Kontrolní seznam pro plánování sítí pro řešení Azure VMware

Azure VMware Solution poskytuje prostředí privátního cloudu VMware přístupné uživatelům a aplikacím z místních prostředí nebo prostředků založených na Azure. Připojení se dodává prostřednictvím síťových služeb, jako jsou Azure ExpressRoute a připojení VPN. K povolení těchto služeb se vyžadují konkrétní rozsahy síťových adres a porty brány firewall. Tento článek vám pomůže nakonfigurovat sítě tak, aby fungovaly se službou Azure VMware Solution.

V tomto kurzu se seznámíte s následujícími informacemi:

  • Důležité informace o virtuální síti a okruhu ExpressRoute
  • Požadavky na směrování a podsíť
  • Požadované síťové porty pro komunikaci se službami
  • Důležité informace o DHCP a DNS v Řešení Azure VMware

Požadavky

Zajistěte, aby všechny brány, včetně služby poskytovatele ExpressRoute, podporovaly 4 bajtové číslo autonomního systému (ASN). Azure VMware Solution používá pro reklamní trasy 4 bajtové veřejné sítě ASN.

Důležité informace o virtuální síti a okruhu ExpressRoute

Když ve svém předplatném vytvoříte připojení k virtuální síti, vytvoří se okruh ExpressRoute prostřednictvím partnerského vztahu, pomocí autorizačního klíče a ID partnerského vztahu, které požadujete na webu Azure Portal. Partnerský vztah je privátní připojení 1:1 mezi vaším privátním cloudem a virtuální sítí.

Poznámka:

Okruh ExpressRoute není součástí nasazení privátního cloudu. Místní okruh ExpressRoute je nad rámec tohoto dokumentu. Pokud potřebujete místní připojení k privátnímu cloudu, použijte některý z vašich stávajících okruhů ExpressRoute nebo si ho kupte na webu Azure Portal.

Při nasazování privátního cloudu obdržíte IP adresy pro vCenter Server a NSX Manager. Pokud chcete získat přístup k těmto rozhraním pro správu, vytvořte ve virtuální síti vašeho předplatného další prostředky. V kurzech najdete postupy pro vytvoření těchto prostředků a vytvoření privátního partnerského vztahu ExpressRoute.

Logické sítě privátního cloudu zahrnují předem zřízenou konfiguraci NSX. Brána vrstvy 0 a brána vrstvy 1 jsou předem zřízené. Můžete vytvořit segment a připojit ho k existující bráně vrstvy 1 nebo ho připojit k nové bráně vrstvy 1, kterou definujete. Logické síťové komponenty NSX poskytují propojení mezi úlohami a připojením k internetu a službám Azure – západ.

Důležité

Pokud plánujete škálovat hostitele řešení Azure VMware pomocí úložišť dat Azure NetApp Files, nasazení virtuální sítě blízko hostitelů s bránou virtuální sítě ExpressRoute je zásadní. Čím blíže je úložiště vašim hostitelům, tím lepší je výkon.

Aspekty směrování a podsítě

Privátní cloud Azure VMware Solution se připojuje k virtuální síti Azure pomocí připojení Azure ExpressRoute. Toto připojení s velkou šířkou pásma a nízkou latencí umožňuje přístup ke službám spuštěným ve vašem předplatném Azure z prostředí privátního cloudu. Směrování používá protokol BGP (Border Gateway Protocol), je automaticky zřízený a ve výchozím nastavení je povolený pro každé nasazení privátního cloudu.

Privátní cloudy Azure VMware Solution vyžadují pro podsítě minimální /22 blok síťových adres CIDR. Tato síť doplňuje vaše místní sítě, takže by se blok adres neměl překrývat s bloky adres používanými v jiných virtuálních sítích ve vašem předplatném a místních sítích. Sítě pro správu, vMotion a Replikaci se v rámci tohoto bloku adres zřizují automaticky.

