Conectividade e topologia de rede para Solução VMware no Azure

Quando estiver usando o SDDC (datacenter definido pelo software) da VMware com o ecossistema de nuvem do Azure, você terá um conjunto exclusivo de considerações sobre design para cenários híbridos e nativos de nuvem. Este artigo apresenta as principais considerações e as melhores práticas em relação à rede e à conectividade no implantações do Azure e da Solução VMware no Azure.

O artigo se baseia em vários princípios de arquitetura de zonas de destino de escala empresarial do Cloud Adoption Framework e recomendações para gerenciar a topologia de rede e a conectividade em escala. Você pode usar essas diretrizes de área de design de zona de destino do Azure para plataformas críticas da Solução VMware no Azure. As áreas de projeto incluem:

  • Integração híbrida para conectividade entre usuários locais, multinuvem, de borda e globais. Para obter mais informações, confira Suporte a escala empresarial para híbrido e multinuvem.
  • Desempenho e confiabilidade em escala para experiência consistente e de baixa latência e escalabilidade para cargas de trabalho. Um artigo subsequente aborda implantações de região dupla.
  • Segurança de rede baseada em confiança zero para segurança de perímetro de rede e fluxo de tráfego. Para obter mais informações, confira Estratégias de segurança de rede no Azure.
  • Extensibilidade para fácil expansão de volumes de rede sem a necessidade de retrabalhos de design.

Recomendações e considerações gerais de design

As seções a seguir fornecem considerações e recomendações gerais de design para topologia e conectividade de rede da Solução VMware no Azure.

Hub-spoke versus topologia de rede da WAN Virtual

Caso você não tenha uma conexão do ExpressRoute no local com o Azure e esteja usando a VPN S2S, use a WAN Virtual para transitar a conectividade entre a VPN local e o ExpressRoute na Solução VMware no Azure. Se você estiver usando uma topologia hub-spoke, precisará do Servidor de Rota do Azure. Para obter mais informações, confira Suporte do Servidor de Rota do Azure para o ExpressRoute e a VPN do Azure.

Nuvens e clusters privados

  • Todos os clusters podem se comunicar em uma nuvem privada da Solução VMware no Azure, porque todos usam o mesmo espaço de endereço /22.

  • Todos os clusters compartilham as configurações de conectividade, incluindo Internet, ExpressRoute, HCX, IP público e Alcance Global do ExpressRoute. As cargas de trabalho de aplicativo também podem compartilhar algumas configurações básicas de rede, como segmentos de rede, protocolo DHCP e configurações de DNS (Sistema de Nomes de Domínio).

  • Projete as nuvens privadas e os clusters com antecedência, antes da implantação. O número de nuvens privadas necessárias afeta diretamente seus requisitos de rede. Cada nuvem privada requer um espaço de endereço /22 próprio para gerenciamento de nuvem privada e segmento de endereço IP para cargas de trabalho de VM. Considere definir esses espaços de endereço com antecedência.

  • Discuta com suas equipes de rede e VMware como segmentar e distribuir suas nuvens privadas, clusters e segmentos de rede para cargas de trabalho. Planeje bem e evite desperdiçar endereços IP.

Para obter mais informações sobre como gerenciar endereços IP para nuvens privadas, confira Definir o segmento de endereço IP para gerenciamento de nuvem privada.

Para obter mais informações sobre como gerenciar endereços IP para cargas de trabalho de VM, confira Definir o segmento de endereço IP para cargas de trabalho de VM.

DNS e DHCP

Para DHCP, use o serviço DHCP integrado ao NSX-T Data Center ou use um servidor DHCP local em uma nuvem privada. Não roteie o tráfego DHCP de difusão pela WAN de volta para redes locais.

Para o DNS, dependendo do cenário que você adotar e dos seus requisitos, você terá opções diferentes:

  • Para um ambiente exclusivamente da Solução VMware no Azure, implante uma nova infraestrutura de DNS na nuvem privada da Solução VMware no Azure.
  • Para uma Solução VMware no Azure conectada a um ambiente local, use a infraestrutura de DNS existente. Se necessário, implante encaminhadores DNS para estender para a Rede Virtual do Microsoft Azure ou, preferencialmente, para a Solução VMware no Azure. Para obter mais informações, confira Adicionar um serviço de encaminhador DNS.
  • Para a Solução VMware no Azure conectada a serviços e ambientes do Azure e locais, use os servidores DNS ou os encaminhadores DNS existentes na sua rede virtual hub, se disponíveis. Estenda também a infraestrutura de DNS local existente para a rede virtual hub do Azure. Para obter detalhes, confira o diagrama de zonas de destino de escala empresarial.

Para obter mais informações, consulte os seguintes artigos:

Internet

As opções de saída para habilitar a Internet e filtrar e inspecionar o tráfego incluem:

  • Rede Virtual do Microsoft Azure, NVA e Servidor de Rota do Azure usando o acesso à Internet do Azure.
  • Rota padrão local usando o acesso à Internet local.
  • Hub protegido da WAN Virtual com o Firewall do Azure ou a NVA usando o acesso à Internet do Azure.

As opções de entrada para fornecer o conteúdo e os aplicativos incluem:

  • Gateway de Aplicativo do Azure com L7, terminação do protocolo SSL e Firewall de Aplicativo Web.
  • DNAT e balanceador de carga no local.
  • Rede Virtual do Microsoft Azure, NVA e Servidor de Rota do Azure em vários cenários.
  • Hub protegido da WAN Virtual com o Firewall do Azure, com L4 e DNAT.
  • Hub protegido da WAN Virtual com a NVA em vários cenários.

ExpressRoute

A implantação de nuvem privada pronta para uso da Solução VMware do Azure cria automaticamente um circuito gratuito de Rota Expressa de 10 Gbps. Esse circuito conecta a Solução VMware no Azure ao D-MSEE.

Considere a implantação da Solução VMware no Azure em regiões emparelhadas do Azure perto dos seus datacenters. Consulte este artigo para obter recomendações sobre topologias de rede de região dupla para a Solução VMware do Azure.

Alcance Global

  • O Alcance Global é um complemento do ExpressRoute necessário para a Solução VMware no Azure se comunicar com datacenters locais, Rede Virtual do Microsoft Azure e WAN Virtual. A alternativa é criar a conectividade de rede com o Servidor de Rota do Azure.

  • Você pode emparelhar o circuito do ExpressRoute da Solução VMware no Azure com outros circuitos do ExpressRoute usando o Alcance Global sem custos.

  • Use o Alcance Global para emparelhar circuitos do ExpressRoute por meio de um ISP e para circuitos do ExpressRoute Direct.

  • Não há suporte para Alcance Global para circuitos do ExpressRoute Local. Para o ExpressRoute Local, transite da Solução VMware no Azure para datacenters locais por meio de NVAs de terceiros em uma Rede Virtual do Azure.

  • O Alcance Global não está disponível em todos os locais.

Largura de banda

Escolha um SKU de gateway de rede virtual apropriado para a largura de banda ideal entre a Solução VMware no Azure e a Rede Virtual do Azure. A Solução VMware no Azure dá suporte a, no máximo, quatro circuitos do ExpressRoute para um gateway do ExpressRoute em uma região.

Segurança de rede

A segurança de rede envolve a inspeção de tráfego e o espelhamento de porta.

A inspeção de tráfego Leste-Oeste em um SDDC usa o Data Center NSX-T ou NVAs para inspecionar o tráfego para a Rede Virtual do Azure entre regiões.

A inspeção de tráfego Norte-Sul inspeciona o fluxo de tráfego bidirecional entre a Solução VMware no Azure e os datacenters. A inspeção de tráfego norte-sul pode usar:

  • Uma NVA de firewall de terceiros e o Servidor de Rota do Azure na Internet do Azure.
  • Uma rota padrão local na Internet local.
  • Firewall do Azure e WAN virtual pela Internet do Azure
  • Data Center NSX-T no SDDC sobre a Internet da Solução VMware do Azure.
  • Uma NVA de firewall de terceiros na Solução VMware no Azure no SDDC na Internet da Solução VMware no Azure

Requisitos de portas e protocolos

Configure todas as portas necessárias para um firewall local a fim de garantir o acesso adequado a todos os componentes da nuvem privada da Solução VMware no Azure. Para obter mais informações, confira Portas de rede necessárias.

Acesso ao gerenciamento da Solução VMware no Azure

  • Considere o uso de um host do Azure Bastion na Rede Virtual do Azure para acessar o ambiente da Solução VMware no Azure durante a implantação.

  • Depois que você estabelece o roteamento para o ambiente local, a rede de gerenciamento da Solução VMware no Azure não respeita as rotas 0.0.0.0/0 em redes locais. Portanto, você precisa anunciar rotas mais específicas para as redes locais.

BCDR (continuidade dos negócios e recuperação de desastres) e migrações

Próximas etapas