Topologi dan konektivitas jaringan untuk Azure VMware Solution
Saat menggunakan pusat data yang ditentukan perangkat lunak VMware (SDDC) dengan ekosistem cloud Azure, Anda memiliki serangkaian pertimbangan desain unik untuk diikuti untuk skenario cloud-native dan hibrid. Artikel ini memberikan pertimbangan utama dan praktik terbaik untuk jaringan dan konektivitas ke, dari, dan dalam penyebaran Azure dan Azure VMware Solution .
Artikel ini dibangun di atas beberapa prinsip arsitektur zona arahan skala perusahaan Cloud Adoption Framework dan rekomendasi untuk mengelola topologi dan konektivitas jaringan dalam skala besar. Anda dapat menggunakan panduan area desain zona pendaratan Azure ini untuk platform Azure VMware Solution yang sangat penting. Area desain meliputi:
- Integrasi hibrid untuk konektivitas antara pengguna lokal, multicloud, edge, dan global. Untuk informasi selengkapnya, lihat Dukungan skala perusahaan untuk hibrid dan multicloud.
- Performa dan keandalan dalam skala besar untuk skalabilitas beban kerja dan pengalaman latensi rendah yang konsisten. Artikel berikutnya membahas penyebaran Wilayah ganda.
- Keamanan jaringan berbasis nol kepercayaan untuk perimeter jaringan dan keamanan arus lalu lintas. Untuk informasi selengkapnya, lihat Strategi keamanan jaringan di Azure.
- Ekstensibilitas untuk ekspansi jejak jaringan yang mudah tanpa perlu pengerjaan ulang desain.
Pertimbangan dan rekomendasi desain umum
Bagian berikut memberikan pertimbangan desain umum dan rekomendasi untuk topologi dan konektivitas jaringan Azure VMware Solution.
Topologi jaringan {i>Hub-spoke
Jika Anda tidak memiliki koneksi ExpressRoute dari lokal ke Azure dan Anda menggunakan S2S VPN, Anda dapat menggunakan Virtual WAN untuk transit konektivitas antara VPN lokal Anda dan Azure VMware Solution ExpressRoute. Jika Anda menggunakan topologi hub-spoke, Anda memerlukan Azure Route Server. Untuk informasi selengkapnya, lihat Dukungan Azure Route Server untuk ExpressRoute dan Azure VPN.
Cloud dan kluster privat
Semua kluster dapat berkomunikasi dalam cloud privat Azure VMware Solution karena semuanya memiliki ruang alamat /22 yang sama.
Semua kluster memiliki pengaturan konektivitas yang sama, termasuk internet, ExpressRoute, HCX, IP publik, dan ExpressRoute Global Reach. Beban kerja aplikasi juga dapat berbagi beberapa pengaturan jaringan dasar seperti segmen jaringan, protokol konfigurasi host dinamis (DHCP), dan pengaturan Sistem Nama Domain (DNS).
Desain cloud dan kluster privat terlebih dahulu sebelum penyebaran Anda. Jumlah cloud privat yang Anda perlukan secara langsung memengaruhi persyaratan jaringan Anda. Setiap cloud privat memerlukan ruang alamat /22 sendiri untuk manajemen cloud privat dan segmen alamat IP untuk beban kerja VM. Pertimbangkan untuk menentukan ruang alamat tersebut terlebih dahulu.
Diskusikan dengan tim VMware dan tim jaringan Anda cara mengelompokkan dan mendistribusikan {i>cloud
Untuk informasi selengkapnya tentang mengelola alamat IP untuk cloud privat, lihat Menentukan segmen alamat IP untuk manajemen cloud privat.
Untuk informasi selengkapnya tentang mengelola alamat IP untuk beban kerja VM, lihat Menentukan segmen alamat IP untuk beban kerja VM.
DNS dan DHCP
Untuk DHCP, gunakan layanan DHCP yang dibangun ke dalam Pusat Data NSX-T, atau gunakan server DHCP lokal di cloud privat. Jangan merutekan lalu lintas DHCP siaran melalui WAN kembali ke jaringan lokal.
Untuk DNS, bergantung pada skenario yang Anda adopsi dan kebutuhan Anda, Anda memiliki beberapa opsi:
- Hanya untuk lingkungan Azure VMware Solution, Anda dapat menyebarkan infrastruktur DNS baru di cloud privat Azure VMware Solution Anda.
- Untuk Azure VMware Solution yang tersambung ke lingkungan lokal, Anda bisa menggunakan infrastruktur DNS yang sudah ada. Jika perlu, sebarkan penerus DNS untuk memperluas ke Azure Virtual Network atau, lebih disukai, ke Azure VMware Solution. Untuk informasi selengkapnya, lihat Menambahkan layanan penerus DNS.
- Untuk Azure VMware Solution yang tersambung ke lingkungan dan layanan lokal dan Azure, Anda dapat menggunakan server DNS atau penerus DNS yang ada di jaringan virtual hub Anda jika tersedia. Anda juga dapat memperluas infrastruktur DNS lokal yang ada ke jaringan virtual hub Azure. Untuk mengetahui detailnya, lihat diagram zona arahan skala perusahaan.
Untuk informasi lebih lanjut, baca artikel berikut:
- Pertimbangan resolusi DHCP dan DNS
- Mengonfigurasi DHCP untuk Azure VMware Solution
- Mengonfigurasi DHCP pada jaringan HCX VMware yang direntangkan L2
- Mengonfigurasi penerus DNS di portal Azure
Internet
Opsi keluar untuk mengaktifkan internet dan memfilter dan memeriksa lalu lintas meliputi:
- Azure Virtual Network, NVA, dan Azure Route Server menggunakan akses internet Azure.
- Rute default lokal menggunakan akses internet lokal.
- Hub aman Virtual WAN dengan Azure Firewall atau NVA, menggunakan akses internet Azure.
Opsi masuk untuk mengirimkan konten dan aplikasi meliputi:
- Azure Application Gateway dengan L7, penghentian Secure Sockets Layer (SSL), dan Web Application Firewall.
- DNAT dan load balancer dari lokal.
- Azure Virtual Network, NVA, dan Azure Route Server dalam berbagai skenario.
- Hub aman Virtual WAN dengan Azure Firewall, dengan L4 dan DNAT.
- Hub aman Virtual WAN dengan NVA dalam berbagai skenario.
ExpressRoute
Penyebaran cloud privat out-of-the-box Azure VMware Solution secara otomatis membuat satu sirkuit ExpressRoute 10 Gbps gratis. Rangkaian ini menghubungkan Azure VMware Solution ke D-MSEE.
Pertimbangkan untuk menyebarkan Azure VMware Solution di wilayah berpasangan Azure di dekat pusat data Anda. Tinjau artikel ini untuk rekomendasi topologi jaringan wilayah ganda untuk Azure VMware Solution.
Jangkauan Global
Global Reach adalah {i>add-on
Anda dapat memasangkan rangkaian Azure VMware Solution ExpressRoute dengan rangkaian ExpressRoute lainnya menggunakan Global Reach tanpa biaya.
Anda dapat menggunakan Jangkauan Global untuk peering sirkuit ExpressRoute melalui ISP dan untuk sirkuit ExpressRoute Direct.
Global Reach tidak didukung untuk rangkaian ExpressRoute Local. Untuk ExpressRoute Local, transit dari Azure VMware Solution ke pusat data lokal melalui NVAs pihak ketiga di jaringan virtual Azure.
Global Reach tidak tersedia di semua lokasi.
Bandwidth
Pilih SKU gateway jaringan virtual yang sesuai untuk bandwidth optimal antara Azure VMware Solution dan Azure Virtual Network. Azure VMware Solution mendukung maksimal empat sirkuit ExpressRoute ke gateway ExpressRoute di satu wilayah.
Keamanan jaringan
Keamanan jaringan melibatkan inspeksi lalu lintas dan pencerminan port.
Inspeksi lalu lintas Timur-Barat dalam SDDC menggunakan NSX-T Data Center atau NVA untuk memeriksa lalu lintas ke Azure Virtual Network di seluruh wilayah.
Inspeksi lalu lintas Utara-Selatan memeriksa arus lalu lintas dua arah antara Azure VMware Solution dan pusat data. Inspeksi lalu lintas utara-selatan dapat menggunakan:
- Firewall pihak ketiga NVA dan Azure Route Server melalui internet Azure.
- Rute default lokal melalui internet lokal.
- Azure Firewall dan Virtual WAN melalui internet Azure
- Pusat Data NSX-T dalam SDDC melalui internet Azure VMware Solution.
- Firewall pihak ketiga NVA di Azure VMware Solution dalam SDDC melalui internet Azure VMware Solution
Port dan persyaratan protokol
Konfigurasikan semua port yang diperlukan untuk firewall lokal untuk memastikan akses yang tepat ke semua komponen cloud privat Azure VMware Solution. Untuk informasi selengkapnya, lihat Port jaringan yang diperlukan.
Akses manajemen Azure VMware Solution
Pertimbangkan untuk menggunakan host Azure Bastion di Azure Virtual Network untuk mengakses lingkungan Azure VMware Solution selama penyebaran.
Setelah Anda membuat perutean ke lingkungan lokal Anda, jaringan manajemen Azure VMware Solution tidak mematuhi 0.0.0.0/0 rute dari jaringan lokal, jadi Anda perlu mengiklankan rute yang lebih spesifik untuk jaringan lokal Anda.
Kelangsungan bisnis, pemulihan bencana (BCDR), dan migrasi
Dalam migrasi HCX VMware, gateway default tetap lokal. Untuk informasi selengkapnya, lihat Menyebarkan dan mengonfigurasi VMware HCX.
Migrasi HCX VMware dapat menggunakan ekstensi HCX L2. Migrasi yang memerlukan ekstensi Lapisan 2 juga memerlukan ExpressRoute. VPN S2S didukung selama persyaratan minimum underlay jaringan minimum bersih. Ukuran unit transmisi maksimum (MTU) harus 1350 untuk mengakomodasi {i>overheadLayer 2 bridging in manager mode (VMware.com).
Langkah berikutnya
Untuk informasi selengkapnya tentang Azure VMware Solution di jaringan hub-and-spoke, lihat Mengintegrasikan Azure VMware Solution dalam arsitektur hub dan spoke.
Untuk informasi selengkapnya tentang segmen jaringan VMware NSX-T Data Center, lihat Mengonfigurasi komponen jaringan NSX-T Data Center menggunakan Azure VMware Solution.
Untuk mempelajari prinsip arsitektur zona pendaratan skala perusahaan Cloud Adoption Framework, berbagai pertimbangan desain, dan praktik terbaik untuk Azure VMware Solution, lihat artikel berikutnya dalam seri ini:
Jika Anda tidak memiliki koneksi ExpressRoute dari lokal ke Azure dan Anda menggunakan S2S VPN, Anda dapat menggunakan Virtual WAN untuk transit konektivitas antara VPN lokal Anda dan Azure VMware Solution ExpressRoute. Jika Anda menggunakan topologi hub-spoke, Anda memerlukan Azure Route Server. Untuk informasi selengkapnya, lihat Dukungan Azure Route Server untuk ExpressRoute dan Azure VPN.
Cloud dan kluster privat
Semua kluster dapat berkomunikasi dalam cloud privat Azure VMware Solution karena semuanya memiliki ruang alamat /22 yang sama.
Semua kluster memiliki pengaturan konektivitas yang sama, termasuk internet, ExpressRoute, HCX, IP publik, dan ExpressRoute Global Reach. Beban kerja aplikasi juga dapat berbagi beberapa pengaturan jaringan dasar seperti segmen jaringan, protokol konfigurasi host dinamis (DHCP), dan pengaturan Sistem Nama Domain (DNS).
Desain cloud dan kluster privat terlebih dahulu sebelum penyebaran Anda. Jumlah cloud privat yang Anda perlukan secara langsung memengaruhi persyaratan jaringan Anda. Setiap cloud privat memerlukan ruang alamat /22 sendiri untuk manajemen cloud privat dan segmen alamat IP untuk beban kerja VM. Pertimbangkan untuk menentukan ruang alamat tersebut terlebih dahulu.
Diskusikan dengan tim VMware dan tim jaringan Anda cara mengelompokkan dan mendistribusikan {i>cloud
Untuk informasi selengkapnya tentang mengelola alamat IP untuk cloud privat, lihat Menentukan segmen alamat IP untuk manajemen cloud privat.
Untuk informasi selengkapnya tentang mengelola alamat IP untuk beban kerja VM, lihat Menentukan segmen alamat IP untuk beban kerja VM.
DNS dan DHCP
Untuk DHCP, gunakan layanan DHCP yang dibangun ke dalam Pusat Data NSX-T, atau gunakan server DHCP lokal di cloud privat. Jangan merutekan lalu lintas DHCP siaran melalui WAN kembali ke jaringan lokal.
Untuk DNS, bergantung pada skenario yang Anda adopsi dan kebutuhan Anda, Anda memiliki beberapa opsi:
- Hanya untuk lingkungan Azure VMware Solution, Anda dapat menyebarkan infrastruktur DNS baru di cloud privat Azure VMware Solution Anda.
- Untuk Azure VMware Solution yang tersambung ke lingkungan lokal, Anda bisa menggunakan infrastruktur DNS yang sudah ada. Jika perlu, sebarkan penerus DNS untuk memperluas ke Azure Virtual Network atau, lebih disukai, ke Azure VMware Solution. Untuk informasi selengkapnya, lihat Menambahkan layanan penerus DNS.
- Untuk Azure VMware Solution yang tersambung ke lingkungan dan layanan lokal dan Azure, Anda dapat menggunakan server DNS atau penerus DNS yang ada di jaringan virtual hub Anda jika tersedia. Anda juga dapat memperluas infrastruktur DNS lokal yang ada ke jaringan virtual hub Azure. Untuk mengetahui detailnya, lihat diagram zona arahan skala perusahaan.
Untuk informasi lebih lanjut, baca artikel berikut:
- Pertimbangan resolusi DHCP dan DNS
- Mengonfigurasi DHCP untuk Azure VMware Solution
- Mengonfigurasi DHCP pada jaringan HCX VMware yang direntangkan L2
- Mengonfigurasi penerus DNS di portal Azure
Internet
Opsi keluar untuk mengaktifkan internet dan memfilter dan memeriksa lalu lintas meliputi:
- Azure Virtual Network, NVA, dan Azure Route Server menggunakan akses internet Azure.
- Rute default lokal menggunakan akses internet lokal.
- Hub aman Virtual WAN dengan Azure Firewall atau NVA, menggunakan akses internet Azure.
Opsi masuk untuk mengirimkan konten dan aplikasi meliputi:
- Azure Application Gateway dengan L7, penghentian Secure Sockets Layer (SSL), dan Web Application Firewall.
- DNAT dan load balancer dari lokal.
- Azure Virtual Network, NVA, dan Azure Route Server dalam berbagai skenario.
- Hub aman Virtual WAN dengan Azure Firewall, dengan L4 dan DNAT.
- Hub aman Virtual WAN dengan NVA dalam berbagai skenario.
ExpressRoute
Penyebaran cloud privat out-of-the-box Azure VMware Solution secara otomatis membuat satu sirkuit ExpressRoute 10 Gbps gratis. Rangkaian ini menghubungkan Azure VMware Solution ke D-MSEE.
Pertimbangkan untuk menyebarkan Azure VMware Solution di wilayah berpasangan Azure di dekat pusat data Anda. Tinjau artikel ini untuk rekomendasi topologi jaringan wilayah ganda untuk Azure VMware Solution.
Jangkauan Global
Global Reach adalah {i>add-on
Anda dapat memasangkan rangkaian Azure VMware Solution ExpressRoute dengan rangkaian ExpressRoute lainnya menggunakan Global Reach tanpa biaya.
Anda dapat menggunakan Jangkauan Global untuk peering sirkuit ExpressRoute melalui ISP dan untuk sirkuit ExpressRoute Direct.
Global Reach tidak didukung untuk rangkaian ExpressRoute Local. Untuk ExpressRoute Local, transit dari Azure VMware Solution ke pusat data lokal melalui NVAs pihak ketiga di jaringan virtual Azure.
Global Reach tidak tersedia di semua lokasi.
Bandwidth
Pilih SKU gateway jaringan virtual yang sesuai untuk bandwidth optimal antara Azure VMware Solution dan Azure Virtual Network. Azure VMware Solution mendukung maksimal empat sirkuit ExpressRoute ke gateway ExpressRoute di satu wilayah.
Keamanan jaringan
Keamanan jaringan melibatkan inspeksi lalu lintas dan pencerminan port.
Inspeksi lalu lintas Timur-Barat dalam SDDC menggunakan NSX-T Data Center atau NVA untuk memeriksa lalu lintas ke Azure Virtual Network di seluruh wilayah.
Inspeksi lalu lintas Utara-Selatan memeriksa arus lalu lintas dua arah antara Azure VMware Solution dan pusat data. Inspeksi lalu lintas utara-selatan dapat menggunakan:
- Firewall pihak ketiga NVA dan Azure Route Server melalui internet Azure.
- Rute default lokal melalui internet lokal.
- Azure Firewall dan Virtual WAN melalui internet Azure
- Pusat Data NSX-T dalam SDDC melalui internet Azure VMware Solution.
- Firewall pihak ketiga NVA di Azure VMware Solution dalam SDDC melalui internet Azure VMware Solution
Port dan persyaratan protokol
Konfigurasikan semua port yang diperlukan untuk firewall lokal untuk memastikan akses yang tepat ke semua komponen cloud privat Azure VMware Solution. Untuk informasi selengkapnya, lihat Port jaringan yang diperlukan.
Akses manajemen Azure VMware Solution
Pertimbangkan untuk menggunakan host Azure Bastion di Azure Virtual Network untuk mengakses lingkungan Azure VMware Solution selama penyebaran.
Setelah Anda membuat perutean ke lingkungan lokal Anda, jaringan manajemen Azure VMware Solution tidak mematuhi
0.0.0.0/0rute dari jaringan lokal, jadi Anda perlu mengiklankan rute yang lebih spesifik untuk jaringan lokal Anda.
Kelangsungan bisnis, pemulihan bencana (BCDR), dan migrasi
Dalam migrasi HCX VMware, gateway default tetap lokal. Untuk informasi selengkapnya, lihat Menyebarkan dan mengonfigurasi VMware HCX.
Migrasi HCX VMware dapat menggunakan ekstensi HCX L2. Migrasi yang memerlukan ekstensi Lapisan 2 juga memerlukan ExpressRoute. VPN S2S didukung selama persyaratan minimum underlay jaringan minimum bersih. Ukuran unit transmisi maksimum (MTU) harus 1350 untuk mengakomodasi {i>overhead
Langkah berikutnya
Untuk informasi selengkapnya tentang Azure VMware Solution di jaringan hub-and-spoke, lihat Mengintegrasikan Azure VMware Solution dalam arsitektur hub dan spoke.
Untuk informasi selengkapnya tentang segmen jaringan VMware NSX-T Data Center, lihat Mengonfigurasi komponen jaringan NSX-T Data Center menggunakan Azure VMware Solution.
Untuk mempelajari prinsip arsitektur zona pendaratan skala perusahaan Cloud Adoption Framework, berbagai pertimbangan desain, dan praktik terbaik untuk Azure VMware Solution, lihat artikel berikutnya dalam seri ini:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk