Az Azure VMware Solution hálózattervezési szempontjai

  • Cikk

Az Azure VMware Solution egy olyan VMware magánfelhő-környezetet kínál, amelyet a felhasználók és az alkalmazások helyszíni és Azure-alapú környezetekből vagy erőforrásokból érhetnek el. Az olyan hálózati szolgáltatások, mint az Azure ExpressRoute és a virtuális magánhálózati (VPN-) kapcsolatok biztosítják a kapcsolatot.

Az Azure VMware Solution-környezet beállítása előtt számos hálózati szempontot kell áttekinteni. Ez a cikk olyan használati esetek megoldásait ismerteti, amelyekkel az Azure VMware Solution használatával konfigurálhatja hálózatait.

Az Azure VMware-megoldás kompatibilitása az AS-Path Előpenddel

Az Azure VMware Solution figyelembe veszi az AS-Path Prepend redundáns ExpressRoute-konfigurációkhoz való használatát. Ha két vagy több ExpressRoute-útvonalat futtat a helyszíni és az Azure között, tekintse meg az alábbi útmutatást az Azure VMware Solutionből a helyszíni hely felé irányuló forgalom ExpressRoute GlobalReachon keresztüli befolyásolására.

Az aszimmetrikus útválasztás miatt csatlakozási problémák léphetnek fel, ha az Azure VMware Solution nem figyeli meg az AS-Path előpendet, ezért egyenlő költségű többutas (ECMP) útválasztással küld forgalmat a környezet felé mindkét ExpressRoute-kapcsolatcsoporton keresztül. Ez a viselkedés problémákat okozhat a meglévő ExpressRoute-kapcsolatcsoportok mögött elhelyezett állapotalapú tűzfal-ellenőrző eszközökkel kapcsolatban.

Előfeltételek

As-Path Prepend esetén vegye figyelembe a következő előfeltételeket:

  • A lényeg az, hogy elő kell használnia a nyilvános ASN-számokat annak befolyásolásához, hogy az Azure VMware Solution hogyan irányítja vissza a forgalmat a helyszínire. Ha a privát ASN-t használja elő, az Azure VMware Solution figyelmen kívül hagyja az előtagot, és a korábban említett ECMP-viselkedés fog bekövetkezni. Még akkor is konfigurálható a helyszíni BGP ASN, ha privát BGP ASN-t üzemeltet a helyszínen, így a kimenő útvonalak előterében továbbra is konfigurálhatja a helyszíni eszközöket a nyilvános ASN használatára az Azure VMware-megoldással való kompatibilitás biztosítása érdekében.
  • Tervezheti meg a privát ASN-ek forgalmi útvonalát, miután az Azure VMware Solution tiszteletben tartja a nyilvános ASN-t. Az Azure VMware Solution ExpressRoute-kapcsolatcsoport nem csíkozza le a nyilvános ASN feldolgozása után az elérési úton található privát ASN-eket.
  • Mindkét vagy az összes kapcsolatcsoport az Azure ExpressRoute Global Reachen keresztül csatlakozik az Azure VMware Solutionhez.
  • Ugyanazok a netblockok két vagy több kapcsolatcsoportból vannak meghirdetve.
  • Az AS-Path Prepend használatával szeretné kikényszeríteni az Azure VMware-megoldást, hogy előnyben részesítse az egyik kapcsolatcsoportot a másiknál.
  • Használjon 2 bájtos vagy 4 bájtos nyilvános ASN-számokat.

Felügyeleti virtuális gépek és a helyszíni alapértelmezett útvonalak

Fontos

Az Azure VMware Megoldáskezelő virtuális gépek (VMS) nem fogják tiszteletben tartani a helyszíni alapértelmezett útvonalat RFC1918 célhelyek esetében.

Ha csak az Azure felé meghirdetett alapértelmezett útvonal használatával küld vissza a helyszíni hálózatokra, a vCenter Server és az NSX Manager rendszerű virtuális gépekről a magánhálózati IP-címekkel rendelkező helyszíni helyek felé irányuló forgalom nem fogja követni ezt az útvonalat.

Ha a vCenter Servert és az NSX Managert a helyszínen szeretné elérni, adjon meg meghatározott útvonalakat, hogy a forgalom visszaúttal rendelkezzen ezekhez a hálózatokhoz. Meghirdetheti például a RFC1918 összegzéseket (10.0.0.0/8, 172.16.0.0/12 és 192.168.0.0/16).

Alapértelmezett útvonal az Azure VMware-megoldáshoz internetes forgalomvizsgálathoz

Bizonyos üzemelő példányok esetében az Azure VMware Solutionből az internet felé irányuló összes kimenő forgalom vizsgálata szükséges. Bár az Azure VMware Solutionben hálózati virtuális berendezések (NVA-k) hozhatók létre, vannak olyan esetek, amikor ezek a berendezések már léteznek az Azure-ban, és alkalmazhatók az Azure VMware Solution internetes forgalmának vizsgálatára. Ebben az esetben egy alapértelmezett útvonal injektálható az Azure-beli NVA-ból az Azure VMware Solutionből érkező forgalom vonzásához és a forgalom vizsgálatához, mielőtt kimegy a nyilvános internetre.

Az alábbi ábra egy alapszintű küllős topológiát mutat be, amely egy Azure VMware Solution-felhőhöz és egy helyszíni hálózathoz csatlakozik az ExpressRoute-on keresztül. Az ábra azt mutatja be, hogy az Azure-beli NVA hogyan származik az alapértelmezett útvonalból (0.0.0.0/0). Az Azure Route Server az ExpressRoute-on keresztül propagálja az útvonalat az Azure VMware Solutionbe.

Az Azure VMware-megoldás diagramja az útvonalkiszolgálóval és egy alapértelmezett útvonallal.

Fontos

Az NVA által meghirdetett alapértelmezett útvonal a helyszíni hálózatra lesz propagálása. Felhasználó által definiált útvonalakat (UDR-eket) kell hozzáadnia annak biztosításához, hogy az Azure VMware Solutionből érkező forgalom áthaladjon az NVA-n.

Az Azure VMware Solution és a helyszíni hálózat közötti kommunikáció általában az ExpressRoute Global Reachen keresztül történik, a helyszíni társkörnyezetekben leírtak szerint az Azure VMware Solution felé.

Csatlakozás az Azure VMware Solution és a helyszíni hálózat közötti Csatlakozás

Az Azure VMware Solution és a helyszíni hálózat közötti kapcsolatnak két fő forgatókönyve van egy külső NVA-n keresztül:

  • A szervezeteknek követelményük, hogy az Azure VMware Solution és a helyszíni hálózat közötti forgalmat NVA-n (általában tűzfalon) keresztül küldjék el.
  • Az ExpressRoute Global Reach nem érhető el egy adott régióban az Azure VMware Solution ExpressRoute-kapcsolatcsoportjainak és a helyszíni hálózatnak az összekapcsolásához.

Két topológia alkalmazható az ilyen forgatókönyvek összes követelményének való megfeleléshez: a szuperhálózat és a tranzit küllős virtuális hálózat.

Fontos

Az Azure VMware Solution és a helyszíni környezetek csatlakoztatásának előnyben részesített lehetősége a közvetlen ExpressRoute Global Reach-kapcsolat. A cikkben ismertetett minták összetettebbé teszi a környezetet.

Szuperhálózati tervezési topológia

Ha mindkét ExpressRoute-kapcsolatcsoport (az Azure VMware Solutionhez és a helyszínihez) ugyanabban az ExpressRoute-átjáróban leáll, feltételezheti, hogy az átjáró a csomagokat irányítja át rajtuk. Az ExpressRoute-átjárók azonban nem erre lettek tervezve. A forgalmat egy olyan NVA-ra kell irányítania, amely irányíthatja a forgalmat.

Az NVA-ba történő hálózati forgalomnak két követelménye van:

  • Az NVA-nak egy szuperhálózatot kell meghirdetnie az Azure VMware Solution és a helyszíni előtagok számára.

    Használhat olyan szuperhálózatot, amely az Azure VMware Solutiont és a helyszíni előtagokat is tartalmazza. Vagy használhat egyedi előtagokat az Azure VMware Solutionhez és a helyszíni megoldásokhoz (mindig kevésbé specifikusak, mint az ExpressRoute-on meghirdetett tényleges előtagok). Ne feledje, hogy az Útvonalkiszolgálón meghirdetett összes szupernetes előtagot az Azure VMware Solution és a helyszíni verzió is propagálja.

  • Az átjáró alhálózatának UDR-jei, amelyek pontosan megfelelnek az Azure VMware Solutionben és a helyszínen meghirdetett előtagoknak, hajtű forgalmat okoznak az átjáró alhálózatáról az NVA-ba.

Ez a topológia magas felügyeleti többletterhelést eredményez a nagy méretű hálózatok esetében, amelyek idővel változnak. Vegye figyelembe az alábbi korlátozásokat:

  • Amikor létrehoz egy számítási feladatszegmenst az Azure VMware Solutionben, előfordulhat, hogy az UDR-eket hozzá kell adni annak biztosításához, hogy az Azure VMware Solutionből érkező forgalom áthaladjon az NVA-n.
  • Ha a helyszíni környezet sok útvonalon változik, előfordulhat, hogy frissíteni kell a Border Gateway Protocol (BGP) és az UDR-konfigurációt a szuperhálózaton.
  • Mivel egyetlen ExpressRoute-átjáró mindkét irányban dolgozza fel a hálózati forgalmat, a teljesítmény korlátozott lehet.
  • Az Azure-beli virtuális hálózat korlátja 400 UDR.

Az alábbi ábra bemutatja, hogyan kell az NVA-nak általánosabb (kevésbé specifikus) előtagokat hirdetnie, amelyek magukban foglalják a helyszíni hálózatokat és az Azure VMware Solutiont. Legyen óvatos ezzel a megközelítéssel. Az NVA potenciálisan vonzhatja a forgalmat, amelyet nem kellene, mert szélesebb tartományokat (például az egész 10.0.0.0/8 hálózatot) reklámez.

Az Azure VMware-megoldás diagramja a route serverrel való helyszíni kommunikációhoz egyetlen régióban.

Küllős virtuális hálózati topológia

Feljegyzés

Ha a korábban ismertetett korlátok miatt nem lehetséges a kevésbé specifikus előtagok reklámozása, két különálló virtuális hálózatot használó alternatív kialakítást valósíthat meg.

Ebben a topológiában ahelyett, hogy olyan útvonalakat propagáljanak, amelyek kevésbé specifikusak az ExpressRoute-átjáró felé történő forgalom vonzására, két különböző NVA külön virtuális hálózatokban képes útvonalakat cserélni egymás között. A virtuális hálózatok a BGP-vel és az Azure Route Serverrel propagálhatják ezeket az útvonalakat a megfelelő ExpressRoute-kapcsolatcsoportokra. Minden NVA teljes mértékben szabályozza, hogy mely előtagokat propagálja a rendszer az egyes ExpressRoute-kapcsolatcsoportokba.

Az alábbi ábra bemutatja, hogyan hirdetnek meg egyetlen 0.0.0.0/0 útvonalat az Azure VMware Solutionben. Azt is bemutatja, hogyan propagálja a rendszer az egyes Azure VMware Solution-előtagokat a helyszíni hálózatra.

Az Azure VMware-megoldás diagramja a route serverrel való helyszíni kommunikációhoz két régióban.

Fontos

Az NVA-k között olyan beágyazási protokollra van szükség, mint a VXLAN vagy az IPsec. Beágyazásra azért van szükség, mert az NVA hálózati adapter (NIC) a következő ugrásként az NVA-val tanulná meg az útvonalakat az Azure Route Serverből, és létrehozna egy útválasztási hurkot.

Van alternatíva az átfedések használatára. Alkalmazzon másodlagos hálózati adaptereket az NVA-ban, amelyek nem tanulják meg az útvonalakat az Azure Route Serverből. Ezután konfigurálja az UDR-eket, hogy az Azure átirányíthassa a forgalmat a távoli környezetbe ezeken a hálózati adaptereken keresztül. További részleteket az Azure VMware Solution nagyvállalati szintű hálózati topológiájában és kapcsolataiban talál.

Ehhez a topológiához összetett kezdeti beállítás szükséges. A topológia ezután a várt módon működik minimális felügyeleti többletterheléssel. A beállítási összetettségek a következők:

  • További költségek járnak egy másik tranzit virtuális hálózat hozzáadásához, amely magában foglalja az Azure Route Servert, az ExpressRoute-átjárót és egy másik NVA-t. Előfordulhat, hogy az NVA-knak nagy virtuálisgép-méreteket kell használniuk az átviteli sebesség követelményeinek való megfeleléshez.
  • A két NVA között IPsec- vagy VXLAN-bújtatás szükséges, ami azt jelenti, hogy az NVA-k is a datapathban találhatók. A használt NVA típusától függően ez egyéni és összetett konfigurációt eredményezhet ezeken az NVA-kon.

Következő lépések

Az Azure VMware Solution hálózattervezési szempontjainak megismerése után fontolja meg a következő cikkek feltárását: