Checklist voor netwerkplanning voor Azure VMware Solution
Azure VMware Solution biedt een VMware-privécloudomgeving die toegankelijk is voor gebruikers en toepassingen vanuit on-premises en Op Azure gebaseerde omgevingen of resources. De connectiviteit wordt geleverd via netwerkservices zoals Azure ExpressRoute en VPN-verbindingen. Er zijn specifieke netwerkadresbereiken en firewallpoorten vereist om de services in te kunnenschakelen. In dit artikel vindt u de informatie die u nodig hebt om uw netwerk correct te configureren voor gebruik met Azure VMware Solution.
In deze zelfstudie wordt aandacht besteed aan:
- Overwegingen voor virtuele netwerken en ExpressRoute-circuits
- Vereisten voor routering en subnet
- Vereiste netwerkpoorten om te communiceren met de services
- DHCP- en DNS-overwegingen in Azure VMware Solution
Vereiste
Zorg ervoor dat alle gateways, inclusief de service van de ExpressRoute-provider, ondersteuning bieden voor 4-byte Autonomous System Number (ASN). Azure VMware Solution maakt gebruik van openbare ASN's van 4 byte voor advertentieroutes.
Overwegingen voor virtuele netwerken en ExpressRoute-circuits
Wanneer u een virtuele netwerkverbinding in uw abonnement maakt, wordt het ExpressRoute-circuit tot stand gebracht via peering, met behulp van een autorisatiesleutel en een peering-id die u aanvraagt in de Azure Portal. De peering is een particuliere, een-op-een-verbinding tussen uw privécloud en het virtuele netwerk.
Notitie
Het ExpressRoute-circuit maakt geen deel uit van een implementatie van een privécloud. Het on-premises ExpressRoute-circuit valt buiten het bereik van dit document. Als u een on-premises verbinding met uw privécloud nodig hebt, kunt u een van uw bestaande ExpressRoute-circuits gebruiken of deze in de Azure-portal aanschaffen.
Wanneer u een privécloud implementeert, ontvangt u IP-adressen voor vCenter en NSX-T-beheer. Voor toegang tot deze beheerinterfaces moet u meer resources maken in het virtuele netwerk van uw abonnement. U vindt de procedures voor het maken van deze resources en het tot stand brengen van persoonlijke peering met ExpressRoute in de zelfstudies.
Het logisch netwerk van de privécloud wordt geleverd met vooraf ingerichte NSX-T. Een Tier-0-gateway en een Tier-1-gateway zijn vooraf voor u ingericht. U kunt een segment maken en dit koppelen aan de bestaande gateway van de Tier-1 of koppelen aan een nieuwe door u opgegeven tier-1-gateway. Onderdelen van logische NSX-T-netwerken bieden East-West connectiviteit tussen workloads en North-South verbinding met internet en Azure-services.
Belangrijk
Als u van plan bent om uw Azure VMware Solution-hosts te schalen met behulpvan Azure-schijfgroepen, is het implementeren van het vNet dicht bij uw hosts met een virtuele ExpressRoute-netwerkgateway van cruciaal belang. Hoe dichter de opslag bij uw hosts ligt, hoe beter de prestaties.
Overwegingen voor routering en subnetten
De Azure VMware Solution privécloud is verbonden met uw virtuele Azure-netwerk met behulp van Azure ExpressRoute verbinding. Via deze verbinding met hoge bandbreedte en lage latentie kunt u toegang krijgen tot services die worden uitgevoerd in uw Azure-abonnement vanuit uw privécloud. De routering is op basis van Border Gateway Protocol (BGP) en automatisch ingericht en ingeschakeld voor elke implementatie van een privécloud.
Azure VMware Solution privé clouds vereisen minimaal een CIDR-netwerkadresblok voor /22 subnetten, zoals hieronder wordt weergegeven. Dit netwerk vormt een aanvulling op uw on-premises netwerken. Daarom mag het adresblok niet overlappen met adresblokken die worden gebruikt in andere virtuele netwerken in uw abonnement en on-premises netwerken. Beheer, inrichting en vMotion-netwerken worden automatisch ingericht in dit adresblok.
Notitie
Toegestane bereiken voor uw adresblok zijn de RFC 1918-privéadresruimten (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), met uitzondering van 172.17.0.0/16.
Voorbeeld /22 CIDR-netwerkadresblok: 10.10.0.0/22
De subnetten:
| Netwerkgebruik | Subnet | Voorbeeld |
|---|---|---|
| Privécloudbeheer | /26 |
10.10.0.0/26 |
| Migraties van HCX Mgmt | /26 |
10.10.0.64/26 |
| Global Reach Reserved | /26 |
10.10.0.128/26 |
| NSX-T DNS-service | /32 |
10.10.0.192/32 |
| Gereserveerd | /32 |
10.10.0.193/32 |
| Gereserveerd | /32 |
10.10.0.194/32 |
| Gereserveerd | /32 |
10.10.0.195/32 |
| Gereserveerd | /30 |
10.10.0.196/30 |
| Gereserveerd | /29 |
10.10.0.200/29 |
| Gereserveerd | /28 |
10.10.0.208/28 |
| ExpressRoute-peering | /27 |
10.10.0.224/27 |
| ESXi-beheer | /25 |
10.10.1.0/25 |
| vMotion-network | /25 |
10.10.1.128/25 |
| Replicatienetwerk | /25 |
10.10.2.0/25 |
| vSAN | /25 |
10.10.2.128/25 |
| HCX Uplink | /26 |
10.10.3.0/26 |
| Gereserveerd | /26 |
10.10.3.64/26 |
| Gereserveerd | /26 |
10.10.3.128/26 |
| Gereserveerd | /26 |
10.10.3.192/26 |
Vereiste netwerkpoorten
| Bron | Doel | Protocol | Poort | Beschrijving |
|---|---|---|---|---|
| DNS-servers voor privécloud | On-premises DNS-servers | UDP | 53 | DNS-client: aanvragen van PC vCenter doorsturen voor on-premises DNS-query's (zie de sectie DNS hieronder) |
| On-premises DNS-servers | DNS-servers voor privécloud | UDP | 53 | DNS-client: aanvragen van on-premises services doorsturen naar DNS-servers in de privécloud (zie de sectie DNS hieronder) |
| On-premises netwerk | VCenter-server voor privécloud | TCP (HTTP) | 80 | vCenter Server poort 80 is vereist voor directe HTTP-verbindingen. Via poort 80 worden aanvragen omgeleid naar HTTPS-poort 443. Deze omleiding helpt als u gebruikt http://server in plaats van https://server . |
| Netwerk voor privécloudbeheer | On-premises Active Directory | TCP | 389/636 | Deze poorten zijn geopend zodat communicatie voor Azure VMware Solutions vCenter kan communiceren met alle on-premises Active Directory/LDAP-servers. Deze poort(en) zijn optioneel: voor het configureren van on-premises AD als een identiteitsbron op het vCenter van de privécloud. Poort 636 wordt aanbevolen voor beveiligingsdoeleinden. |
| Netwerk voor privécloudbeheer | Globale catalogus van On-premises Active Directory | TCP | 3268/3269 | Deze poorten zijn geopend zodat communicatie voor Azure VMware Solutions vCenter kan communiceren met alle on-premises Active Directory/LDAP-server(s). Deze poort(en) zijn optioneel: voor het configureren van on-premises AD als een identiteitsbron op het vCenter van de privécloud. Poort 3269 wordt aanbevolen voor beveiligingsdoeleinden. |
| On-premises netwerk | VCenter-server voor privécloud | TCP (HTTPS) | 443 | Met deze poort hebt u toegang tot vCenter vanuit een on-premises netwerk. De standaardpoort die het vCenter Server gebruikt om te luisteren naar verbindingen van de vSphere-client. Open poort 443 in de firewall om vCenter Server systeem in staat te stellen gegevens te ontvangen van de vSphere-client. Het vCenter Server gebruikt ook poort 443 om de gegevensoverdracht van SDK-clients te bewaken. |
| On-premises netwerk | HCX Manager | TCP (HTTPS) | 9443 | De beheerinterface voor virtuele apparaten van Hybrid Cloud Manager voor de Hybrid Cloud Manager-systeemconfiguratie. |
| Beheerdersnetwerk | Hybrid Cloud Manager | SSH | 22 | SSH-beheerderstoegang tot Hybrid Cloud Manager. |
| HCX Manager | Cloudgateway | TCP (HTTPS) | 8123 | Verzend instructies voor de replicatieservice op basis van de host naar de Hybrid Cloud-gateway. |
| HCX Manager | Cloudgateway | HTTP TCP (HTTPS) | 9443 | Verzend beheerinstructies naar de lokale Hybrid Cloud-gateway met behulp van de REST API. |
| Cloudgateway | L2C | TCP (HTTPS) | 443 | Verzend beheerinstructies van de cloudgateway naar L2C wanneer L2C hetzelfde pad gebruikt als de Hybrid Cloud-gateway. |
| Cloudgateway | ESXi-hosts | TCP | 80.902 | Beheer en OVF-implementatie. |
| Cloudgateway (lokaal) | Cloudgateway (extern) | UDP | 4500 | Vereist voor IPSEC IKEv2 (Internet Key Exchange) voor het inkapselen van workloads voor de bidirectionele tunnel. Network Address Translation-Traversal (NAT-T) wordt ook ondersteund. |
| Cloudgateway (lokaal) | Cloudgateway (extern) | UDP | 500 | Vereist voor IPSEC ISAKMP (Internet Key Exchange) voor de bidirectionele tunnel. |
| On-premises vCenter-netwerk | Netwerk voor privécloudbeheer | TCP | 8000 | vMotion van VM's van on-premises vCenter naar privécloud vCenter |
Overwegingen voor DHCP- en DNS-omzetting
Toepassingen en workloads die worden uitgevoerd in een privécloud-omgeving, moeten naamomzetting en DHCP-services hebben voor het opzoeken en toewijzen van IP-adressen. U hebt de juiste DHCP- en DNS-infrastructuur nodig om deze services te kunnen leveren. U kunt een virtuele machine configureren om deze services in uw privécloud te leveren.
Gebruik de DHCP-service die is ingebouwd in NSX of een lokale DHCP-server in de privécloud in plaats van broadcast-DHCP-verkeer via het WAN terug naar on-premises te leiden.
Volgende stappen
In deze zelfstudie hebt u geleerd over de overwegingen en vereisten voor het implementeren van Azure VMware Solution privécloud. Zodra u de juiste netwerken hebt ingesteld, gaat u verder met de volgende zelfstudie om uw Azure VMware Solution-privécloud te maken.