共用方式為

Azure VMware 解決方案工作負載的網路注意事項

  • 發行項

本文討論 Azure VMware 解決方案工作負載的網路設計區域。 架構良好的網路對於啟用連線能力、優化回應時間、分散流量,以及協助確保 Azure VMware 解決方案中的工作負載持續可用性至關重要。

提高可用性的方法是分配負載

影響:可靠性、效能效率

若要達到延展性並優化效能,您應該將流量分散到 Azure VMware 解決方案基礎結構內的目的地。 當您對 Azure VMware 解決方案的流量執行負載平衡時,可以透過各種考量效能和權重的演算法來分配。 分配進入的流量可改善您工作負載的規模和應用程式的可靠性。 如果您的應用程式跨越多個軟體定義資料中心 (SDDC),Azure 負載平衡器就可以將流量分散到所有環境。

建議

  • 使用例如 VMware NSX Advanced Load Balancer 之類的負載平衡器,以達成流量的均勻分配。 支援內部面向和外部面向的應用程式閘道。 使用負載平衡器進行路由、應用程式傳遞和 TLS 終止。
  • 針對擴充至 Azure 的工作負載,請使用 Azure 應用程式閘道。 此負載平衡器會散發流量,以增強應用程式效能。 應用程式閘道也提供入侵檢測和預防系統 (IDPS) 和 Azure Web 應用程式防火牆功能。 Azure Load Balancer 可以將流量分散到區域,為跨越多個 Azure 可用性區域的工作負載提供高可用性和容錯能力。

將全域分佈中的距離降至最低

影響:可靠性、效能效率、成本優化

對於具有全域狀態的應用程式,請務必將實例與使用者之間的距離降到最低。 您可以藉由將流量路由傳送至最接近的 Azure VMware SDDC 解決方案來達成此目標。 如果您使用流量管理員,您也可以降低輸出資料傳輸成本。 具體而言,您可以將用戶傳送至最近的 Azure VMware 解決方案部署或邊緣位置。 減少數據移動的距離可協助您避免長時間數據傳輸。

建議

  • 針對跨越多個區域的應用程式,請考慮部署功能變數名稱系統型全域流量負載平衡解決方案,例如 Azure 流量管理員。
  • 建立流量路由配置檔。 設定各種路由方法,例如優先順序型路由、加權迴圈配置資源、效能型路由或地理型路由。

傳遞內容

影響:效能、成本優化

高流量應用程式需要最佳化的內容存取。 壓縮和 HTTP 加速器等優化技術可以改善 Azure VMware 解決方案環境中資產的擷取效能。 您可以在傳輸檔案之前,先對檔案使用壓縮技術。 這種做法可以藉由減少您傳輸的數據量來降低成本。 內容傳遞網路會快取經常存取的內容。 因此,搭配 Azure VMware 解決方案使用內容傳遞網路可協助您優化擷取和發佈。 內容傳遞網路也可以協助您以其他方式節省成本。 由於這些網路會在接近用戶的邊緣位置快取日期,因此會減少數據移動的距離。

建議

  • 使用 Azure 內容傳遞網路來改善回應性,並減少存取應用程式和網站的用戶的延遲。
  • 使用壓縮將靜態資產的承載降到最低。
  • 使用 Redis 或 Azure Cache for Redis 等快取解決方案來快取經常存取的數據。

針對因特網對向工作負載使用防火牆

影響:安全性

Azure VMware 解決方案中的前端工作負載會被映射到公用 IP 位址。 因此,它們可以公開至因特網,並接受來自外部來源的連入連線。 此與虛擬機 (VM) 或負載平衡器相關聯的會對您的工作負載造成風險。

建議

  • 針對因特網對向應用程式,請使用 Azure 防火牆或認證的第三方 NVA 等防火牆來檢查因特網和 Azure 的 Azure VMware 解決方案流量。
  • 請確定您的防火牆具有規則和訪問控制清單,以限制和篩選輸入流量。

保護內部工作負載之間的流量

影響:安全性

網路是 Azure VMware 解決方案環境中的重要周邊。 網路可協助控制存取、保護數據及減輕威脅。 健全的網路安全性措施有助於確保 Azure VMware 解決方案工作負載的可用性和復原能力。 例如,透過分割和虛擬 LAN 的使用來實作網路隔離有助於防止 Azure VMware 解決方案環境元件之間未經授權的存取。 您可以使用網路安全組來隔離和保護工作負載虛擬網路內的流量。

建議

  • 為您的 Azure VMware 解決方案工作負載建立網路區段。
  • 在 VMware NSX-T 資料中心內建立防火牆規則。
  • 啟用具有高可用性的 HCX 擴充功能。 根據預設,HCX 網路擴充功能設備會部署為單一實例。 在來源或目的地執行的實例出現故障,會使整個延展的 VLAN 無法運作。 使用 HCX 網路擴充功能 HA 可確保 vMotion 等 HCX 作業可以容許單一實例失敗。

設計可擴展的 IP 位址配置方案

影響:安全性、營運卓越

您可以使用刻意的子網安全性策略來設計 Azure VMware 解決方案和雲端虛擬網路以進行成長。 此設計涉及策略性地組織IP位址配置。 您也需要使用 IP 尋址工具,並強制分配。

除了 /22 RFC-1918 位址範圍之外,工作負載區段還有個別且不具衝突的無類別網域間路由 (CIDR) 範圍。 規劃有足夠的IP位址供VM、公用IP位址和負載平衡器使用。

建議

  • 請確定您的IP位址範圍夠大,足以容納所有目前和未來的 Azure VMware 解決方案工作負載。
  • 使用電子表格或IP位址管理 (IPAM) 工具來有效率地組織可用的IP位址、追蹤IP位址使用量,以及協助避免IP位址衝突。
  • 預先規劃裝置、區段或子網的潛在增加。 使用可應對需求增加的IP位址配置方案。
  • 識別 NSX-T 數據中心 T0 路由器中的重複路由。 重複路由是非對稱路由的可能指示。 如果未偵測到不對稱,則與內部部署環境的連線可能會停止運作。
  • 每個私人 FQDN 區域使用多個 DNS 伺服器。 Azure VMware 解決方案 SDDC 最多可以 支援三部 DNS 伺服器, 單一 FQDN。 使用單一 DNS 伺服器進行 DNS 解析會變成單一失敗點。 請確定 Azure VMware 解決方案 SDDC 的任何內部部署 FQDN 解析都使用多個 DNS 伺服器。
  • 使用動態主機設定通訊協定 (DHCP) 進行動態IP位址指派。

其他資源

  • 超出設定限制可能會導致 Azure VMware 解決方案 SDDC 處於非支援狀態,並影響其進行支援或升級作業的可用性。 使用多個 NSX 區段來協助確保您未超過 VMware 設定限制

後續步驟

既然您已檢查 Azure VMware 解決方案中的網路功能,請調查監視基礎結構和應用程式的最佳做法。

監視

使用評估工具來評估您的設計選擇。

評定