Kontrolní seznam pro plánování sítí pro Azure VMware Solution
Azure VMware Solution nabízí prostředí privátního cloudu VMware přístupné pro uživatele a aplikace z místních prostředí nebo prostředků založených na Azure. Připojení se poskytuje prostřednictvím síťových služeb, jako jsou Azure ExpressRoute připojení a připojení VPN. K povolení služeb vyžaduje konkrétní rozsahy síťových adres a porty brány firewall. Tento článek obsahuje informace, které potřebujete ke správné konfiguraci sítě pro práci s Azure VMware Solution.
V tomto kurzu získáte informace o těchto tématech:
- Aspekty virtuální sítě a okruhu ExpressRoute
- Požadavky na směrování a podsíť
- Požadované síťové porty pro komunikaci se službami
- Důležité informace o DHCP a DNS v Azure VMware Solution
Požadavek
Ujistěte se, že všechny brány, včetně služby poskytovatele ExpressRoute, podporují číslo 4 bajtů autonomního systému (ASN). Azure VMware Solution inzerování používá 4 byte veřejná asn.
Aspekty virtuální sítě a okruhu ExpressRoute
Když ve svém předplatném vytvoříte připojení k virtuální síti, vytvoří se okruh ExpressRoute prostřednictvím partnerského vztahu s použitím autorizačního klíče a ID partnerského vztahu, které si vyžádáte v Azure Portal. Partnerský vztah je privátní připojení 1:1 mezi privátním cloudem a virtuální sítí.
Poznámka
Okruh ExpressRoute není součástí nasazení privátního cloudu. Místní okruh ExpressRoute přesahuje rozsah tohoto dokumentu. Pokud požadujete místní připojení k privátnímu cloudu, můžete použít jeden ze stávajících okruhů ExpressRoute nebo si ho zakoupit v Azure Portal.
Při nasazování privátního cloudu obdržíte IP adresy pro vCenter a NSX-T Manager. Abyste k tem rozhraním pro správu měli přístup, budete muset ve virtuální síti vašeho předplatného vytvořit další prostředky. Postupy pro vytvoření těchto prostředků a vytvoření privátního partnerského vztahu ExpressRoute najdete v kurzech.
Logická síť privátního cloudu se dodává s předem zřízenou sítí NSX-T. Brána vrstvy 0 a brána vrstvy 1 jsou pro vás předem zřízené. Můžete vytvořit segment a připojit ho k existující bráně vrstvy 1 nebo ho připojit k nové bráně vrstvy 1, kterou definujete. Logické síťové komponenty NSX-T poskytují East-West mezi úlohami a North-South připojení k internetu a službám Azure.
Důležité
Pokud plánujete škálovat své hostitele Azure VMware Solution pomocí fondů disků Azure,je velmi důležité nasadit virtuální síť blízko hostitelů pomocí brány virtuální sítě ExpressRoute. Čím blíže je úložiště k vašim hostitelům, tím lepší je výkon.
Aspekty směrování a podsítě
Privátní Azure VMware Solution cloudu je připojený k vaší virtuální síti Azure pomocí Azure ExpressRoute připojení. Toto připojení s velkou šířkou pásma a nízkou latencí umožňuje přístup ke službám spuštěných ve vašem předplatném Azure z prostředí privátního cloudu. Směrování je Border Gateway Protocol (BGP), automaticky zřízené a povolené ve výchozím nastavení pro každé nasazení privátního cloudu.
Azure VMware Solution privátní cloudy vyžadují minimálně blok síťových adres CIDR pro /22 podsítě, jak je znázorněno níže. Tato síť doplňuje vaše místní sítě. Proto by se blok adres neměl překrývat s bloky adres používanými v jiných virtuálních sítích ve vašem předplatném a v místních sítích. V tomto bloku adres se automaticky zřují sítě pro správu, zřizování a vMotion.
Poznámka
Povolené rozsahy pro váš blok adres jsou privátní adresní prostory RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), s výjimkou adresy 172.17.0.0/16.
