Elenco di controllo di pianificazione della rete per la soluzione Azure VMware
soluzione Azure VMware fornisce un ambiente cloud privato VMware accessibile agli utenti e alle applicazioni da ambienti o risorse locali e basati su Azure. Connessione ivity viene distribuita tramite servizi di rete come Azure ExpressRoute e connessioni VPN. Per abilitare questi servizi sono necessari intervalli di indirizzi di rete e porte del firewall specifici. Questo articolo illustra come configurare la rete in modo che funzioni con soluzione Azure VMware.
In questa esercitazione vengono fornite informazioni su:
- Considerazioni sulla rete virtuale e sul circuito ExpressRoute
- Requisiti di routing e subnet
- Porte di rete necessarie per comunicare con i servizi
- Considerazioni su DHCP e DNS nella soluzione Azure VMware
Prerequisiti
Verificare che tutti i gateway, incluso il servizio del provider ExpressRoute, supportino il numero di sistema autonomo (ASN) a 4 byte. soluzione Azure VMware usa asn pubblici a 4 byte per le route pubblicitarie.
Considerazioni sulla rete virtuale e sul circuito ExpressRoute
Quando si crea una connessione di rete virtuale nella sottoscrizione, il circuito ExpressRoute viene stabilito tramite peering, usando una chiave di autorizzazione e un ID peering richiesto nel portale di Azure. Il peering è una connessione privata, uno-a-uno tra il cloud privato e la rete virtuale.
Nota
Il circuito ExpressRoute non fa parte di una distribuzione di cloud privato. Il circuito ExpressRoute locale esula dall'ambito di questo documento. Se è necessaria la connettività locale al cloud privato, usare uno dei circuiti ExpressRoute esistenti o acquistarne uno nel portale di Azure.
Quando si distribuisce un cloud privato, si ricevono indirizzi IP per il server vCenter e NSX-T Manager. Per accedere a queste interfacce di gestione, creare più risorse nella rete virtuale della sottoscrizione. Trovare le procedure per creare tali risorse e stabilire il peering privato di ExpressRoute nelle esercitazioni.
La rete logica del cloud privato include una configurazione del data center NSX-T con provisioning preliminare. Viene effettuato il pre-provisioning di un gateway di livello 0 e di un gateway di livello 1. È possibile creare un segmento e collegarlo al gateway di livello 1 esistente o a uno nuovo definito. I componenti di rete logica del data center NSX-T forniscono connettività east-west tra carichi di lavoro e connettività nord-sud a Internet e servizi di Azure.
Importante
Se si prevede di ridimensionare gli host soluzione Azure VMware usando gli archivi dati di Azure NetApp Files, la distribuzione della rete virtuale vicina agli host con un gateway di rete virtuale ExpressRoute è fondamentale. Più lo spazio di archiviazione è più vicino agli host, migliori sono le prestazioni.
Considerazioni su routing e subnet
Il cloud privato soluzione Azure VMware si connette alla rete virtuale di Azure usando una connessione Azure ExpressRoute. Questa connessione ad ampia larghezza di banda e a bassa latenza consente di accedere ai servizi in esecuzione nella sottoscrizione di Azure dall'ambiente cloud privato. Il routing usa il protocollo BGP (Border Gateway Protocol), viene automaticamente sottoposto a provisioning e abilitato per impostazione predefinita per ogni distribuzione di cloud privato.
soluzione Azure VMware cloud privati richiedono almeno /22 Blocco di indirizzi di rete CIDR per le subnet. Questa rete integra le reti locali, quindi il blocco di indirizzi non deve sovrapporsi ai blocchi di indirizzi usati in altre reti virtuali nella sottoscrizione e nelle reti locali. Il provisioning, il provisioning e le reti vMotion vengono sottoposte automaticamente a provisioning all'interno di questo blocco di indirizzi.
Nota
Gli intervalli consentiti per il blocco di indirizzi sono inclusi negli spazi indirizzi privati RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), ad eccezione di 172.17.0.0/16.
Importante
Evitare di usare gli schemi IP seguenti riservati per l'utilizzo del data center NSX-T:
- 169.254.0.0/24 - usato per la rete di transito interna
- 169.254.2.0/23 - usato per la rete di transito tra VRF
- 100.64.0.0/16 : usato per connettere internamente i gateway T1 e T0
Esempio di blocco di indirizzi di rete /22 CIDR: 10.10.0.0/22
Le subnet:
| Utilizzo di rete | Descrizione | Subnet | Esempio |
|---|---|---|---|
| Gestione del cloud privato | Rete di gestione (ad esempio vCenter, NSX-T) | /26 |
10.10.0.0/26 |
| Migrazioni di HCX Mgmt | Connettività locale per appliance HCX (downlink) | /26 |
10.10.0.64/26 |
| Copertura globale riservata | Interfaccia in uscita per ExpressRoute | /26 |
10.10.0.128/26 |
| Servizio DNS del data center NSX-T | Servizio DNS NSX-T predefinito | /32 |
10.10.0.192/32 |
| Prenotato | Prenotato | /32 |
10.10.0.193/32 |
| Prenotato | Prenotato | /32 |
10.10.0.194/32 |
| Prenotato | Prenotato | /32 |
10.10.0.195/32 |
| Prenotato | Prenotato | /30 |
10.10.0.196/30 |
| Prenotato | Prenotato | /29 |
10.10.0.200/29 |
| Prenotato | Prenotato | /28 |
10.10.0.208/28 |
| Peering ExpressRoute | ExpressRoute Peering | /27 |
10.10.0.224/27 |
| Gestione di ESXi | Interfacce VMkernel di gestione ESXi | /25 |
10.10.1.0/25 |
| Rete vMotion | Interfacce VMkernel vMotion | /25 |
10.10.1.128/25 |
| Rete di replica | Interfacce di replica vSphere | /25 |
10.10.2.0/25 |
| vSAN | Interfacce vSAN VMkernel e comunicazione dei nodi | /25 |
10.10.2.128/25 |
| Uplink HCX | Uplink per appliance HCX IX e NE a peer remoti | /26 |
10.10.3.0/26 |
| Prenotato | Prenotato | /26 |
10.10.3.64/26 |
| Prenotato | Prenotato | /26 |
10.10.3.128/26 |
| Prenotato | Prenotato | /26 |
10.10.3.192/26 |
Porte di rete necessarie
| Source (Sorgente) | Destination | Protocollo | Port | Descrizione |
|---|---|---|---|---|
| Server DNS del cloud privato | Server DNS locale | UDP | 53 | Client DNS: inoltrare le richieste dal server vCenter del cloud privato per qualsiasi query DNS locale (vedere la sezione DNS). |
| Server DNS locale | Server DNS del cloud privato | UDP | 53 | Client DNS - Inoltrare le richieste dai servizi locali ai server DNS del cloud privato (vedere la sezione DNS) |
| Rete locale | Server vCenter del cloud privato | TCP (HTTP) | 80 | Il server vCenter richiede la porta 80 per le connessioni HTTP dirette. La porta 80 reindirizza le richieste alla porta HTTPS 443. Questo reindirizzamento consente di usare http://server anziché https://server. |
| Rete di gestione del cloud privato | Active Directory locale | TCP | 389/636 | Abilitare soluzione Azure VMware s server vCenter per comunicare con i server Active Directory locale/LDAP. Facoltativo per la configurazione di ACTIVE Directory locale come origine delle identità nel vCenter del cloud privato. La porta 636 è consigliata a scopo di sicurezza. |
| Rete di gestione del cloud privato | Catalogo globale di Active Directory locale | TCP | 3268/3269 | Abilitare soluzione Azure VMware s vCenter Server per comunicare con server di catalogo globali Active Directory locale/LDAP. Facoltativo per la configurazione di AD locale come origine di identità nel server vCenter del cloud privato. Usare la porta 3269 per la sicurezza. |
| Rete locale | Server vCenter del cloud privato | TCP (HTTPS) | 443 | Accedere al server vCenter da una rete locale. Porta predefinita per il server vCenter in ascolto delle connessioni client vSphere. Per consentire al sistema del server vCenter di ricevere dati dal client vSphere, aprire la porta 443 nel firewall. Il sistema server vCenter usa anche la porta 443 per monitorare il trasferimento dei dati dai client SDK. |
| Rete locale | HCX Cloud Manager | TCP (HTTPS) | 9443 | Interfaccia di gestione delle appliance virtuali di HCX Cloud Manager per la configurazione del sistema HCX. |
| Rete Amministrazione locale | HCX Cloud Manager | SSH | 22 | Amministrazione istrator Accesso SSH all'appliance virtuale di HCX Cloud Manager. |
| HCX Manager | Interconnessione (HCX-IX) | TCP (HTTPS) | 8123 | Controllo migrazione in blocco di HCX. |
| HCX Manager | Interconnessione (HCX-IX), Estensione di rete (HCX-NE) | TCP (HTTPS) | 9443 | Inviare istruzioni di gestione all'interconnessione HCX locale usando l'API REST. |
| Interconnessione (HCX-IX) | L2C | TCP (HTTPS) | 443 | Inviare istruzioni di gestione dall'interconnessione a L2C quando L2C usa lo stesso percorso dell'interconnessione. |
| HCX Manager, Interconnect (HCX-IX) | Host ESXi | TCP | 80,443,902 | Gestione e distribuzione di OVF. |
| Interconnessione (HCX-IX), Estensione di rete (HCX-NE) all'origine | Interconnessione (HCX-IX), Estensione di rete (HCX-NE) nella destinazione | UDP | 4500 | Obbligatorio per IPSEC IKEv2 (Internet Key Exchange) per incapsulare i carichi di lavoro per il tunnel bidirezionale. Supporta Network Address Translation-Traversal (NAT-T). |
| Interconnessione locale (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4500 | Obbligatorio per IPSEC Internet Key Exchange (ISAKMP) per il tunnel bidirezionale. |
| Rete del server vCenter locale | Rete di gestione del cloud privato | TCP | 8000 | vMotion delle macchine virtuali dal server vCenter locale al server vCenter del cloud privato |
| HCX Connessione or | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect è necessario per convalidare il codice di licenza.hybridity è necessario per gli aggiornamenti. |
Questa tabella presenta regole firewall comuni per scenari tipici. Tuttavia, potrebbe essere necessario prendere in considerazione più elementi durante la configurazione delle regole del firewall. Si noti che quando l'origine e la destinazione dicono "locale", queste informazioni sono rilevanti solo se il data center ha un firewall che controlla i flussi. Se i componenti locali non dispongono di un firewall per l'ispezione, è possibile ignorare tali regole.
Per altre informazioni, vedere l'elenco completo dei requisiti delle porte di VMware HCX.
Considerazioni su DHCP e sulla risoluzione DNS
Le applicazioni e i carichi di lavoro in esecuzione in un ambiente cloud privato richiedono la risoluzione dei nomi e i servizi DHCP per la ricerca e le assegnazioni di indirizzi IP. Per fornire questi servizi, è necessaria un'infrastruttura DHCP e DNS corretta. È possibile configurare una macchina virtuale per fornire questi servizi nell'ambiente cloud privato.
Usare il servizio DHCP incorporato in NSX-T Data Center o usare un server DHCP locale nel cloud privato invece di instradare il traffico DHCP trasmesso sulla rete WAN in locale.
Importante
Se si annuncia una route predefinita al soluzione Azure VMware, è necessario consentire al server d'inoltro DNS di raggiungere i server DNS configurati e devono supportare la risoluzione dei nomi pubblici.
Passaggi successivi
In questa esercitazione sono state illustrate le considerazioni e i requisiti per la distribuzione di un cloud privato soluzione Azure VMware. Una volta completata la configurazione corretta della rete, continuare con l'esercitazione successiva per creare il cloud privato della soluzione Azure VMware.