Share via

Azure VMware Solution のネットワーク トポロジと接続

  • [アーティクル]

Azure クラウド エコシステムで VMware ソフトウェア定義データセンター (SDDC) を使用する場合、クラウドネイティブとハイブリッドの両方のシナリオに従うべき、固有の設計上の考慮事項が提示されます。 この記事では、Azure と Azure VMware Solution のデプロイの間や、その内部でのネットワークと接続に関する主要な考慮事項とベスト プラクティスについて検証ついて説明します。

この記事は、大規模なネットワーク トポロジと接続を管理するためのクラウド導入フレームワークのエンタープライズ規模のランディング ゾーン アーキテクチャの原則と推奨事項に基づいています。 この Azure ランディング ゾーンの設計領域のガイダンスは、ミッションクリティカルな Azure VMware Solution プラットフォームに使用できます。 設計領域は次のとおりです。

設計に関する一般的な考慮事項と推奨事項

次のセクションでは、Azure VMware Solution のネットワーク トポロジと接続に関する一般的な設計上の考慮事項と推奨事項について説明します。

ハブスポークと Virtual WAN ネットワーク トポロジ

オンプレミスから Azure への ExpressRoute 接続がなく、代わりに S2S VPN を使用している場合は、Virtual WAN を使用してオンプレミスの VPN と Azure VMware Solution ExpressRoute 間の接続を転送できます。 ハブ スポーク トポロジを使用している場合は、Azure Route Server が必要です。 詳細については、「ExpressRoute と Azure VPN に対する Azure Route Server のサポートについて」を参照してください。

プライベート クラウドとクラスター

  • すべてのクラスターは、同じ /22 アドレス空間を共有するため、Azure VMware Solution のプライベート クラウド内で通信できます。

  • すべてのクラスターで、インターネット、ExpressRoute、HCX、パブリック IP、ExpressRoute Global Reach など、同じ接続設定が共有されます。 アプリケーション ワークロードでは、ネットワーク セグメント、動的ホスト構成プロトコル (DHCP)、ドメイン ネーム システム (DNS) 設定などの基本的なネットワーク設定を共有することもできます。

  • プライベート クラウドとクラスターを事前に設計してからデプロイします。 必要なプライベートクラウドの数は、ネットワーク要件に直接影響します。 各プライベート クラウドには、プライベート クラウド管理用の独自の /22 アドレス空間と、VM ワークロード用の IP アドレス セグメントが必要です。 これらのアドレス空間を事前に定義することを検討してください。

  • ワークロード用にプライベート クラウド、クラスター、ネットワーク セグメントをセグメント化して分散する方法について、VMware とネットワークの各チームと話し合います。 適切な計画を立て、IP アドレスを無駄にしないようにします。

プライベート クラウドの IP アドレスの管理の詳細については、「プライベート クラウド管理用の IP アドレス セグメントを定義する」を参照してください。

VM ワークロードの IP アドレスの管理の詳細については、「VM ワークロードの IP アドレス セグメントを定義する」を参照してください。

[DNS と DHCP]

DHCP の場合は、NSX-T Data Center に組み込まれている DHCP サービスを使用するか、プライベート クラウド内のローカル DHCP サーバーを使用します。 WAN 経由でオンプレミス ネットワークにブロードキャスト DHCP トラフィックをルーティングしないでください。

DNS の場合、採用するシナリオと要件に応じて、複数のオプションがあります。

  • Azure VMware Solution 環境の場合のみ、Azure VMware Solution のプライベート クラウドに新しい DNS インフラストラクチャをデプロイできます。
  • オンプレミス環境に接続されている Azure VMware Solution の場合は、既存の DNS インフラストラクチャを使用できます。 必要に応じて、DNS フォワーダーをデプロイして Azure Virtual Network に拡張するか、できれば Azure VMware Solution に拡張します。 詳細については、「Add a DNS forwarder service」 (DNS フォワーダー サービスを追加する) を参照してください。
  • オンプレミスと Azure の両方の環境とサービスに接続されている Azure VMware Solution の場合、お使いのハブ仮想ネットワーク内の既存の DNS サーバーまたは DNS フォワーダーを使用できます (使用可能な場合)。 また、既存のオンプレミス DNS インフラストラクチャを Azure ハブ仮想ネットワークに拡張することもできます。 詳細については、エンタープライズ規模のランディング ゾーン図を参照してください。

詳細については、次の記事を参照してください。

インターネット

インターネットを有効にしたり、トラフィックをフィルター処理したり、トラフィックを検査したりするための送信オプションは次のとおりです。

  • Azure のインターネット アクセスを使用した Azure Virtual Network、NVA、Azure Route Server。
  • オンプレミスのインターネット アクセスを使用したオンプレミスの既定のルート。
  • Azure インターネット アクセスを使用して、Azure Firewall または NVA を備えた Virtual WAN で保護されたハブ。

コンテンツとアプリケーションを配信するための受信オプションは次のとおりです。

  • L7、Secure Sockets Layer (SSL) 終端、Web Application Firewall を備えた Azure Application Gateway。
  • オンプレミスの DNAT とロード バランサー。
  • さまざまなシナリオでの Azure Virtual Network、NVA、Azure Route Server。
  • L4 と DNAT を備えた Azure Firewall を使用した Virtual WAN で保護されたハブ。
  • さまざまなシナリオでの NVA を使用した Virtual WAN で保護されたハブ。

ExpressRoute

追加設定なしで使うことができるプライベート クラウド デプロイである Azure VMware Solution を使うと、10 Gbps の 1 つの ExpressRoute 回路が無料で自動的に作成されます。 この回線により、Azure VMware Solution が D-MSEE に接続されます。

お使いのデータセンターの近くにある Azure のペアになっている リージョンに Azure VMware Solution をデプロイすることを検討してください。 Azure VMware Solutionのデュアルリージョンネットワークトポロジに関する推奨事項については、この文書を参照してください。

Global Reach

  • Global Reach は、Azure VMware Solution がオンプレミスのデータセンター、Azure Virtual Network、Virtual WAN と通信するために必要な ExpressRoute アドオンです。 別の方法は、Azure Route Server を使用してネットワーク接続を設計することです。

  • Global Reach を使用すると、Azure VMware Solution ExpressRoute 回線を他の ExpressRoute 回線と無料でピアリングできます。

  • Global Reach は、ISP を介した ExpressRoute 回線のピアリング、および ExpressRoute Direct 回線に使用できます。

  • Global Reach は ExpressRoute Local 回線ではサポートされていません。 ExpressRoute Local の場合、Azure VMware Solution から Azure仮想ネットワーク内のサードパーティの NVA を介してオンプレミスのデータセンターに転送されます。

  • Global Reach は、すべての場所で使用できるわけではありません。

帯域幅

Azure VMware Solution と Azure Virtual Network の間の最適な帯域幅のために適切な Virtual Network Gateway SKU を選びます。 Azure VMware Solution では、1 つのリージョンで 1 つの ExpressRoute ゲートウェイに対して最大 4 つの ExpressRoute 回線がサポートされます。

ネットワークのセキュリティ

ネットワーク セキュリティでは、トラフィック検査とポート ミラーリングが使用されます。

SDDC 内の "東西トラフィック検査" では、NSX-T Data Center または NVA を使用して、リージョン間での Azure Virtual Network へのトラフィックが検査されます。

"南北トラフィック検査" では、Azure VMware Solution とデータセンター間の双方向トラフィック フローが検査されます。 南北トラフィック検査では、次を使用できます。

  • サード パーティのファイアウォール NVA と Azure Route Server over Azure インターネット。
  • オンプレミスのインターネット経由でオンプレミスの既定のルート。
  • Azure インターネット経由で Azure Firewall と Virtual WAN
  • Azure VMware Solution インターネット経由での SDDC 内の NSX-T Data Center。
  • Azure VMware Solution インターネット経由で SDDC 内のAzure VMware Solution の サードパーティ ファイアウォール NVA

ポートとプロトコルの要件

オンプレミスのファイアウォールに必要なすべてのポートを構成して、Azure VMware Solution のプライベート クラウドのすべてのコンポーネントに適切にアクセスできるようにします。 詳細については、「必要なネットワーク ポート」をご覧ください。

Azure VMware Solution の管理アクセス

  • デプロイ時に、Azure Virtual Network で Azure Bastion ホストを使用して、Azure VMware Solution 環境にアクセスすることを検討してください。

  • オンプレミス環境へのルーティングが確立されると、Azure VMware Solution 管理ネットワークはオンプレミス ネットワークからの 0.0.0.0/0 ルートを受け入れないので、オンプレミス ネットワークに対してより具体的なルートをアドバタイズする必要があります。

事業継続とディザスター リカバリー (BCDR) と移行

  • VMware HCX の移行では、既定のゲートウェイはオンプレミスのままです。 詳細については、VMware HCX のデプロイと構成に関するページを参照してください。

  • VMware HCX の移行では、HCX L2 拡張機能を使用できます。 レイヤー 2 拡張を必要とする移行には ExpressRoute も必要です。 最小 ネットワーク アンダーレイの最小要件 がネットである限り、S2S VPN がサポートされます。 HCX のオーバーヘッドに対応するには、最大転送単位 (MTU) サイズを 1350 に設定する必要があります。 レイヤー 2 拡張機能の設計の詳細については、「Layer 2 bridging in manager mode」 (マネージャー モードでのレイヤー 2 ブリッジング ) (VMware.com)を参照してください。

次の手順