ağ tasarımında dikkat edilmesi gerekenleri Azure VMware Çözümü

  • Makale

Azure VMware Çözümü, kullanıcıların ve uygulamaların şirket içi ve Azure tabanlı ortamlardan veya kaynaklardan erişebileceği bir VMware özel bulut ortamı sunar. Azure ExpressRoute ve sanal özel ağ (VPN) bağlantıları gibi ağ hizmetleri bağlantıyı sağlar.

Azure VMware Çözümü ortamınızı ayarlamadan önce gözden geçirmeniz gereken bazı ağ konuları vardır. Bu makalede, ağlarınızı yapılandırmak için Azure VMware Çözümü kullanırken karşılaşabileceğiniz kullanım örnekleri için çözümler sağlanır.

AS-Path Prepend ile Azure VMware Çözümü uyumluluğu

Azure VMware Çözümü, yedekli ExpressRoute yapılandırmaları için AS-Path Prepend kullanımıyla ilgili önemli noktalara sahiptir. Şirket içi ile Azure arasında iki veya daha fazla ExpressRoute yolu çalıştırıyorsanız, ExpressRoute GlobalReach aracılığıyla Azure VMware Çözümü şirket içi konumunuza giden trafiği etkilemek için aşağıdaki kılavuzu göz önünde bulundurun.

Asimetrik yönlendirme nedeniyle, Azure VMware Çözümü AS-Path Prepend'i gözlemlemediğinde ve bu nedenle her iki ExpressRoute bağlantı hattı üzerinden ortamınıza trafik göndermek için eşit maliyetli çok yollu (ECMP) yönlendirmesi kullandığında bağlantı sorunları oluşabilir. Bu davranış, mevcut ExpressRoute bağlantı hatlarının arkasına yerleştirilmiş durum bilgisi olan güvenlik duvarı inceleme cihazlarıyla ilgili sorunlara neden olabilir.

Önkoşullar

AS-Path Prepend için aşağıdaki önkoşulları göz önünde bulundurun:

  • Önemli nokta, Azure VMware Çözümü trafiği şirket içi konumuna nasıl yönlendirdiğini etkilemek için Genel ASN numaralarını önceden eklemeniz gerektiğidir. Özel ASN'yi kullanarak önceden eklerseniz, Azure VMware Çözümü önceki değeri yoksayar ve daha önce bahsedilen ECMP davranışı gerçekleşir. Şirket içinde Özel BGP ASN'sini çalıştırsanız bile, Azure VMware Çözümü uyumluluğu sağlamak için şirket içi cihazlarınızı giden yolu önceden yönlendirirken Genel ASN kullanacak şekilde yapılandırmanız mümkündür.
  • Genel ASN'nin ardından Azure VMware Çözümü tarafından onurlandırılacak özel ASN'ler için trafik yolunuzu tasarlar. Azure VMware Çözümü ExpressRoute bağlantı hattı, genel ASN işlendikten sonra yolda bulunan özel ASN'leri ayırmaz.
  • Hem hem de tüm bağlantı hatları Azure ExpressRoute Global Reach aracılığıyla Azure VMware Çözümü bağlanır.
  • Aynı netblock'lar iki veya daha fazla devreden tanıtılıyor.
  • As-Path Prepend kullanarak Azure VMware çözümünü bir bağlantı hattını diğerine tercih etmeye zorlamak istiyorsunuz.
  • 2 bayt veya 4 baytlık genel ASN numaraları kullanın.

Yönetim VM'leri ve şirket içinden varsayılan yollar

Önemli

Azure VMware Çözümü yönetim sanal makineleri (VM' ler), RFC1918 hedefler için şirket içinden varsayılan bir yolu kabul etmez.

Yalnızca Azure'a tanıtılan varsayılan bir yolu kullanarak şirket içi ağlarınıza geri yönlendiriyorsanız, vCenter Server ve NSX Manager VM'lerinden gelen ve özel IP adreslerine sahip şirket içi hedeflere yönelik olarak kullanılan trafik bu yolu izlemez.

Şirket içinden vCenter Server ve NSX Yöneticisi'ne ulaşmak için, trafiğin bu ağlara dönüş yoluna sahip olmasına izin vermek için belirli yollar sağlayın. Örneğin, RFC1918 özetlerini tanıtın (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16).

İnternet trafiği denetimi için Azure VMware Çözümü varsayılan yolu

Bazı dağıtımlar, Azure VMware Çözümü İnternet'e doğru tüm çıkış trafiğinin incelenmesini gerektirir. Azure VMware Çözümü'da ağ sanal gereçleri (NVA) oluşturmak mümkün olsa da, bu cihazların Azure'da zaten mevcut olduğu ve Azure VMware Çözümü İnternet trafiğini incelemek için uygulanabildiği kullanım örnekleri vardır. Bu durumda, Azure VMware Çözümü gelen trafiği çekmek ve genel İnternet'e gitmeden önce trafiği incelemek için Azure'daki NVA'dan varsayılan bir yol eklenebilir.

Aşağıdaki diyagramda Azure VMware Çözümü buluta ve ExpressRoute aracılığıyla şirket içi ağa bağlı temel bir merkez-uç topolojisi açıklanmaktadır. Diyagram, Azure'daki NVA'nın varsayılan yolu (0.0.0.0/0 ) nasıl kaynaklandığını gösterir. Azure Route Server, ExpressRoute aracılığıyla yolu Azure VMware Çözümü'a yayılır.

Yönlendirme Sunucusu ve varsayılan yol ile Azure VMware Çözümü diyagramı.

Önemli

NVA'nın tanıtacağı varsayılan yol şirket içi ağa yayılır. Azure VMware Çözümü gelen trafiğin NVA üzerinden geçişini sağlamak için kullanıcı tanımlı yollar (UDR) eklemeniz gerekir.

Azure VMware Çözümü ile şirket içi ağ arasındaki iletişim genellikle Şirket içi ortamları Azure VMware Çözümü eşle bölümünde açıklandığı gibi ExpressRoute Global Reach üzerinden gerçekleşir.

Azure VMware Çözümü ile şirket içi ağ arasında Bağlan üretkenlik

üçüncü taraf NVA aracılığıyla Azure VMware Çözümü ile şirket içi ağ arasında bağlantı için iki ana senaryo vardır:

  • Kuruluşların Azure VMware Çözümü ile şirket içi ağ arasında NVA (genellikle güvenlik duvarı) üzerinden trafik göndermesi gerekir.
  • ExpressRoute Global Reach, Azure VMware Çözümü ExpressRoute bağlantı hatlarıyla şirket içi ağ arasında bağlantı kurmak için belirli bir bölgede kullanılamaz.

Bu senaryoların tüm gereksinimlerini karşılamak için uygulayabileceğiniz iki topoloji vardır: supernet ve transit spoke sanal ağı.

Önemli

Azure VMware Çözümü ve şirket içi ortamlara bağlanmak için tercih edilen seçenek doğrudan bir ExpressRoute Global Reach bağlantısıdır. Bu makalede açıklanan desenler ortama karmaşıklık katar.

Supernet tasarım topolojisi

Her iki ExpressRoute bağlantı hattı da (Azure VMware Çözümü ve şirket içine) aynı ExpressRoute ağ geçidinde sonlandırılırsa, ağ geçidinin paketleri bunlar arasında yönlendireceğini varsayabilirsiniz. Ancak ExpressRoute ağ geçidi bunu yapmak için tasarlanmamıştır. Trafiği yönlendirebilen bir NVA'ya yönlendirmeniz gerekir.

Ağ trafiğini NVA'ya sabitlemek için iki gereksinim vardır:

  • NVA, Azure VMware Çözümü ve şirket içi ön ekleri için bir süper ağ tanıtmalıdır.

    Hem Azure VMware Çözümü hem de şirket içi ön ekleri içeren bir süper ağ kullanabilirsiniz. Veya Azure VMware Çözümü ve şirket içi için tek tek ön ekleri kullanabilirsiniz (ExpressRoute üzerinden tanıtılan gerçek ön eklerden her zaman daha az özeldir). Route Server'a tanıtılan tüm süper ağ ön eklerinin hem Azure VMware Çözümü hem de şirket içine yayıldığını unutmayın.

  • Ağ geçidi alt ağındaki, Azure VMware Çözümü ve şirket içinden tanıtılan ön eklerle tam olarak eşleşen UDR'ler, ağ geçidi alt ağından NVA'ya gelen trafikte hataya neden olur.