Příklad /22 bloku síťových adres CIDR: 10.10.0.0/22
Podsítě:
| Využití sítě | Podsíť | Příklad |
|---|---|---|
| Správa privátního cloudu | /26 |
10.10.0.0/26 |
| Migrace mgmt HCX | /26 |
10.10.0.64/26 |
| Global Reach vyhrazeno | /26 |
10.10.0.128/26 |
| Služba DNS NSX-T | /32 |
10.10.0.192/32 |
| Vyhrazené | /32 |
10.10.0.193/32 |
| Vyhrazené | /32 |
10.10.0.194/32 |
| Vyhrazené | /32 |
10.10.0.195/32 |
| Vyhrazené | /30 |
10.10.0.196/30 |
| Vyhrazené | /29 |
10.10.0.200/29 |
| Vyhrazené | /28 |
10.10.0.208/28 |
| Peering ExpressRoute | /27 |
10.10.0.224/27 |
| Správa ESXi | /25 |
10.10.1.0/25 |
| Síť vMotion | /25 |
10.10.1.128/25 |
| Replikační síť | /25 |
10.10.2.0/25 |
| vSAN | /25 |
10.10.2.128/25 |
| HCX Uplink | /26 |
10.10.3.0/26 |
| Vyhrazené | /26 |
10.10.3.64/26 |
| Vyhrazené | /26 |
10.10.3.128/26 |
| Vyhrazené | /26 |
10.10.3.192/26 |
Požadované síťové porty
| Zdroj | Cíl | Protokol | Port | Description |
|---|---|---|---|---|
| Server DNS privátního cloudu | Místní server DNS | UDP | 53 | Klient DNS – Předávání požadavků ze serveru PC vCenter pro všechny místní dotazy DNS (viz část DNS níže). |
| Místní server DNS | Server DNS privátního cloudu | UDP | 53 | Klient DNS – Předávání požadavků z místních služeb na servery DNS privátního cloudu (viz část DNS níže) |
| Místní síť | Server vCenter privátního cloudu | TCP(HTTP) | 80 | vCenter Server připojení HTTP vyžaduje port 80. Port 80 přesměruje požadavky na port HTTPS 443. Toto přesměrování vám pomůže, pokud místo http://server použijete https://server . |
| Síť pro správu privátního cloudu | Místní služby Active Directory | TCP | 389/636 | Tyto porty jsou otevřené a umožňují komunikaci mezi službou Azure VMware Solutions vCenter a místní Active Directory servery LDAP. Tyto porty jsou volitelné – pro konfiguraci místní služby AD jako zdroje identity ve vCenter privátního cloudu. Pro účely zabezpečení se doporučuje port 636. |
| Síť pro správu privátního cloudu | Místní globální katalog služby Active Directory | TCP | 3268/3269 | Tyto porty jsou otevřené a umožňují komunikaci serveru Azure VMware Solutions vCenter s libovolnými servery globálního katalogu místní Active Directory/LDAP. Tyto porty jsou volitelné – pro konfiguraci místní služby AD jako zdroje identity ve vCenter privátního cloudu. Pro účely zabezpečení se doporučuje port 3269. |
| Místní síť | Server vCenter privátního cloudu | TCP (HTTPS) | 443 | Tento port umožňuje přístup k serveru vCenter z místní sítě. Výchozí port, který vCenter Server systém používá k naslouchání připojením od klienta vSphere. Pokud chcete vCenter Server systému povolit příjem dat z klienta vSphere, otevřete v bráně firewall port 443. Systém vCenter Server také používá port 443 k monitorování přenosu dat z klientů sady SDK. |
| Místní síť | HCX Manager | TCP (HTTPS) | 9443 | Rozhraní pro správu virtuálních zařízení hybridního cloudového správce pro konfiguraci systému hybridního cloudového správce. |
| Síť pro správu | Správce hybridního cloudu | SSH | 22 | Správce přístupu SSH k hybridnímu Cloud Manageru. |
| HCX Manager | Cloudová brána | TCP (HTTPS) | 8123 | Odeslání pokynů pro replikaci na základě hostitelů do brány hybridního cloudu. |
| HCX Manager | Cloudová brána | HTTP TCP (HTTPS) | 9443 | Pošlete pokyny pro správu do místní hybridní cloudové brány pomocí REST API. |
| Cloudová brána | L2C | TCP (HTTPS) | 443 | Poslat pokyny pro správu ze služby Cloud Gateway do L2C, když L2C používá stejnou cestu jako brána hybridního cloudu. |
| Cloudová brána | Hostitelé ESXi | TCP | 80 902 | Nasazení správy a OVF. |
| Cloudová brána (místní) | Cloudová brána (vzdálená) | UDP | 4500 | Vyžadováno pro protokol IPSEC Protokol IKEv2 (Internet Key Exchange) pro zapouzdření úloh pro obousměrný tunel. Podporuje se taky Translation-Traversal síťových adres (NAT-T). |
| Cloudová brána (místní) | Cloudová brána (vzdálená) | UDP | 500 | Vyžadováno pro protokol IPSEC Protokol ISAKMP (Internet Key Exchange) pro obousměrný tunel. |
| Místní síť vCenter | Síť pro správu privátního cloudu | TCP | 8000 | vMotion virtuálních počítačů z místního serveru vCenter do privátního cloudu vCenter |
Hlediska překladu DHCP a DNS
Aplikace a úlohy, které běží v prostředí privátního cloudu, vyžadují překlad IP adres a služby DHCP pro vyhledávání a přiřazování IP adres. K poskytování těchto služeb se vyžaduje správná infrastruktura DHCP a DNS. Virtuální počítač můžete nakonfigurovat tak, aby poskytoval tyto služby v prostředí vašeho privátního cloudu.
Použijte službu DHCP integrovanou do NSX nebo použijte místní server DHCP v privátním cloudu namísto směrování provozu DHCP přes síť WAN zpátky do místního prostředí.
Další kroky
V tomto kurzu jste se seznámili s důležitými informacemi a požadavky pro nasazení privátního cloudu řešení Azure VMware. Jakmile budete mít správné sítě, přejděte k dalšímu kurzu, kde můžete vytvořit privátní cloud pro řešení Azure VMware.