Elenco di controllo di pianificazione della rete per la soluzione Azure VMware
La soluzione Azure VMware offre un ambiente di cloud privato VMware, accessibile per utenti e applicazioni da risorse o ambienti locali e basati su Azure. La connettività viene distribuita tramite servizi di rete come Azure ExpressRoute e connessioni VPN. Per abilitare questi servizi sono necessari intervalli di indirizzi di rete e porte del firewall specifici. Questo articolo illustra come configurare la rete per l'uso con la soluzione Azure VMware.
In questa esercitazione vengono fornite informazioni su:
- Considerazioni sulla rete virtuale e sul circuito ExpressRoute
- Requisiti di routing e subnet
- Porte di rete necessarie per comunicare con i servizi
- Considerazioni su DHCP e DNS nella soluzione Azure VMware
Prerequisiti
Verificare che tutti i gateway, incluso il servizio del provider ExpressRoute, supportino il numero di sistema autonomo (ASN) a 4 byte. La soluzione Azure VMware usa numeri ASN pubblici a 4 byte per annunciare le route.
Considerazioni sulla rete virtuale e sul circuito ExpressRoute
Quando si crea una connessione di rete virtuale nella sottoscrizione, il circuito ExpressRoute viene stabilito tramite peering, usando una chiave di autorizzazione e un ID peering che si richiede nel portale di Azure. Il peering è una connessione privata, uno-a-uno tra il cloud privato e la rete virtuale.
Nota
Il circuito ExpressRoute non fa parte di una distribuzione di cloud privato. Il circuito ExpressRoute locale esula dall'ambito di questo documento. Se è necessaria la connettività locale al cloud privato, usare uno dei circuiti ExpressRoute esistenti o acquistarne uno nel portale di Azure.
Quando si distribuisce un cloud privato, si ricevono gli indirizzi IP per il server vCenter e NSX Manager. Per accedere a queste interfacce di gestione, creare più risorse nella rete virtuale della sottoscrizione. Nelle esercitazioni sono disponibili le procedure per creare le risorse e stabilire il peering privato ExpressRoute.
La rete logica del cloud privato include una configurazione NSX con provisioning preliminare. Vengono forniti un gateway di livello 0 e uno di livello 1 con il provisioning effettuato. È possibile creare un segmento e collegarlo al gateway di livello 1 esistente o a uno nuovo definito. I componenti della rete logica NSX forniscono connettività orizzontale destra-sinistra tra carichi di lavoro e connettività verticale alto-basso a Internet e ai servizi di Azure.
Importante
Se si prevede di ridimensionare gli host della soluzione Azure VMware usando gli archivi dati di Azure NetApp Files, la distribuzione della rete virtuale vicina agli host con un gateway di rete virtuale ExpressRoute è fondamentale. Più lo spazio di archiviazione è vicino agli host, migliori sono le prestazioni.
Considerazioni su routing e subnet
Il cloud privato della soluzione Azure VMware si connette alla rete virtuale di Azure tramite una connessione ExpressRoute di Azure. Questa connessione ad ampia larghezza di banda e a bassa latenza consente di accedere ai servizi in esecuzione nella sottoscrizione di Azure dall'ambiente cloud privato. Il routing utilizza un BGP (Border Gateway Protocol), ne viene eseguito automaticamente il provisioning ed è abilitato per impostazione predefinita per ogni distribuzione di cloud privato.
I cloud privati della soluzione Azure VMware richiedono almeno un blocco di indirizzi di rete CIDR /22 per le subnet. Questa rete integra le reti locali, quindi il blocco di indirizzi non deve sovrapporsi ai blocchi di indirizzi usati in altre reti virtuali presenti nella sottoscrizione e nelle reti locali. Il provisioning delle reti di gestione, vMotion e replica viene eseguito automaticamente all'interno di questo blocco di indirizzi.
Nota
Gli intervalli consentiti per il blocco di indirizzi sono inclusi negli spazi indirizzi privati RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), ad eccezione di 172.17.0.0/16. La rete di replica non è applicabile ai nodi AV64 ed è prevista per la deprecazione generale in una data futura.
Importante
Evitare di usare gli schemi IP seguenti riservati all'utilizzo di NSX:
- 169.254.0.0/24: usato per la rete di transito interna
- 169.254.2.0/23: usato per la rete di transito tra VRF
- 100.64.0.0/16: usato per connettere internamente i gateway T1 e T0
Esempio di blocco di indirizzi di rete /22 CIDR: 10.10.0.0/22
Le subnet:
| Utilizzo di rete | Descrizione | Subnet | Esempio |
|---|---|---|---|
| Gestione del cloud privato | Rete di gestione (ad esempio vCenter, NSX) | /26 |
10.10.0.0/26 |
| Migrazioni di HCX Mgmt | Connettività locale per appliance HCX (downlink) | /26 |
10.10.0.64/26 |
| Copertura globale riservata | Interfaccia in uscita per ExpressRoute | /26 |
10.10.0.128/26 |
| Servizio DNS NSX | Servizio DNS NSX predefinito | /32 |
10.10.0.192/32 |
| Prenotato | Prenotato | /32 |
10.10.0.193/32 |
| Prenotato | Prenotato | /32 |
10.10.0.194/32 |
| Prenotato | Prenotato | /32 |
10.10.0.195/32 |
| Prenotato | Prenotato | /30 |
10.10.0.196/30 |
| Prenotato | Prenotato | /29 |
10.10.0.200/29 |
| Prenotato | Prenotato | /28 |
10.10.0.208/28 |
| Peering ExpressRoute | Peering ExpressRoute | /27 |
10.10.0.224/27 |
| Gestione di ESXi | Interfacce VMkernel di gestione ESXi | /25 |
10.10.1.0/25 |
| Rete vMotion | Interfacce VMkernel vMotion | /25 |
10.10.1.128/25 |
| Rete di replica | Interfacce di replica vSphere | /25 |
10.10.2.0/25 |
| vSAN | Interfacce VMkernel vSAN e comunicazione dei nodi | /25 |
10.10.2.128/25 |
| Uplink HCX | Uplink per appliance HCX IX e NE a peer remoti | /26 |
10.10.3.0/26 |
| Prenotato | Prenotato | /26 |
10.10.3.64/26 |
| Prenotato | Prenotato | /26 |
10.10.3.128/26 |
| Prenotato | Prenotato | /26 |
10.10.3.192/26 |
Nota
Le reti ESXi di gestione/vmotion/replica dal punto di vista tecnico sono in grado di supportare 125 host, tuttavia ne sono supportati al massimo 96, in quanto 29 sono dedicati alle sostituzioni/manutenzioni (19) e HCX (10).
Porte di rete necessarie
| Source (Sorgente) | Destination | Protocollo | Port | Descrizione |
|---|---|---|---|---|
| Server DNS del cloud privato | Server DNS locale | UDP | 53 | Client DNS: inoltra le richieste dal server vCenter del cloud privato per qualsiasi query DNS locale (vedere la sezione DNS). |
| Server DNS locale | Server DNS del cloud privato | UDP | 53 | Client DNS: inoltra le richieste di servizi locali a server DNS del cloud privato (vedere la sezione DNS) |
| Rete locale | Server vCenter del cloud privato | TCP (HTTP) | 80 | Il server vCenter richiede la porta 80 per connessioni HTTP dirette. La porta 80 reindirizza le richieste alla porta HTTPS 443. Questo reindirizzamento è utile se si usa http://server invece di https://server. |
| Rete di gestione del cloud privato | Active Directory locale | TCP | 389/636 | Abilitare il server vCenter di Soluzioni Azure VMware per comunicare con i server Active Directory/LDAP locali. Facoltativo per la configurazione di Active Directory locale come origine di identità nell'istanza di vCenter del cloud privato. La porta 636 è consigliata a scopo di sicurezza. |
| Rete di gestione del cloud privato | Catalogo globale di Active Directory locale | TCP | 3268/3269 | Abilitare il server vCenter di Soluzioni Azure VMware per comunicare con i server di catalogo globale Active Directory/LDAP locali. Questa porta è facoltativa, per la configurazione di Active Directory locale come origine di identità nell'istanza del server vCenter del cloud privato. Usare la porta 3269 per la sicurezza. |
| Rete locale | Server vCenter del cloud privato | TCP (HTTPS) | 443 | Accedere al server vCenter da una rete locale. Porta predefinita per il server vCenter in ascolto delle connessioni client vSphere. Per consentire al sistema server vCenter di ricevere dati dal client vSphere, aprire la porta 443 nel firewall. Il sistema server vCenter usa la porta 443 anche per monitorare il trasferimento di dati inviati da client SDK. |
| Rete locale | HCX Cloud Manager | TCP (HTTPS) | 9443 | Interfaccia di gestione delle appliance virtuali di HCX Cloud Manager per la configurazione del sistema HCX. |
| Rete di amministrazione locale | HCX Cloud Manager | SSH | 22 | Accesso SSH amministratore all'appliance virtuale di HCX Cloud Manager. |
| HCX Manager | Interconnessione (HCX-IX) | TCP (HTTPS) | 8123 | Controllo migrazione in blocco di HCX. |
| HCX Manager | Interconnessione (HCX-IX), Estensione di rete (HCX-NE) | TCP (HTTPS) | 9443 | Inviare istruzioni di gestione all'interconnessione HCX locale tramite l'API REST. |
| Interconnessione (HCX-IX) | L2C | TCP (HTTPS) | 443 | Inviare istruzioni di gestione dall'interconnessione a L2C quando L2C usa lo stesso percorso dell'interconnessione. |
| HCX Manager, Interconnessione (HCX-IX) | Host ESXi | TCP | 80,443,902 | Gestione e distribuzione di OVF. |
| Interconnessione (HCX-IX), Estensione di rete (HCX-NE) nell’origine | Interconnessione (HCX-IX), Estensione di rete (HCX-NE) nella destinazione | UDP | 4500 | Obbligatorio per IPSEC IKEv2 (Internet Key Exchange) per incapsulare i carichi di lavoro per il tunnel bidirezionale. Supporta Network Address Translation-Traversal (NAT-T). |
| Interconnessione locale (HCX-IX) | Interconnessione cloud (HCX-IX) | UDP | 4500 | Obbligatorio per IPSEC ISAKMP (Internet Key Exchange) per il tunnel bidirezionale. |
| Rete del server vCenter locale | Rete di gestione del cloud privato | TCP | 8000 | vMotion di macchine virtuali dal server vCenter locale al server vCenter could privato |
| Connettore HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect è necessario per convalidare il codice di licenza.hybridity è necessario per gli aggiornamenti. |
Questa tabella presenta regole firewall comuni per scenari tipici. Tuttavia, potrebbe essere necessario prendere in considerazione più elementi durante la configurazione delle regole del firewall. Si noti che quando l'origine e la destinazione indicano "locale", queste informazioni sono rilevanti solo se il data center ha un firewall che controlla i flussi. Se i componenti locali non dispongono di un firewall per l'ispezione, è possibile ignorare tali regole.
Per altre informazioni, vedere l'elenco completo dei requisiti delle porte di VMware HCX.
Considerazioni su DHCP e sulla risoluzione DNS
Le applicazioni e i carichi di lavoro in esecuzione in un ambiente cloud privato richiedono la risoluzione dei nomi e i servizi DHCP per la ricerca e le assegnazioni di indirizzi IP. Per fornire questi servizi, è necessaria un'infrastruttura DHCP e DNS corretta. È possibile configurare una macchina virtuale per fornire questi servizi nell'ambiente cloud privato.
Usare il servizio DHCP predefinito nel data center NSX-t o usare un server DHCP locale nel cloud privato invece di instradare la trasmissione del traffico DHCP tramite la rete WAN all'ambiente locale.
Importante
Se si annuncia una route predefinita alla soluzione Azure VMware, è necessario consentire al server d'inoltro DNS di raggiungere i server DNS configurati, i quali devono supportare la risoluzione dei nomi pubblici.
Passaggi successivi
Questa esercitazione ha illustrato le considerazioni e i requisiti per la distribuzione di un cloud privato della soluzione Azure VMware. Una volta completata la configurazione corretta della rete, continuare con l'esercitazione successiva per creare il cloud privato della soluzione Azure VMware.