Разрешение доступа к HCX через Интернет

В этой статье описано, как выполнить миграцию HCX через общедоступный IP-адрес с помощью Решение Azure VMware.

Вы также узнаете, как связать сайты HCX и создать сервисную сетку из локальной инфраструктуры в частное облако Azure VMware Solution с помощью общедоступного IP-адреса. Сетка служб позволяет перенести рабочую нагрузку из локального центра обработки данных в Решение Azure VMware частное облако через общедоступный Интернет. Это решение полезно, если клиент не использует подключение ExpressRoute или VPN с облаком Azure.

Настройка общедоступного IP-блока

Чтобы диспетчер HCX был доступен через общедоступный IP-адрес, вам потребуется один общедоступный IP-адрес для правила DNAT.

Чтобы выполнить миграцию HCX через общедоступный Интернет, вам потребуются другие IP-адреса. Вы можете использовать подсеть /29 для создания минимальной конфигурации при определении сетевого профиля HCX (используемые IP-адреса в подсети назначаются устройствам IX, NE). Вы можете выбрать большую подсеть в зависимости от требований. Создайте сегмент NSX-T с помощью этой общедоступной подсети. Этот сегмент можно использовать для создания сетевого профиля HCX.

Настройте блок общедоступных IP-адресов на портале, используя функцию "Общедоступный IP" частного облака Azure VMware Solution.

Использовать общедоступный IP-адрес для доступа к Cloud HCX Manager

Cloud HCX manager can be available over a public IP address by using a DNAT rule. Однако, поскольку диспетчер Cloud HCX находится в пространстве провайдера, нулевой маршрут необходим, чтобы диспетчер HCX маршрутизировался обратно к клиенту с помощью правила DNAT. It forces the NAT traffic through NSX-T Tier-0 router.

Добавление статического пустого маршрута к маршрутизатору уровня 1

Статический нулевой маршрут используется для разрешения маршрутизации частного IP-адреса HCX через NSX уровня 1 к общедоступным конечным точкам. Этот статический маршрут может использовать маршрутизатор уровня 1 по умолчанию, созданный в вашем частном облаке, или вы можете создать новый маршрутизатор уровня 1.

1. Войдите в диспетчер NSX-T и выберите "Сеть".

2. В разделе "Подключение" выберите шлюзы уровня 1.

3. Измените существующий шлюз уровня 1.

4. Expand STATIC ROUTES.

5. Выберите номер рядом со статическими маршрутами.

6. Выберите ADD STATIC ROUTE(ДОБАВИТЬ СТАТИЧЕСКИЙ МАРШРУТ).
   Отображается всплывающее окно.

7. В разделе "Имя" введите имя маршрута.

8. В разделе «Сеть» введите не пересекающийся IP-адрес /32 в рамках этого раздела.

   Примечание.

   Этот адрес не должен перекрываться с другими IP-адресами в сети частного облака и клиентской сети.

   

9. Under Next hops, select Set.

10. Выберите NULL в качестве IP-адреса.
    Оставьте значения по умолчанию для расстояния администратора и области.

11. Выберите "ДОБАВИТЬ", а затем нажмите кнопку APPLY.

12. Нажмите кнопку "СОХРАНИТЬ", а затем нажмите кнопку "ЗАКРЫТЬ".

13. Нажмите кнопку "ЗАКРЫТЬ РЕДАКТИРОВАНИЕ".

Добавление правила NAT в шлюз Уровня 1

1. Войдите в диспетчер NSX-T и выберите "Сеть".

2. Выберите NAT.

3. Выберите шлюз уровня 1. Используйте тот же маршрутизатор уровня 1 для создания правила NAT, как вы использовали для создания null route на предыдущих шагах.

4. Выберите ДОБАВИТЬ ПРАВИЛО NAT.

5. Добавьте одно правило SNAT и одно правило DNAT для диспетчера HCX.

   1. The DNAT Rule Destination is the Public IP for HCX Manager. Преобразованный IP-адрес — это IP-адрес диспетчера HCX в облаке.
   2. Назначение правила SNAT — это IP-адрес диспетчера HCX в облаке. Преобразованный IP-адрес — это неперекрывающийся IP-адрес /32 из статического маршрута.
   3. Убедитесь, что параметр брандмауэра в правиле DNAT соответствует внешнему адресу.

6. Создайте правила брандмауэра шлюза уровня 1, чтобы разрешить только ожидаемый трафик на общедоступный IP-адрес диспетчера HCX и удалить все остальное.

   1. Create a Gateway Firewall rule on the T1 that allows your on-premises as the Source IP and the Azure VMware Solution reserved Public as the Destination IP. Это правило должно быть самым высоким приоритетом.
   2. Создайте правило брандмауэра шлюза на уровне 1, которое запрещает весь другой трафик, в котором исходный IP-адрес является любым и конечным IP-адресом является Решение Azure VMware зарезервированный общедоступный IP-адрес.

Дополнительные сведения см. в разделе "Порты HCX"

Соедините сайты, используя общедоступный IP-адрес HCX Cloud Manager

Перед созданием сервисной сетки между исходными и целевыми сайтами требуется связывание сайтов.

1. Войдите на сайт Source HCX Manager.
2. Выберите Связывание сайтов и выберите ДОБАВИТЬ СВЯЗЫВАНИЕ САЙТОВ.
3. Введите общедоступный URL-адрес Cloud HCX Manager в качестве удаленного сайта и учетные данные для входа, а затем нажмите Подключить.

After pairing is done, it will appear under site pairing.

Создание сегмента общедоступного IP-адреса в NSX-T

Перед тем как создать сегмент общедоступного IP-адреса, получите учетные данные для диспетчера NSX-T с портала решения Azure VMware.

1. В разделе "Сеть" выберите "Подключение", "Сегменты" и выберите "ДОБАВИТЬ СЕГМЕНТ".
2. Укажите имя сегмента, выберите маршрутизатор уровня 1 в качестве подключенного шлюза и укажите зарезервированный общедоступный IP-адрес в подсетях.
3. Выберите Сохранить.  

Создание сетевого профиля для HCX на целевом сайте

1. Войдите в диспетчер назначения HCX (диспетчер облака в данном случае).
2. Выберите "Межсоединение " и перейдите на вкладку "Профили сети".
3. Выберите "Создать сетевой профиль".
4. Выберите NSX Networks в качестве типа сети в разделе "Сеть".
5. Выберите созданный на NSX-T сегмент Public-IP.
6. Введите Имя.
7. В пулах IP-адресов введите диапазоны IP-адресов для исходящей связи HCX, длины префикса и шлюза общедоступного IP-сегмента.
8. Прокрутите вниз и установите флажок HCX Uplink в разделе “Тип трафика HCX”; этот профиль используется для аплинка HCX.
9. Выберите "Создать", чтобы создать сетевой профиль.

Создание сетки служб

Сетка служб развертывает оптимизатор глобальной сети HCX, расширение сети HCX и устройства HCX-IX.

1. Войдите на исходный сайт HCX Manager.
2. Выберите "Межсоединение", а затем перейдите на вкладку "Сетка службы".
3. Выберите CREATE SERVICE MESH.
4. Выберите целевой сайт для создания сетки служб и нажмите кнопку "Продолжить".
5. Выберите профили вычислений для обоих сайтов и нажмите кнопку "Продолжить".
6. Выберите службы HCX для активации и нажмите кнопку "Продолжить".

   Примечание.

   Для служб уровня "Премиум" требуется дополнительная лицензия HCX Enterprise.

7. Выберите сетевой профиль исходного сайта.
8. Выберите сетевой профиль назначения, созданного в разделе "Профиль сети".
9. Выберите Продолжить.
10. Просмотрите сведения о зоне транспорта и нажмите кнопку "Продолжить".
11. Просмотрите топологическое представление и нажмите кнопку "Продолжить".
12. Введите имя сетки службы и нажмите кнопку FINISH.
13. Добавьте общедоступные IP-адреса в брандмауэр, чтобы разрешить только необходимые порты.

Расширение сети

Служба расширения сети HCX обеспечивает подключение уровня 2 между сайтами. Служба расширений также позволяет сохранять одинаковые IP-адреса и MAC-адреса во время миграции виртуальных машин.

1. Sign in to source HCX Manager.
2. В разделе "Расширение сети" выберите сайт, для которого требуется расширить сеть, а затем выберите EXTENSION NETWORKS.
3. Выберите сеть, которую вы хотите расширить на целевой сайт, и нажмите кнопку "Далее".
4. Введите сведения о подсети сети, которую вы расширяете.
5. Выберите целевой маршрут первого прыжка (уровень 1) и нажмите кнопку "Отправить".
6. Sign in to the destination NSX, you see that Network 10.14.27.1/24 is now extended.

После расширения сети на целевой сайт виртуальные машины можно перенести через расширение уровня 2.

Следующие шаги

Включение общедоступного IP-адреса для NSX Edge для решения Azure VMware

For detailed information on HCX network underlay minimum requirements, see Network Underlay Minimum Requirements.