Poznámka:

Povolené rozsahy pro váš blok adres jsou privátní adresní prostory RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), s výjimkou 172.17.0.0/16. Síť replikace se nevztahuje na uzly AV64 a je určená pro obecné vyřazení v budoucím datu.

Důležité

Nepoužívejte následující schémata PROTOKOLU IP vyhrazená pro použití NSX:

  • 169.254.0.0/24 – používá se pro interní tranzitní síť
  • 169.254.2.0/23 – používá se pro tranzitní síť inter-VRF
  • 100.64.0.0/16 – slouží k internímu připojení bran T1 a T0

Příklad /22 bloku síťových adres CIDR: 10.10.0.0/22

Podsítě:

Využití sítě Popis Podsíť Příklad
Správa privátního cloudu Síť pro správu (například vCenter, NSX) /26 10.10.0.0/26
Migrace HCX Mgmt Místní připojení pro zařízení HCX (downlinky) /26 10.10.0.64/26
Rezervovaná služba Global Reach Odchozí rozhraní pro ExpressRoute /26 10.10.0.128/26
Služba DNS NSX Integrovaná služba DNS serveru NSX /32 10.10.0.192/32
Rezervováno Rezervováno /32 10.10.0.193/32
Rezervováno Rezervováno /32 10.10.0.194/32
Rezervováno Rezervováno /32 10.10.0.195/32
Rezervováno Rezervováno /30 10.10.0.196/30
Rezervováno Rezervováno /29 10.10.0.200/29
Rezervováno Rezervováno /28 10.10.0.208/28
Peering ExpressRoute Partnerský vztah ExpressRoute /27 10.10.0.224/27
ESXi Management Rozhraní VMkernel pro správu ESXi /25 10.10.1.0/25
vMotion Network Rozhraní vMotion VMkernel /25 10.10.1.128/25
Síť replikace Rozhraní replikace vSphere /25 10.10.2.0/25
vSAN Rozhraní vSAN VMkernel a komunikace uzlů /25 10.10.2.128/25
Odchozí připojení HCX Odesílání pro zařízení HCX IX a NE vzdáleným partnerským uzlům /26 10.10.3.0/26
Rezervováno Rezervováno /26 10.10.3.64/26
Rezervováno Rezervováno /26 10.10.3.128/26
Rezervováno Rezervováno /26 10.10.3.192/26

Poznámka:

Sítě ESXi pro správu/ vmotion/replikaci jsou technicky schopné podporovat 125 hostitelů, ale podporované maximum je 96, protože 29 jsou vyhrazeny pro nahrazení/údržbu (19) a HCX(10).

Požadované síťové porty

Zdroj Cíl Protokol Port Description
Server DNS privátního cloudu Místní server DNS UDP 53 Klient DNS – Předávání požadavků ze serveru vCenter privátního cloudu pro všechny místní dotazy DNS (viz část DNS).
Místní server DNS Server DNS privátního cloudu UDP 53 Klient DNS – Předávání požadavků z místních služeb na servery DNS privátního cloudu (viz část DNS)
Místní síť Server vCenter privátního cloudu TCP (HTTP) 80 VCenter Server vyžaduje port 80 pro přímá připojení HTTP. Port 80 přesměruje požadavky na port HTTPS 443. Toto přesměrování vám pomůže, pokud používáte http://server místo https://server.
Síť pro správu privátního cloudu Místní služby Active Directory TCP 389/636 Povolte serveru Azure VMware Solutions vCenter komunikaci se servery místní Active Directory/LDAP. Volitelné pro konfiguraci místní služby AD jako zdroje identit ve vCenter privátního cloudu. Pro účely zabezpečení se doporučuje port 636.
Síť pro správu privátního cloudu Místní globální katalog služby Active Directory TCP 3268/3269 Povolte azure VMware Solutions vCenter Server komunikovat se servery globálního katalogu místní Active Directory/LDAP. Volitelné pro konfiguraci místní služby AD jako zdroje identity na serveru vCenter privátního cloudu. Pro zabezpečení použijte port 3269.
Místní síť Server vCenter privátního cloudu TCP (HTTPS) 443 Přístup k vCenter Serveru z místní sítě Výchozí port pro vCenter Server pro naslouchání připojení klienta vSphere. Pokud chcete systému vCenter Server povolit příjem dat z klienta vSphere, otevřete port 443 v bráně firewall. Systém vCenter Serveru také používá port 443 k monitorování přenosu dat z klientů sady SDK.
Místní síť HCX Cloud Manager TCP (HTTPS) 9443 Rozhraní pro správu virtuálních zařízení HCX Cloud Manager pro konfiguraci systému HCX
Místní síť pro správu HCX Cloud Manager SSH 22 Přístup SSH správce k virtuálnímu zařízení HCX Cloud Manager.
Správce HCX Interconnect (HCX-IX) TCP (HTTPS) 8123 Řízení hromadné migrace HCX
Správce HCX Interconnect (HCX-IX), síťové rozšíření (HCX-NE) TCP (HTTPS) 9443 Pomocí rozhraní REST API odešlete pokyny ke správě místnímu propojení HCX.
Interconnect (HCX-IX) L2C TCP (HTTPS) 443 Odešlete pokyny pro správu z propojení do L2C, pokud L2C používá stejnou cestu jako interconnect.
HCX Manager, Interconnect (HCX-IX) Hostitelé ESXi TCP 80,443,902 Správa a nasazení OVF
Interconnect (HCX-IX), síťové rozšíření (HCX-NE) ve zdroji Interconnect (HCX-IX), síťové rozšíření (HCX-NE) v cíli UDP 4500 Požadováno pro protokol IPSEC
Výměna internetových klíčů (IKEv2) pro zapouzdření úloh pro obousměrný tunel. Podporuje procházení překladu síťových adres (NAT-T).
Místní propojení (HCX-IX) Propojení cloudu (HCX-IX) UDP 4500 Požadováno pro protokol IPSEC
Internet Key Exchange (ISAKMP) pro obousměrný tunel.
Místní síť vCenter Serveru Síť pro správu privátního cloudu TCP 8000 VMotion virtuálních počítačů z místního vCenter Serveru do privátního cloudu vCenter Server
Konektor HCX connect.hcx.vmware.com
hybridity.depot.vmware.com
TCP 443 connect je potřeba k ověření licenčního klíče.
hybridity je potřeba pro aktualizace.

Tato tabulka obsahuje běžná pravidla brány firewall pro typické scénáře. Při konfiguraci pravidel brány firewall ale možná budete muset zvážit další položky. Všimněte si, že zdroj a cíl říkají "místní", jsou tyto informace relevantní pouze v případě, že vaše datacentrum má bránu firewall, která kontroluje toky. Pokud vaše místní komponenty nemají bránu firewall pro kontrolu, můžete tato pravidla ignorovat.

Další informace najdete v úplném seznamu požadavků na porty VMware HCX.

Důležité informace o překladu DHCP a DNS

Aplikace a úlohy spuštěné v prostředí privátního cloudu vyžadují překlad názvů a služby DHCP pro přiřazování vyhledávacích a IP adres. K poskytování těchto služeb se vyžaduje správná infrastruktura DHCP a DNS. Virtuální počítač můžete nakonfigurovat tak, aby tyto služby poskytoval ve vašem prostředí privátního cloudu.

Použijte integrovanou službu DHCP k datovému centru NSX-T nebo použijte místní server DHCP v privátním cloudu místo směrování přenosů DHCP přes síť WAN zpět do místního prostředí.

Důležité

Pokud inzerujete výchozí trasu do azure VMware Solution, musíte povolit, aby předávač DNS dosáhl nakonfigurovaných serverů DNS a musí podporovat překlad veřejných ip adres.

Další kroky

V tomto kurzu jste se dozvěděli o aspektech a požadavcích pro nasazení privátního cloudu Azure VMware Solution. Jakmile budete mít správné sítě, pokračujte dalším kurzem a vytvořte privátní cloud Azure VMware Solution.