Síťová topologie a možnosti připojení pro Azure VMware Solution
Při použití softwarově definovaného datacentra VMware (SDDC) s cloudovým ekosystémem Azure máte jedinečnou sadu aspektů návrhu, které je potřeba vzít v úvahu pro scénáře nativní pro cloud i hybridní scénáře. Tento článek obsahuje klíčové aspekty a osvědčené postupy pro sítě a možnosti připojení v rámci nasazení Azure a Azure VMware Solution .
Článek vychází z několika principů architektury cílových zón architektury Cloud Adoption Framework na podnikové úrovni a doporučení pro správu topologie sítě a připojení ve velkém měřítku. Tuto oblast návrhu cílové zóny Azure můžete použít pro klíčové platformy Azure VMware Solution. Oblasti návrhu zahrnují:
- Hybridní integrace pro připojení mezi místními, multicloudovými, hraničními a globálními uživateli. Další informace najdete v tématu Podpora hybridního a multicloudového prostředí na podnikové úrovni.
- Výkon a spolehlivost ve velkém měřítku pro škálovatelnost úloh a konzistentní prostředí s nízkou latencí Následující článek popisuje nasazení duální oblasti.
- Zabezpečení sítě založené na nulové důvěryhodnosti pro zabezpečení hraniční sítě a toku provozu. Další informace najdete v tématu Strategie zabezpečení sítě v Azure.
- Rozšiřitelnost pro snadné rozšíření síťových stop bez nutnosti návrhu reworks.
Obecné aspekty návrhu a doporučení
Následující části obsahují obecné aspekty návrhu a doporučení pro topologii sítě Azure VMware Solution a možnosti připojení.
Hvězdicová vs. topologie sítě Virtual WAN
Pokud nemáte připojení ExpressRoute z místního prostředí k Azure a místo toho používáte S2S VPN, můžete k přenosu připojení mezi místní sítí VPN a Azure VMware Solution ExpressRoute použít Virtual WAN. Pokud používáte hvězdicovou topologii, potřebujete Azure Route Server. Další informace najdete v tématu Podpora azure Route Serveru pro ExpressRoute a Azure VPN.
Privátní cloudy a clustery
Všechny clustery můžou komunikovat v privátním cloudu Azure VMware Solution, protože všechny sdílejí stejný adresní prostor /22.
Všechny clustery sdílejí stejná nastavení připojení, včetně internetu, ExpressRoute, HCX, veřejné IP adresy a ExpressRoute Global Reach. Úlohy aplikací můžou také sdílet některá základní nastavení sítě, jako jsou segmenty sítě, protokol DHCP (Dynamic Host Configuration Protocol) a nastavení DNS (Domain Name System).
Před nasazením navrhněte privátní cloudy a clustery předem. Počet privátních cloudů, které požadujete, má přímý vliv na požadavky na síť. Každý privátní cloud vyžaduje vlastní adresní prostor /22 pro správu privátního cloudu a segment IP adres pro úlohy virtuálních počítačů. Zvažte definování adresních prostorů předem.
Diskutujte s týmy VMware a síťovými týmy, jak segmentovat a distribuovat privátní cloudy, clustery a síťové segmenty pro úlohy. Naplánujte si dobře a vyhněte se plýtvání IP adresami.
Další informace o správě IP adres pro privátní cloudy najdete v tématu Definování segmentu IP adres pro správu privátního cloudu.
Další informace o správě IP adres pro úlohy virtuálních počítačů najdete v tématu Definování segmentu IP adres pro úlohy virtuálních počítačů.
DNS a DHCP
Pro protokol DHCP použijte službu DHCP integrovanou do datového centra NSX-T nebo použijte místní server DHCP v privátním cloudu. Nepřesměrovávejte provoz DHCP všesměrového vysílání přes síť WAN zpět do místních sítí.
V případě DNS máte v závislosti na scénáři, který používáte, a vašich požadavků několik možností:
- Pouze pro prostředí Azure VMware Solution můžete nasadit novou infrastrukturu DNS v privátním cloudu Azure VMware Solution.
- Pro Azure VMware Solution připojené k místnímu prostředí můžete použít existující infrastrukturu DNS. V případě potřeby nasaďte služby předávání DNS tak, aby se rozšířily do služby Azure Virtual Network nebo pokud možno do azure VMware Solution. Další informace najdete v tématu Přidání služby předávání DNS.
- Pro Azure VMware Solution připojené k místním prostředím a službám a službám Azure můžete použít existující servery DNS nebo služby pro předávání DNS ve virtuální síti centra, pokud jsou k dispozici. Stávající místní infrastrukturu DNS můžete rozšířit také na virtuální síť centra Azure. Podrobnosti najdete v diagramu cílových zón na podnikové úrovni.
Další informace najdete v následujících článcích:
- Důležité informace o překladu DHCP a DNS
- Konfigurace DHCP pro řešení Azure VMware
- Konfigurace DHCP v roztažených sítích VMware HCX V2
- Konfigurace služby předávání DNS na webu Azure Portal
Internet
Mezi odchozí možnosti pro povolení internetu a filtrování a kontroly provozu patří:
- Virtuální síť Azure, síťové virtuální zařízení a Azure Route Server s využitím přístupu k internetu Azure
- Místní výchozí trasa využívající místní přístup k internetu.