Bu topoloji, zaman içinde değişen büyük ağlar için yüksek yönetim yüküne neden olur. Şu sınırlamaları göz önünde bulundurun:

  • Azure VMware Çözümü'de bir iş yükü kesimi oluşturulduğunda, Azure VMware Çözümü gelen trafiğin NVA üzerinden geçişini sağlamak için UDF'lerin eklenmesi gerekebilir.
  • Şirket içi ortamınızda değişen çok sayıda yol varsa, üst ağdaki Sınır Ağ Geçidi Protokolü (BGP) ve UDR yapılandırmasının güncelleştirilmiş olması gerekebilir.
  • Tek bir ExpressRoute ağ geçidi ağ trafiğini her iki yönde de işlediği için performans sınırlı olabilir.
  • Azure Sanal Ağ sınırı 400 UDR'dır.

Aşağıdaki diyagramda NVA'nın daha genel (daha az özel) ve şirket içi ve Azure VMware Çözümü ağları içeren ön ekleri nasıl tanıtması gerektiği gösterilmektedir. Bu yaklaşıma dikkat edin. NVA, daha geniş aralıklarda (örneğin, ağın tamamı 10.0.0.0/8 ) reklamını yaptığı için trafiği çekmemesi gereken bir şekilde çekebilir.

Tek bir bölgedeki Route Server ile şirket içi iletişime Azure VMware Çözümü diyagramı.

Transit uç sanal ağ topolojisi

Not

Daha önce açıklanan sınırlar nedeniyle daha az belirgin olan reklam ön ekleri mümkün değilse, iki ayrı sanal ağ kullanan alternatif bir tasarım uygulayabilirsiniz.

Bu topolojide, trafiği ExpressRoute ağ geçidine çekmek için daha az özel yolları yaymak yerine, ayrı sanal ağlardaki iki farklı NVA birbiriyle yol alışverişi yapabilir. Sanal ağlar bu yolları BGP ve Azure Route Server aracılığıyla ilgili ExpressRoute bağlantı hatlarına yayabilir. Her NVA, her ExpressRoute bağlantı hattına hangi ön eklerin yayıldığı üzerinde tam denetime sahiptir.

Aşağıdaki diyagramda tek 0.0.0.0/0 bir yolun Azure VMware Çözümü nasıl tanıtıldığı gösterilmektedir. Ayrıca tek tek Azure VMware Çözümü ön eklerinin şirket içi ağa nasıl yayıldığında da gösterilir.

İki bölgede Route Server ile şirket içi iletişime Azure VMware Çözümü diyagramı.

Önemli

NVA'lar arasında VXLAN veya IPsec gibi bir kapsülleme protokolü gereklidir. NVA ağ bağdaştırıcısı (NIC) sonraki atlama olarak NVA ile Azure Route Server'dan yolları öğrenip bir yönlendirme döngüsü oluşturduğundan kapsülleme gereklidir.

Katman kullanmanın bir alternatifi vardır. NVA'da Azure Route Server'dan yolları öğrenmeyen ikincil NIC'ler uygulayın. Ardından, Azure'ın bu NIC'ler üzerinden trafiği uzak ortama yönlendirebilmesi için UDR'leri yapılandırın. Azure VMware Çözümü için kurumsal ölçekli ağ topolojisi ve bağlantısı konusunda daha fazla ayrıntı bulabilirsiniz.

Bu topoloji karmaşık bir ilk kurulum gerektirir. Topoloji daha sonra minimum yönetim yüküyle beklendiği gibi çalışır. Kurulum karmaşıklıkları şunlardır:

  • Azure Route Server, ExpressRoute ağ geçidi ve başka bir NVA içeren başka bir geçiş sanal ağı eklemek için ek ücret alınır. NVA'ların aktarım hızı gereksinimlerini karşılamak için büyük VM boyutlarını da kullanması gerekebilir.
  • İki NVA arasında IPsec veya VXLAN tüneli gereklidir, yani NVA'lar da veri yolu içindedir. Kullandığınız NVA türüne bağlı olarak, bu NVA'larda özel ve karmaşık yapılandırmaya neden olabilir.

Sonraki adımlar

Azure VMware Çözümü için ağ tasarımıyla ilgili dikkat edilmesi gerekenler hakkında bilgi edindikten sonra aşağıdaki makaleleri incelemeyi göz önünde bulundurun: