Azure VMware 解決方案的運作方式
在您了解 Azure VMware 解決方案的內容及其功用後,現在讓我們來看看它在 Azure 上的設定和運作方式。
共用支援
內部部署 VMware 環境要求客戶支援平台執行所需的所有硬體和軟體。 Azure VMware 解決方案則不然。 Microsoft 會為客戶維護該平台。 讓我們來看看客戶負責管理的項目,以及 Microsoft 負責管理的項目。
下表:Microsoft manages = Blue,Customer manages = Grey
在與 VMware 合作的過程中,Microsoft 負責管理 VMware 軟體的生命週期 (ESXi、vCenter 和 vSAN)。 Microsoft 也與 VMware 合作管理 NSX-T 設備的生命週期,進而啟動網路設定,例如建立第 0 層閘道並啟用北/南路由。
客戶負責 NSX-T SDN 設定:
- 網路區段
- 分散式防火牆規則
- 第 1 層閘道
- 負載平衡器
監視和補救
Azure VMware 解決方案會持續同時監視基礎和 VMware 元件的健康情況。 如果 Azure VMware 解決方案偵測到失敗,就會採取動作來修復失敗的元件。 當 Azure VMware 解決方案偵測到 Azure VMware 解決方案節點上的效能降低或發生失敗時,就會觸發主機補救程序。
主機補救牽涉到將故障的節點取代為叢集中狀況良好的新節點。 如此一來,故障的主機可能會放在 VMware vSphere 維修模式。 VMware vMotion 會將 VM 從故障的主機移至叢集中的其他可用伺服器,從而讓工作負載即時移轉的零停機時間有機會實現。 如果故障的主機無法放在維修模式中,則會將主機從叢集中移除。
Azure VMware 解決方案會監視主機上的下列情況:
- 處理器狀態
- 記憶體狀態
- 連接和電源狀態
- 硬體風扇狀態
- 網路連線能力遺失
- 硬體系統面板狀態
- vSAN 主機的磁碟發生錯誤
- 硬體電壓
- 硬體溫度狀態
- 硬體電源狀態
- 儲存體狀態
- 連線失敗
Azure 中的私人雲端、叢集和主機
Azure VMware 解決方案提供可包含 vSphere 叢集的私人雲端。 這些叢集是從專屬裸機 Azure 主機中建置。
每個私人雲端都可以有多個叢集,這些叢集都是由相同的 vCenter 伺服器及 NSX-T 管理員所管理。 私人雲端是透過 Azure 訂用帳戶內進行安裝和管理。 訂用帳戶內的私人雲端數目是可調整的。 一開始,每個訂用帳戶都會有一個私人雲端的限制。
每個建立的私人雲端,預設都有一個 vSphere 叢集。 您可以使用 Azure 入口網站或使用 API,來新增、刪除及調整叢集。 Microsoft 會依據核心、記憶體和儲存需求,提供節點設定。 選擇適合您區域的節點類型;最常見的選擇是 AV36。
節點設定的上下限為:
- 一個叢集至少 3 個節點
- 一個叢集最多 16 個節點
- 一個 Azure 私人雲端最多 12 個叢集
- 一個 Azure 私人雲端最多 96 個節點
每部高階主機都具有 576 GB 的 RAM,以及兩顆 Intel 18 核心和 2.3 GHz 的處理器。 高端主機具有兩個 vSAN 磁碟群組,其包含 15.20 TB (SSD) 的原始 vSAN 容量層和 3.2 TB (NVMe) 的 vSAN 快取層。
您可以使用 vSphere 和 NSX-T 管理員,來管理叢集設定或作業的大部分層面。 叢集中每部主機的所有本機儲存體都受到 vSAN 的控制。 解決方案中每部 ESXi 主機都設定了四個 25-Gbps 的 NIC、為 ESXi 系統流量佈建的兩個 NIC,以及為工作負載流量佈建的兩個 NIC。
以下是 Azure VMware 解決方案新部署之私人雲端叢集中使用的 VMware 軟體版本:
| 軟體 | 版本 |
|---|---|
| VMware vCenter Server | 7.0 U3c |
| ESXi | 7.0 U3c |
| vSAN | 7.0 U3c |
| vSAN 磁碟上的格式 | 10 |
| HCX | 4.4.2 |
| VMware NSX-T 資料中心 注意: VMware NSX-T 資料中心是唯一受支援的 NSX 資料中心版本。 |
3.1.2 |
NSX-T 是唯一受支援的 NSX 版本。 將新的叢集新增至現有的私人雲端時,會套用目前執行中的軟體版本。
將 Azure VMware 解決方案部署至訂閱後,就會自動產生 Azure 監視器記錄。 您可以使用 Azure 監視器記錄來監視 Azure VMware 解決方案內的 VM 模式。
Azure 的互連能力
您可從內部部署和 Azure 型資源存取 Azure VMware 解決方案提供的私人雲端環境。 下列服務提供互連能力:
- Azure ExpressRoute
- VPN 連線
- Azure Virtual WAN
下圖顯示 Azure VMware 解決方案的 ExpressRoute 和 ExpressRoute Global Reach 互連能力方法。
這些服務需要您啟用特定的網路位址範圍和防火牆連接埠。
