قائمة فحص تخطيط الشبكات لـ Azure VMware Solution
يوفر Azure VMware Solution بيئة سحابية خاصة ل VMware يمكن للمستخدمين والتطبيقات الوصول إليها من البيئات أو الموارد المحلية والمستندة إلى Azure. يتم تسليم الاتصال من خلال خدمات الشبكات مثل Azure ExpressRoute واتصالات VPN. مطلوب نطاقات عناوين شبكة اتصال محددة ومنافذ جدار الحماية لتمكين هذه الخدمات. تساعدك هذه المقالة على تكوين شبكتك للعمل مع Azure VMware Solution.
في هذا البرنامج التعليمي، تعرف على:
- اعتبارات الشبكة الظاهرية ودائرة ExpressRoute
- متطلبات التوجيه والشبكة الفرعية
- منافذ الشبكة المطلوبة للاتصال بالخدمات
- اعتبارات DHCP وDNS في Azure VMware Solution
المتطلبات الأساسية
تأكد من أن جميع البوابات، بما في ذلك خدمة موفر ExpressRoute، تدعم رقم النظام المستقل 4 بايت (ASN). إذ تستخدم خدمة Azure VMware Solution أرقام النظام المستقل العامة من النوع 4 بايت لمسارات الإعلانات.
اعتبارات الشبكة الظاهرية ودائرة ExpressRoute
عند إنشاء اتصال شبكة ظاهرية في اشتراكك، يتم إنشاء دائرة ExpressRoute من خلال التناظر، باستخدام مفتاح المصادقة ومعرف التناظر الذي تطلبه في مدخل Azure. ويعد التناظر عبارة عن اتصال فردي خاص بين السحابة الخاصة والشبكة الظاهرية.
إشعار
لا تُعد دائرة ExpressRoute جزءاً من عملية نشر سحابة خاصة. وتُعد دائرة ExpressRoute المحلية خارج نطاق هذه الوثيقة. إذا كنت بحاجة إلى اتصال محلي بالسحابة الخاصة بك، فاستخدم إحدى دوائر ExpressRoute الحالية أو اشتر واحدة في مدخل Microsoft Azure.
عند نشر سحابة خاصة، تتلقى عناوين IP لخادم vCenter وNSX Manager. للوصول إلى واجهات الإدارة هذه، قم بإنشاء المزيد من الموارد في الشبكة الظاهرية لاشتراكك. ابحث عن إجراءات إنشاء هذه الموارد وإنشاء نظير خاص ل ExpressRoute في البرامج التعليمية.
تتضمن الشبكات المنطقية السحابية الخاصة تكوين NSX تم توفيره مسبقا. ويتم توفير بوابة من المستوى 0 وبوابة من المستوى 1 مسبقاً لك. ويمكنك إنشاء مقطع وإرفاقه بالبوابة الموجودة من المستوى 1 أو إرفاقه ببوابة جديدة من المستوى 1 التي تقوم بتعريفها. توفر مكونات الشبكة المنطقية NSX اتصالا بين الشرق والغرب بين أحمال العمل والاتصال بين الشمال والجنوب بالإنترنت وخدمات Azure.
هام
إذا كنت تخطط لتوسيع نطاق مضيفي Azure VMware Solution باستخدام مخازن بيانات Azure NetApp Files، فإن نشر vNet بالقرب من المضيفين باستخدام بوابة شبكة ظاهرية ExpressRoute أمر بالغ الأهمية. كلما اقتربت مساحة التخزين من المضيفين، أصبح الأداء أفضل.
اعتبارات التوجيه والشبكة الفرعية
تتصل السحابة الخاصة Azure VMware Solution بشبكة Azure الظاهرية باستخدام اتصال Azure ExpressRoute. ويتيح لك هذا الاتصال ذو النطاق الترددي العالي وزمن الوصول المنخفض، إمكانية الوصول إلى الخدمات التي تعمل في اشتراك Azure الخاص بك من بيئة السحابة الخاصة. يستخدم التوجيه بروتوكول بوابة الحدود (BGP)، ويتم توفيره تلقائيا وتمكينه افتراضيا لكل نشر سحابة خاصة.
تتطلب السحب الخاصة ل Azure VMware Solution الحد الأدنى /22 من كتلة عنوان شبكة CIDR للشبكات الفرعية. تكمل هذه الشبكة الشبكات المحلية، لذلك يجب ألا تتداخل كتلة العنوان مع كتل العناوين المستخدمة في الشبكات الظاهرية الأخرى في اشتراكك والشبكات المحلية. يتم توفير شبكات الإدارة والتزويد وvMotion تلقائيا ضمن كتلة العنوان هذه.
إشعار
وتُعد النطاقات المسموح بها لكتلة العنوان هي مسافات العنوان الخاص RFC 1918 (10.0.0.0/8، 172.16.0.0/12، 192.168.0.0/16)، باستثناء 172.17.0.0/16.
هام
تجنب استخدام مخططات IP التالية المحجوزة لاستخدام NSX:
- 169.254.0.0/24 - يستخدم لشبكة النقل الداخلي
- 169.254.2.0/23 - يستخدم لشبكة النقل العابر بين VRF
- 100.64.0.0/16 - يستخدم لتوصيل بوابات T1 وT0 داخليا
مثال كتلة عنوان شبكة CIDR /22: 10.10.0.0/22
الشبكات الفرعية:
| استخدام الشبكة | الوصف | الشبكة الفرعية | مثال |
|---|---|---|---|
| إدارة السحابة الخاصة | Management Network (مثل vCenter وNSX) | /26 |
10.10.0.0/26 |
| عمليات ترحيل HCX Mgmt | الاتصال المحلي لأجهزة HCX (الارتباطات الهابطة) | /26 |
10.10.0.64/26 |
| تم حجز الوصول العالمي | واجهة صادرة ل ExpressRoute | /26 |
10.10.0.128/26 |
| خدمة NSX DNS | خدمة NSX DNS المضمنة | /32 |
10.10.0.192/32 |
| محجوز | محجوز | /32 |
10.10.0.193/32 |
| محجوز | محجوز | /32 |
10.10.0.194/32 |
| محجوز | محجوز | /32 |
10.10.0.195/32 |
| محجوز | محجوز | /30 |
10.10.0.196/30 |
| محجوز | محجوز | /29 |
10.10.0.200/29 |
| محجوز | محجوز | /28 |
10.10.0.208/28 |
| تناظر ExpressRoute | إقران ExpressRoute | /27 |
10.10.0.224/27 |
| إدارة ESXi | واجهات VMkernel لإدارة ESXi | /25 |
10.10.1.0/25 |
| شبكة vMotion | واجهات vMotion VMkernel | /25 |
10.10.1.128/25 |
| شبكة النسخ | واجهات vSphere Replication | /25 |
10.10.2.0/25 |
| vSAN | واجهات vSAN VMkernel واتصال العقدة | /25 |
10.10.2.128/25 |
| ارتباط HCX | ارتباطات HCX IX وأجهزة NE إلى النظراء البعيدين | /26 |
10.10.3.0/26 |
| محجوز | محجوز | /26 |
10.10.3.64/26 |
| محجوز | محجوز | /26 |
10.10.3.128/26 |
| محجوز | محجوز | /26 |
10.10.3.192/26 |
منافذ الشبكة المطلوبة
| المصدر | الوجهة | البروتوكول | المنفذ | الوصف |
|---|---|---|---|---|
| خادم DNS سحابي خاص | خادم DNS محلي | بروتوكول مخطط بيانات المستخدم | 53 | عميل DNS - إعادة توجيه الطلبات من Private Cloud vCenter Server لأي استعلامات DNS محلية (راجع قسم DNS). |
| خادم DNS محلي | خادم DNS سحابي خاص | بروتوكول مخطط بيانات المستخدم | 53 | عميل DNS - إعادة توجيه الطلبات من الخدمات المحلية إلى خوادم DNS السحابية الخاصة (راجع قسم DNS) |
| شبكة داخلي | خادم vCenter السحابي الخاص | TCP (HTTP) | 80 | يتطلب خادم vCenter وجود المنفذ 80 لاتصالات HTTP المباشرة. إذ يُعيد المنفذ 80 توجيه الطلبات إلى منفذ HTTPS 443. وتساعد إعادة التوجيه هذه في حال استخدام http://server بدلاً من https://server. |
| شبكة إدارة السحابة الخاصة | Active Directory الداخلي | TCP | 389/636 | تمكين خادم Azure VMware Solutions vCenter للاتصال بخادم (خوادم) Active Directory محلي/LDAP. اختياري لتكوين AD المحلي كمصدر هوية على Private Cloud vCenter. هذا ويوصى باستخدام المنفذ 636 لأغراض أمنية. |
| شبكة إدارة السحابة الخاصة | خدمات مجال Active Directory Global Catalog المحلي | TCP | 3268/3269 | تمكين خادم Azure VMware Solutions vCenter للاتصال بخادم (خوادم) الكتالوج العمومي Active Directory محلي/LDAP. اختياري لتكوين AD المحلي كمصدر هوية على خادم VCenter للسحابة الخاصة. استخدم المنفذ 3269 للأمان. |
| شبكة داخلي | خادم vCenter السحابي الخاص | TCP (HTTPS) | 443 | الوصول إلى خادم vCenter من شبكة محلية. المنفذ الافتراضي لخادم vCenter للاستماع إلى اتصالات عميل vSphere. ولتمكين نظام خادم vCenter لتلقي البيانات من عميل vSphere، افتح المنفذ 443 في جدار الحماية. ويستخدم نظام خادم vCenter أيضاً المنفذ 443 لمراقبة عملية نقل البيانات من عملاء SDK. |
| شبكة داخلي | HCX Cloud Manager | TCP (HTTPS) | 9443 | واجهة إدارة الأجهزة الظاهرية HCX Cloud Manager لتكوين نظام HCX. |
| شبكة مسؤول المحلية | HCX Cloud Manager | SSH | 22 | وصول مسؤول istrator SSH إلى الجهاز الظاهري HCX Cloud Manager. |
| HCX Manager | الاتصال البيني (HCX-IX) | TCP (HTTPS) | 8123 | HCX Bulk Migration Control. |
| HCX Manager | Interconnect (HCX-IX)، ملحق الشبكة (HCX-NE) | TCP (HTTPS) | 9443 | إرسال إرشادات الإدارة إلى HCX Interconnect المحلي باستخدام واجهة برمجة تطبيقات REST. |
| الاتصال البيني (HCX-IX) | L2C | TCP (HTTPS) | 443 | إرسال إرشادات الإدارة من Interconnect إلى L2C عندما يستخدم L2C نفس المسار مثل Interconnect. |
| HCX Manager، Interconnect (HCX-IX) | ESXi Hosts | TCP | 80,443,902 | الإدارة ونشر OVF. |
| Interconnect (HCX-IX)، ملحق الشبكة (HCX-NE) في المصدر | Interconnect (HCX-IX)، ملحق الشبكة (HCX-NE) في الوجهة | بروتوكول مخطط بيانات المستخدم | 4500 | مطلوب لـ IPSEC مفتاح الإنترنت التبادلي (IKEv2) مخصص لتغليف أحمال العمل للنفق ثنائي الاتجاه. يدعم Network Address Translation-Traversal (NAT-T). |
| الاتصال الداخلي (HCX-IX) | اتصال سحابي (HCX-IX) | بروتوكول مخطط بيانات المستخدم | 4500 | مطلوب لـ IPSEC Internet Key Exchange (ISAKMP) للنفق ثنائي الاتجاه. |
| شبكة خادم vCenter المحلية | شبكة إدارة السحابة الخاصة | TCP | 8000 | vMotion للأجهزة الظاهرية من خادم vCenter المحلي إلى Private Cloud vCenter Server |
| HCX الاتصال or | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect مطلوب للتحقق من صحة مفتاح الترخيص.hybridity مطلوب للتحديثات. |
يقدم هذا الجدول قواعد جدار الحماية الشائعة للسيناريوهات النموذجية. ومع ذلك، قد تحتاج إلى النظر في المزيد من العناصر عند تكوين قواعد جدار الحماية. لاحظ عندما يقول المصدر والوجهة "محليا"، تكون هذه المعلومات ذات صلة فقط إذا كان مركز البيانات الخاص بك يحتوي على جدار حماية يفحص التدفقات. إذا لم يكن للمكونات المحلية جدار حماية للفحص، يمكنك تجاهل هذه القواعد.
لمزيد من المعلومات، راجع القائمة الكاملة لمتطلبات منفذ VMware HCX.
اعتبارات تحليل DHCP وDNS
تتطلب التطبيقات وأحمال العمل التي تعمل في بيئة سحابية خاصة تحليل الاسم وخدمات DHCP للبحث وتعيينات عناوين IP. ويلزم توافر البنية الأساسية المناسبة لـ DHCP وDNS لتوفير هذه الخدمات. يمكنك تكوين جهاز ظاهري لتوفير تلك الخدمات في البيئة السحابية الخاصة.
استخدم خدمة DHCP المضمنة في مركز بيانات NSX-T أو استخدم خادم DHCP محليا في السحابة الخاصة بدلا من توجيه بث حركة مرور DHCP عبر شبكة WAN مرة أخرى إلى أماكن العمل.
هام
إذا قمت بالإعلان عن مسار افتراضي إلى Azure VMware Solution، فيجب عليك السماح لموجه DNS بالوصول إلى خوادم DNS المكونة ويجب أن تدعم تحليل الاسم العام.
الخطوات التالية
في هذا البرنامج التعليمي، تعرفت على الاعتبارات والمتطلبات اللازمة لنشر سحابة خاصة من Azure VMware Solution. وبمجرد أن تكون لديك الشبكة المناسبة، تابع إلى البرنامج التعليمي التالي لإنشاء سحابة خاصة لـ Azure VMware Solution.