Azure VMware 解決方案 的網路規劃檢查清單
Azure VMware 解決方案 提供可從內部部署和 Azure 環境或資源存取使用者和應用程式的 VMware 私人雲端環境。 連線ivity是透過 Azure ExpressRoute 和 VPN 連線等網路服務來傳遞。 需要特定的網路位址範圍和防火牆埠,才能啟用這些服務。 本文可協助您設定網路功能以使用 Azure VMware 解決方案。
在本教學課程中,了解:
- 虛擬網路和 ExpressRoute 線路考慮
- 路由和子網需求
- 與服務通訊所需的網路埠
- Azure VMware 解決方案 中的 DHCP 和 DNS 考慮
必要條件
請確定所有閘道,包括 ExpressRoute 提供者的服務,都支援 4 位元組的自發系統號碼(ASN)。 Azure VMware 解決方案 針對廣告路由使用 4 位元組的公用 ASN。
虛擬網路和 ExpressRoute 線路考慮
當您在訂用帳戶中建立虛擬網路連線時,會使用您在 Azure 入口網站 中要求的授權密鑰和對等互連標識符,透過對等互連建立 ExpressRoute 線路。 對等互連是私人雲端與虛擬網路之間的私人一對一連線。
注意
ExpressRoute 線路不是私人雲端部署的一部分。 內部部署 ExpressRoute 線路超出本文件的範圍。 如果您需要內部部署連線到私人雲端,請使用其中一個現有的 ExpressRoute 線路,或在 Azure 入口網站 中購買其中一個線路。
部署私人雲端時,您會收到 vCenter Server 和 NSX-T 管理員的 IP 位址。 若要存取這些管理介面,請在訂用帳戶的虛擬網路中建立更多資源。 在教學課程中尋找建立這些資源及建立 ExpressRoute 私人對等互連 的程式。
私人雲端邏輯網路包含預先布建的NSX-T 數據中心設定。 第 0 層閘道和第 1 層閘道已為您預先布建。 您可以建立區段,並將其連結至現有的第 1 層閘道,或將它附加至您定義的新第 1 層閘道。 NSX-T 數據中心邏輯網路元件提供工作負載與南北連線到因特網和 Azure 服務之間的東西方連線能力。
重要
如果您打算使用 Azure NetApp Files 數據存放區調整 Azure VMware 解決方案 主機,請使用 ExpressRoute 虛擬網路閘道將靠近主機的 vNet 部署至您的主機非常重要。 記憶體越接近您的主機,效能就越好。
路由和子網考慮
Azure VMware 解決方案 私人雲端會使用 Azure ExpressRoute 連線來連線到您的 Azure 虛擬網路。 這個高頻寬、低延遲連線可讓您從私人雲端環境存取在 Azure 訂用帳戶中執行的服務。 路由會使用邊界閘道通訊協定 (BGP)自動布建,並預設會針對每個私人雲端部署啟用。
Azure VMware 解決方案 私人雲端至少需要/22子網的 CIDR 網路位址區塊。 此網路可補充您的內部部署網路,因此位址區塊不應與訂用帳戶和內部部署網路中其他虛擬網路中使用的位址區塊重疊。 管理、布建和 vMotion 網路會自動在此位址區塊內布建。
注意
位址區塊允許的範圍是 RFC 1918 私人地址空間(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),但 172.17.0.0/16 除外。
重要
請避免使用保留給 NSX-T 資料中心使用量的下列 IP 架構:
- 169.254.0.0/24 - 用於內部傳輸網路
- 169.254.2.0/23 - 用於VRF間傳輸網路
- 100.64.0.0/16 - 用來在內部連線 T1 和 T0 閘道
範例 /22 CIDR 網路位址區塊: 10.10.0.0/22
子網:
| 網路使用量 | 描述 | 子網路 | 範例 |
|---|---|---|---|
| 私人雲端管理 | 管理網路 (例如 vCenter、NSX-T) | /26 |
10.10.0.0/26 |
| HCX Mgmt 移轉 | HCX 裝置的本機連線能力(下行連結) | /26 |
10.10.0.64/26 |
| 保留全域觸達 | ExpressRoute 的輸出介面 | /26 |
10.10.0.128/26 |
| NSX-T 數據中心 DNS 服務 | 內建 NSX-T DNS 服務 | /32 |
10.10.0.192/32 |
| 已保留 | 已保留 | /32 |
10.10.0.193/32 |
| 已保留 | 已保留 | /32 |
10.10.0.194/32 |
| 已保留 | 已保留 | /32 |
10.10.0.195/32 |
| 已保留 | 已保留 | /30 |
10.10.0.196/30 |
| 已保留 | 已保留 | /29 |
10.10.0.200/29 |
| 已保留 | 已保留 | /28 |
10.10.0.208/28 |
| ExpressRoute 對等互連 | ExpressRoute 對等互連 | /27 |
10.10.0.224/27 |
| ESXi 管理 | ESXi 管理 VMkernel 介面 | /25 |
10.10.1.0/25 |
| vMotion 網路 | vMotion VMkernel 介面 | /25 |
10.10.1.128/25 |
| 複寫網路 | vSphere 複寫介面 | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel 介面和節點通訊 | /25 |
10.10.2.128/25 |
| HCX 上行鏈路 | HCX IX 和 NE 裝置的上行連結至遠端對等 | /26 |
10.10.3.0/26 |
| 已保留 | 已保留 | /26 |
10.10.3.64/26 |
| 已保留 | 已保留 | /26 |
10.10.3.128/26 |
| 已保留 | 已保留 | /26 |
10.10.3.192/26 |
必要的網路連接埠
| 來源 | Destination | 通訊協定 | Port | 描述 |
|---|---|---|---|---|
| 私人雲端 DNS 伺服器 | 內部部署 DNS 伺服器 | UDP | 53 | DNS 用戶端 - 從私人雲端 vCenter Server 轉送任何內部部署 DNS 查詢的要求(請參閱 DNS 一 節)。 |
| 內部部署 DNS 伺服器 | 私人雲端 DNS 伺服器 | UDP | 53 | DNS 用戶端 - 將來自內部部署服務的要求轉送至私人雲端 DNS 伺服器(請參閱 DNS 一 節) |
| 內部部署網路 | 私人雲端 vCenter Server | TCP (HTTP) | 80 | vCenter Server 需要埠 80 以進行直接 HTTP 連線。 埠 80 會將要求重新導向至 HTTPS 連接埠 443。 如果您使用 http://server 而非 https://server,此重新導向可協助您。 |
| 私人雲端管理網路 | 內部部署 Active Directory | TCP | 389/636 | 讓 Azure VMware 解決方案 vCenter Server 與 內部部署的 Active Directory/LDAP 伺服器通訊。 選擇性地將內部部署AD設定為私人雲端 vCenter上的身分識別來源。 基於安全性考慮,建議使用埠 636。 |
| 私人雲端管理網路 | 內部部署 Active Directory 全域編錄 | TCP | 3268/3269 | 讓 Azure VMware 解決方案 vCenter Server 與 內部部署的 Active Directory/LDAP 全域編錄伺服器通訊。 選擇性地將內部部署AD設定為私人雲端 vCenter Server上的身分識別來源。 使用埠 3269 的安全性。 |
| 內部部署網路 | 私人雲端 vCenter Server | TCP (HTTPS) | 443 | 從內部部署網路存取 vCenter Server。 vCenter Server 接聽 vSphere 用戶端連線的預設埠。 若要讓 vCenter Server 系統從 vSphere 用戶端接收數據,請在防火牆中開啟埠 443。 vCenter Server 系統也會使用埠 443 來監視 SDK 用戶端的數據傳輸。 |
| 內部部署網路 | HCX 雲端管理員 | TCP (HTTPS) | 9443 | 適用於 HCX 系統設定的 HCX Cloud Manager 虛擬設備管理介面。 |
| 內部部署 管理員 網路 | HCX 雲端管理員 | SSH | 22 | 管理員 istrator SSH 存取 HCX Cloud Manager 虛擬設備。 |
| HCX 管理員 | 互連 (HCX-IX) | TCP (HTTPS) | 8123 | HCX 大量移轉控制。 |
| HCX 管理員 | 互連 (HCX-IX), 網路延伸模組 (HCX-NE) | TCP (HTTPS) | 9443 | 使用 REST API 將管理指示傳送至本機 HCX 互連。 |
| 互連 (HCX-IX) | L2C | TCP (HTTPS) | 443 | 當 L2C 使用與互連相同的路徑時,將管理指示從互連傳送至 L2C。 |
| HCX 管理員,互連 (HCX-IX) | ESXi 主機 | TCP | 80,443,902 | 管理和 OVF 部署。 |
| 來源互連 (HCX-IX), 網路延伸模組 (HCX-NE) | 目的地的互連 (HCX-IX), 網路延伸模組 (HCX-NE) | UDP | 4500 | IPSEC 的必要專案 因特網金鑰交換 (IKEv2) 以封裝雙向通道的工作負載。 支援網路位址轉譯周游 (NAT-T)。 |
| 內部部署互連 (HCX-IX) | 雲端互連 (HCX-IX) | UDP | 4500 | IPSEC 的必要專案 雙向通道的因特網金鑰交換 (ISAKMP) 。 |
| 內部部署 vCenter Server 網路 | 私人雲端管理網路 | TCP | 8000 | 從內部部署 vCenter Server 到私人雲端 vCenter Server 的 VM vMotion |
| HCX 連線 or | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect 需要驗證授權金鑰。hybridity 需要更新。 |
下表提供一般案例的常見防火牆規則。 不過,設定防火牆規則時,您可能需要考慮更多專案。 請注意,當來源和目的地指出「內部部署」時,此資訊只有在數據中心有檢查流程的防火牆時才相關。 如果您的內部部署元件沒有防火牆進行檢查,您可以忽略這些規則。
如需詳細資訊,請參閱 VMware HCX 埠需求的完整清單。
DHCP 和 DNS 解析考量事項
在私人雲端環境中執行的應用程式和工作負載需要名稱解析和 DHCP 服務,以進行查閱和 IP 位址指派。 必須有適當的 DHCP 和 DNS 基礎結構,才能提供這些服務。 您可以設定虛擬機,在私人雲端環境中提供這些服務。
使用內建至 NSX-T 數據中心的 DHCP 服務,或使用私人雲端中的本機 DHCP 伺服器,而不是透過 WAN 將廣播 DHCP 流量路由傳送回內部部署。
重要
如果您公告預設路由至 Azure VMware 解決方案,則必須允許 DNS 轉寄站連線到已設定的 DNS 伺服器,而且必須支援公用名稱解析。
下一步
在本教學課程中,您已瞭解部署 Azure VMware 解決方案 私人雲端的考慮和需求。 準備好適當的網路功能之後,請繼續進行下一個教學課程,以建立 Azure VMware 解決方案 私人雲端。