Nätverkstopologi och anslutning för Azure VMware Solution

När du använder ett VMware-programvarudefinierat datacenter (SDDC) med ett Azure-molnekosystem har du en unik uppsättning designöverväganden att följa för både molnbaserade scenarier och hybridscenarier. Den här artikeln innehåller viktiga överväganden och metodtips för nätverk och anslutning till, från och i Distributioner av Azure- och Azure VMware-lösningar .

Artikeln bygger på flera arkitekturprinciper för molnimplementeringsramverk i företagsskala och rekommendationer för hantering av nätverkstopologi och anslutningar i stor skala. Du kan använda den här vägledningen för Designområde för Azure-landningszoner för verksamhetskritiska Azure VMware Solution-plattformar. Designområden är:

  • Hybridintegrering för anslutning mellan lokala användare, multimoln, gränsanvändare och globala användare. Mer information finns i Stöd i företagsskala för hybrid och multimoln.
  • Prestanda och tillförlitlighet i stor skala för arbetsbelastningens skalbarhet och konsekventa funktioner med låg svarstid. En efterföljande artikel beskriver distributioner med dubbla regioner.
  • Nollförtroendebaserad nätverkssäkerhet för nätverksperimeter och trafikflödessäkerhet. Mer information finns i Strategier för nätverkssäkerhet i Azure.
  • Utökningsbarhet för enkel utökning av nätverksfotavtryck utan behov av designombyggnad.

Allmänna designöverväganden och rekommendationer

Följande avsnitt innehåller allmänna designöverväganden och rekommendationer för nätverkstopologi och anslutning för Azure VMware Solution.

Hub-spoke jämfört med virtual WAN-nätverkstopologi

Om du inte har någon ExpressRoute-anslutning från en lokal plats till Azure och du i stället använder S2S VPN kan du använda Virtual WAN för att skicka anslutningen mellan ditt lokala VPN och Azure VMware Solution ExpressRoute. Om du använder en hub-spoke-topologi behöver du Azure Route Server. Mer information finns i Stöd för Azure Route Server för ExpressRoute och Azure VPN.

Privata moln och kluster

  • Alla kluster kan kommunicera i ett privat Azure VMware Solution-moln eftersom de alla delar samma /22-adressutrymme.

  • Alla kluster har samma anslutningsinställningar, inklusive Internet, ExpressRoute, HCX, offentlig IP och ExpressRoute Global Reach. Programarbetsbelastningar kan också dela vissa grundläggande nätverksinställningar som nätverkssegment, DHCP-inställningar (Dynamic Host Configuration Protocol) och DNS(Domain Name System).

  • Utforma privata moln och kluster i förväg före distributionen. Antalet privata moln som du behöver påverkar dina nätverkskrav direkt. Varje privat moln kräver sitt eget /22-adressutrymme för hantering av privata moln och IP-adresssegment för VM-arbetsbelastningar. Överväg att definiera adressutrymmena i förväg.

  • Diskutera med dina VMware- och nätverksteam hur du segmenterar och distribuerar dina privata moln, kluster och nätverkssegment för arbetsbelastningar. Planera väl och undvik att slösa BORT IP-adresser.

Mer information om hur du hanterar IP-adresser för privata moln finns i Definiera IP-adresssegmentet för hantering av privata moln.

Mer information om hur du hanterar IP-adresser för VM-arbetsbelastningar finns i Definiera IP-adresssegmentet för VM-arbetsbelastningar.

DNS och DHCP

För DHCP använder du DHCP-tjänsten som är inbyggd i NSX-T Data Center eller använder en lokal DHCP-server i ett privat moln. Dirigera inte dhcp-sändningstrafik över WAN tillbaka till lokala nätverk.

För DNS, beroende på vilket scenario du antar och dina krav, har du flera alternativ:

  • Endast för en Azure VMware-lösningsmiljö kan du distribuera en ny DNS-infrastruktur i ditt privata Azure VMware Solution-moln.
  • För Azure VMware Solution som är ansluten till en lokal miljö kan du använda befintlig DNS-infrastruktur. Om det behövs distribuerar du DNS-vidarebefordrare för att utöka till Azure Virtual Network eller helst till Azure VMware Solution. Mer information finns i Lägga till en DNS-vidarebefordrartjänst.
  • För Azure VMware Solution som är ansluten till både lokala miljöer och Azure-miljöer och -tjänster kan du använda befintliga DNS-servrar eller DNS-vidarebefordrare i det virtuella hubbnätverket om det är tillgängligt. Du kan också utöka befintlig lokal DNS-infrastruktur till det virtuella Azure Hub-nätverket. Mer information finns i diagrammet landningszoner i företagsskala.

Mer information finns i följande artiklar:

Internet

Utgående alternativ för att aktivera Internet och filtrera och inspektera trafik är:

  • Azure Virtual Network, NVA och Azure Route Server med azure-internetåtkomst.
  • Lokal standardväg med lokal internetåtkomst.
  • Virtual WAN-skyddad hubb med Azure Firewall eller NVA, med azure-internetåtkomst.

Inkommande alternativ för att leverera innehåll och program är:

  • Azure Application Gateway med L7, SSL-avslutning (Secure Sockets Layer) och brandvägg för webbprogram.
  • DNAT och lastbalanserare lokalt.
  • Azure Virtual Network, NVA och Azure Route Server i olika scenarier.
  • Virtual WAN-skyddad hubb med Azure Firewall, med L4 och DNAT.
  • Virtual WAN-skyddad hubb med NVA i olika scenarier.

ExpressRoute

Azure VMware Solution out-of-the-box privata molndistribution skapar automatiskt en kostnadsfri ExpressRoute-krets på 10 Gbit/s. Den här kretsen ansluter Azure VMware Solution till D-MSEE.

Överväg att distribuera Azure VMware Solution i azure-kopplade regioner nära dina datacenter. I den här artikeln finns rekommendationer om nätverkstopologier med dubbla regioner för Azure VMware Solution.

Global Reach

  • Global Reach är ett obligatoriskt ExpressRoute-tillägg för Azure VMware Solution för att kommunicera med lokala datacenter, Azure Virtual Network och Virtual WAN. Alternativet är att utforma nätverksanslutningen med Azure Route Server.

  • Du kan peer-koppla Azure VMware Solution ExpressRoute-kretsen till andra ExpressRoute-kretsar med global räckvidd utan kostnad.

  • Du kan använda Global Reach för peering av ExpressRoute-kretsar via en Internetleverantör och för ExpressRoute Direct-kretsar.

  • Global Räckvidd stöds inte för lokala ExpressRoute-kretsar. För ExpressRoute Local överför du från Azure VMware Solution till lokala datacenter via tredjeparts-NVA:er i ett virtuellt Azure-nätverk.

  • Global Räckvidd är inte tillgängligt på alla platser.

Bandbredd

Välj en lämplig SKU för virtuell nätverksgateway för optimal bandbredd mellan Azure VMware Solution och Azure Virtual Network. Azure VMware Solution stöder högst fyra ExpressRoute-kretsar till en ExpressRoute-gateway i en region.

Nätverkssäkerhet

Nätverkssäkerhet omfattar trafikkontroll och portspegling.

Trafikinspektion mellan öst och väst i en SDDC använder NSX-T Data Center eller NVA:er för att inspektera trafik till Azure Virtual Network mellan regioner.

Trafikinspektionen nord-syd inspekterar dubbelriktat trafikflöde mellan Azure VMware Solution och datacenter. Trafikkontroll i nord-syd kan använda:

  • En brandvägg från tredje part NVA och Azure Route Server via Azure Internet.
  • En lokal standardväg via lokalt Internet.
  • Azure Firewall och Virtual WAN via Azure Internet
  • NSX-T Data Center i SDDC via Azure VMware Solution Internet.
  • En brandväggs-NVA från tredje part i Azure VMware Solution i SDDC via Azure VMware Solution Internet

Portar och protokollkrav

Konfigurera alla nödvändiga portar för en lokal brandvägg för att säkerställa korrekt åtkomst till alla privata molnkomponenter i Azure VMware Solution. Mer information finns i Nödvändiga nätverksportar.

Åtkomst till Azure VMware Solution-hantering

  • Överväg att använda en Azure Bastion-värd i Azure Virtual Network för att få åtkomst till Azure VMware Solution-miljön under distributionen.

  • När du har upprättat routning till din lokala miljö följer 0.0.0.0/0 inte Azure VMware Solution-hanteringsnätverket vägarna från lokala nätverk, så du måste annonsera mer specifika vägar för dina lokala nätverk.

Affärskontinuitet, haveriberedskap (BCDR) och migreringar

Nästa steg