Partilhar via

Estabelecer conectividade de rede entre locatários para SDDCs da Solução VMware do Azure

  • Artigo

Este artigo descreve como configurar os datacenters definidos por software (SDDCs) da Solução VMware do Azure em um ambiente entre locatários. Ele fornece orientação sobre como estabelecer conectividade de rede usando a WAN Virtual do Azure e os NVAs (dispositivos virtuais de rede) que são executados em uma rede virtual falada. A rede virtual spoke se conecta à WAN Virtual.

Arquitetura

A arquitetura a seguir mostra a conectividade entre os SDDCs da Solução VMware do Azure entre locatários, o Azure e um ambiente local.

Diagrama que mostra os SDDCs da Solução VMware do Azure entre locatários com WAN Virtual e NVAs.

Conectividade

A conectividade de rede em um ambiente entre locatários consiste nas seguintes conexões.

Conectividade SDDC-to-SDDC da Solução VMware do Azure

A conectividade entre dois SDDCs da Solução VMware do Azure que você implanta entre locatários depende do pod no qual você os implanta. Use as instruções a seguir para identificar os pods nos quais você implanta SDDCs.

  1. No portal do Azure, vá para Azure VMware Solution.
  2. Selecione Gerenciar e, em seguida, selecione Clusters.
  3. Selecione os três pontos e, em seguida, selecione Editar.
  4. Observe o valor FQDN do host. A letra p precede o número do pod.

Repita o mesmo processo para outros SDDCs. Determine se eles compartilham algum pod comum. A imagem a seguir mostra hosts SDDC implantados no pod 1.

Diagrama que mostra o pod da Solução VMware do Azure.

Nota

Não é possível selecionar um pod durante uma implantação do Azure VMware Solution SDDC. A atribuição de pod não é predeterminada, portanto, o nó exato que um agendador atribui a um pod pode variar cada vez que um processo é executado.

Depois de identificar os pods que os SDDCs compartilham, execute uma das seguintes opções:

  • Interconexão da Solução VMware do Azure (Alcance Global): use esta opção quando dois SDDCs estiverem na mesma região do Azure e não compartilharem pods comuns entre eles. Esta opção estabelece uma conexão Global Reach do circuito ExpressRoute entre dois circuitos SDDC ExpressRoute. Esta opção também permite a conectividade transitiva. Conectividade transitiva significa que as rotas que o circuito SDDC ExpressRoute aprende com o SDDC, a WAN Virtual, as redes virtuais de fala direta da WAN Virtual também anunciam em todo o locatário para o outro circuito SDDC ExpressRoute, o SDDC, a WAN Virtual e as redes virtuais de fala direta da WAN Virtual.

  • Usar a interconexão da Solução VMware do Azure (alcance não global): use esta opção quando dois SDDCs estiverem na mesma região do Azure e compartilharem um pod comum entre eles. Essa opção não fornece conectividade transitiva entre locatários para rotas que a WAN Virtual e suas redes virtuais de fala direta anunciam.

  • Usar o Azure VMware Solution ExpressRoute Global Reach: use esta opção quando dois SDDCs estiverem em regiões diferentes do Azure, independentemente de compartilharem um pod ou não. Esta opção fornece conectividade transitiva entre locatários para rotas que a WAN Virtual e suas redes virtuais de raios diretos anunciam.

Todas essas opções podem estabelecer conectividade de rede entre dois SDDCs. A opção escolhida afeta a conectividade SDDC-to-Azure da Solução VMware do Azure.

Nota

Você pode usar um modelo de autoatendimento para estabelecer conectividade de rede entre dois SDDCs. Mas se os SDDCs forem executados em clusters esticados, você deverá gerar um tíquete de suporte.

Conectividade SDDC-to-Azure da Solução VMware do Azure

Nessa arquitetura, cada SDDC se conecta à WAN Virtual e cada instância de WAN Virtual é executada em seu próprio locatário do Microsoft Entra. Use o procedimento a seguir para estabelecer conectividade.

  1. No portal do Azure, CLI do Azure ou PowerShell, crie uma chave de autorização do Azure VMware Solution SDDC.

  2. Na WAN Virtual, crie um hub e um gateway de Rota Expressa.

  3. Para estabelecer conectividade entre o SDDC e a WAN Virtual, resgate a chave de autorização.

Outras redes virtuais do Azure também se conectam a essa WAN Virtual.

  • As redes virtuais de raios diretos se conectam diretamente à WAN Virtual através da conexão de rede virtual da WAN Virtual. Uma rede virtual spoke pode executar um NVA implantado nela. O NVA inspeciona e controla o tráfego de saída do Azure e do SDDC da Solução VMware do Azure.

  • As redes virtuais de fala indireta se conectam às redes virtuais de fala direta. Eles não se conectam diretamente à WAN Virtual. As redes virtuais de raios indiretos hospedam cargas de trabalho que são executadas no Azure. Os NVAs que são executados em redes virtuais de fala direta inspecionam o tráfego de rede originado de redes virtuais de fala indireta.

Use as configurações a seguir para estabelecer conectividade direta e indireta entre SDDCs e redes virtuais no Azure.

  • Os raios diretos podem se conectar a um SDDC que é executado em seu próprio locatário por meio da conectividade entre a WAN Virtual e o SDDC.

  • Os raios diretos podem se conectar a um SDDC que é executado no outro locatário por meio da interconexão da Solução VMware do Azure (Alcance Global) ou da conectividade do Azure VMware Solution Global Reach.

  • Os raios indiretos não se conectam a um SDDC em seu locatário por padrão. Você pode associar uma rota definida pelo usuário (UDR) a raios indiretos. Um UDR tem prefixos SDDC em seu locatário como a rede de destino e um discurso direto em seu próprio locatário como o próximo salto.

  • Os raios indiretos não se conectam a um SDDC no outro locatário por padrão. Você pode associar um UDR a raios indiretos. Um UDR tem prefixos SDDC no outro locatário como a rede de destino e falou diretamente em seu próprio locatário como o próximo salto. Essa conectividade requer a interconexão da Solução VMware do Azure (Alcance Global) ou a conectividade do Azure VMware Solution Global Reach entre SDDCs.

Nota

Use esta orientação para um único hub que se conecta a uma rede virtual spoke que hospeda uma solução NVA. Se você tiver vários hubs que precisam se conectar a um SDDC da Solução VMware do Azure, use uma arquitetura de rede de malha completa.

Conectividade SDDC-to-on-local da Solução VMware do Azure

Use o Global Reach para estabelecer conectividade entre cada SDDC da Solução VMware do Azure e o ambiente local. Nesse cenário, cada circuito SDDC ExpressRoute e circuito ExpressRoute local se conectam um ao outro. As rotas locais que o circuito SDDC ExpressRoute aprende por meio de uma conexão Global Reach não são transitivas. As rotas não são anunciadas no locatário, mesmo que você tenha conectividade SDDC-to-SDDC da Solução VMware do Azure.

A conectividade SDDC para local coexiste com a conectividade SDDC para SDDC entre locatários. Nessa configuração, um circuito SDDC ExpressRoute aprende rotas locais por meio de uma conexão Global Reach e também aprende rotas WAN virtuais entre locatários por meio da conectividade SDDC para SDDC. A WAN virtual ou SDDC entre locatários não deve anunciar os prefixos locais por outros meios, como uma rota estática ou uma conexão VPN. Se isso ocorrer, o SDDC ExpressRoute aprende rotas duplicadas para o ambiente local, o que cria um loop de roteamento e interrompe a conectividade.

Se o ambiente local tiver vários circuitos de Rota Expressa para redundância, use o caminho público AS prepend para preferir um circuito ao outro.

Nota

A conectividade SDDC para local coexiste com a conectividade do Azure para o local. Você pode usar um gateway de Rota Expressa na WAN Virtual para se conectar ao circuito SDDC ExpressRoute e ao circuito ExpressRoute local. Mas essa conectividade não é transitiva.

Conectividade Azure-to-Azure

As redes virtuais diretas e indiretas precisam se comunicar entre si no mesmo locatário do Azure e entre os locatários do Azure. Use os seguintes métodos para estabelecer conexões.

Estabelecer conexões dentro do mesmo locatário

  • Conecte raios diretos uns com os outros através de uma conexão de rede virtual WAN.

  • Conecte raios diretos com raios indiretos por meio de emparelhamento de rede virtual.

  • Conecte raios indiretos com raios diretos por meio de emparelhamento de rede virtual.

  • Conecte raios indiretos uns com os outros via emparelhamento de rede virtual com um falado direto e um UDR que você associa ao discurso direto. Um UDR tem um prefixo de raio indireto como a rede de destino e um NVA no falado direto como próximo salto. Configure o NVA no direct spoke para encaminhar o tráfego através de sua placa de interface de rede (NIC).

Estabeleça conexões entre o locatário

  • Conecte raios diretos com raios diretos entre locatários por meio do emparelhamento de rede virtual global.

  • Conecte raios diretos com raios indiretos entre locatários por meio do emparelhamento de rede virtual global entre raios diretos e UDRs que você associa ao raio direto. Um UDR tem um prefixo de fala indireta entre locatários como a rede de destino e um NVA no falo direto entre locatários como o próximo salto.

  • Conecte raios indiretos com raios diretos entre locatários por meio do emparelhamento de rede virtual global entre redes virtuais de fala direta e um UDR que você associa às redes virtuais de fala direta. O UDR tem um prefixo de fala direta entre locatários como a rede de destino e um NVA em seu próprio falo direto como o próximo salto.

  • Conecte raios indiretos com raios indiretos entre locatários por meio do emparelhamento de rede virtual global entre redes virtuais de fala direta e um UDR que você associa às redes virtuais de fala direta. O UDR tem um prefixo de fala indireta entre locatários como a rede de destino e um NVA em seu próprio falado direto como o próximo salto.

Conectividade do Azure para o local

Use o circuito de Rota Expressa local e o gateway de Rota Expressa da WAN Virtual para estabelecer a conectividade do Azure para o local. A conectividade entre a Solução VMware do Azure SDDC ExpressRoute e o mesmo gateway de Rota Expressa local não é transitiva. A conexão entre a rede virtual de raios diretos e a WAN virtual via emparelhamento de rede virtual global também não é transitiva. O raio indireto que se conecta à WAN Virtual deve ter um UDR que tenha um prefixo local como a rede de destino e um NVA que seja executado no falo direto como o próximo salto.

Detalhes do cenário

Este artigo examina os seguintes cenários. Você pode aplicar esses cenários para migração entre locatários ou para fins de acesso à carga de trabalho.

  • Conectividade de rede SDDC-to-SDDC da Solução VMware do Azure entre locatários
  • Conectividade entre locatários do Azure para o Azure
  • Acesso à rede entre locatários entre um SDDC da Solução VMware do Azure e redes virtuais do Azure
  • Acesso à rede entre locatários entre um SDDC da Solução VMware do Azure e um ambiente local
  • Inspeção e controle de tráfego de rede entre locatários por meio de um NVA executado em uma rede virtual que se conecta à WAN Virtual

Em um ambiente entre locatários, o SDDC da Solução VMware do Azure, seu circuito Azure ExpressRoute associado e a WAN Virtual podem criar uma experiência desafiadora de migração ou acesso à carga de trabalho. O circuito ExpressRoute associado ao SDDC da Solução VMware do Azure se conecta ao SDDC e também ao gateway de Rota Expressa da WAN Virtual. O circuito ExpressRoute aprende as rotas que o Azure VMware Solution SDDC e a Virtual WAN anunciam. O circuito ExpressRoute anuncia essas rotas através do locatário para a outra Solução VMware do Azure, SDDC e WAN Virtual que se conectam ao circuito. Planeje cuidadosamente sua configuração para evitar a propagação cíclica de rotas entre a WAN Virtual, o circuito SDDC ExpressRoute e o gateway Virtual WAN ExpressRoute.

Potenciais casos de utilização

Considere os seguintes cenários que podem se beneficiar dessa arquitetura:

  • Empresas multinacionais executam o Azure VMware Solution SDDC em diferentes locatários do Microsoft Entra.

  • Uma empresa passa por um processo de cisão ou desinvestimento, que resulta em entidades comerciais separadas que têm locatários separados do Microsoft Entra. Cada entidade de negócios separada requer acesso a um ambiente local comum e requer acesso entre locatários ao Azure VMware Solution, SDDC e outros recursos do Azure.

  • Duas empresas separadas têm seus próprios locatários separados do Microsoft Entra, mas ainda exigem acesso entre locatários a cargas de trabalho executadas nos SDDCs da Solução VMware do Azure e no Azure.

Próximos passos