تخطيط الشبكة والاتصالية الخاصة بـ Azure VMware Solution

مقالة
04/25/2023

عند استخدام مركز بيانات محدد بالبرامج VMware (SDDC) مع نظام Azure البيئي السحابي، لديك مجموعة فريدة من اعتبارات التصميم التي يجب اتباعها لكل من السيناريوهات الأصلية والمختلطة على السحابة. توفر هذه المقالة الاعتبارات الرئيسية وأفضل الممارسات للشبكات والاتصال من وإلى وداخل عمليات توزيع Azure وAzure VMware Solution .

تعتمد المقالة على العديد من المبادئ والتوصيات المعمارية للمناطق المنتقل إليها على نطاق المؤسسة في Cloud Adoption Framework لإدارة تخطيط الشبكة والاتصال على نطاق واسع. يمكنك استخدام إرشادات منطقة تصميم منطقة هبوط Azure هذه لمنصات Azure VMware Solution المهمة. تشمل مناطق التصميم ما يلي:

التكامل المختلط للاتصال بين المستخدمين المحليين ومتعددة السحابة والحافة والعالمية. لمزيد من المعلومات، راجع دعم على نطاق المؤسسة للهجين ومتعددة السحابات.
الأداء والموثوقية على نطاق واسع لقابلية توسع حمل العمل وتجربة متسقة ومنخفضة زمن الانتقال. تتناول مقالة لاحقة عمليات توزيع المنطقة المزدوجة.
أمان الشبكة المستند إلى الثقة المعدومة لمحيط الشبكة وأمان تدفق نسبة استخدام الشبكة. لمزيد من المعلومات، راجع استراتيجيات أمان الشبكة على Azure.
قابلية التوسع للتوسع السهل لبصمات الشبكة دون الحاجة إلى إعادة تصميم.

اعتبارات التصميم العام وتوصياته

توفر الأقسام التالية اعتبارات وتوصيات تصميم عامة لطوبولوجيا شبكة Azure VMware Solution والاتصال.

مخطط شبكة Hub-spoke مقابل طوبولوجيا شبكة WAN الظاهرية

إذا لم يكن لديك اتصال ExpressRoute من محلي إلى Azure وكنت تستخدم بدلا من ذلك S2S VPN، يمكنك استخدام Virtual WAN لنقل الاتصال بين VPN المحلي وAzure VMware Solution ExpressRoute. إذا كنت تستخدم طوبولوجيا محورية، فأنت بحاجة إلى Azure Route Server. لمزيد من المعلومات، راجع دعم Azure Route Server ل ExpressRoute وAzure VPN.

المجموعات والسحب الخاصة

يمكن لجميع المجموعات الاتصال داخل سحابة خاصة ل Azure VMware Solution لأنها تشترك جميعا في نفس مساحة العنوان /22.
تشترك جميع المجموعات في نفس إعدادات الاتصال، بما في ذلك الإنترنت وExpressRoute وHCX وIP العام وExpressRoute Global Reach. يمكن لأحمال عمل التطبيق أيضا مشاركة بعض إعدادات الشبكات الأساسية مثل مقاطع الشبكة وبروتوكول تكوين المضيف الديناميكي (DHCP) وإعدادات نظام أسماء المجالات (DNS).
تصميم السحب الخاصة والمجموعات مسبقا قبل التوزيع الخاص بك. يؤثر عدد السحب الخاصة التي تحتاجها مباشرة على متطلبات الشبكات الخاصة بك. تتطلب كل سحابة خاصة مساحة عنوان /22 الخاصة بها لإدارة السحابة الخاصة وقطاع عنوان IP لأحمال عمل الجهاز الظاهري. ضع في اعتبارك تحديد مساحات العناوين هذه مسبقا.
ناقش مع فرق VMware والشبكات كيفية تقسيم وتوزيع السحب الخاصة بك والمجموعات وشرائح الشبكة لأحمال العمل. التخطيط بشكل جيد وتجنب إهدار عناوين IP.

لمزيد من المعلومات حول إدارة عناوين IP للسحب الخاصة، راجع تحديد مقطع عنوان IP لإدارة السحابة الخاصة.

