Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie ein softwaredefiniertes VMware-Rechenzentrum (SDDC) mit einem Azure-Cloud-Ökosystem verwenden, haben Sie eine einzigartige Reihe von Entwurfsüberlegungen, die sowohl für Cloud-native als auch für Hybridszenarien zu beachten sind. Dieser Artikel enthält wichtige Überlegungen und bewährte Methoden für Netzwerke und Konnektivität zu, von und innerhalb von Azure- und Azure VMware-Lösungsbereitstellungen .
Der Artikel basiert auf mehreren architektonischen Grundsätzen und Empfehlungen des Cloud Adoption Framework für unternehmensweite Landebereiche zur Verwaltung von Netzwerktopologie und Konnektivität im großen Maßstab. Sie können diesen Entwurfsbereichsleitfaden für Azure-Zielzonen für unternehmenskritische Azure VMware Solution-Plattformen nutzen. Zu den Designbereichen gehören:
- Hybridintegration für konnektivität zwischen lokalen, multicloud-, edge- und globalen Benutzern. Weitere Informationen finden Sie unter Enterprise-Skalierungsunterstützung für Hybrid- und Multicloud.For more information, see Enterprise-scale support for hybrid and multicloud.
- Leistung und Zuverlässigkeit in großem Maßstab für die Skalierbarkeit der Workload und eine konsistente, latenzarme Leistung. Ein weiterer Artikel befasst sich mit Bereitstellungen in zwei Regionen.
- Netzwerksicherheit auf Basis von Zero Trust für Netzwerkperimetersicherheit und Verkehrsflusssicherheit. Weitere Informationen finden Sie unter Netzwerksicherheitsstrategien in Azure.
- Erweiterbarkeit für eine einfache Erweiterung von Netzwerkabdrucken ohne Entwurfsumbau.
Allgemeine Entwurfsüberlegungen und Empfehlungen
Die folgenden Abschnitte enthalten allgemeine Entwurfsüberlegungen und Empfehlungen für azure VMware Solution-Netzwerktopologie und Konnektivität.
Hub-Spoke vs. Virtual WAN-Netzwerktopologie
Wenn Sie keine ExpressRoute-Verbindung von lokal zu Azure haben und stattdessen S2S VPN verwenden, können Sie virtuelles WAN verwenden, um die Konnektivität zwischen Ihrem lokalen VPN und dem Azure VMware Solution ExpressRoute zu transitieren. Wenn Sie eine Hub-Spoke-Topologie verwenden, benötigen Sie Azure Route Server. Weitere Informationen finden Sie unter Azure Route Server-Unterstützung für ExpressRoute und Azure VPN.
Private Clouds und Cluster
Alle Cluster können in einer privaten Azure VMware Solution-Cloud kommunizieren, da sie alle den gleichen /22-Adressraum nutzen.
Alle Cluster verwenden dieselben Konnektivitätseinstellungen, einschließlich Internet, ExpressRoute, HCX, öffentliche IP und ExpressRoute Global Reach. Anwendungsworkloads können auch einige grundlegende Netzwerkeinstellungen wie Netzwerksegmente, DHCP-Einstellungen (Dynamic Host Configuration Protocol) und DNS-Einstellungen (Domain Name System) freigeben.
Entwerfen Sie private Clouds und Cluster im Voraus vor der Bereitstellung. Die Anzahl der privaten Clouds, die Sie benötigen, wirkt sich direkt auf Ihre Netzwerkanforderungen aus. Jede private Cloud erfordert einen eigenen /22-Adressraum für private Cloudverwaltung und IP-Adresssegment für VM-Workloads. Erwägen Sie, diese Adressräume im Voraus zu definieren.
Besprechen Sie mit Ihren VMware- und Netzwerkteams, wie Sie Ihre privaten Clouds, Cluster und Netzwerksegmente für Workloads segmentieren und verteilen. Planen Sie gut, und vermeiden Sie, IP-Adressen zu verschwenden.
Weitere Informationen zum Verwalten von IP-Adressen für private Clouds finden Sie unter Define the IP address segment for private cloud management.
Weitere Informationen zum Verwalten von IP-Adressen für VM-Workloads finden Sie unter Definieren des IP-Adresssegments für VM-Workloads.
DNS und DHCP
Verwenden Sie für DHCP den in NSX-T Data Center integrierten DHCP-Dienst, oder verwenden Sie einen lokalen DHCP-Server in einer privaten Cloud. Leiten Sie keinen DHCP-Übertragungsdatenverkehr über das WAN zurück an lokale Netzwerke weiter.
Für DNS haben Sie je nach szenario, das Sie übernehmen, und Ihren Anforderungen mehrere Optionen:
- Nur für eine Azure VMware-Lösungsumgebung können Sie eine neue DNS-Infrastruktur in Ihrer privaten Azure VMware Solution-Cloud bereitstellen.
- Für Azure VMware-Lösung, die mit einer lokalen Umgebung verbunden ist, können Sie vorhandene DNS-Infrastruktur verwenden. Stellen Sie bei Bedarf DNS-Weiterleitungen bereit, um sie in Azure Virtual Network oder vorzugsweise in Azure VMware Solution zu erweitern. Weitere Informationen finden Sie unter Hinzufügen eines DNS-Weiterleitungsdiensts.
- Für Azure VMware-Lösung, die sowohl mit lokalen als auch mit Azure-Umgebungen und -Diensten verbunden ist, können Sie vorhandene DNS-Server oder DNS-Weiterleitungen in Ihrem virtuellen Hubnetzwerk verwenden, sofern verfügbar. Sie können auch vorhandene lokale DNS-Infrastruktur auf das virtuelle Azure Hub-Netzwerk erweitern. Ausführliche Informationen finden Sie im Diagramm der Landungszonen im Unternehmensmaßstab.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Überlegungen zur DHCP- und DNS-Auflösung
- Konfigurieren von DHCP für Azure VMware-Lösung
- Konfigurieren von DHCP in L2 gestreckten VMware HCX-Netzwerken
- Konfigurieren einer DNS-Weiterleitung im Azure-Portal
Internet
Ausgehende Optionen zum Aktivieren von Internet und Filtern und Überprüfen von Datenverkehr umfassen:
- Azure Virtual Network, NVA und Azure Route Server mit Azure-Internetzugriff.
- Lokale Standardroute mithilfe des lokalen Internetzugriffs.
- Virtueller WAN-gesicherter Hub mit Azure Firewall oder NVA mit Azure-Internetzugriff.
Zu den Eingangsoptionen für das Übermitteln von Inhalten und Anwendungen gehören:
- Azure-Anwendungsgateway mit L7- und SSL-Beendigung (Secure Sockets Layer) und Webanwendungsfirewall.
- DNAT und Lastenausgleich über die lokale Umgebung.
- Azure Virtual Network, NVA und Azure Route Server in verschiedenen Szenarien.
- Virtueller WAN-gesicherter Hub mit Azure Firewall, mit L4 und DNAT.
- Virtueller WAN-gesicherter Hub mit NVA in verschiedenen Szenarien.
ExpressRoute
Die sofort einsatzbereite Private Cloud-Bereitstellung von Azure VMware Solution erstellt automatisch einen kostenlosen 10 Gbps ExpressRoute-Schaltkreis. Dieser Schaltkreis verbindet Azure VMware Solution mit dem D-MSEE.
Erwägen Sie die Bereitstellung der Azure VMware-Lösung in gekoppelten Azure-Regionen in Der Nähe Ihrer Rechenzentren. In diesem Artikel finden Sie Empfehlungen zu Netzwerktopologien mit zwei Regionen für Azure VMware Solution.
Global Reach
Globale Reichweite ist ein erforderliches ExpressRoute-Add-On für Azure VMware-Lösung für die Kommunikation mit lokalen Rechenzentren, Azure Virtual Network und Virtual WAN. Die Alternative besteht darin, Ihre Netzwerkkonnektivität mit Azure Route Server zu entwerfen.
Sie können den Azure VMware Solution ExpressRoute-Schaltkreis kostenlos mithilfe von Global Reach mit anderen ExpressRoute-Schaltkreisen verbinden.
Sie können Globale Reichweite für das Peering von ExpressRoute-Schaltkreisen über einen ISP und für ExpressRoute Direct-Schaltkreise verwenden.
Global Reach wird für lokale ExpressRoute-Leitungen nicht unterstützt. Bei lokalen ExpressRoute-Lösungen erfolgt der Transit von Azure VMware Solution zu lokalen Rechenzentren über Drittanbieter-NVAs in einem virtuellen Azure-Netzwerk.
Globale Reichweite ist an allen Standorten nicht verfügbar.
Bandbreite
Wählen Sie eine geeignete SKU für das Gateway des virtuellen Netzwerks aus, um eine optimale Bandbreite zwischen Azure VMware Solution und Azure Virtual Network zu erzielen. Azure VMware Solution unterstützt maximal vier ExpressRoute-Schaltkreise zu einem ExpressRoute-Gateway in einer Region.
Netzwerksicherheit
Die Netzwerksicherheit beinhaltet die Datenverkehrsüberprüfung und die Portspiegelung.
Die Ost-West-Datenverkehrsüberprüfung innerhalb eines SDDC verwendet NSX-T Data Center oder NVAs, um den Datenverkehr an Azure Virtual Network regionsübergreifend zu überprüfen.
North-South Datenverkehrsüberprüfung prüft bidirektionalen Datenverkehrsfluss zwischen Azure VMware Solution und Rechenzentren. Nord-Süd-Verkehrskontrollen können folgendes verwenden:
- Ein Drittanbieter-Firewall-NVA und Azure Route Server über das Azure-Internet.
- Eine lokale Standardroute über das lokale Internet.
- Azure Firewall und Virtual WAN über das Azure-Internet
- NSX-T Data Center innerhalb des SDDC über das Azure VMware Solution-Internet.
- Ein Drittanbieter-Firewall-NVA in Azure VMware Solution innerhalb des SDDC über das Azure VMware Solution-Internet
Ports und Protokollanforderungen
Konfigurieren Sie alle erforderlichen Ports für eine lokale Firewall, um den ordnungsgemäßen Zugriff auf alle privaten Cloudkomponenten von Azure VMware Solution sicherzustellen. Weitere Informationen finden Sie unter "Erforderliche Netzwerkports".
Azure VMware Solution Management-Zugriff
Erwägen Sie die Verwendung eines Azure Bastion-Hosts in Azure Virtual Network, um während der Bereitstellung auf die Azure VMware-Lösungsumgebung zuzugreifen.
Sobald Sie das Routing für Ihre lokale Umgebung eingerichtet haben, berücksichtigt das Azure VMware Solution Management-Netzwerk nicht die
0.0.0.0/0Routen von lokalen Netzwerken. Daher müssen Sie spezifischere Routen für Ihre lokalen Netzwerke bekannt geben.
Geschäftskontinuität, Notfallwiederherstellung (BCDR) und Migrationen
Bei VMware HCX-Migrationen bleibt das Standardgateway lokal. Weitere Informationen finden Sie unter Bereitstellen und Konfigurieren von VMware HCX.
VMware HCX-Migrationen können die HCX L2-Erweiterung verwenden. Migrationen, die Layer 2-Erweiterung erfordern, erfordern auch ExpressRoute. S2S VPN wird unterstützt, solange die Mindestanforderungen für die Netzwerkunterlage netto sind. Die maximale Größe der Getriebeeinheit (MTU) sollte 1350 sein, um den Mehraufwand von HCX aufzunehmen. Weitere Informationen zum Layer 2-Erweiterungsdesign finden Sie unter Layer 2-Überbrückung im Managermodus (VMware.com).
Nächste Schritte
Weitere Informationen zu Azure VMware Solution in Hub- und Spoke-Netzwerken finden Sie unter Integration von Azure VMware Solution in eine Hub-and-Spoke-Architektur.
Weitere Informationen zu VMware NSX-T Data Center-Netzwerksegmenten finden Sie unter Konfigurieren NSX-T Data Center-Netzwerkkomponenten mithilfe von Azure VMware Solution.
Im nächsten Artikel dieser Reihe erfahren Sie mehr über die Architekturprinzipien der Zielzone des Cloud Adoption Framework für Unternehmen, verschiedene Designüberlegungen und Best Practices für Azure VMware Solution: