Planen der Netzwerktopologie für die Bereitstellung von Azure VMware Solution
Azure VMware Solution bietet eine private Cloudumgebung, auf die Sie sowohl über lokale als auch über Azure-basierte Umgebungen und Ressourcen zugreifen können. Zum nächsten Schritt der Azure VMware Solution-Bereitstellung gehört die Planung der Netzwerktopologie.
Die Azure VMware Solution-Umgebung in Azure muss Netzwerkdatenverkehr an Azure-Dienste und lokale VMware-Umgebungen weiterleiten. Eine dedizierte Azure ExpressRoute-Leitung stellt die Konnektivität mit Azure-Ressourcen und -Diensten von Azure VMware Solution aus sicher. Eine separate, kundenseitig bereitgestellte Azure ExpressRoute-Verbindung bietet Konnektivität mit lokalen VMware-Umgebungen. Zur Gewährleistung von Netzwerkkonnektivität müssen bestimmte IP-Adressbereiche und Firewallports aktiviert sein. Beim Bereitstellen von Azure VMware Solution werden private Netzwerke für die folgenden vSphere-Komponenten erstellt:
- Verwaltung
- Bereitstellung
- VMware vMotion
Diese privaten Netzwerke verwenden Sie, um auf vCenter Server, NSX-Manager und vMotion zuzugreifen.
IP-Adresssegmente
Die IP-Adressierung muss vor der Bereitstellung von Azure VMware Solution als Private Cloud geplant werden. Der Dienst erfordert den von Ihnen bereitgestellten CIDR-Netzwerk-Adressblock /22. /22 CIDR ist für die Verwaltungskomponenten von Azure VMware Solution erforderlich. Workloadsegmente, in denen Virtual Machines (VMs) bereitgestellt werden, weisen einen anderen IP-Adressbereich auf. Dies können Sie tun, indem Sie Netzwerksegmente im NSX-Manager erstellen.
Das CIDR für die Verwaltung wird automatisch in kleinere Segmente unterteilt. Diese IP-Segmente werden für vCenter Server, VMware HCX, NSX und VMware vMotion verwendet. Azure VMware Solution, Ihre vorhandene Azure-Umgebung und Ihre lokale Umgebung müssen untereinander Routen austauschen, um VMs zu Azure zu migrieren. Der von Ihnen definierte CIDR-Netzwerk-Adressblock /22 darf sich nicht mit bereits lokal oder in Azure konfigurierten Netzwerk-Adressblöcken überlappen.
Zum Erstellen des ersten NSX-Segments in der privaten Azure VMware Solution-Cloud muss ein VM-IP-Segment erstellt werden. Das VM-IP-Segment ermöglicht die Bereitstellung von VMs in Azure VMware Solution. Optional können Netzwerksegmente aus einer lokalen VMware-Umgebung auf Azure VMware Solution mit der Netzwerkerweiterung der VMware HCX Layer 2 erweitert werden. Lokale Netzwerke müssen eine Verbindung mit einem vSphere Distributed Switch (vDS) herstellen, da vSphere Standard-Switches nicht mit VMware HCX erweitert werden können.
Beispiel für eine Subnetzaufteilung
In der folgenden Tabelle sehen Sie ein Beispiel dafür, wie Sie den CIDR-Netzwerk-Adressblock /22 (10.5.0.0/22 in diesem Beispiel) in verschiedene IP-Segmente unterteilen können:
| Verwendung des Netzwerks | Subnet | Beispiel |
|---|---|---|
| Verwaltung von privaten Clouds | /26 | 10.5.0.0/26 |
| HCX-Migrationsvorgänge | /26 | 10.5.0.64/26 |
| Für Global Reach reserviert | /26 | 10.5.0.128/26 |
| Für ExpressRoute reserviert | /27 | 10.5.0.192/27 |
| ExpressRoute-Peering | /27 | 10.5.0.224/27 |
| ESXi-Verwaltung | /25 | 10.5.1.0/25 |
| vMotion-Netzwerk | /25 | 10.5.1.128/25 |
| Replikationsnetzwerk | /25 | 10.5.2.0/25 |
| vSAN | /25 | 10.5.2.128/25 |
| HCX-Uplink | /26 | 10.5.3.0/26 |
| Reserviert | 3 /26-Blöcke | 10.5.3.64/26, 10.5.3.128/26, 10.5.3.192/26 |
Netzwerkkonnektivität von Azure VMware Solution
Nach der Bereitstellung von Azure VMware Solution ist die Gewährleistung der Netzwerkkonnektivität der nächste Schritt für eine erfolgreiche Bereitstellung.
Azure VMware Solution als Private Cloud wird auf dedizierten Bare-Metal-Servern bereitgestellt, die ausschließlich einem einzelnen Kunden zugewiesen sind. Für die Verwendung von Azure-Ressourcen müssen diese Server mit dem Backbone des Azure-Netzwerks verbunden werden. Azure VMware Solution bietet einen Azure ExpressRoute-Kreis, der die Kommunikation zwischen Azure VMware Solution als Private Cloud und Azure-Diensten ermöglicht. Um über ExpressRoute eine Verbindung mit der lokalen Umgebung herzustellen, können Sie ExpressRoute Global Reach für Ihren vorhandenen ExpressRoute-Kreis konfigurieren.
ExpressRoute- und Routinganforderungen
Es gibt zwei Arten der Konnektivität für Azure VMware Solution:
- Grundlegende Interkonnektivität nur mit Azure: Azure VMware Solution stellt die Verbindung mit einem virtuellen Azure-Netzwerk über eine ExpressRoute-Verbindung her, die mit der Ressource bereitgestellt wird. Die von Azure VMware Solution bereitgestellte ExpressRoute-Leitung ermöglicht Konnektivität mit der privaten Azure VMware Solution-Cloud für andere Azure-Dienste wie Azure Monitor und Microsoft Defender für Cloud.
- Vollständige Konnektivität mit der Private Cloud: Bei diesem Konnektivitätsmodell wird die Implementierung mit grundlegender Konnektivität um die Konnektivität zwischen lokalen Umgebungen und privaten Azure VMware Solution-Clouds erweitert. Sie können diese Verbindung unter anderem über eine kundenseitig bereitgestellte ExpressRoute-Verbindung konfigurieren. Sie können eine vorhandene Leitung verwenden oder eine neue erstellen.
ExpressRoute Global Reach dient als Lösung der Wahl für hybride Konnektivität in Azure VMware Solution. Es gibt jedoch Szenarien, in denen Global Reach möglicherweise nicht nutzbar ist: Entweder aufgrund einer Nichtverfügbarkeit in Ihrer Region oder aufgrund bestimmter Netzwerk- oder Sicherheitsanforderungen, die nicht von Global Reach erfüllt werden können. In solchen Fällen können Sie das Übertragen von Daten über privates Peering über ExpressRoute oder die Verwendung von IPSec VPN in Betracht ziehen.
Die kundenseitig bereitgestellte ExpressRoute-Leitung ist nicht Teil der Bereitstellung Azure VMware Solution als Private Cloud.
Voraussetzungen für ExpressRoute Global Reach
Damit Sie ExpressRoute Global Reach konfigurieren können, müssen einige Voraussetzungen erfüllt sein.
- Es ist eine separate, kundenseitig bereitgestellte ExpressRoute-Verbindung erforderlich. Über diese wird eine Verbindung zwischen lokalen Umgebungen und Azure hergestellt.
- Alle Gateways, einschließlich des Dienstes des ExpressRoute-Anbieters, müssen ASNs (Autonomous System Number, autonome Systemnummer) mit 4 Byte unterstützen. Azure VMware Solution verwendet öffentliche ASNs mit 4 Byte zum Ankündigen von Netzwerkrouten.
Erforderliche Netzwerkports
Wenn die lokale Netzwerkinfrastruktur restriktiv ist, müssen die folgenden Ports zugelassen werden:
| `Source` | Ziel | Protokoll | Port |
|---|---|---|---|
| DNS-Server von Azure VMware Solution als Private Cloud | Lokaler DNS-Server | UDP | 53 |
| Lokaler DNS-Server | Azure VMware Solution-DNS-Server | UDP | 53 |
| Lokales Netzwerk | Azure VMware Solution vCenter Server | TCP (HTTP/HTTPS) | 80, 443 |
| Verwaltungsnetzwerk für Azure VMware Solution als Private Cloud | Lokales Active Directory | TCP | 389/636 |
| Verwaltungsnetzwerk für Azure VMware Solution als Private Cloud | Globaler Katalog für lokales Active Directory | TCP | 3268/3269 |
| Lokales Netzwerk | HCX Cloud Manager | TCP (HTTPS) | 9443 |
| Lokales Administratornetzwerk | HCX Cloud Manager | SSH | 22 |
| HCX Manager | Interconnect (HCX-IX) | TCP (HTTPS) | 8123 |
| HCX Manager | Interconnect (HCX-IX), Netzwerkerweiterung (HCX-NE) | TCP (HTTPS) | 9443 |
| Interconnect (HCX-IX) | Layer 2-Konnektivität | TCP (HTTPS) | 443 |
| HCX-Manager, Interconnect (HCX-IX) | ESXi-Hosts | TCP | 80, 443, 902 |
| Interconnect (HCX-IX), Netzwerkerweiterung (HCX-NE) an der Quelle | Interconnect (HCX-IX), Netzwerkerweiterung (HCX-NE) am Ziel | UDP | 4500 |
| Lokales Interconnect (HCX-IX) | Cloud-Interconnect (HCX-IX) | UDP | 500 |
| Lokales vCenter Server-Netzwerk | Azure VMware Solution-Verwaltungsnetzwerk | TCP | 8.000 |
| HCX-Connector | connector.hcx.vmware.com hybridity.depot.vmware.com | TCP | 443 |
Aspekte zu DHCP- und DNS-Auflösung
Für die in Azure VMware Solution ausgeführten Virtual Machines (VMs) ist eine Namensauflösung erforderlich. Außerdem benötigen VMs möglicherweise DHCP-Dienste für Lookups und IP-Adresszuweisungen. Sie können einen lokalen virtuellen Computer oder einen virtuellen Azure-Computer zur Unterstützung der Namensauflösung konfigurieren. Sie können den in NSX integrierten DHCP-Dienst oder einen lokalen DHCP-Server in Azure VMware Solution als Private Cloud verwenden. Das Konfigurieren von DHCP in Azure VMware Solution erfordert keine Routingübertragungen für DHCP-Datenverkehr über das WAN zurück an die lokale Umgebung.
In der nächsten Lerneinheit wird die Bereitstellung von Azure VMware Solution behandelt. Es werden alle Schritte beschrieben, mit denen Sie den Dienst in Ihrer Umgebung bereitstellen.