Azure VMware 解決方案的網路拓撲和連線能力
搭配 Azure 雲端生態系統使用 VMware 軟體定義資料中心 (SDDC) 時,您有一組獨特的設計考慮,適用於雲端原生和混合式案例。 本文提供 Azure 和 Azure VMware 解決方案 部署網路和連線能力的重要考慮和最佳做法。
本文以數個 雲端採用架構 企業級登陸區域架構原則和建議為基礎,以大規模管理網路拓撲和連線能力。 您可以針對任務關鍵性 Azure VMware 解決方案 平臺使用此 Azure 登陸區域設計區域指引。 設計區域包括:
- 內部部署、多雲端、邊緣和全域用戶之間的混合式整合 。 如需詳細資訊,請參閱 混合式和多重雲端的企業規模支援。
- 工作負載延 展性和一致、低延遲體驗的大規模效能和可靠性。 後續文章涵蓋 雙重區域部署。
- 網路周邊和流量安全性的以零信任為基礎的網路 安全性。 如需詳細資訊,請參閱 Azure 上的網路安全性策略。
- 擴充性 可讓您輕鬆擴充網路使用量,而不需要設計重新作業。
一般設計考慮和建議
下列各節提供 Azure VMware 解決方案 網路拓撲和連線的一般設計考慮和建議。
中樞輪輻與虛擬 WAN 網路拓撲
如果您沒有從內部部署到 Azure 的 ExpressRoute 連線,而是改用 S2S VPN,您可以使用虛擬 WAN 來傳輸內部部署 VPN 與 Azure VMware 解決方案 ExpressRoute 之間的連線。 如果您使用中樞輪輻拓撲,則需要 Azure 路由伺服器。 如需詳細資訊,請參閱 ExpressRoute 和 Azure VPN 的 Azure 路由伺服器支援。
私人雲端和叢集
所有叢集都可以在 Azure VMware 解決方案 私人雲端內通訊,因為它們全都共用相同的 /22 位址空間。
所有叢集都會共用相同的連線設定,包括因特網、ExpressRoute、HCX、公用 IP 和 ExpressRoute Global Reach。 應用程式工作負載也可以共用一些基本網路設定,例如網路區段、動態主機組態通訊協定 (DHCP) 和域名系統 (DNS) 設定。
在部署之前事先設計私人雲端和叢集。 您需要的私人雲端數目直接影響到您的網路需求。 每個私人雲端都需要自己的 /22 位址空間,以進行私人雲端管理和VM 工作負載的 IP 位址區段。 請考慮事先定義這些地址空間。
與您的 VMware 和網路小組討論如何分割和散發私人雲端、叢集和工作負載的網路區段。 妥善規劃並避免浪費IP位址。
如需管理私人雲端IP位址的詳細資訊,請參閱 定義私人雲端管理的IP位址區段。
如需管理 VM 工作負載 IP 位址的詳細資訊,請參閱 定義 VM 工作負載的 IP 位址區段。
DNS 和 DHCP
針對 DHCP,請使用 NSX-T 資料中心內建的 DHCP 服務,或使用私人雲端中的本機 DHCP 伺服器。 請勿透過 WAN 將廣播 DHCP 流量路由傳送回內部部署網路。
針對 DNS,視您採用的案例和需求而定,您有多個選項:
- 僅適用於 Azure VMware 解決方案 環境,您可以在 Azure VMware 解決方案 私人雲端中部署新的 DNS 基礎結構。
- 若要 Azure VMware 解決方案 連線到內部部署環境,您可以使用現有的 DNS 基礎結構。 如有必要,請部署 DNS 轉寄站以擴充至 Azure 虛擬網絡,或最好是部署到 Azure VMware 解決方案。 如需詳細資訊,請參閱 新增 DNS 轉寄站服務。
- 針對連線至內部部署與 Azure 環境和服務的 Azure VMware 解決方案,您可以在中樞虛擬網路中使用現有的 DNS 伺服器或 DNS 轉寄站。 您也可以將現有的內部部署 DNS 基礎結構延伸至 Azure 中樞虛擬網路。 如需詳細資訊,請參閱 企業級登陸區域圖表。
如需詳細資訊,請參閱下列文章:
網際網路
開啟因特網和篩選和檢查流量的輸出選項包括:
- 使用 Azure 因特網存取的 Azure 虛擬網絡、NVA 和 Azure 路由伺服器。
- 使用內部部署因特網存取的內部部署預設路由。
- 使用 Azure 因特網存取,使用 Azure 防火牆 或 NVA 的虛擬 WAN 安全中樞。
傳遞內容與應用程式的輸入選項包括:
- Azure 應用程式閘道 L7、安全套接字層 (SSL) 終止和 Web 應用程式防火牆。
- 來自內部部署的DNAT和負載平衡器。