لمزيد من المعلومات حول إدارة عناوين IP لأحمال عمل الجهاز الظاهري، راجع تحديد مقطع عنوان IP لأحمال عمل الجهاز الظاهري.

DNS وDHCP

بالنسبة إلى DHCP، استخدم خدمة DHCP المضمنة في مركز بيانات NSX-T، أو استخدم خادم DHCP محليا في سحابة خاصة. لا توجه حركة مرور DHCP البث عبر شبكة WAN مرة أخرى إلى الشبكات المحلية.

بالنسبة إلى DNS، اعتمادا على السيناريو الذي تعتمده ومتطلباتك، لديك خيارات متعددة:

بالنسبة لبيئة Azure VMware Solution فقط، يمكنك نشر بنية أساسية DNS جديدة في سحابة Azure VMware Solution الخاصة بك.
بالنسبة إلى Azure VMware Solution المتصل ببيئة محلية، يمكنك استخدام البنية الأساسية ل DNS الموجودة. إذا لزم الأمر، قم بتوزيع معادي توجيه DNS للتوسع إلى شبكة Azure الظاهرية أو، ويفضل، في Azure VMware Solution. لمزيد من المعلومات، راجع إضافة خدمة إعادة توجيه DNS.
بالنسبة إلى Azure VMware Solution المتصل بكل من البيئات والخدمات المحلية وبيئات Azure، يمكنك استخدام خوادم DNS الموجودة أو معادي توجيه DNS في الشبكة الظاهرية للمركز إذا كانت متوفرة. يمكنك أيضا توسيع البنية الأساسية DNS المحلية الحالية إلى الشبكة الظاهرية لمركز Azure. للحصول على التفاصيل، راجع الرسم التخطيطي للمناطق المنتقل إليها على نطاق المؤسسة.

لمزيد من المعلومات، راجع المقالات التالية:

الإنترنت

تتضمن الخيارات الصادرة لتمكين الإنترنت وتصفية وفحص نسبة استخدام الشبكة ما يلي:

Azure Virtual Network وNVA وAzure Route Server باستخدام الوصول إلى إنترنت Azure.
المسار الافتراضي المحلي باستخدام الوصول إلى الإنترنت المحلي.
مركز شبكة WAN الظاهرية الآمنة باستخدام جدار حماية Azure أو NVA، باستخدام الوصول إلى إنترنت Azure.

تتضمن الخيارات الواردة لتقديم المحتوى والتطبيقات ما يلي:

بوابة تطبيق Azure مع L7 وإنهاء طبقة مآخذ التوصيل الآمنة (SSL) وجدار حماية تطبيق الويب.
DNAT وموازن التحميل من أماكن العمل.
Azure Virtual Network وNVA وAzure Route Server في سيناريوهات مختلفة.
مركز شبكة WAN الظاهرية الآمنة مع جدار حماية Azure، مع L4 و DNAT.
مركز شبكة WAN الظاهرية الآمنة مع NVA في سيناريوهات مختلفة.

ExpressRoute

نشر السحابة الخاصة الجاهزة في Azure VMware Solution تلقائيا دائرة ExpressRoute واحدة مجانية سعة 10 جيجابت في الثانية. تربط هذه الدائرة Azure VMware Solution ب D-MSEE.

ضع في اعتبارك نشر Azure VMware Solution في المناطق المقترنة ب Azure بالقرب من مراكز البيانات الخاصة بك.

الوصول العالمي

Global Reach هي وظيفة ExpressRoute إضافية مطلوبة ل Azure VMware Solution للتواصل مع مراكز البيانات المحلية وشبكة Azure الظاهرية و Virtual WAN. البديل هو تصميم اتصال الشبكة باستخدام Azure Route Server.
يمكنك تناظر دائرة Azure VMware Solution ExpressRoute مع دوائر ExpressRoute الأخرى باستخدام Global Reach دون أي رسوم.
يمكنك استخدام Global Reach لنظير دوائر ExpressRoute من خلال ISP والدوائر المباشرة ExpressRoute.
Global Reach غير مدعوم لدوائر ExpressRoute المحلية. بالنسبة إلى ExpressRoute Local، قم بالعبور من Azure VMware Solution إلى مراكز البيانات المحلية عبر NVAs التابعة لجهة خارجية في شبكة Azure الظاهرية.
لا يتوفر Global Reach في جميع المواقع.

النطاق الترددي

اختر SKU لبوابة الشبكة الظاهرية المناسبة للنطاق الترددي الأمثل بين Azure VMware Solution وAzure Virtual Network. يدعم Azure VMware Solution أربع دوائر ExpressRoute كحد أقصى إلى بوابة ExpressRoute في منطقة واحدة.

أمان الشبكة

يتضمن أمان الشبكة فحص نسبة استخدام الشبكة وانعكاس المنفذ.

يستخدم فحص نسبة استخدام الشبكة بين الشرق والغرب داخل SDDC مركز بيانات NSX-T أو NVAs لفحص نسبة استخدام الشبكة إلى شبكة Azure الظاهرية عبر المناطق.

فحص نسبة استخدام الشبكة بين الشمال والجنوب يفحص تدفق نسبة استخدام الشبكة ثنائي الاتجاه بين Azure VMware Solution ومراكز البيانات. يمكن أن يستخدم فحص حركة المرور بين الشمال والجنوب ما يلي:

جدار حماية تابع لجهة خارجية NVA وAzure Route Server عبر إنترنت Azure.
مسار افتراضي محلي عبر الإنترنت المحلي.
Azure Firewall و Virtual WAN عبر Azure internet
مركز بيانات NSX-T داخل SDDC عبر الإنترنت Azure VMware Solution.
جدار حماية NVA تابع لجهة خارجية في Azure VMware Solution داخل SDDC عبر الإنترنت Azure VMware Solution

متطلبات المنافذ والبروتوكول

قم بتكوين جميع المنافذ الضرورية لجدار حماية محلي لضمان الوصول المناسب إلى جميع مكونات السحابة الخاصة ل Azure VMware Solution. لمزيد من المعلومات، راجع منافذ الشبكة المطلوبة.

الوصول إلى إدارة Azure VMware Solution

ضع في اعتبارك استخدام مضيف Azure Bastion في شبكة Azure الظاهرية للوصول إلى بيئة Azure VMware Solution أثناء النشر.
بمجرد إنشاء التوجيه إلى البيئة المحلية الخاصة بك، لا تحترم 0.0.0.0/0 شبكة إدارة Azure VMware Solution المسارات من الشبكات المحلية، لذلك تحتاج إلى الإعلان عن مسارات أكثر تحديدا لشبكاتك المحلية.

استمرارية الأعمال والإصلاح بعد كارثة (BCDR) والترحيلات

في عمليات ترحيل VMware HCX، تظل البوابة الافتراضية محلية. لمزيد من المعلومات، راجع نشر وتكوين VMware HCX.
يمكن أن تستخدم عمليات ترحيل VMware HCX ملحق HCX L2. تتطلب عمليات الترحيل التي تتطلب ملحق الطبقة 2 أيضا ExpressRoute. يتم دعم S2S VPN طالما أن الحد الأدنى لمتطلبات الحد الأدنى للشبكة هو صافي. يجب أن يكون الحد الأقصى لحجم وحدة الإرسال (MTU) 1350 لاستيعاب النفقات العامة ل HCX. لمزيد من المعلومات حول تصميم ملحق الطبقة 2، راجع تجسير الطبقة 2 في وضع المدير (VMware.com).

الخطوات التالية

لمزيد من المعلومات حول Azure VMware Solution في شبكات المركز والتحدث، راجع دمج Azure VMware Solution في بنية المركز والتحدث.
لمزيد من المعلومات حول مقاطع شبكة مركز بيانات VMware NSX-T، راجع تكوين مكونات شبكة مركز بيانات NSX-T باستخدام Azure VMware Solution.
لمعرفة المبادئ المعمارية للمنطقة المنتقل إليها على نطاق المؤسسة في Cloud Adoption Framework، واعتبارات التصميم المختلفة، وأفضل الممارسات ل Azure VMware Solution، راجع المقالة التالية في هذه السلسلة:

تخطيطات محورية لمركز & منطقة واحدة

Share via