Topologie réseau et connectivité pour Azure VMware Solution

  • Article

L’utilisation d’un centre de données défini par logiciel (SDDC) VMware avec un écosystème cloud Azure présente un ensemble unique de considérations de conception à prendre en compte pour les scénarios natifs cloud et hybrides. Cet article présente les principales considérations et les meilleures pratiques relatives à la mise en réseau ainsi qu’à la connectivité, tant avec les déploiements Azure et Azure VMware Solution qu’en leur sein.

L’article s’appuie sur plusieurs principes architecturaux du Cloud Adoption Framework pour les zones d’atterrissage à l’échelle de l’entreprise et sur des recommandations pour la gestion de la topologie réseau et de la connectivité à grande échelle. Vous pouvez utiliser ce guide de conception des zones d’atterrissage Azure pour les plateformes Azure VMware Solution stratégiques. Les domaines de conception sont les suivants :

  • Intégration hybride pour la connectivité entre les utilisateurs locaux, multiclouds, de périphérie et globaux. Pour plus d’informations, consultez Prise en charge à l’échelle de l’entreprise - Hybride et multicloud.
  • Performances et fiabilité à grande échelle pour une scalabilité et une expérience cohérente et à faible latence pour les charges de travail. Un article suivant traite des Déploiements à double région.
  • Sécurité réseau basée sur la confiance zéro pour la sécurité du périmètre réseau et le flux de trafic. Pour plus d’informations, consultez Stratégies de sécurité réseau sur Azure.
  • Extensibilité pour une expansion facile des empreintes réseau sans avoir besoin de reworks de conception.

Recommandations et considérations générales relatives à la conception

La section suivante fournit des recommandations et considérations générales relatives à la conception pour la connectivité et la topologie Azure VMware Solution.

Topologie réseau hub-and-spoke et Virtual WAN

Si vous n’avez pas de connexion ExpressRoute locale vers Azure et que vous utilisez plutôt une connexion S2S VPN, vous pouvez utiliser Virtual WAN pour transiter la connectivité entre votre VPN local et Azure VMware Solution ExpressRoute. Si vous utilisez une topologie hub-and-spoke, vous avez besoin du Serveur de routes Azure. Pour plus d’informations, consultez Prise en charge de Serveur de routes Azure pour ExpressRoute et Azure VPN.

Clusters et clouds privés

  • Tous les clusters peuvent communiquer au sein d’un cloud privé Azure VMware Solution, car ils partagent tous le même espace d’adressage /22.

  • Tous les clusters partagent aussi les mêmes paramètres de connectivité, tels qu’Internet, ExpressRoute, HCX, l’adresse IP publique et ExpressRoute Global Reach. Les charges de travail d’application peuvent également partager des paramètres de mise en réseau de base tels que les segments réseau, le protocole DHCP (Dynamic Host Configuration Protocol) et les paramètres DNS (Domain Name System).

  • Concevez les clusters et les clouds privés à l’avance, avant votre déploiement. Le nombre de clouds privés dont vous avez besoin affecte directement vos exigences de mise en réseau. Chaque cloud privé nécessite son propre espace d’adressage /22 pour la gestion du cloud privé et son propre segment d’adresse IP pour les charges de travail de machine virtuelle. Envisagez de définir ces espaces d’adressage à l’avance.

  • Discutez avec vos équipes VMware et réseau de la façon de segmenter et de distribuer vos clusters, clouds privés et segments réseau pour les charges de travail. Prenez le temps de bien planifier le processus pour éviter de gaspiller des adresses IP.

Pour plus d’informations sur la gestion des adresses IP pour les clouds privés, consultez Définir le segment d’adresse IP pour la gestion du cloud privé.

Pour plus d’informations sur la gestion des adresses IP pour les charges de travail de machine virtuelle, consultez Définir le segment d’adresse IP pour les charges de travail de machine virtuelle.

DNS et DHCP

Pour DHCP, utilisez le service DHCP intégré à NSX-T Data Center ou un serveur DHCP local dans un cloud privé. Ne routez pas le trafic DHCP de diffusion sur le réseau étendu (WAN) vers des réseaux locaux.

Pour DNS, selon le scénario que vous adoptez et vos exigences, vous disposez de plusieurs options :

  • Pour un environnement Azure VMware Solution uniquement, vous pouvez déployer une nouvelle infrastructure DNS dans votre cloud privé Azure VMware Solution.
  • Pour Azure VMware Solution connecté à un environnement local, vous pouvez utiliser l’infrastructure DNS existante. Si nécessaire, déployez des redirecteurs DNS pour opérer une extension au Réseau virtuel Azure ou, de préférence, à Azure VMware Solution. Pour plus d’informations, consultez Ajouter un service de redirecteur DNS.
  • Pour Azure VMware Solution connecté à des environnements et des services locaux et Azure, vous pouvez utiliser des serveurs DNS existants ou des redirecteurs DNS dans votre réseau virtuel hub, le cas échéant. Vous pouvez aussi étendre l’infrastructure DNS locale existante au réseau virtuel hub Azure. Pour plus d’informations, consultez le diagramme des zones d’atterrissage à l’échelle de l’entreprise.

Pour plus d’informations, consultez les articles suivants :

Internet

Les options de trafic sortant pour activer Internet et filtrer et inspecter le trafic sont les suivantes :

  • Réseau virtuel Azure, appliance virtuelle réseau et Serveur de routes Azure utilisant un accès Internet Azure.
  • Itinéraire par défaut local utilisant un accès Internet local.
  • Hub sécurisé Virtual WAN avec le Pare-feu Azure ou une appliance virtuelle réseau, utilisant un accès Internet Azure.

Les options de trafic entrant pour fournir du contenu et des applications sont les suivantes :

  • Azure Application Gateway avec la couche 7, terminaison SSL (Secure Sockets Layer) et Web Application Firewall.
  • Traduction DNAT et équilibreur de charge depuis l’environnement local.
  • Réseau virtuel Azure, appliance virtuelle réseau et Serveur de routes Azure dans différents scénarios.
  • Hub sécurisé Virtual WAN avec Pare-feu Azure, la couche 4 et la traduction DNAT.
  • Hub sécurisé Virtual WAN avec appliance virtuelle réseau dans différents scénarios.

ExpressRoute

Le déploiement de clouds privés prêts à l’emploi Azure VMware Solution créé automatiquement un circuit ExpressRoute de 10 Gbit/s gratuit. Ce circuit connecte Azure VMware Solution à D-MSEE.

Envisagez de déployer Azure VMware Solution dans des régions Azure appairées près de vos centres de données. Consultez cet article pour obtenir des recommandations sur les topologies de réseau à deux régions pour Azure VMware Solution.

Global Reach

  • Global Reach est un module complémentaire ExpressRoute requis permettant à Azure VMware Solution de communiquer avec les centres de données locaux, le Réseau virtuel Azure et Virtual WAN. L’alternative consiste à concevoir votre connectivité réseau avec le Serveur de routes Azure.

  • Vous pouvez appairer le circuit ExpressRoute Azure VMware Solution avec d’autres circuits ExpressRoute en utilisant Global Reach sans frais.

  • Vous pouvez utiliser Global Reach pour appairer des circuits ExpressRoute via un fournisseur de services Internet et pour les circuits ExpressRoute Direct.

  • Global Reach n’est pas pris en charge pour les circuits ExpressRoute Local. Pour ExpressRoute Local, opérez un transit depuis Azure VMware Solution vers les centres de données locaux via des appliances virtuelles réseau tierces dans un réseau virtuel Azure.

  • Global Reach n’est pas disponible dans toutes les localisations.

Bande passante

Choisissez une référence SKU de passerelle de réseau virtuel adaptée pour une bande passante optimale entre Azure VMware Solution et le réseau virtuel Azure. Azure VMware Solution prend en charge un maximum de quatre circuits ExpressRoute sur une passerelle ExpressRoute dans une région.

Sécurité du réseau

La sécurité réseau implique l’inspection du trafic et la mise en miroir des ports.

L’inspection du trafic Est-Ouest dans un SDDC utilise NSX-T Data Center ou des appliances virtuelles réseau pour inspecter le trafic vers le Réseau virtuel Azure dans toutes les régions.

L’inspection du trafic Nord-Sud inspecte le flux de trafic bidirectionnel entre Azure VMware Solution et les centres de données. L’inspection du trafic Nord-Sud peut utiliser :

  • Une appliance virtuelle réseau de pare-feu tierce et le Serveur de routes Azure sur une connexion Internet Azure.
  • Un itinéraire par défaut local sur une connexion Internet locale.
  • Le Pare-feu Azure et Virtual WAN sur une connexion Internet Azure
  • NSX-T Data Center dans le SDDC sur une connexion Internet Azure VMware Solution.
  • Une appliance virtuelle réseau de pare-feu tierce dans Azure VMware Solution au sein du SDDC sur une connexion Internet Azure VMware Solution

Exigences liées aux ports et aux protocoles

Configurez tous les ports nécessaires pour un pare-feu local afin de garantir un accès approprié à tous les composants du cloud privé Azure VMware Solution. Pour plus d’informations, consultez Ports réseau requis.

Accès à la gestion Azure VMware Solution

  • Envisagez d’utiliser un hôte Azure Bastion dans le réseau virtuel Azure pour accéder à l’environnement Azure VMware Solution lors du déploiement.

  • Une fois que vous avez établi le routage vers votre environnement local, le réseau de gestion Azure VMware Solution ne traite pas les itinéraires 0.0.0.0/0 à partir des réseaux locaux. Vous devez donc publier des itinéraires plus spécifiques pour vos réseaux locaux.

BCDR (continuité d’activité et reprise d’activité) et migrations

Étapes suivantes