Azure VMware 解決方案的網路拓撲和連線能力

搭配 Azure 雲端生態系統使用 VMware 軟體定義資料中心 （SDDC） 時，您有一組獨特的設計考慮，適用於雲端原生和混合式案例。 本文提供 Azure 和 Azure VMware 解決方案 部署網路和連線能力的重要考慮和最佳做法。

本文以數個 雲端採用架構 企業級登陸區域架構原則和建議為基礎，以大規模管理網路拓撲和連線能力。 您可以針對任務關鍵性 Azure VMware 解決方案 平臺使用此 Azure 登陸區域設計區域指引。 設計區域包括：

• 內部部署、多雲端、邊緣和全域用戶之間的混合式整合 。 如需詳細資訊，請參閱 混合式和多重雲端的企業規模支援。
• 工作負載延 展性和一致、低延遲體驗的大規模效能和可靠性。 後續文章涵蓋 雙重區域部署。
• 網路周邊和流量安全性的以零信任為基礎的網路 安全性。 如需詳細資訊，請參閱 Azure 上的網路安全性策略。
• 擴充性 可讓您輕鬆擴充網路使用量，而不需要設計重新作業。

一般設計考慮和建議

下列各節提供 Azure VMware 解決方案 網路拓撲和連線的一般設計考慮和建議。

中樞輪輻與虛擬 WAN 網路拓撲

如果您沒有從內部部署到 Azure 的 ExpressRoute 連線，而是改用 S2S VPN，您可以使用虛擬 WAN 來傳輸內部部署 VPN 與 Azure VMware 解決方案 ExpressRoute 之間的連線。 如果您使用中樞輪輻拓撲，則需要 Azure 路由伺服器。 如需詳細資訊，請參閱 ExpressRoute 和 Azure VPN 的 Azure 路由伺服器支援。

私人雲端和叢集

• 所有叢集都可以在 Azure VMware 解決方案 私人雲端內通訊，因為它們全都共用相同的 /22 位址空間。

• 所有叢集都會共用相同的連線設定，包括因特網、ExpressRoute、HCX、公用 IP 和 ExpressRoute Global Reach。 應用程式工作負載也可以共用一些基本網路設定，例如網路區段、動態主機組態通訊協定 （DHCP） 和域名系統 （DNS） 設定。

• 在部署之前事先設計私人雲端和叢集。 您需要的私人雲端數目直接影響到您的網路需求。 每個私人雲端都需要自己的 /22 位址空間，以進行私人雲端管理和VM 工作負載的 IP 位址區段。 請考慮事先定義這些地址空間。

• 與您的 VMware 和網路小組討論如何分割和散發私人雲端、叢集和工作負載的網路區段。 妥善規劃並避免浪費IP位址。

如需管理私人雲端IP位址的詳細資訊，請參閱 定義私人雲端管理的IP位址區段。

如需管理 VM 工作負載 IP 位址的詳細資訊，請參閱 定義 VM 工作負載的 IP 位址區段。

DNS 和 DHCP

針對 DHCP，請使用 NSX-T 資料中心內建的 DHCP 服務，或使用私人雲端中的本機 DHCP 伺服器。 請勿透過 WAN 將廣播 DHCP 流量路由傳送回內部部署網路。

針對 DNS，視您採用的案例和需求而定，您有多個選項：

• 僅適用於 Azure VMware 解決方案 環境，您可以在 Azure VMware 解決方案 私人雲端中部署新的 DNS 基礎結構。
• 若要 Azure VMware 解決方案 連線到內部部署環境，您可以使用現有的 DNS 基礎結構。 如有必要，請部署 DNS 轉寄站以擴充至 Azure 虛擬網絡，或最好是部署到 Azure VMware 解決方案。 如需詳細資訊，請參閱 新增 DNS 轉寄站服務。
• 針對連線至內部部署與 Azure 環境和服務的 Azure VMware 解決方案，您可以在中樞虛擬網路中使用現有的 DNS 伺服器或 DNS 轉寄站。 您也可以將現有的內部部署 DNS 基礎結構延伸至 Azure 中樞虛擬網路。 如需詳細資訊，請參閱 企業級登陸區域圖表。

如需詳細資訊，請參閱下列文章：

• DHCP 和 DNS 解析考慮
• 設定 Azure VMware 解決方案的 DHCP
• 在 L2 延展的 VMware HCX 網路上設定 DHCP
• 在 Azure 入口網站 中設定 DNS 轉寄站

網際網路

開啟因特網和篩選和檢查流量的輸出選項包括：

• 使用 Azure 因特網存取的 Azure 虛擬網絡、NVA 和 Azure 路由伺服器。
• 使用內部部署因特網存取的內部部署預設路由。
• 使用 Azure 因特網存取，使用 Azure 防火牆 或 NVA 的虛擬 WAN 安全中樞。

傳遞內容與應用程式的輸入選項包括：

• Azure 應用程式閘道 L7、安全套接字層 （SSL） 終止和 Web 應用程式防火牆。
• 來自內部部署的DNAT和負載平衡器。
• 各種案例中的 Azure 虛擬網絡、NVA 和 Azure 路由伺服器。
• 具有 Azure 防火牆、L4 和 DNAT 的虛擬 WAN 安全中樞。
• 在各種案例中，具有 NVA 的虛擬 WAN 安全中樞。

ExpressRoute

Azure VMware 解決方案 現成的私人雲端部署會自動建立一個免費的 10 Gbps ExpressRoute 線路。 此線路會將 Azure VMware 解決方案 連接到 D-MSEE。

請考慮在數據中心附近的 Azure 配對區域中部署 Azure VMware 解決方案。 如需 Azure VMware 解決方案 雙區域網路拓撲的建議，請檢閱本文。

Global Reach

• Global Reach 是 Azure VMware 解決方案 與內部部署數據中心、Azure 虛擬網絡 和虛擬 WAN 通訊的必要 ExpressRoute 附加元件。 替代方式是設計與 Azure Route Server 的網路連線。

• 您可以使用 Global Reach，將 Azure VMware 解決方案 ExpressRoute 線路與其他 ExpressRoute 線路對等互連。

• 您可以使用 Global Reach 透過 ISP 和 ExpressRoute Direct 線路對等互連 ExpressRoute 線路。

• ExpressRoute 本機線路不支援 Global Reach。 針對 ExpressRoute Local，請透過 Azure 虛擬網路中的第三方 NVA，從 Azure VMware 解決方案 傳輸至內部部署資料中心。

• 全域觸達無法在所有位置使用。

頻寬

選擇適當的虛擬網路網關 SKU，以取得 Azure VMware 解決方案 與 Azure 虛擬網絡 之間的最佳頻寬。 Azure VMware 解決方案 最多支援四個 ExpressRoute 線路到一個區域中的 ExpressRoute 閘道。

網路安全性

網路安全性涉及流量檢查和埠鏡像。

SDDC 內的東西向流量檢查會使用 NSX-T 資料中心或 NVA 來檢查跨區域的 Azure 虛擬網絡 流量。

南北交通檢查會檢查 Azure VMware 解決方案 與數據中心之間的雙向流量。 南北交通檢查可以使用：

• 透過 Azure 因特網的第三方防火牆 NVA 和 Azure 路由伺服器。
• 透過內部部署因特網的內部部署預設路由。
• 透過 Azure 因特網 Azure 防火牆 和虛擬 WAN
• 透過 Azure VMware 解決方案 因特網在 SDDC 內的 NSX-T 資料中心。
• 透過 Azure VMware 解決方案 因特網在 SDDC 內 Azure VMware 解決方案 的第三方防火牆 NVA

埠和通訊協定需求

為內部部署防火牆設定所有必要的埠，以確保能夠正確存取所有 Azure VMware 解決方案 私人雲端元件。 如需詳細資訊，請參閱 必要的網路埠。

Azure VMware 解決方案 管理存取

• 請考慮在 Azure 虛擬網絡 中使用 Azure Bastion 主機，在部署期間存取 Azure VMware 解決方案 環境。

• 建立內部部署環境的路由之後，Azure VMware 解決方案 管理網路不會接受0.0.0.0/0來自內部部署網路的路由，因此您必須為內部部署網路公告更特定的路由。

商務持續性、災害復原（BCDR）和移轉

• 在 VMware HCX 移轉中，預設閘道會保留在內部部署。 如需詳細資訊，請參閱 部署和設定 VMware HCX。

• VMware HCX 移轉可以使用 HCX L2 擴充功能。 需要第 2 層擴充功能的移轉也需要 ExpressRoute。 只要最低 網路最低需求 是 net，就支援 S2S VPN。 最大傳輸單位 （MTU） 大小應為 1350，以容納 HCX 的額外負荷。 如需第 2 層延伸模塊設計的詳細資訊，請參閱管理員模式中的第 2 層橋接 （VMware.com）。

下一步

• 如需中樞和輪輻網路中 Azure VMware 解決方案 的詳細資訊，請參閱在中樞和輪輻架構中整合 Azure VMware 解決方案。

• 如需 VMware NSX-T 資料中心網路區段的詳細資訊，請參閱使用 Azure VMware 解決方案 設定 NSX-T 資料中心網路元件。

• 若要瞭解 雲端採用架構 企業級登陸區域架構原則、各種設計考慮，以及 Azure VMware 解決方案 的最佳做法，請參閱本系列中的下一篇文章：

  單一區域中樞和輪輻拓撲