- Zabezpečené centrum Virtual WAN pomocí služby Azure Firewall nebo síťového virtuálního zařízení s využitím přístupu k internetu Azure
Mezi příchozí možnosti doručování obsahu a aplikací patří:
- Aplikace Azure gateway s ukončením protokolu L7, ukončením protokolu SSL (Secure Sockets Layer) a firewallem webových aplikací.
- DNAT a nástroj pro vyrovnávání zatížení z místního prostředí.
- Azure Virtual Network, síťové virtuální zařízení a Azure Route Server v různých scénářích
- Zabezpečené centrum Virtual WAN pomocí služby Azure Firewall s protokolem L4 a DNAT
- Zabezpečené centrum Virtual WAN s síťovým virtuálním zařízením v různých scénářích
ExpressRoute
Předvyplněné nasazení privátního cloudu Azure VMware Solution automaticky vytvoří jeden bezplatný okruh ExpressRoute o 10 Gb/s. Tento okruh propojuje řešení Azure VMware s D-MSEE.
Zvažte nasazení řešení Azure VMware v spárovaných oblastech Azure v blízkosti datacenter. V tomto článku najdete doporučení k topologiím sítí se dvěma oblastmi pro Azure VMware Solution.
Global Reach
Global Reach je požadovaný doplněk ExpressRoute pro azure VMware Solution ke komunikaci s místními datacentry, virtuální sítí Azure a službou Virtual WAN. Alternativou je navrhnout síťové připojení k Azure Route Serveru.
Můžete vytvořit partnerský vztah okruhu Azure VMware Solution ExpressRoute s dalšími okruhy ExpressRoute pomocí služby Global Reach bez poplatků.
Global Reach můžete použít k partnerskému vztahu okruhů ExpressRoute prostřednictvím isP a okruhů ExpressRoute Direct.
Pro místní okruhy ExpressRoute se nepodporuje služba Global Reach. V případě místního prostředí ExpressRoute můžete z Azure VMware Solution přejít do místních datacenter prostřednictvím síťových virtuálních zařízení třetích stran ve virtuální síti Azure.
Služba Global Reach není dostupná ve všech umístěních.
Šířka pásma
Vyberte odpovídající skladovou položku brány virtuální sítě pro optimální šířku pásma mezi řešením Azure VMware a virtuální sítí Azure. Azure VMware Solution podporuje maximálně čtyři okruhy ExpressRoute k bráně ExpressRoute v jedné oblasti.
Zabezpečení sítě
Zabezpečení sítě zahrnuje kontrolu provozu a zrcadlení portů.
Kontrola provozu východ-západ v rámci SDDC používá datové centrum NSX-T nebo síťová virtuální zařízení ke kontrole provozu do služby Azure Virtual Network napříč oblastmi.
Kontrola provozu na sever – jih kontroluje obousměrný tok provozu mezi azure VMware Solution a datacentry. Kontroly provozu na sever - jih mohou používat:
- Síťová virtuální zařízení brány firewall třetí strany a Azure Route Server přes internet Azure.
- Místní výchozí trasa přes místní internet.
- Azure Firewall a Virtual WAN přes internet Azure
- Datové centrum NSX-T v rámci SDDC přes internet řešení Azure VMware Solution
- Síťové virtuální zařízení brány firewall třetí strany v Řešení Azure VMware v rámci SDDC přes internet řešení Azure VMware Solution
Požadavky na porty a protokoly
Nakonfigurujte všechny potřebné porty pro místní bránu firewall, abyste zajistili správný přístup ke všem komponentám privátního cloudu Azure VMware Solution. Další informace naleznete v tématu Požadované síťové porty.
Přístup ke správě řešení Azure VMware
Zvažte použití hostitele služby Azure Bastion ve službě Azure Virtual Network pro přístup k prostředí Azure VMware Solution během nasazování.
Jakmile navážete směrování do místního prostředí, síť pro správu řešení Azure VMware nedotkuje
0.0.0.0/0trasy z místních sítí, takže je potřeba inzerovat konkrétnější trasy pro vaše místní sítě.
Provozní kontinuita, zotavení po havárii (BCDR) a migrace
V migracích VMware HCX zůstává výchozí brána místně. Další informace najdete v tématu Nasazení a konfigurace VMware HCX.
Migrace VMware HCX můžou používat rozšíření HCX L2. Migrace, které vyžadují rozšíření vrstvy 2, také vyžadují ExpressRoute. Síť VPN S2S se podporuje, pokud minimální minimální požadavky na síť jsou čisté. Maximální velikost jednotky přenosu (MTU) by měla být 1350, aby vyhovovala režii HCX. Další informace o návrhu rozšíření vrstvy 2 naleznete v tématu Přemostění vrstvy 2 v režimu správce (VMware.com).
Další kroky
Další informace o řešení Azure VMware v hvězdicových sítích najdete v tématu Integrace řešení Azure VMware v hvězdicové architektuře.
Další informace o síťových segmentech datového centra VMware NSX-T najdete v tématu Konfigurace síťových komponent datového centra NSX-T pomocí služby Azure VMware Solution.
Pokud se chcete seznámit s principy architektury cílové zóny na podnikové úrovni v architektuře cloud adoption Framework, různými aspekty návrhu a osvědčenými postupy pro Azure VMware Solution, přečtěte si další článek v této sérii:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro