Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Решение Azure VMware предоставляет частную облачную среду VMware, доступную пользователям и приложениям из локальных сред или ресурсов Azure. Подключение осуществляется через сетевые службы, такие как Azure ExpressRoute и VPN-подключения. Для включения этих служб требуются определенные диапазоны сетевых адресов и порты брандмауэра. Эта статья поможет настроить сеть для работы с Решение Azure VMware.
В этом руководстве описано:
- рекомендации по использованию виртуальной сети и канала ExpressRoute;
- требования к маршрутизации и подсети;
- требуемые сетевые порты для взаимодействия со службами;
- Вопросы использования DHCP и DNS в Решении Azure VMware.
Требования
Убедитесь, что все шлюзы, включая службу поставщика ExpressRoute, поддерживают 4-байтовые номера автономной системы (ASN). Решение Azure VMware использует 4-байтовые общедоступные номера ASN для объявления маршрутов.
рекомендации по использованию виртуальной сети и канала ExpressRoute;
При создании сетевого подключения к виртуальной сети в подписке канал ExpressRoute устанавливается через пиринг и использует ключ авторизации и идентификатор пиринга, который можно запросить на портале Azure. Пиринг — это частное одноранговое подключение между частным облаком и виртуальной сетью.
Примечание.
Канал ExpressRoute не является частью развертывания частного облака. Локальная линия ExpressRoute находится вне рамок данного документа. Если требуется локальное подключение к вашему частному облаку, используйте один из существующих каналов ExpressRoute или приобретите его в портале Azure.
При развертывании частного облака вы получаете IP-адреса для vCenter Server и NSX Manager. Чтобы получить доступ к этим интерфейсам управления, создайте дополнительные ресурсы в виртуальной сети подписки. Ознакомьтесь с процедурами создания этих ресурсов и установления приватного пиринга ExpressRoute в руководствах.
Логическая сеть частного облака включает предварительно подготовленную конфигурацию NSX. Шлюз Tier-0 и шлюз Tier-1 уже предварительно настроены для вас. Вы можете создать сегмент и подключить его к существующему шлюзу уровня 1 или новому шлюзу уровня 1, который вы определили. Компоненты логической сети NSX обеспечивают Восток-Запад подключение между рабочими нагрузками и Север-Юг подключение к Интернету и службам Azure.
Внимание
Если вы планируете масштабировать узлы решения Azure VMware, используя хранилища данных Azure NetApp Files, крайне важно развернуть виртуальную сеть рядом с узлами, используя шлюз виртуальной сети ExpressRoute. Чем ближе хранилище к хостам, тем выше производительность.
Рекомендации по маршрутизации и подсетям
Решение Azure VMware подключает частное облако к виртуальной сети Azure с помощью подключения Azure ExpressRoute. Его высокая пропускная способность и низкая задержка позволяют обращаться из среды частного облака к службам, работающим в подписке Azure. Маршрутизация использует протокол BGP, автоматически подготавливается и включена по умолчанию для каждого развертывания частного облака.
Для частных облаков Azure VMware Solution требуется минимальный блок сетевых адресов CIDR для подсетей. Эта сеть дополняет локальные сети, поэтому блок адресов не должен перекрываться с адресными блоками, используемыми в других виртуальных сетях в подписке и локальных сетях. Сети менеджмента, vMotion и репликации настраиваются автоматически в этом адресном блоке.
Примечание.
Допустимые диапазоны для блока адресов — диапазоны частных адресов RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), кроме 172.17.0.0/16. Сеть репликации неприменима к узлам AV64 и будет прекращена в будущем.
Внимание
Избегайте использования следующих схем IP-адресов, зарезервированных для использования NSX:
- 169.254.0.0/24 — используется для внутренней транзитной сети
- 169.254.2.0/23 — используется для транзитной сети между VRF
- 100.64.0.0/16 — используется для внутреннего подключения шлюзов T1 и T0.
Пример блока из /22 сетевых адресов CIDR: 10.10.0.0/22.
Подсети.
| Использование сети | Описание | Подсеть | Пример |
|---|---|---|---|
| Управление частным облаком | Сеть управления (например, vCenter, NSX) | /26 |
10.10.0.0/26 |
| Управление миграциями HCX | Локальное подключение для устройств HCX (ссылки вниз) | /26 |
10.10.0.64/26 |
| Резервирование Global Reach | Исходящий интерфейс для ExpressRoute | /26 |
10.10.0.128/26 |
| Служба DNS NSX | Встроенная служба DNS NSX | /32 |
10.10.0.192/32 |
| Зарезервировано | Зарезервировано | /32 |
10.10.0.193/32 |
| Зарезервировано | Зарезервировано | /32 |
10.10.0.194/32 |
| Зарезервировано | Зарезервировано | /32 |
10.10.0.195/32 |
| Зарезервировано | Зарезервировано | /30 |
10.10.0.196/30 |
| Зарезервировано | Зарезервировано | /29 |
10.10.0.200/29 |
| Зарезервировано | Зарезервировано | /28 |
10.10.0.208/28 |
| Пиринг ExpressRoute | Пиринг ExpressRoute | /27 |
10.10.0.224/27 |
| Управление ESXi | Интерфейсы управления ESXi VMkernel | /25 |
10.10.1.0/25 |
| Сеть vMotion | Интерфейсы vMotion VMkernel | /25 |
10.10.1.128/25 |
| Сеть репликации | Интерфейсы репликации vSphere | /25 |
10.10.2.0/25 |
| vSAN | Интерфейсы vSAN VMkernel и обмен данными с узлами | /25 |
10.10.2.128/25 |
| Исходящая связь HCX | Каналы связи для устройств HCX IX и NE к удаленным одноранговым узлам | /26 |
10.10.3.0/26 |
| Зарезервировано | Зарезервировано | /26 |
10.10.3.64/26 |
| Зарезервировано | Зарезервировано | /26 |
10.10.3.128/26 |
| Зарезервировано | Зарезервировано | /26 |
10.10.3.192/26 |
Примечание.
Сети управления ESXi, vMotion/репликации технически способны поддерживать 125 хостов, однако максимально поддерживается 96, поскольку 29 зарезервировано для замены/обслуживания (19) и HCX (10).
Требуемые сетевые порты
| Источник | Назначение | Протокол | Порт | Описание |
|---|---|---|---|---|
| DNS-сервер частного облака | Локальный DNS-сервер | UDP | 53 | DNS-клиент — перенаправление запросов из частного облака vCenter Server для любых внутренних DNS-запросов (см. раздел DNS). |
| Локальный DNS-сервер | DNS-сервер частного облака | UDP | 53 | DNS-клиент — переадресация запросов из локальных служб на DNS-серверы частного облака (см . раздел DNS) |
| Локальная сеть | Сервер vCenter Server частного облака | TCP (HTTP) | 80 | vCenter Server нужен порт 80 для прямых HTTP-соединений. Порт 80 перенаправляет запросы на порт 443 (HTTPS). Это перенаправление полезно, если вы используете http://server вместо https://server. |
| Сеть управления частным облаком | Локальный каталог Active Directory | TCP | 389/636 | Включите решения Azure VMware vCenter Server для взаимодействия с локальными серверами службы Active Directory/LDAP. Необязательно для настройки локального AD в качестве источника удостоверений в виртуальном центре частного облака. В целях безопасности рекомендуется использовать порт 636. |
| Сеть управления частным облаком | Локальный глобальный каталог Active Directory | TCP | 3268/3269 | Включите Решение Azure VMware для сервера vCenter для взаимодействия с серверами глобального каталога локальной службы Active Directory/LDAP. Необязательно для настройки локального AD в качестве источника удостоверений на сервере vCenter Server частного облака. Используйте порт 3269 для безопасности. |
| Локальная сеть | Сервер vCenter Server частного облака | TCP (HTTPS) | 443 | Доступ к vCenter Server из локальной сети. Порт по умолчанию для vCenter Server для прослушивания подключений клиентов vSphere. Чтобы система vCenter Server получала данные от клиента vSphere, откройте в брандмауэре порт 443. Система vCenter Server также использует порт 443 для отслеживания передачи данных от клиентов SDK. |
| Локальная сеть | HCX Cloud Manager | TCP (HTTPS) | 9443 | Интерфейс управления виртуальными устройствами HCX Cloud Manager для конфигурации системы HCX. |
| Локальная сеть администрирования | HCX Cloud Manager | SSH | 22 | Доступ администратора SSH к виртуальному устройству HCX Cloud Manager. |
| HCX Manager | Interconnect (HCX-IX) | TCP (HTTPS) | 8123 | Управление пакетной миграцией HCX. |
| HCX Manager | Interconnect (HCX-IX), сетевое расширение (HCX-NE) | TCP (HTTPS) | 9443 | Отправьте инструкции по управлению в локальное подключение HCX с помощью REST API. |
| Interconnect (HCX-IX) | L2C | TCP (HTTPS) | 443 | Отправка инструкций по управлению из Interconnect в L2C, если L2C использует тот же путь, что и interconnect. |
| Менеджер HCX, Interconnect (HCX-IX) | Узлы ESXi | TCP | 80,443,902 | Управление и развертывание OVF. |
| Interconnect (HCX-IX), сетевое расширение (HCX-NE) в исходной точке | Межсоединение (HCX-IX), расширение сети (HCX-NE) в месте назначения | UDP | 4500 | Требуется для IPSEC Обмен ключами через Интернет (IKEv2) для инкапсуляции рабочих нагрузок для двунаправленного туннеля. Поддерживает преобразование сетевых адресов (NAT-T). |
| Локальный интерконнект (HCX-IX) | Cloud Interconnect (HCX-IX) | UDP | 4500 | Требуется для IPSEC Обмен ключами Интернета (ISAKMP) для двунаправленного туннеля. |
| Локальная сеть vCenter Server | Сеть управления частным облаком | TCP | 8 000 | vMotion виртуальных машин с локального сервера vCenter Server на сервер vCenter Server в частном облаке |
| Соединитель HCX | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 |
connect требуется для проверки ключа лицензии.hybridity требуется для обновлений. |
В этой таблице представлены общие правила брандмауэра для типичных сценариев. Однако при настройке правил брандмауэра может потребоваться рассмотреть дополнительные элементы. Обратите внимание, что когда в исходных и назначенных данных указывается "локальная среда", эта информация актуальна только в том случае, если в вашем центре обработки данных используется брандмауэр для проверки потоков. Если локальные компоненты не имеют брандмауэра для проверки, эти правила можно игнорировать.
Дополнительные сведения см. в полном списке требований к порту VMware HCX.
Рекомендации по разрешению DNS и DHCP
Приложениям и рабочим нагрузкам, которые выполняются в среде частного облака, требуется разрешение имен и служб DHCP для поиска и назначения IP-адресов. Для предоставления этих служб требуется надлежащая инфраструктура DHCP и DNS. Вы можете настроить виртуальную машину для предоставления этих служб в среде частного облака.
Используйте службу DHCP, встроенную в Центр обработки данных NSX-T, или используйте локальный DHCP-сервер в частном облаке вместо маршрутизации широковещательного DHCP-трафика через глобальную сеть обратно в локальную среду.
Внимание
Если вы объявляете маршрут по умолчанию в Azure VMware Решение, необходимо разрешить DNS-пересылке обращаться к настроенным DNS-серверам, и они должны поддерживать резолвинг публичных имен.
Следующие шаги
В этом учебнике описаны рекомендации и требования, связанные с развертыванием частного облака Решения Azure VMware. Настроив сеть соответствующим образом, переходите к следующему руководству, где показано, как создать частное облако Решения Azure VMware.