Hálózattervezési ellenőrzőlista az Azure VMware Solutionhez
Az Azure VMware Solution egy olyan VMware magánfelhő-környezetet biztosít, amely a helyszíni és azure-alapú környezetekből vagy erőforrásokból származó felhasználók és alkalmazások számára érhető el. A kapcsolat olyan hálózati szolgáltatásokon keresztül valósul meg, mint az Azure ExpressRoute és a VPN-kapcsolatok. A szolgáltatások engedélyezéséhez meghatározott hálózati címtartományokra és tűzfalportokra van szükség. Ez a cikk segít konfigurálni a hálózatkezelést az Azure VMware Solution használatára.
Ebben az oktatóanyagban a következőket ismerheti meg:
- A virtuális hálózat és az ExpressRoute-kapcsolatcsoport szempontjai
- Útválasztási és alhálózati követelmények
- A szolgáltatásokkal való kommunikációhoz szükséges hálózati portok
- DHCP- és DNS-szempontok az Azure VMware Solutionben
Előfeltételek
Győződjön meg arról, hogy az összes átjáró , beleértve az ExpressRoute-szolgáltató szolgáltatását is, támogatja a 4 bájtos autonóm rendszerszámot (ASN). Az Azure VMware Solution 4 bájtos nyilvános ASN-eket használ a hirdetési útvonalakhoz.
A virtuális hálózat és az ExpressRoute-kapcsolatcsoport szempontjai
Amikor virtuális hálózati kapcsolatot hoz létre az előfizetésben, az ExpressRoute-kapcsolatcsoport társviszony-létesítéssel jön létre egy engedélyezési kulcs és egy társviszony-azonosító használatával, amelyet az Azure Portalon kér. A társviszony-létesítés egy privát, egy-az-egyhez kapcsolat a magánfelhő és a virtuális hálózat között.
Feljegyzés
Az ExpressRoute-kapcsolatcsoport nem része magánfelhő-telepítésnek. A helyszíni ExpressRoute-kapcsolatcsoport meghaladja a dokumentum hatókörét. Ha helyszíni kapcsolatot szeretne a magánfelhőhöz, használjon egy meglévő ExpressRoute-kapcsolatcsoportot, vagy vásároljon egyet az Azure Portalon.
Magánfelhő üzembe helyezésekor a vCenter Serverhez és az NSX Managerhez ip-címeket kap. A felügyeleti felületek eléréséhez hozzon létre további erőforrásokat az előfizetés virtuális hálózatában. Az oktatóanyagokban megtalálja az erőforrások létrehozásának és az ExpressRoute privát társviszony-létesítésének eljárásait.
A magánfelhő logikai hálózata előre kiépített NSX-konfigurációt tartalmaz. A 0. rétegbeli átjáró és az 1. rétegbeli átjáró előre ki van építve Önnek. Létrehozhat egy szegmenst, és csatolhatja a meglévő 1. rétegbeli átjáróhoz, vagy csatolhatja egy ön által definiált új 1. rétegbeli átjáróhoz. Az NSX logikai hálózati összetevők kelet-nyugati kapcsolatot biztosítanak a számítási feladatok és az internethez és az Azure-szolgáltatásokhoz való észak-déli kapcsolat között.
Fontos
Ha Azure NetApp Files-adattárak használatával tervezi skálázni az Azure VMware Solution-gazdagépeket, a gazdagépekhez közeli virtuális hálózat expressRoute virtuális hálózati átjáróval történő üzembe helyezése kulcsfontosságú. Minél közelebb van a tárterület a gazdagépekhez, annál jobb a teljesítmény.
Útválasztási és alhálózati szempontok
Az Azure VMware Solution magánfelhő egy Azure ExpressRoute-kapcsolattal csatlakozik az Azure-beli virtuális hálózathoz. Ez a nagy sávszélességű, alacsony késésű kapcsolat lehetővé teszi az Azure-előfizetésében futó szolgáltatások elérését a magánfelhő-környezetből. Az útválasztás a Border Gateway Protocol (BGP) protokollt használja, amely automatikusan ki van építve, és alapértelmezés szerint engedélyezve van minden magánfelhő-telepítéshez.
Az Azure VMware Solution magánfelhőinek minimális /22 CIDR hálózati címblokkra van szükségük az alhálózatokhoz. Ez a hálózat kiegészíti a helyszíni hálózatokat, így a címblokk nem fedheti át az előfizetés és a helyszíni hálózatok más virtuális hálózataiban használt címblokkokat. A felügyeleti, vMotion- és replikációs hálózatok automatikusan ki vannak építve ezen a címblokkon belül.
Feljegyzés
A címblokk engedélyezett tartományai az RFC 1918 privát címterek (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), kivéve a 172.17.0.0/16-ot. A replikációs hálózat nem alkalmazható az AV64-csomópontokra, és egy későbbi időpontban általános elavuláshoz lesz tervezve.
Fontos
Ne használja a következő, NSX-használathoz fenntartott IP-sémákat:
- 169.254.0.0/24 – belső tranzithálózathoz használatos
- 169.254.2.0/23 – VRF közötti tranzithálózathoz használatos
- 100.64.0.0/16 – T1 és T0 átjárók belső csatlakoztatására szolgál
Példa /22 CIDR hálózati címblokkra: 10.10.0.0/22
Az alhálózatok:
| Hálózati használat | Leírás | Alhálózat | Példa |
|---|---|---|---|
| Magánfelhő-felügyelet | Felügyeleti hálózat (például vCenter, NSX) | /26 |
10.10.0.0/26 |
| HCX Mgmt-migrálások | Helyi kapcsolat HCX-berendezésekhez (downlinks) | /26 |
10.10.0.64/26 |
| Global Reach Reserved | Kimenő felület az ExpressRoute-hoz | /26 |
10.10.0.128/26 |
| NSX DNS-szolgáltatás | Beépített NSX DNS-szolgáltatás | /32 |
10.10.0.192/32 |
| Fenntartva | Fenntartva | /32 |
10.10.0.193/32 |
| Fenntartva | Fenntartva | /32 |
10.10.0.194/32 |
| Fenntartva | Fenntartva | /32 |
10.10.0.195/32 |
| Fenntartva | Fenntartva | /30 |
10.10.0.196/30 |
| Fenntartva | Fenntartva | /29 |
10.10.0.200/29 |
| Fenntartva | Fenntartva | /28 |
10.10.0.208/28 |
| ExpressRoute-társviszony-létesítés | ExpressRoute-társviszony-létesítés | /27 |
10.10.0.224/27 |
| ESXi-kezelés | ESXi felügyeleti VMkernel-interfészek | /25 |
10.10.1.0/25 |
| vMotion Network | vMotion VMkernel-interfészek | /25 |
10.10.1.128/25 |
| Replikációs hálózat | vSphere replikációs felületek | /25 |
10.10.2.0/25 |
| vSAN | vSAN VMkernel-interfészek és csomópont-kommunikáció | /25 |
10.10.2.128/25 |
| HCX uplink | Kimenő kapcsolatok HCX IX- és NE-berendezésekhez távoli társviszony-létesítéshez | /26 |
10.10.3.0/26 |
| Fenntartva | Fenntartva | /26 |
10.10.3.64/26 |
| Fenntartva | Fenntartva | /26 |
10.10.3.128/26 |
| Fenntartva | Fenntartva | /26 |
10.10.3.192/26 |
Feljegyzés
Az ESXi felügyeleti/vmotion/replikációs hálózatai technikailag képesek 125 gazdagép támogatására, de a támogatott maximális érték 96, mivel a 29-et a csere/karbantartás (19) és a HCX(10) számára fenntartották.
Szükséges hálózati portok
| Forrás | Cél | Protokoll | Kikötő | Leírás |
|---|---|---|---|---|
| Magánfelhő DNS-kiszolgálója | Helyszíni DNS-kiszolgáló | UDP | 53 | DNS-ügyfél – A magánfelhő vCenter-kiszolgálójától érkező kérések továbbítása helyszíni DNS-lekérdezésekhez (lásd a DNS-szakaszt). |
| Helyszíni DNS-kiszolgáló | Magánfelhő DNS-kiszolgálója | UDP | 53 | DNS-ügyfél – Helyszíni szolgáltatások kéréseinek továbbítása magánfelhőbeli DNS-kiszolgálókra (lásd a DNS-szakaszt) |
| Helyszíni hálózat | Privát felhő vCenter Server | TCP (HTTP) | 80 | A vCenter Server közvetlen HTTP-kapcsolatokhoz a 80-s portot igényli. A 80-as port átirányítja a kérelmeket a HTTPS 443-ra. Ez az átirányítás segít, http://server ha nem https://servera . |
| Magánfelhő-felügyeleti hálózat | Helyszíni Active Directory | TCP | 389/636 | Engedélyezze az Azure VMware Solutions vCenter Server számára, hogy kommunikáljon helyi Active Directory/LDAP-kiszolgáló(ka)val. Nem kötelező a helyszíni AD identitásforrásként való konfigurálásához a Privát felhő vCenterben. A 636-os port biztonsági okokból ajánlott. |
| Magánfelhő-felügyeleti hálózat | Helyszíni Active Directory globális katalógus | TCP | 3268/3269 | Engedélyezze az Azure VMware Solutions vCenter Server számára a helyi Active Directory/LDAP globális katalóguskiszolgáló(ka)val való kommunikációt. Nem kötelező a helyszíni AD identitásforrásként való konfigurálásához a magánfelhő vCenter-kiszolgálón. Használja a 3269-s portot a biztonság érdekében. |
| Helyszíni hálózat | Privát felhő vCenter Server | TCP (HTTPS) | 443 | A vCenter Server elérése helyszíni hálózatról. A vCenter Server alapértelmezett portja a vSphere-ügyfélkapcsolatok figyeléséhez. Ha engedélyezni szeretné, hogy a vCenter Server rendszer adatokat fogadjon a vSphere-ügyfélről, nyissa meg a 443-at a tűzfalon. A vCenter Server rendszer a 443-as portot is használja az SDK-ügyfelek adatátvitelének figyeléséhez. |
| Helyszíni hálózat | HCX Cloud Manager | TCP (HTTPS) | 9443 | HCX Cloud Manager virtuális berendezés felügyeleti felülete HCX-rendszerkonfigurációhoz. |
| Helyszíni felügyeleti hálózat | HCX Cloud Manager | SSH | 22 | Rendszergazdai SSH-hozzáférés a HCX Cloud Manager virtuális berendezéshez. |
| HCX Manager | Összekapcsolás (HCX-IX) | TCP (HTTPS) | 8123 | HCX tömeges áttelepítés vezérlése. |
| HCX Manager | Interconnect (HCX-IX), Network Extension (HCX-NE) | TCP (HTTPS) | 9443 | Kezelési utasítások küldése a helyi HCX Interconnectnek a REST API használatával. |
| Összekapcsolás (HCX-IX) | L2C | TCP (HTTPS) | 443 | Ha az L2C ugyanazt az útvonalat használja, mint az Összekapcsolás, küldjön kezelési utasításokat az Interconnectről az L2C-nek. |
| HCX Manager, Interconnect (HCX-IX) | ESXi-gazdagépek | TCP | 80,443,902 | Felügyelet és OVF üzembe helyezés. |
| Csatlakozás (HCX-IX), hálózati bővítmény (HCX-NE) a forrásnál | Csatlakozás (HCX-IX), hálózati bővítmény (HCX-NE) a célhelyen | UDP | 4500 | Az IPSEC-hez szükséges Internetes kulcscsere (IKEv2) a kétirányú alagút számítási feladatainak beágyazásához. Támogatja a hálózati címfordítási bejárást (NAT-T). |
| Helyszíni összekapcsolás (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4500 | Az IPSEC-hez szükséges Internet Key Exchange (ISAKMP) a kétirányú alagúthoz. |
| Helyszíni vCenter Server-hálózat | Magánfelhő-felügyeleti hálózat | TCP | 8000 | Virtuális gépek vMotion-használata a helyszíni vCenter-kiszolgálóról a privát felhőbeli vCenter-kiszolgálóra |
| HCX-összekötő | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect a licenckulcs érvényesítéséhez szükséges.hybridity szükséges a frissítésekhez. |
Ez a táblázat általános tűzfalszabályokat mutat be a tipikus forgatókönyvekhez. Előfordulhat azonban, hogy több elemet is figyelembe kell vennie a tűzfalszabályok konfigurálásakor. Vegye figyelembe, hogy amikor a forrás és a cél a "helyszíni" szöveget mondja, ezek az információk csak akkor relevánsak, ha az adatközpont rendelkezik a folyamatokra vonatkozó tűzfallal. Ha a helyszíni összetevők nem rendelkeznek ellenőrzésre szolgáló tűzfallal, figyelmen kívül hagyhatja ezeket a szabályokat.
További információ: A VMware HCX portkövetelményeinek teljes listája.
DHCP- és DNS-feloldási szempontok
A magánfelhő-környezetben futó alkalmazások és számítási feladatok névfeloldást és DHCP-szolgáltatásokat igényelnek a keresési és IP-címhozzárendelésekhez. Ezeknek a szolgáltatásoknak a biztosításához megfelelő DHCP- és DNS-infrastruktúrára van szükség. A virtuális gépet úgy konfigurálhatja, hogy ezeket a szolgáltatásokat a magánfelhő-környezetben nyújthassa.
Használja az NSX-T adatközpontba beépített DHCP-szolgáltatást, vagy használjon helyi DHCP-kiszolgálót a magánfelhőben ahelyett, hogy a WAN-on keresztül közvetített DHCP-forgalmat a helyszínire irányítanák.
Fontos
Ha alapértelmezett útvonalat hirdet az Azure VMware-megoldáshoz, engedélyeznie kell a DNS-továbbító számára, hogy elérje a konfigurált DNS-kiszolgálókat, és támogatnia kell a nyilvános névfeloldásokat.
Következő lépések
Ebben az oktatóanyagban megismerhette az Azure VMware Solution magánfelhő üzembe helyezésének szempontjait és követelményeit. Miután a megfelelő hálózatkezelést elvégezte, folytassa a következő oktatóanyagtal az Azure VMware Solution magánfelhőjének létrehozásához.