Daftar periksa perencanaan jaringan untuk Azure VMware Solution
Azure VMware Solution menyediakan lingkungan cloud privat VMware yang dapat diakses oleh pengguna dan aplikasi dari lingkungan atau sumber daya lokal dan berbasis Azure. Konektivitas dikirimkan melalui layanan jaringan seperti Azure ExpressRoute dan koneksi VPN. Rentang alamat jaringan dan port firewall tertentu diperlukan untuk mengaktifkan layanan ini. Artikel ini membantu Anda mengonfigurasi jaringan untuk bekerja dengan Azure VMware Solution.
Dalam tutorial ini, pelajari tentang:
- Pertimbangan jaringan virtual dan sirkuit ExpressRoute
- Persyaratan perutean dan subnet
- Port jaringan yang diperlukan untuk berkomunikasi dengan layanan
- Pertimbangan DHCP dan DNS di Azure VMware Solution
Prasyarat
Pastikan semua gateway, termasuk layanan penyedia ExpressRoute, mendukung Nomor Sistem Otonom (ASN) 4-byte. Azure VMware Solution menggunakan ASN publik 4-byte untuk rute iklan.
Pertimbangan jaringan virtual dan sirkuit ExpressRoute
Saat membuat koneksi jaringan virtual di langganan Anda, sirkuit ExpressRoute akan dibuat melalui peering, menggunakan kunci otorisasi dan ID peering yang Anda minta di portal Microsoft Azure. Peering adalah koneksi pribadi, satu-ke-satu antara cloud pribadi Anda dan jaringan virtual.
Catatan
Sirkuit ExpressRoute bukan bagian dari penyebaran cloud privat. Sirkuit ExpressRoute di tempat berada di luar lingkup dokumen ini. Jika Anda memerlukan konektivitas lokal ke cloud privat Anda, gunakan salah satu sirkuit ExpressRoute yang ada atau beli di portal Azure.
Saat menyebarkan cloud privat, Anda menerima alamat IP untuk vCenter Server dan NSX Manager. Untuk mengakses antarmuka manajemen ini, buat lebih banyak sumber daya di jaringan virtual langganan Anda. Temukan prosedur untuk membuat sumber daya tersebut dan membuat peering privat ExpressRoute dalam tutorial.
Jaringan logis cloud privat mencakup konfigurasi NSX yang telah disediakan sebelumnya. Gateway Tier-0 dan gateway Tier-1 telah tersedia untuk Anda. Anda bisa membuat segmen dan melampirkannya ke gateway Tier-1 yang sudah ada atau melampirkannya ke gateway Tier-1 baru yang Anda tetapkan. Komponen jaringan logis NSX menyediakan konektivitas Timur-Barat antara beban kerja dan konektivitas Utara-Selatan ke internet dan layanan Azure.
Penting
Jika Anda berencana untuk menskalakan host Azure VMware Solution dengan menggunakan penyimpanan data Azure NetApp Files, menyebarkan jaringan virtual yang dekat dengan host Anda dengan gateway jaringan virtual ExpressRoute sangat penting. Semakin dekat penyimpanan ke host Anda, akan makin baik kinerjanya.
Pertimbangan perutean dan subnet
Cloud privat Azure VMware Solution tersambung ke jaringan virtual Azure Anda menggunakan koneksi Azure ExpressRoute. Koneksi bandwidth tinggi dan latensi rendah ini memungkinkan Anda mengakses layanan yang berjalan di langganan Azure Anda dari lingkungan cloud pribadi Anda. Perutean menggunakan Border Gateway Protocol (BGP), disediakan secara otomatis, dan diaktifkan secara default untuk setiap penyebaran cloud privat.
Cloud privat Azure VMware Solution memerlukan blok alamat jaringan CIDR minimum /22 untuk subnet. Jaringan ini melengkapi jaringan lokal Anda, sehingga blok alamat tidak boleh tumpang tindih dengan blok alamat yang digunakan di jaringan virtual lain di langganan dan jaringan lokal Anda. Jaringan Manajemen, vMotion, dan Replikasi disediakan secara otomatis dalam blok alamat ini.
Catatan
Rentang yang diizinkan untuk blok alamat Anda adalah ruang alamat pribadi RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), kecuali untuk 172.17.0.0/16. Jaringan replikasi tidak berlaku untuk simpul AV64 dan dijadwalkan untuk penghentian umum pada tanggal mendatang.