- 各種案例中的 Azure 虛擬網絡、NVA 和 Azure 路由伺服器。
- 具有 Azure 防火牆、L4 和 DNAT 的虛擬 WAN 安全中樞。
- 在各種案例中,具有 NVA 的虛擬 WAN 安全中樞。
ExpressRoute
Azure VMware 解決方案 現成的私人雲端部署會自動建立一個免費的 10 Gbps ExpressRoute 線路。 此線路會將 Azure VMware 解決方案 連接到 D-MSEE。
請考慮在數據中心附近的 Azure 配對區域中部署 Azure VMware 解決方案。 如需 Azure VMware 解決方案 雙區域網路拓撲的建議,請檢閱本文。
Global Reach
Global Reach 是 Azure VMware 解決方案 與內部部署數據中心、Azure 虛擬網絡 和虛擬 WAN 通訊的必要 ExpressRoute 附加元件。 替代方式是設計與 Azure Route Server 的網路連線。
您可以使用 Global Reach,將 Azure VMware 解決方案 ExpressRoute 線路與其他 ExpressRoute 線路對等互連。
您可以使用 Global Reach 透過 ISP 和 ExpressRoute Direct 線路對等互連 ExpressRoute 線路。
ExpressRoute 本機線路不支援 Global Reach。 針對 ExpressRoute Local,請透過 Azure 虛擬網路中的第三方 NVA,從 Azure VMware 解決方案 傳輸至內部部署資料中心。
全域觸達無法在所有位置使用。
頻寬
選擇適當的虛擬網路網關 SKU,以取得 Azure VMware 解決方案 與 Azure 虛擬網絡 之間的最佳頻寬。 Azure VMware 解決方案 最多支援四個 ExpressRoute 線路到一個區域中的 ExpressRoute 閘道。
網路安全性
網路安全性涉及流量檢查和埠鏡像。
SDDC 內的東西向流量檢查會使用 NSX-T 資料中心或 NVA 來檢查跨區域的 Azure 虛擬網絡 流量。
南北交通檢查會檢查 Azure VMware 解決方案 與數據中心之間的雙向流量。 南北交通檢查可以使用:
- 透過 Azure 因特網的第三方防火牆 NVA 和 Azure 路由伺服器。
- 透過內部部署因特網的內部部署預設路由。
- 透過 Azure 因特網 Azure 防火牆 和虛擬 WAN
- 透過 Azure VMware 解決方案 因特網在 SDDC 內的 NSX-T 資料中心。
- 透過 Azure VMware 解決方案 因特網在 SDDC 內 Azure VMware 解決方案 的第三方防火牆 NVA
埠和通訊協定需求
為內部部署防火牆設定所有必要的埠,以確保能夠正確存取所有 Azure VMware 解決方案 私人雲端元件。 如需詳細資訊,請參閱 必要的網路埠。
Azure VMware 解決方案 管理存取
請考慮在 Azure 虛擬網絡 中使用 Azure Bastion 主機,在部署期間存取 Azure VMware 解決方案 環境。
建立內部部署環境的路由之後,Azure VMware 解決方案 管理網路不會接受
0.0.0.0/0
來自內部部署網路的路由,因此您必須為內部部署網路公告更特定的路由。
商務持續性、災害復原(BCDR)和移轉
在 VMware HCX 移轉中,預設閘道會保留在內部部署。 如需詳細資訊,請參閱 部署和設定 VMware HCX。
VMware HCX 移轉可以使用 HCX L2 擴充功能。 需要第 2 層擴充功能的移轉也需要 ExpressRoute。 只要最低 網路最低需求 是 net,就支援 S2S VPN。 最大傳輸單位 (MTU) 大小應為 1350,以容納 HCX 的額外負荷。 如需第 2 層延伸模塊設計的詳細資訊,請參閱管理員模式中的第 2 層橋接 (VMware.com)。
下一步
如需中樞和輪輻網路中 Azure VMware 解決方案 的詳細資訊,請參閱在中樞和輪輻架構中整合 Azure VMware 解決方案。
如需 VMware NSX-T 資料中心網路區段的詳細資訊,請參閱使用 Azure VMware 解決方案 設定 NSX-T 資料中心網路元件。
若要瞭解 雲端採用架構 企業級登陸區域架構原則、各種設計考慮,以及 Azure VMware 解決方案 的最佳做法,請參閱本系列中的下一篇文章: