Checklista för nätverksplanering för Azure VMware Solution
Azure VMware Solution en privat VMware-molnmiljö som är tillgänglig för användare och program från lokala och Azure-baserade miljöer eller resurser. Anslutningen levereras via nätverkstjänster, till exempel Azure ExpressRoute och VPN-anslutningar. Det kräver specifika nätverksadressintervall och brandväggsportar för att tjänsterna ska kunna tillhandahållas. Den här artikeln innehåller den information du behöver för att konfigurera nätverket korrekt så att det fungerar med Azure VMware Solution.
I den här självstudiekursen lär du dig:
- Överväganden för virtuella nätverk och ExpressRoute-kretsar
- Krav för routning och undernät
- Nödvändiga nätverksportar för att kommunicera med tjänsterna
- Överväganden för DHCP och DNS i Azure VMware Solution
Förutsättning
Se till att alla gatewayer, inklusive ExpressRoute-providerns tjänst, stöder ASN (Autonomous System Number) på 4 byte. Azure VMware Solution använder 4 byte offentliga ASN:er för reklamvägar.
Överväganden för virtuella nätverk och ExpressRoute-kretsar
När du skapar en virtuell nätverksanslutning i din prenumeration upprättas ExpressRoute-kretsen via peering med hjälp av en auktoriseringsnyckel och ett peering-ID som du begär i Azure Portal. Peering är en privat en-till-en-anslutning mellan ditt privata moln och det virtuella nätverket.
Anteckning
ExpressRoute-kretsen ingår inte i distributionen av ett privat moln. Den lokala ExpressRoute-kretsen ligger utanför omfånget för det här dokumentet. Om du behöver lokal anslutning till ditt privata moln kan du använda en av dina befintliga ExpressRoute-kretsar eller köpa en i Azure Portal.
När du distribuerar ett privat moln får du IP-adresser för vCenter och NSX-T Manager. För att komma åt dessa hanteringsgränssnitt måste du skapa fler resurser i prenumerationens virtuella nätverk. Du hittar procedurerna för att skapa dessa resurser och upprätta privat ExpressRoute-peering i självstudierna.
Det privata molnets logiska nätverk levereras med före etablerat NSX-T. En gateway på nivå 0 och en gateway på nivå 1 har redan etablerats åt dig. Du kan skapa ett segment och koppla det till den befintliga gatewayen på nivå 1 eller koppla det till en ny gateway på nivå 1 som du definierar. Logiska nätverkskomponenter i NSX-T ger East-West mellan arbetsbelastningar och North-South till Internet och Azure-tjänster.
Viktigt
Om du planerar att skala dina Azure VMware Solution med Azure-diskpoolerär det viktigt att distribuera det virtuella nätverket nära värdarna med en virtuell ExpressRoute-nätverksgateway. Ju närmare lagringen är till dina värdar, desto bättre prestanda.
Överväganden för routning och undernät
Det Azure VMware Solution privata molnet är anslutet till ditt virtuella Azure-nätverk med en Azure ExpressRoute anslutning. Med den här anslutningen med hög bandbredd och låg latens kan du komma åt tjänster som körs i din Azure-prenumeration från din privata molnmiljö. Routningen är Border Gateway Protocol (BGP), etableras automatiskt och aktiveras som standard för varje privat molndistribution.
Azure VMware Solution privata moln kräver minst ett /22 CIDR-nätverksadressblock för undernät, som visas nedan. Det här nätverket kompletterar dina lokala nätverk. Adressblocket får därför inte överlappa med adressblock som används i andra virtuella nätverk i din prenumeration och i lokala nätverk. I det här adressblocket etableras hanterings-, etablerings- och vMotion-nätverk automatiskt.
Anteckning
Tillåtna intervall för ditt adressblock är RFC 1918 privata adressutrymmen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), förutom 172.17.0.0/16.
Exempel /22 på CIDR-nätverksadressblock: 10.10.0.0/22
Undernäten:
| Nätverksanvändning | Undernät | Exempel |
|---|---|---|
| Hantering av privata moln | /26 |
10.10.0.0/26 |
| HCX Mgmt-migreringar | /26 |
10.10.0.64/26 |
| Global Reach reserverad | /26 |
10.10.0.128/26 |
| NSX-T DNS-tjänst | /32 |
10.10.0.192/32 |
| Reserverat | /32 |
10.10.0.193/32 |
| Reserverat | /32 |
10.10.0.194/32 |
| Reserverat | /32 |
10.10.0.195/32 |
| Reserverat | /30 |
10.10.0.196/30 |
| Reserverat | /29 |
10.10.0.200/29 |
| Reserverat | /28 |
10.10.0.208/28 |
| ExpressRoute-peering | /27 |
10.10.0.224/27 |
| ESXi Management | /25 |
10.10.1.0/25 |
| vMotion-nätverk | /25 |
10.10.1.128/25 |
| Replikeringsnätverk | /25 |
10.10.2.0/25 |
| vSAN | /25 |
10.10.2.128/25 |
| HCX-upplänk | /26 |
10.10.3.0/26 |
| Reserverat | /26 |
10.10.3.64/26 |
| Reserverat | /26 |
10.10.3.128/26 |
| Reserverat | /26 |
10.10.3.192/26 |
Nödvändiga nätverksportar
| Källa | Mål | Protokoll | Port | Description |
|---|---|---|---|---|
| DNS-server för privat moln | Lokal DNS-server | UDP | 53 | DNS-klient – Vidarebefordra begäranden från PC vCenter för lokala DNS-frågor (kontrollera DNS-avsnittet nedan) |
| Lokal DNS-server | DNS-server för privat moln | UDP | 53 | DNS-klient – Vidarebefordra begäranden från lokala tjänster till DNS-servrar för privata moln (kontrollera DNS-avsnittet nedan) |
| Lokalt nätverk | VCenter-server för privat moln | TCP(HTTP) | 80 | vCenter Server port 80 för direkta HTTP-anslutningar. Port 80 omdirigerar begäranden till HTTPS-port 443. Den här omdirigeringen hjälper dig om du använder http://server i stället för https://server . |
| Privat molnhanteringsnätverk | Lokalt Active Directory | TCP | 389/636 | Dessa portar är öppna så att kommunikation för Azure VMware Solutions vCenter kan kommunicera med alla lokal Active Directory/LDAP-servrar. Dessa portar är valfria – för att konfigurera lokal AD som identitetskälla i det privata molnet vCenter. Port 636 rekommenderas av säkerhetsskäl. |
| Privat molnhanteringsnätverk | Lokal global Active Directory-katalog | TCP | 3268/3269 | Dessa portar är öppna för att tillåta kommunikation för Azure VMware Solutions vCenter att kommunicera med alla lokal Active Directory/LDAP globala katalogservrar. Dessa portar är valfria – för att konfigurera lokal AD som identitetskälla i det privata molnet vCenter. Port 3269 rekommenderas av säkerhetsskäl. |
| Lokalt nätverk | VCenter-server för privat moln | TCP(HTTPS) | 443 | Med den här porten kan du komma åt vCenter från ett lokalt nätverk. Standardporten som vCenter Server använder för att lyssna efter anslutningar från vSphere-klienten. Om du vill vCenter Server att ta emot data från vSphere-klienten öppnar du port 443 i brandväggen. Systemet vCenter Server också port 443 för att övervaka dataöverföring från SDK-klienter. |
| Lokalt nätverk | HCX Manager | TCP(HTTPS) | 9443 | Hybrid Cloud Manager Virtual Appliance Management Interface för Hybrid Cloud Manager-systemkonfiguration. |
| Admin Network | Hybrid Cloud Manager | SSH | 22 | Administratörs-SSH-åtkomst till Hybrid Cloud Manager. |
| HCX Manager | Cloud Gateway | TCP(HTTPS) | 8123 | Skicka instruktioner för värdbaserad replikeringstjänst till Hybrid Cloud Gateway. |
| HCX Manager | Cloud Gateway | HTTP TCP(HTTPS) | 9443 | Skicka hanteringsanvisningar till den lokala hybridmolngatewayen med hjälp av REST API. |
| Cloud Gateway | L2C | TCP(HTTPS) | 443 | Skicka hanteringsanvisningar från Cloud Gateway till L2C när L2C använder samma sökväg som Hybrid Cloud Gateway. |
| Cloud Gateway | ESXi-värdar | TCP | 80,902 | Hantering och OVF-distribution. |
| Cloud Gateway (lokal) | Cloud Gateway (fjärr) | UDP | 4500 | Krävs för IPSEC Internet Key Exchange (IKEv2) för att kapsla in arbetsbelastningar för den dubbelriktade tunneln. Network Address Translation-Traversal (NAT-T) stöds också. |
| Cloud Gateway (lokal) | Cloud Gateway (fjärr) | UDP | 500 | Krävs för IPSEC Internet Key Exchange (ISAKMP) för den dubbelriktade tunneln. |
| Lokalt vCenter-nätverk | Privat molnhanteringsnätverk | TCP | 8000 | vMotion av virtuella datorer från lokalt vCenter till vCenter för privat moln |
Överväganden för DHCP- och DNS-upplösning
Program och arbetsbelastningar som körs i en privat molnmiljö kräver namnmatchning och DHCP-tjänster för sökning och IP-adresstilldelningar. En korrekt DHCP- och DNS-infrastruktur krävs för att tillhandahålla dessa tjänster. Du kan konfigurera en virtuell dator för att tillhandahålla dessa tjänster i din privata molnmiljö.
Använd den inbyggda DHCP-tjänsten i NSX eller använd en lokal DHCP-server i det privata molnet i stället för att dirigera DHCP-trafik via WAN tillbaka till den lokala platsen.
Nästa steg
I den här självstudien har du lärt dig om överväganden och krav för att distribuera Azure VMware Solution privat moln. När du har rätt nätverk på plats fortsätter du till nästa självstudie för att skapa Azure VMware Solution privata molnet.