Penting
Hindari menggunakan skema IP berikut yang dicadangkan untuk penggunaan NSX:
- 169.254.0.0/24 - digunakan untuk jaringan transit internal
- 169.254.2.0/23 - digunakan untuk jaringan transit antar-VRF
- 100.64.0.0/16 - digunakan untuk menyambungkan gateway T1 dan T0 secara internal
Contoh /22 blok alamat jaringan CIDR: 10.10.0.0/22
Subnet:
| Penggunaan jaringan | Deskripsi | Subnet | Contoh |
|---|---|---|---|
| Manajemen cloud pribadi | Jaringan Manajemen (seperti vCenter Server, NSX) | /26 |
10.10.0.0/26 |
| Migrasi HCX Mgmt | Konektivitas lokal untuk appliance HCX (downlink) | /26 |
10.10.0.64/26 |
| Jangkauan Global Dipesan | Antarmuka keluar untuk ExpressRoute | /26 |
10.10.0.128/26 |
| Layanan DNS NSX | Layanan DNS NSX bawaan | /32 |
10.10.0.192/32 |
| Dicadangkan | Dicadangkan | /32 |
10.10.0.193/32 |
| Dicadangkan | Dicadangkan | /32 |
10.10.0.194/32 |
| Dicadangkan | Dicadangkan | /32 |
10.10.0.195/32 |
| Dicadangkan | Dicadangkan | /30 |
10.10.0.196/30 |
| Dicadangkan | Dicadangkan | /29 |
10.10.0.200/29 |
| Dicadangkan | Dicadangkan | /28 |
10.10.0.208/28 |
| Peering ExpressRoute | ExpressRoute Peering | /27 |
10.10.0.224/27 |
| Manajemen ESXi | Antarmuka VMkernel manajemen ESXi | /25 |
10.10.1.0/25 |
| Jaringan vMotion | Antarmuka VMkernel vMotion | /25 |
10.10.1.128/25 |
| Jaringan Replikasi | Antarmuka Replikasi vSphere | /25 |
10.10.2.0/25 |
| vSAN | Antarmuka vSAN VMkernel dan komunikasi simpul | /25 |
10.10.2.128/25 |
| Uplink HCX | Uplink untuk appliance HCX IX dan NE ke rekan jarak jauh | /26 |
10.10.3.0/26 |
| Dicadangkan | Dicadangkan | /26 |
10.10.3.64/26 |
| Dicadangkan | Dicadangkan | /26 |
10.10.3.128/26 |
| Dicadangkan | Dicadangkan | /26 |
10.10.3.192/26 |
Catatan
Jaringan manajemen/vmotion/replikasi ESXi secara teknis mampu mendukung 125 Host, namun maks yang didukung adalah 96 karena 29 disediakan untuk penggantian/pemeliharaan (19) dan HCX(10).
Port jaringan yang diperlukan
| Sumber | Tujuan | Protokol | Port | Deskripsi |
|---|---|---|---|---|
| Server DNS Cloud Pribadi | Server DNS lokal | UDP | 53 | Klien DNS - Meneruskan permintaan dari Private Cloud vCenter Server untuk kueri DNS lokal apa pun (lihat bagian DNS). |
| Server DNS lokal | Server DNS Cloud Pribadi | UDP | 53 | Klien DNS - Meneruskan permintaan dari layanan lokal ke server DNS Cloud Privat (lihat bagian DNS) |
| Jaringan lokal | Private Cloud vCenter Server | TCP (HTTP) | 80 | vCenter Server memerlukan port 80 untuk koneksi HTTP langsung. Port 80 mengalihkan permintaan ke port HTTPS 443. Pengalihan ini membantu jika Anda menggunakan http://server alih-alih https://server. |
| Jaringan menajemen Private Cloud | Direktori Aktif lokal | TCP | 389/636 | Aktifkan Azure VMware Solutions vCenter Server untuk berkomunikasi dengan server Active Directory lokal/LDAP. Opsional untuk mengonfigurasi AD lokal sebagai sumber identitas di Private Cloud vCenter Server. Port 636 direkomendasikan untuk tujuan keamanan. |
| Jaringan menajemen Private Cloud | Katalog Global Active Directory Lokal | TCP | 3268/3269 | Aktifkan Azure VMware Solutions vCenter Server untuk berkomunikasi dengan server katalog global Active Directory lokal/LDAP. Opsional untuk mengonfigurasi AD lokal sebagai sumber identitas di Private Cloud vCenter Server. Gunakan port 3269 untuk keamanan. |
| Jaringan lokal | Private Cloud vCenter Server | TCP (HTTPS) | 443 | Akses vCenter Server dari jaringan lokal. Port default untuk vCenter Server untuk mendengarkan koneksi Klien vSphere. Untuk mengaktifkan sistem vCenter Server untuk menerima data dari Klien vSphere, buka port 443 di firewall. Sistem vCenter Server juga menggunakan port 443 untuk memantau transfer data dari klien SDK. |
| Jaringan lokal | Manajer Cloud HCX | TCP (HTTPS) | 9443 | Antarmuka manajemen appliance virtual HCX Cloud Manager untuk konfigurasi sistem HCX. |
| Jaringan Admin lokal | Manajer Cloud HCX | SSH | 22 | Akses SSH Administrator ke appliance virtual HCX Cloud Manager. |
| Manajer HCX | Interkoneksi (HCX-IX) | TCP (HTTPS) | 8123 | Kontrol Migrasi Massal HCX. |
| Manajer HCX | Interkoneksi (HCX-IX), Ekstensi Jaringan (HCX-NE) | TCP (HTTPS) | 9443 | Kirim instruksi manajemen ke Interkoneksi HCX lokal menggunakan REST API. |
| Interkoneksi (HCX-IX) | L2C | TCP (HTTPS) | 443 | Kirim instruksi manajemen dari Interkoneksi ke L2C saat L2C menggunakan jalur yang sama dengan Interkoneksi. |
| Manajer HCX, Interkoneksi (HCX-IX) | ESXi Hosts | TCP | 80,443,902 | Manajemen dan penyebaran OVF. |
| Interkoneksi (HCX-IX), Ekstensi Jaringan (HCX-NE) di Sumber | Interkoneksi (HCX-IX), Ekstensi Jaringan (HCX-NE) di Tujuan | UDP | 4500 | Diperlukan untuk IPSEC Pertukaran kunci Internet (IKEv2) untuk merangkum beban kerja untuk terowongan dua arah. Mendukung Network Address Translation-Traversal (NAT-T). |
| Interkoneksi Lokal (HCX-IX) | Interkoneksi Cloud (HCX-IX) | UDP | 4500 | Diperlukan untuk IPSEC Internet Key Exchange (ISAKMP) untuk terowongan dua arah. |
| Jaringan vCenter Server lokal | Jaringan menajemen Private Cloud | TCP | 8000 | vMotion VM dari vCenter Server lokal ke Private Cloud vCenter Server |
| Konektor HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect diperlukan untuk memvalidasi kunci lisensi.hybridity diperlukan untuk pembaruan. |
Tabel ini menyajikan aturan firewall umum untuk skenario umum. Namun, Anda mungkin perlu mempertimbangkan lebih banyak item saat mengonfigurasi aturan firewall. Perhatikan ketika sumber dan tujuan mengatakan "lokal", informasi ini hanya relevan jika pusat data Anda memiliki firewall yang memeriksa alur. Jika komponen lokal Anda tidak memiliki firewall untuk diperiksa, Anda dapat mengabaikan aturan tersebut.
Untuk informasi selengkapnya, lihat daftar lengkap persyaratan port HCX VMware.
Pertimbangan resolusi DHCP dan DNS
Aplikasi dan beban kerja yang berjalan di lingkungan cloud privat memerlukan resolusi nama dan layanan DHCP untuk penetapan alamat pencarian dan IP. Infrastruktur DHCP dan DNS yang tepat diperlukan untuk menyediakan layanan ini. Anda dapat mengonfigurasi komputer virtual untuk menyediakan layanan ini di lingkungan cloud pribadi Anda.
Gunakan layanan DHCP bawaan NSX-T Data Center atau gunakan server DHCP lokal di cloud privat alih-alih merutekan lalu lintas DHCP siaran melalui WAN kembali ke lokal.
Penting
Jika Anda mengiklankan rute default ke Azure VMware Solution, maka Anda harus mengizinkan penerus DNS untuk menjangkau server DNS yang dikonfigurasi dan mereka harus mendukung resolusi nama publik.
Langkah berikutnya
Dalam tutorial ini, Anda belajar tentang pertimbangan dan persyaratan untuk menyebarkan cloud pribadi Azure VMware Solution. Setelah Anda memiliki jaringan yang tepat, lanjutkan ke tutorial berikutnya untuk membuat cloud pribadi Azure VMware Solution Anda.