | 啟用 Azure VMware Solutions vCenter Server 與本機 Active Directory/LDAP 伺服器通訊。 (可選) 將本機 AD 設定為私人雲端 vCenter 上的身分來源。 出於安全考慮,建議使用連接埠 636。 |
| 私人雲端管理網路 | 本機 Active Directory 全域目錄 | TCP | 3268/3269 | 啟用 Azure VMware Solutions vCenter Server 與本機 Active Directory/LDAP 全域目錄伺服器通訊。 (可選) 將本機 AD 設定為私人雲端 vCenter Server 上的身分來源。 基於安全性,使用連接埠 3269。 |
| 內部部署網路 | 私人雲端 vCenter Server | TCP(HTTPS) | 443 | 從內部部署網路存取 vCenter Server。 vCenter Server 接聽 vSphere 用戶端連線的預設埠。 若要讓 vCenter Server 系統從 vSphere 用戶端接收資料,請在防火牆中開啟連接埠 443。 vCenter Server 系統也使用 443 連接埠來監控來自 SDK 用戶端的資料傳輸。 |
| 內部部署網路 | HCX 雲端管理器 | TCP(HTTPS) | 9443 | HCX Cloud Manager 虛擬設備管理介面,用於 HCX 系統設定。 |
| 內部部署管理員網路 | HCX 雲端管理器 | SSH | 22 | 系統管理員 SSH 存取 HCX 雲端管理員虛擬設備。 |
| HCX 經理 | Interconnect (HCX-IX) | TCP(HTTPS) | 8123 | HCX 大量移轉控制。 |
| HCX 經理 | 互連 (HCX-IX),網路延伸模組 (HCX-NE) | TCP(HTTPS) | 9443 | 使用 REST API 向本機 HCX 互連發送管理指令。 |
| Interconnect (HCX-IX) | L2C | TCP(HTTPS) | 443 | 當 L2C 使用與 Interconnect 相同的路徑時,從 Interconnect 向 L2C 發送管理指令。 |
| HCX 管理器,互連 (HCX-IX) | ESXi 主機 | TCP | 80,443,902 | 管理和 OVF 部署。 |
| 來源的互連 (HCX-IX),網路延伸模組 (HCX-NE) | 目的地的互連 (HCX-IX),網路延伸模組 (HCX-NE) | UDP | 4500 | IPSEC 的必要項目 使用網際網路金鑰交換 (IKEv2) 封裝雙向隧道的工作負載。 支援網路位址轉換穿越 (NAT-T)。 |
| 互連(HCX-IX)/網路擴展(HCX-NE) | 遠端互連(HCX-IX)/網路擴展(HCX-NE) | TCP,UDP | 5201 | perftest 上行連結測試需要用於 Service Mesh 診斷。 (已從 HCX 4.8 的 4500 連接埠移至 4500 連接埠)。 |
| 內部部署互連 (HCX-IX) | 雲端互連 (HCX-IX) | UDP | 4500 | IPSEC 的必要項目 雙向隧道的網際網路金鑰交換 (ISAKMP)。 |
| 內部部署 vCenter Server 網路 | 私人雲端管理網路 | TCP | 8000 | 將虛擬機器從本機 vCenter Server 移轉到私人雲端 vCenter Server |
| HCX 連接器 | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | 需要 connect 才能驗證授權金鑰。更新需要 hybridity。 |
下表提供一般案例的常見防火牆規則。 不過,設定防火牆規則時,您可能需要考量更多項目。 請注意,當來源和目標顯示為「內部部署」時,此資訊僅在您的資料中心具有檢查流量的防火牆時才相關。 如果您的內部部署元件沒有防火牆進行檢查,則可忽略這些規則。
有關更多信息,請參閱 VMware HCX 端口要求的完整列表。
DHCP 和 DNS 解析考量事項
在私人雲端環境中執行的應用程式和工作負載需要名稱解析和 DHCP 服務來尋找和指派 IP 位址。 要提供這些服務,需要完善的 DHCP 和 DNS 基礎架構。 您可以設定虛擬機,在您的私人雲端環境中提供這些服務。
使用 NSX-T 資料中心內建的 DHCP 服務,或在私人雲端中使用本地 DHCP 伺服器,而不是透過 WAN 將廣播 DHCP 流量路由回本地。
重要事項
如果您向 Azure VMware 解決方案發佈預設路由,則必須允許 DNS 轉送器存取已設定的 DNS 伺服器,且這些伺服器必須支援公用名稱解析。
後續步驟
在本教學中,您了解了部署 Azure VMware 解決方案私人雲端的注意事項和要求。 網路設定完成後,請繼續學習下一個教學課程,建立 Azure VMware 解決方案私人雲端。