您可以使用現有的 ExpressRoute 閘道連線至 Azure VMware 解決方案,前提是每個虛擬網路不可超過四個 ExpressRoute 線路。 若要透過 ExpressRoute 從內部部署存取 Azure VMware 解決方案,您必須擁有 ExpressRoute Global Reach。
ExpressRoute Global Reach 可用來將私人雲端連線至內部部署環境。 連線需要虛擬網路,該網路具有訂用帳戶中內部部署的 ExpressRoute 線路。 Azure VMware 解決方案的私人雲端有兩個互連能力選項:
僅限 Azure 的基本互連能力可讓您在 Azure 中只使用單一虛擬網路來管理和使用私人雲端。 此實作最適合不需要從內部部署環境存取的 Azure VMware 解決方案評估或實作。
內部部署和私人雲端間的完整互連能力,可將僅限 Azure 的基本實作,擴展成包括內部部署與 Azure VMware 解決方案私人雲端之間的互連能力。
在私人雲端部署期間,會建立用於管理、佈建和 vMotion 的私人網路。 這些私人網路是用來存取 vCenter 和 NSX-T 管理員,以及虛擬機器 vMotion 或部署。
私人雲端儲存體
Azure VMware 解決方案會使用原生完整設定的全快閃 vSAN 儲存體 (位於叢集的本機)。 叢集中每部主機的所有本機儲存體都會用於 vSAN 資料存放區和預設啟用的待用資料加密。
所有磁碟群組都會使用 NVMe 快取層 (1.6 TB) 搭配每部主機 15.4 TB 的原始 SSD 基礎容量。 vSphere 叢集的每個節點上都會建立兩個磁碟群組。 每個磁碟群組都包含一個快取磁碟和三個容量磁碟。 在私人雲端部署過程中都會建立所有可立即使用的資料存放區。
在 vSphere 叢集上建立原則並套用至 vSAN 資料存放區。 這會決定在資料存放區中 VM 儲存物件的佈建和配置方式,以保證所需的服務層級。 若要維護服務等級協定,vSAN 資料存放區必須維持 25% 的備用容量。
您可以在私人雲端中執行的工作負載中使用 Azure 儲存體服務。 下圖顯示您可以搭配 Azure VMware 解決方案使用的可用儲存體服務。
安全性與合規性
Azure VMware 解決方案私人雲端會使用 vSphere 角色型存取控制,以實現存取和安全性。 您可以使用LDAP或LDAPS,使用 CLoud 管理員 角色,在 Active Directory 中設定使用者和群組。
在 Azure VMware 解決方案中,vCenter 有指派給 cloudAdmin 角色,名為 cloudadmin 的內建本機使用者。 CloudAdmin 角色具有與其他 VMware 雲端解決方案不同的 vCenter 特殊權限:
本機 cloudadmin 使用者可以連結身分識別來源,讓 Active Directory 系統管理員將權限授與 Azure VMware 解決方案的使用者。
在 Azure VMware 解決方案部署中,管理員無法存取管理員使用者帳戶。 不過,系統管理員可以將 Active Directory 的使用者和群組指派給 vCenter 上的 cloudAdmin 角色。
私人雲端使用者角色無法存取且無法設定 Microsoft 支援及管理的特定管理元件。 這些元件包括叢集、主機、資料存放區和分散式虛擬交換器等等。
Azure VMware 解決方案使用預設開啟的待用資料加密,提供 vSAN 儲存體資料存放區的安全性。 加密是以金鑰管理服務 (KMS) 為基礎,並支援進行金鑰管理的 vCenter 作業。 金鑰會以加密方式儲存,並由 Azure Key Vault 主要金鑰包裝。 將主機從叢集中移除時,SSD 上的資料會立即失效。 下圖說明加密金鑰與 Azure VMware 解決方案之間的關聯性。
Azure VMware 解決方案的部署步驟
下表概述組織開始使用 Azure VMware 解決方案時所採取的步驟。
| 里程碑 | 步驟 |
|---|---|
| 計畫 | 規劃部署 Azure VMware 解決方案: - 評定 - 要求配額 - 找出主機 - 判斷大小和連線能力 |
| 部署 | 部署及設定 Azure VMware 解決方案: - 註冊 Microsoft.AVS 資源提供者 - 建立 Azure VMware 解決方案私人雲端 - 使用 ExpressRoute 連線至 Azure 虛擬網路 - 驗證連線 |
| 連線至內部部署 | - 在內部部署 ExpressRoute 線路中建立 ExpressRoute 授權金鑰 - 將私人雲端對等互連至內部部署 - 確認內部部署網路連線能力 |
| 部署及設定 VMWare HCX | 部署及設定 VMWare HCX: - 下載 VMware HCX Connector OVA - 部署內部部署 VMware HCX OVA (VMware HCX Connector) - 啟動 VMware HCX Connector - 將內部部署 VMware HCX Connector 與 Azure VMware 解決方案 HCX 雲端管理員配對 - 設定互連 (網路設定檔、計算設定檔和服務網格) - 藉由檢查設備狀態和驗證移轉的可行性來完成設定 |