Netzwerktopologie und -konnektivität für Azure VMware Solution

Wenn Sie ein VMware Software-Defined Datacenter (SDDC) mit einem Azure-Cloud-Ökosystem verwenden, müssen Sie eine Reihe von Designüberlegungen sowohl für Cloud-native als auch für hybride Szenarien anstellen. In diesem Artikel werden die wichtigsten Überlegungen und Best Practices zu Netzwerken und Konnektivität – eingehend, ausgehend und innerhalb – von Azure- und Azure VMware Solution-Bereitstellungen erläutert.

Dieser Artikel basiert auf den architektonischen Gestaltungsprinzipien und Richtlinien des Cloud Adoption Framework für Zielzonen auf Unternehmensniveau sowie auf Empfehlungen für die Verwaltung von Netzwerktopologie und Konnektivität im großen Maßstab. Sie können diesen Entwurfsbereichsleitfaden für Azure-Zielzonen für unternehmenskritische Azure VMware Solution-Plattformen nutzen. Designbereiche umfassen:

• Hybridintegration für Konnektivität zwischen lokalen, Multi-Cloud-, Edge- und globalen Benutzern. Weitere Informationen finden Sie unter Hybrid- und Multi-Cloud-Unterstützung auf Unternehmensniveau.
• Bedarfsgerechte Leistung und Zuverlässigkeit für konsistente und skalierbare Workloads mit niedriger Latenz. In einem nachfolgenden Artikel werden Bereitstellungen in zwei Regionen behandelt.
• Zero Trust-basierte Netzwerksicherheit zum Schutz der Netzwerkgrenzen und des Datenverkehrsflusses. Weitere Informationen finden Sie unter Strategien bezüglich der Netzwerksicherheit in Azure.
• Erweiterbarkeit für eine einfache Erweiterung von Netzwerkabdrucken ohne Entwurfsumbau.

Allgemeine Designüberlegungen und -empfehlungen

In den folgenden Abschnitten finden Sie einige allgemeine Designüberlegungen und -empfehlungen für die Netzwerktopologie und -konnektivität von Azure VMware Solution:

Hub-Spoke-Topologie im Vergleich zur Virtual WAN-Netzwerktopologie

Wenn Sie keine ExpressRoute-Verbindung von lokal zu Azure haben und stattdessen S2S VPN verwenden, können Sie Virtual WAN verwenden, um die Verbindung zwischen Ihrem lokalen VPN und dem Azure VMware Solution ExpressRoute zu übertragen. Wenn Sie eine Hub-Spoke-Topologie verwenden, benötigen Sie Azure Route Server. Weitere Informationen finden Sie unter Informationen zur Azure Route Server-Unterstützung für ExpressRoute und Azure VPN.

Private Clouds und Cluster

• Alle Cluster können innerhalb einer privaten Azure VMware Solution-Cloud kommunizieren, da sie alle denselben /22-Adressraum nutzen.

• Alle Cluster verwenden dieselben Konnektivitätseinstellungen, wie z. B. Internet, ExpressRoute, HCX, öffentliche IP-Adresse und ExpressRoute Global Reach. Anwendungsworkloads können zudem einige grundlegende Netzwerkeinstellungen wie Netzwerksegmente, DHCP (Dynamic Host Configuration Protocol) und DNS-Einstellungen (Domain Name System) gemeinsam nutzen.

• Entwerfen Sie private Clouds und Cluster im Voraus, vor der Bereitstellung. Die Anzahl der von Ihnen benötigten privaten Clouds wirkt sich direkt auf Ihre Netzwerkanforderungen aus. Jede private Cloud benötigt einen eigenen /22-Adressraum für die Verwaltung der privaten Cloud und ein IP-Adressensegment für VM-Workloads. Erwägen Sie, diese Adressräume im Voraus zu definieren.

• Besprechen Sie mit Ihren VMware- und Netzwerkteams, wie Ihre privaten Clouds, Cluster und Netzwerksegmente für Workloads segmentiert und verteilt werden sollen. Planen Sie gut, und vermeiden Sie das Löschen von IP-Adressen.

Weitere Informationen zum Verwalten von IP-Adressen für private Clouds finden Sie unter Definieren des IP-Adressensegments für die Verwaltung der privaten Cloud.

Weitere Informationen zum Verwalten von IP-Adressen für private Clouds finden Sie unter Definieren des IP-Adressensegments für VM-Workloads.

DNS und DHCP

Verwenden Sie für DHCP den in NSX-T Data Center integrierten DHCP-Dienst oder einen lokalen DHCP-Server in einer privaten Cloud. Leiten Sie keinen Broadcast-DHCP-Verkehr über das WAN zurück in lokale Netzwerke.

Für DNS stehen Ihnen je nach Szenario und Anforderungen verschiedene Optionen zur Verfügung:

• Stellen Sie nur für eine Azure VMware Solution-Umgebung eine neue DNS-Infrastruktur in Ihrer privaten Azure VMware Solution-Cloud bereit.
• Wenn Azure VMware Solution mit einer lokalen Umgebung verbunden ist, können Sie die vorhandene DNS-Infrastruktur verwenden. Stellen Sie bei Bedarf DNS-Weiterleitungen bereit, um eine Erweiterung auf Azure Virtual Network oder vorzugsweise auf Azure VMware Solution durchzuführen. Weitere Informationen finden Sie unter Hinzufügen eines DNS-Weiterleitungsdiensts.
• Falls Azure VMware Solution sowohl mit lokalen als auch mit Azure-Umgebungen und -Diensten verbunden ist, können Sie vorhandene DNS-Server oder DNS-Weiterleitungen im virtuellen Netzwerk Ihres Hubs verwenden, sofern verfügbar. Alternativ können Sie die vorhandene lokale DNS-Infrastruktur auf das virtuelle Netzwerk des Azure-Hubs ausweiten. Einzelheiten finden Sie in der Abbildung zu Zielzonen auf Unternehmensniveau.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Aspekte zu DHCP- und DNS-Auflösung
• Konfigurieren von DHCP für Azure VMware Solution
• Konfigurieren von DHCP in VMware HCX-Netzwerken mit L2-Stretching
• Konfigurieren einer DNS-Weiterleitung im Azure-Portal

Internet

Ausgehende Optionen zum Aktivieren von Internet und Filtern und Überprüfen des Datenverkehrs umfassen:

• Azure Virtual Network, NVA und Azure Route Server mit Azure-Internetzugriff.
• Lokale Standardroute mit lokalem Internetzugriff.
• Geschützter Virtual WAN-Hub mit Azure Firewall oder NVA unter Verwendung des Azure-Internetzugriffs.

Zu den Eingangsoptionen für das Übermitteln von Inhalten und Anwendungen gehören:

• Azure Application Gateway mit L7, SSL-Terminierung (Secure Sockets Layer) und Web Application Firewall.
• DNAT und Lastenausgleich über die lokale Umgebung.
• Azure Virtual Network, NVA und Azure Route Server in verschiedenen Szenarien.
• Geschützter Virtual WAN-Hub mit Azure Firewall, L4 und DNAT.
• Geschützter Virtual WAN-Hub mit NVA in verschiedenen Szenarien.

ExpressRoute

Die sofort einsatzbereite Azure VMware-Lösung für private Clouds erstellt automatisch eine kostenlose 10-Gbit/s-ExpressRoute-Leitung. Diese Leitung verbindet Azure VMware Solution mit D-MSEE.

Gegebenenfalls sollten Sie die Bereitstellung von Azure VMware Solution in gekoppelten Azure-Regionen in der Nähe Ihrer Rechenzentren in Betracht ziehen. In diesem Artikel finden Sie Empfehlungen zu Netzwerktopologien mit zwei Regionen für Azure VMware Solution.

Global Reach

• Global Reach ist ein erforderliches ExpressRoute-Add-On für Azure VMware Solution, um mit lokalen Rechenzentren, Azure Virtual Network und Virtual WAN zu kommunizieren. Alternativ können Sie Ihre Netzwerkkonnektivität mit Azure Route Server entwerfen.

• Sie können für die ExpressRoute-Leitung von Azure VMware Solution über Global Reach ein kostenloses Peering mit anderen ExpressRoute-Leitungen einrichten.

• Sie können Global Reach für das Peering von ExpressRoute-Leitungen über einen ISP und für ExpressRoute Direct-Leitungen nutzen.

• Global Reach wird für lokale ExpressRoute-Leitungen nicht unterstützt. Bei lokalen ExpressRoute-Lösungen erfolgt der Transit von Azure VMware Solution zu lokalen Rechenzentren über Drittanbieter-NVAs in einem virtuellen Azure-Netzwerk.

• Global Reach ist nicht an allen Standorten verfügbar.

Bandbreite

Wählen Sie eine geeignete SKU für das Gateway des virtuellen Netzwerks aus, um eine optimale Bandbreite zwischen Azure VMware Solution und Azure Virtual Network zu erzielen. Azure VMware Solution unterstützt maximal vier ExpressRoute-Leitungen mit einem ExpressRoute-Gateway in einer Region.

Netzwerksicherheit

Die Netzwerksicherheit beinhaltet die Datenverkehrsüberprüfung und die Portspiegelung.

Die Ost-West-Datenverkehrsüberprüfung innerhalb eines SDDC verwendet NSX-T Data Center oder NVAs, um den Datenverkehr an Azure Virtual Network regionsübergreifend zu überprüfen.

Die Nord-Süd-Datenverkehrsüberprüfung prüft den bidirektionalen Datenverkehrsfluss zwischen Azure VMware Solution und den Rechenzentren. Bei der Überprüfung des Nord-Süd-Datenverkehrs können folgende Komponenten verwendet werden:

• Ein Drittanbieter-Firewall-NVA und Azure Route Server über das Azure-Internet.
• Eine lokale Standardroute über das lokale Internet.
• Azure Firewall und Virtual WAN über das Azure-Internet
• NSX-T Data Center innerhalb des SDDC über das Azure VMware Solution-Internet.
• Ein Drittanbieter-Firewall-NVA in Azure VMware Solution innerhalb des SDDC über das Azure VMware Solution-Internet

Anforderungen an Ports und Protokolle

Konfigurieren Sie alle erforderlichen Ports für eine lokale Firewall, um den ordnungsgemäßen Zugriff auf sämtliche Komponenten der privaten Azure VMware Solution-Cloud sicherzustellen. Weitere Informationen finden Sie unter Erforderliche Netzwerkports.

Azure VMware Solution-Verwaltungszugriff

• Erwägen Sie während der Bereitstellung die Verwendung eines Azure Bastion-Hosts in Azure Virtual Network, um auf die Azure VMware Solution-Umgebung zuzugreifen.

• Sobald Sie das Routing zu Ihrer lokalen Umgebung eingerichtet haben, erkennt das Azure VMware Solution Management-Netzwerk die 0.0.0.0/0 Routen von lokalen Netzwerken nicht mehr an, sodass Sie spezifischere Routen für Ihre lokalen Netzwerke bekannt geben müssen.

Geschäftskontinuität, Notfallwiederherstellung (BCDR) und Migrationen

• In VMware HCX-Migrationen verbleibt das Standardgateway in der lokalen Umgebung. Weitere Informationen finden Sie unter Bereitstellen und Konfigurieren von VMware HCX.

• Die VMware HCX-Migrationen können die HCX L2-Erweiterung verwenden. Migrationen, die eine Layer-2-Erweiterung benötigen, erfordern ebenfalls ExpressRoute. S2S VPN wird unterstützt, solange die Mindestanforderungen für die Netzwerkunterlage netto sind. Die maximale MTU-Größe (Transmission Unit) sollte 1.350 betragen, um den Overhead durch HCX zu bewältigen. Weitere Informationen zum Entwurf der Layer 2-Erweiterung finden Sie unter Layer-2-Bridging im Manager-Modus (VMware.com).

Nächste Schritte

• Weitere Informationen zu Azure VMware Solution in Hub-and-Spoke-Netzwerken finden Sie unter Integration von Azure VMware Solution in eine Hub-and-Spoke-Architektur.

• Weitere Informationen zu VMware NSX-T Data Center-Netzwerksegmenten finden Sie unter Konfigurieren von NSX-T Data Center-Netzwerkkomponenten mit Azure VMware Solution.

• Im nächsten Artikel dieser Reihe erfahren Sie mehr über die Architekturprinzipien des Cloud Adoption Framework für Unternehmen, verschiedene Designüberlegungen und Best Practices für die Azure VMware Solution:

  Hub- und Spoke-Topologien für eine einzelne Region