Lista de verificação de planejamento de rede da Solução VMware no Azure
A Solução VMware no Azure fornece um ambiente de nuvem privada VMware acessível a usuários e aplicativos de ambientes ou recursos locais e baseados no Azure. A conectividade é fornecida por meio de serviços de rede como o Azure ExpressRoute e as conexões VPN. Portas de firewall e intervalos de endereços de rede específicos são necessários para habilitar esses serviços. Este artigo ajuda você a configurar a sua rede para funcionar com a Solução VMware no Azure.
Neste tutorial, saiba mais sobre:
- Considerações sobre a rede virtual e o circuito do ExpressRoute
- Requisitos de roteamento e sub-rede
- Portas de rede necessárias para comunicação com os serviços
- Considerações sobre o DHCP e o DNS na Solução VMware no Azure
Pré-requisitos
Verificar se todos os gateways, incluindo o serviço do provedor do ExpressRoute, dão suporte ao ASN (número do sistema autônomo) de 4 bytes. A Solução VMware no Azure usa ASNs públicos de 4 bytes para anunciar rotas.
Considerações sobre a rede virtual e o circuito do ExpressRoute
Quando você cria uma conexão de rede virtual na sua assinatura, o circuito do ExpressRoute é estabelecido por meio do emparelhamento usando uma chave de autorização e uma ID de emparelhamento solicitada por você no portal do Azure. O emparelhamento é uma conexão particular e individual entre a nuvem privada e a rede virtual.
Observação
O circuito ExpressRoute não faz parte de uma implantação de nuvem privada. O circuito ExpressRoute local está além do escopo deste documento. Para ter conectividade local com a nuvem privada, é possível usar um dos circuitos ExpressRoute existentes ou comprar um no portal do Azure.
Ao implantar uma nuvem privada, você recebe endereços IP para o vCenter Server e o NSX-T Manager. Para acessar essas interfaces de gerenciamento, crie mais recursos na rede virtual da sua assinatura. Encontre nos tutoriais os procedimentos necessários para criar esses recursos e estabelecer o emparelhamento privado do ExpressRoute.
A rede lógica de nuvem privada inclui uma configuração NSX pré-provisionada. Um gateway de camada 0 e outro de camada 1 são pré-provisionados para você. É possível criar um segmento e anexá-lo ao gateway de camada 1 existente ou ao novo gateway de camada 1 definido por você. Os componentes de rede lógica NSX fornecem conectividade Leste-Oeste entre cargas de trabalho e conectividade Norte-Sul com a Internet e os serviços do Azure.
Importante
Se você planeja escalar seus hosts da Solução VMware no Azure usando datastores do Azure NetApp Files, é crucial implantar a rede virtual perto de seus hosts com um gateway de rede virtual do ExpressRoute. Quanto mais perto o armazenamento estiver dos hosts, melhor será o desempenho.
Considerações sobre o roteamento e a sub-rede
A nuvem privada da Solução VMware no Azure se conecta à sua rede virtual do Azure usando uma conexão do Azure ExpressRoute. Essa conexão de baixa latência e alta largura de banda permite que você acesse os serviços em execução na sua assinatura do Azure de seu ambiente de nuvem privada. O roteamento usa o Border Gateway Protocol (BGP), é provisionado automaticamente e é habilitado por padrão para cada implantação de nuvem privada.
As nuvens privadas da Solução VMware no Azure necessitam de pelo menos /22 bloco de endereços de rede CIDR para sub-redes. Esta rede complementa as suas redes no local, pelo que o bloco de endereços não deve se sobrepor aos blocos de endereços utilizados em outras redes virtuais nas suas redes de assinatura e no local. As redes de gerenciamento, vMotion e replicação são provisionadas automaticamente nesse bloco de endereço.
Observação
Os intervalos permitidos para seu bloco de endereços são os espaços de endereço privados RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), exceto pelo 172.17.0.0/16. A rede de replicação não é aplicável aos nós AV64 e está prevista para descontinuação geral em uma data futura.
Importante
Evite usar os seguintes esquemas IP reservados para uso do NSX:
- 169.254.0.0/24 – Usado para a rede de trânsito interna
- 169.254.2.0/23 – Usado para a rede de trânsito entre VRF
- 100.64.0.0/16 – Usado para conectar gateways T1 e T0 internamente
Exemplo de bloco de endereços de rede CIDR /22: 10.10.0.0/22
As sub-redes:
| Uso de rede | Descrição | Sub-rede | Exemplo |
|---|---|---|---|
| Gerenciamento de nuvem privada | Rede de gerenciamento (como vCenter, NSX) | /26 |
10.10.0.0/26 |
| Migrações de Gerenciamento do HCX | Conectividade local para dispositivos HCX (downlinks) | /26 |
10.10.0.64/26 |
| Alcance Global reservado | Interface de saída do ExpressRoute | /26 |
10.10.0.128/26 |
| Serviço DNS NSX | Serviço DNS NSX interno | /32 |
10.10.0.192/32 |
| Reserved | Reservado | /32 |
10.10.0.193/32 |
| Reservado | Reservado | /32 |
10.10.0.194/32 |
| Reservado | Reservado | /32 |
10.10.0.195/32 |
| Reservado | Reservado | /30 |
10.10.0.196/30 |
| Reservado | Reservado | /29 |
10.10.0.200/29 |
| Reservado | Reservado | /28 |
10.10.0.208/28 |
| Emparelhamento do ExpressRoute | Emparelhamento do ExpressRoute | /27 |
10.10.0.224/27 |
| Gerenciamento ESXi | Interfaces VMkernel de gerenciamento ESXi | /25 |
10.10.1.0/25 |
| Rede do vMotion | Interfaces VMkernel vMotion | /25 |
10.10.1.128/25 |
| Rede de replicação | Interfaces de Replicação do vSphere | /25 |
10.10.2.0/25 |
| vSAN | Interfaces VMkernel vSAN e comunicação de nó | /25 |
10.10.2.128/25 |
| Uplink do HCX | Uplinks para dispositivos HCX IX e NE para pares remotos | /26 |
10.10.3.0/26 |
| Reservado | Reservado | /26 |
10.10.3.64/26 |
| Reservado | Reservado | /26 |
10.10.3.128/26 |
| Reservado | Reservado | /26 |
10.10.3.192/26 |
Observação
As redes de gerenciamento/vmotion/replicação do ESXi são tecnicamente capazes de dar suporte a 125 hosts, porém, 96 é o máximo com suporte, pois 29 são reservados para substituições/manutenção (19) e HCX (10).
Portas de rede necessárias
| Fonte | Destino | Protocolo | Porta | Descrição |
|---|---|---|---|---|
| Servidor DNS da nuvem privada | Servidor DNS local | UDP | 53 | Cliente DNS: encaminhar solicitações do vCenter Server da nuvem privada para qualquer consulta DNS local (confira a seção DNS). |
| Servidor DNS local | Servidor DNS da nuvem privada | UDP | 53 | Cliente DNS: encaminhar solicitações de serviços locais para servidores DNS da Nuvem Privada (confira a seção DNS) |
| Rede local | vCenter Server da nuvem privada | TCP (HTTP) | 80 | O vCenter Server requer a porta 80 para conexões HTTP diretas. A porta 80 redireciona as solicitações para a porta HTTPS 443. Esse redirecionamento ajuda se você usa http://server em vez de https://server. |
| Rede de gerenciamento de nuvem privada | Active Directory local | TCP | 389/636 | Habilite o vCenter Server das Soluções VMware no Azure para se comunicar com servidores locais do Active Directory/LDAP. Opcional para configurar o AD local como uma fonte de identidade no vCenter da nuvem privada. A Porta 636 é recomendada para fins de segurança. |
| Rede de gerenciamento de nuvem privada | Catálogo Global do Active Directory Local | TCP | 3268/3269 | Permita que o vCenter Server da Solução VMware no Azure se comunique com servidores de catálogo global do Active Directory/LDAP locais. Opcional para configurar o AD local como uma fonte de identidade no vCenter Server da nuvem privada. Use a porta 3269 para segurança. |
| Rede local | vCenter Server da nuvem privada | TCP (HTTPS) | 443 | Acesse o vCenter Server de uma rede local. Porta padrão para o vCenter Server escutar conexões de cliente do vSphere. Para permitir que o sistema de vCenter Server receba dados do cliente vSphere, abra a porta 443 no firewall. O sistema de vCenter Server também usa a porta 443 para monitorar a transferência de dados de clientes SDK. |
| Rede local | HCX Cloud Manager | TCP (HTTPS) | 9443 | Interface de gerenciamento de dispositivo virtual do HCX Cloud Manager para configuração do sistema HCX. |
| Rede de Administração Local | HCX Cloud Manager | SSH | 22 | Acesso SSH do administrador à solução de virtualização do HCX Cloud Manager. |
| Gerenciador de HCX | Interconexão (HCX-IX) | TCP (HTTPS) | 8123 | Controle de Migração em Massa do HCX. |
| Gerenciador de HCX | Interconexão (HCX-IX), Extensão de Rede (HCX-NE) | TCP (HTTPS) | 9443 | Envie instruções de gerenciamento para a Interconexão do HCX local usando a API REST. |
| Interconexão (HCX-IX) | L2C | TCP (HTTPS) | 443 | Envie instruções de gerenciamento da Interconexão para L2C quando L2C usar o mesmo caminho que a Interconexão. |
| Gerente HCX, Interconexão (HCX-IX) | Hosts ESXi | TCP | 80,443,902 | Gerenciamento e implantação de OVF. |
| Interconexão (HCX-IX), Extensão de Rede (HCX-NE) na Origem | Interconexão (HCX-IX), Extensão de Rede (HCX-NE) no Destino | UDP | 4500 | Necessário para IPSEC Protocolo IKE (IKEv2) para encapsular cargas de trabalho para o túnel bidirecional. Dá suporte à conversão-travessia de endereços de rede (NAT-T). |
| Interconexão local (HCX-IX) | Interconexão de nuvem (HCX-IX) | UDP | 4500 | Necessário para IPSEC Protocolo IKE (ISAKMP) para o túnel bidirecional. |
| Rede vCenter Server local | Rede de gerenciamento de nuvem privada | TCP | 8000 | vMotion de VMs do vCenter Server local para o vCenter Server de Nuvem Privada |
| Conector HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect é necessário para validar a chave de licença.hybridity é necessário para atualizações. |
Esta tabela apresenta regras comuns de firewall para cenários típicos. No entanto, talvez seja necessário considerar mais itens ao configurar as regras de firewall. Quando a origem e o destino dizem “local”, essas informações só serão relevantes se o datacenter tiver um firewall que inspecione os fluxos. Se os componentes locais não tiverem um firewall para inspeção, você poderá ignorar essas regras.
Para obter mais informações, confira a lista completa de requisitos de porta do VMware HCX.
Considerações sobre a resolução de DHCP e DNS
Os aplicativos e as cargas de trabalho em execução em um ambiente de nuvem privada exigem a resolução de nomes e os serviços DHCP para pesquisa e atribuição de endereço IP. Uma infraestrutura apropriada de DHCP e DNS é necessária para fornecer esses serviços. Você pode configurar uma máquina virtual para fornecer esses serviços em seu ambiente de nuvem privada.
Use o serviço DHCP interno do Data Center NSX-T ou um servidor DHCP local na nuvem privada em vez de rotear o tráfego DHCP de difusão pela WAN novamente para o local.
Importante
Se estiver anunciando uma rota padrão para a Solução VMware no Azure, você precisará permitir que o encaminhador DNS acesse os servidores de DNS configurados, que devem dar suporte à resolução de nomes pública.
Próximas etapas
Neste tutorial, você aprendeu mais sobre as considerações e os requisitos para implantar uma nuvem privada da Solução VMware no Azure. Quando a rede adequada estiver funcionando, siga para o próximo tutorial para aprender a criar uma nuvem privada da Solução VMware no Azure.