共用方式為


Azure VMware 解決方案的網路拓撲和連線能力

搭配 Azure 雲端生態系統使用 VMware 軟體定義資料中心 (SDDC) 時,您有一組獨特的設計考慮,適用於雲端原生和混合式案例。 本文提供 Azure 和 Azure VMware 解決方案 部署網路和連線能力的重要考慮和最佳做法。

本文以數個 雲端採用架構 企業級登陸區域架構原則和建議為基礎,以大規模管理網路拓撲和連線能力。 您可以針對任務關鍵性 Azure VMware 解決方案 平臺使用此 Azure 登陸區域設計區域指引。 設計區域包括:

  • 內部部署、多雲端、邊緣和全域用戶之間的混合式整合 。 如需詳細資訊,請參閱 混合式和多重雲端的企業規模支援。
  • 工作負載延 展性和一致、低延遲體驗的大規模效能和可靠性。 後續文章涵蓋 雙重區域部署
  • 網路周邊和流量安全性的以零信任為基礎的網路 安全性。 如需詳細資訊,請參閱 Azure 上的網路安全性策略。
  • 擴充性 可讓您輕鬆擴充網路使用量,而不需要設計重新作業。

一般設計考慮和建議

下列各節提供 Azure VMware 解決方案 網路拓撲和連線的一般設計考慮和建議。

中樞輪輻與虛擬 WAN 網路拓撲

如果您沒有從內部部署到 Azure 的 ExpressRoute 連線,而是改用 S2S VPN,您可以使用虛擬 WAN 來傳輸內部部署 VPN 與 Azure VMware 解決方案 ExpressRoute 之間的連線。 如果您使用中樞輪輻拓撲,則需要 Azure 路由伺服器。 如需詳細資訊,請參閱 ExpressRoute 和 Azure VPN 的 Azure 路由伺服器支援。

私人雲端和叢集

  • 所有叢集都可以在 Azure VMware 解決方案 私人雲端內通訊,因為它們全都共用相同的 /22 位址空間。

  • 所有叢集都會共用相同的連線設定,包括因特網、ExpressRoute、HCX、公用 IP 和 ExpressRoute Global Reach。 應用程式工作負載也可以共用一些基本網路設定,例如網路區段、動態主機組態通訊協定 (DHCP) 和域名系統 (DNS) 設定。

  • 在部署之前事先設計私人雲端和叢集。 您需要的私人雲端數目直接影響到您的網路需求。 每個私人雲端都需要自己的 /22 位址空間,以進行私人雲端管理和VM 工作負載的 IP 位址區段。 請考慮事先定義這些地址空間。

  • 與您的 VMware 和網路小組討論如何分割和散發私人雲端、叢集和工作負載的網路區段。 妥善規劃並避免浪費IP位址。

如需管理私人雲端IP位址的詳細資訊,請參閱 定義私人雲端管理的IP位址區段。

如需管理 VM 工作負載 IP 位址的詳細資訊,請參閱 定義 VM 工作負載的 IP 位址區段。

DNS 和 DHCP

針對 DHCP,請使用 NSX-T 資料中心內建的 DHCP 服務,或使用私人雲端中的本機 DHCP 伺服器。 請勿透過 WAN 將廣播 DHCP 流量路由傳送回內部部署網路。

針對 DNS,視您採用的案例和需求而定,您有多個選項:

  • 僅適用於 Azure VMware 解決方案 環境,您可以在 Azure VMware 解決方案 私人雲端中部署新的 DNS 基礎結構。
  • 若要 Azure VMware 解決方案 連線到內部部署環境,您可以使用現有的 DNS 基礎結構。 如有必要,請部署 DNS 轉寄站以擴充至 Azure 虛擬網絡,或最好是部署到 Azure VMware 解決方案。 如需詳細資訊,請參閱 新增 DNS 轉寄站服務
  • 針對連線至內部部署與 Azure 環境和服務的 Azure VMware 解決方案,您可以在中樞虛擬網路中使用現有的 DNS 伺服器或 DNS 轉寄站。 您也可以將現有的內部部署 DNS 基礎結構延伸至 Azure 中樞虛擬網路。 如需詳細資訊,請參閱 企業級登陸區域圖表

如需詳細資訊,請參閱下列文章:

網際網路

開啟因特網和篩選和檢查流量的輸出選項包括:

  • 使用 Azure 因特網存取的 Azure 虛擬網絡、NVA 和 Azure 路由伺服器。
  • 使用內部部署因特網存取的內部部署預設路由。
  • 使用 Azure 因特網存取,使用 Azure 防火牆 或 NVA 的虛擬 WAN 安全中樞。

傳遞內容與應用程式的輸入選項包括:

  • Azure 應用程式閘道 L7、安全套接字層 (SSL) 終止和 Web 應用程式防火牆。
  • 來自內部部署的DNAT和負載平衡器。
  • 各種案例中的 Azure 虛擬網絡、NVA 和 Azure 路由伺服器。
  • 具有 Azure 防火牆、L4 和 DNAT 的虛擬 WAN 安全中樞。
  • 在各種案例中,具有 NVA 的虛擬 WAN 安全中樞。

ExpressRoute

Azure VMware 解決方案 現成的私人雲端部署會自動建立一個免費的 10 Gbps ExpressRoute 線路。 此線路會將 Azure VMware 解決方案 連接到 D-MSEE。

請考慮在數據中心附近的 Azure 配對區域中部署 Azure VMware 解決方案。 如需 Azure VMware 解決方案 雙區域網路拓撲的建議,請檢閱本文

Global Reach

  • Global Reach 是 Azure VMware 解決方案 與內部部署數據中心、Azure 虛擬網絡 和虛擬 WAN 通訊的必要 ExpressRoute 附加元件。 替代方式是設計與 Azure Route Server 的網路連線。

  • 您可以使用 Global Reach,將 Azure VMware 解決方案 ExpressRoute 線路與其他 ExpressRoute 線路對等互連。

  • 您可以使用 Global Reach 透過 ISP 和 ExpressRoute Direct 線路對等互連 ExpressRoute 線路。

  • ExpressRoute 本機線路不支援 Global Reach。 針對 ExpressRoute Local,請透過 Azure 虛擬網路中的第三方 NVA,從 Azure VMware 解決方案 傳輸至內部部署資料中心。

  • 全域觸達無法在所有位置使用。

頻寬

選擇適當的虛擬網路網關 SKU,以取得 Azure VMware 解決方案 與 Azure 虛擬網絡 之間的最佳頻寬。 Azure VMware 解決方案 最多支援四個 ExpressRoute 線路到一個區域中的 ExpressRoute 閘道。

網路安全性

網路安全性涉及流量檢查和埠鏡像。

SDDC 內的東西向流量檢查會使用 NSX-T 資料中心或 NVA 來檢查跨區域的 Azure 虛擬網絡 流量。

南北交通檢查會檢查 Azure VMware 解決方案 與數據中心之間的雙向流量。 南北交通檢查可以使用:

  • 透過 Azure 因特網的第三方防火牆 NVA 和 Azure 路由伺服器。
  • 透過內部部署因特網的內部部署預設路由。
  • 透過 Azure 因特網 Azure 防火牆 和虛擬 WAN
  • 透過 Azure VMware 解決方案 因特網在 SDDC 內的 NSX-T 資料中心。
  • 透過 Azure VMware 解決方案 因特網在 SDDC 內 Azure VMware 解決方案 的第三方防火牆 NVA

埠和通訊協定需求

為內部部署防火牆設定所有必要的埠,以確保能夠正確存取所有 Azure VMware 解決方案 私人雲端元件。 如需詳細資訊,請參閱 必要的網路埠

Azure VMware 解決方案 管理存取

  • 請考慮在 Azure 虛擬網絡 中使用 Azure Bastion 主機,在部署期間存取 Azure VMware 解決方案 環境。

  • 建立內部部署環境的路由之後,Azure VMware 解決方案 管理網路不會接受0.0.0.0/0來自內部部署網路的路由,因此您必須為內部部署網路公告更特定的路由。

商務持續性、災害復原(BCDR)和移轉

  • 在 VMware HCX 移轉中,預設閘道會保留在內部部署。 如需詳細資訊,請參閱 部署和設定 VMware HCX

  • VMware HCX 移轉可以使用 HCX L2 擴充功能。 需要第 2 層擴充功能的移轉也需要 ExpressRoute。 只要最低 網路最低需求 是 net,就支援 S2S VPN。 最大傳輸單位 (MTU) 大小應為 1350,以容納 HCX 的額外負荷。 如需第 2 層延伸模塊設計的詳細資訊,請參閱管理員模式中的第 2 層橋接 (VMware.com)。

下一步

  • 如需中樞和輪輻網路中 Azure VMware 解決方案 的詳細資訊,請參閱在中樞和輪輻架構中整合 Azure VMware 解決方案。

  • 如需 VMware NSX-T 資料中心網路區段的詳細資訊,請參閱使用 Azure VMware 解決方案 設定 NSX-T 資料中心網路元件。

  • 若要瞭解 雲端採用架構 企業級登陸區域架構原則、各種設計考慮,以及 Azure VMware 解決方案 的最佳做法,請參閱本系列中的下一篇文章: