Funktionsweise von Azure VMware Solution
- 7 Minuten
Da Sie nun wissen, was Azure VMware Solution ist und was der Dienst kann, werden Sie als Nächstes erfahren, wie er in Azure funktioniert.
Gemeinsamer Support
Lokale VMware vSphere-Umgebungen erfordern, dass der Kunde alle Hardware und Software für die Ausführung der Plattform unterstützt. Azure VMware Solution funktioniert nicht. Diese Plattform wird von Microsoft für den Kunden verwaltet. Sehen wir uns an, was der Kunde verwaltet und was Microsoft verwaltet.
Für die folgende Tabelle: Durch Microsoft verwaltet = Blau, durch Kundschaft verwaltet = Grau
In Partnerschaft mit VMware deckt Microsoft die Lebenszyklusverwaltung von VMware-Software (ESXi, vCenter Server und vSAN) ab. Microsoft arbeitet auch mit VMware zusammen, um die Lebenszyklus-Verwaltung von NSX-Appliances und die Initialisierung der Netzwerkkonfiguration zu verwalten. Dazu gehören das Erstellen des Gateways der Ebene 0 und das Aktivieren des Nord-/Süd-Routings.
Der Kunde ist für die Konfiguration des NSX SDN verantwortlich.
- Netzwerksegmente
- Verteilte Firewallregeln
- Gateways der Ebene 1
- Lastenausgleiche
Überwachung und Wartung
Azure VMware Solution überwacht kontinuierlich die Integrität der zugrunde liegenden Komponenten und der VMware-Lösungskomponenten. Wenn die Azure VMware-Lösung Fehler erkennt, repariert sie die fehlerhaften Komponenten. Wenn von Azure VMware Solution eine Leistungsminderung oder ein Fehler auf dem Azure VMware Solution-Knoten erkannt wird, wird der Wartungsprozess für den Host ausgelöst.
Die Wartung für den Host umfasst das Ersetzen des fehlerhaften Knotens durch einen neuen fehlerfreien Knoten im Cluster. Anschließend wird der fehlerhafte Host nach Möglichkeit in den VMware vSphere-Wartungsmodus versetzt. VMware vMotion verschiebt die virtuellen Computer vom fehlerhaften Host auf andere verfügbare Server im Cluster. Hierbei ist es unter Umständen möglich, eine Livemigration von Workloads ohne Downtime durchzuführen. Wenn der fehlerhafte Host nicht in den Wartungsmodus versetzt werden kann, wird er aus dem Cluster entfernt.
In Azure VMware Solution werden die folgenden Bedingungen auf dem Host überwacht:
- Prozessorstatus
- Speicherstatus
- Verbindung und Energiestatus
- Zustand des Hardwarelüfters
- Verlust der Netzwerkkonnektivität
- Zustand der Hardware-Hauptplatine
- Auf den Datenträgern eines vSAN-Hosts aufgetretene Fehler
- Hardwarespannung
- Hardware-Temperaturstatus
- Hardware-Energiestsatus
- Speicherstatus
- Verbindungsfehler
Private Clouds, Cluster und Hosts in Azure
Azure VMware Solution stellt private VCF-Clouds auf dedizierter Azure-Hardware bereit.
Jede private Cloud kann mehrere Cluster haben, die vom selben vCenter Server und NSX Manager verwaltet werden. Private Clouds werden innerhalb eines Azure-Abonnements installiert und verwaltet. Die Anzahl der privaten Clouds innerhalb eines Abonnements ist skalierbar.
Für jede erstellte private Cloud gibt es standardmäßig einen vSphere-Cluster. Sie können Cluster über das Azure-Portal oder die API hinzufügen, löschen und skalieren. Microsoft bietet Knotenkonfigurationen auf Basis der Kern-, Arbeitsspeicher- und Speicheranforderungen. Wählen Sie den Knotentyp aus, der für Ihre Region geeignet ist. die häufigste Wahl ist AV36P.
Minimale und maximale Knotenkonfigurationen sind:
- Mindestens drei Knoten in einem Cluster
- Mindestens 16 Knoten in einem Cluster
- Maximal 12 Cluster in einer privaten Azure VMware Solution-Cloud
- Maximal 96 Knoten in einer privaten Azure VMware-Cloud-Lösung
Die folgende Tabelle zeigt die CPU-, Arbeitsspeicher-, Datenträger- und Netzwerkspezifikationen der verfügbaren AVS-Hosts:
| Hosttyp | Prozessor | Arbeitsspeicher | vSAN-Cacheebene | vSAN-Kapazität |
|---|---|---|---|---|
| AV36P | Dual Intel Xeon Gold 6240 CPUs, 18 Kerne/CPU @ 2.6 GHz / 3.9 GHz Turbo. Insgesamt 36 physische Kerne. | 768 GB | 1,5 TB (Intel Cache) | 19,20 TB (NVMe) |
| AV48 | Dual Intel Xeon Gold 6442Y CPUs, 24 Kerne/CPU @ 2,6 GHz / 4,0 GHz Turbo. Insgesamt 48 physische Kerne. | 1.024 GB | N/A | 25,6 TB (NVMe) |
| AV52 | Dual Intel Xeon Platinum 8270 Prozessoren, 26 Kerne pro Prozessor bei 2,7 GHz / 4,0 GHz Turbo. Insgesamt 52 physische Kerne. | 1.536 GB | 1,5 TB (Intel Cache) | 38,40 TB (NVMe) |
| AV64* | Dual Intel Xeon Platinum 8370C CPUs, 32 Kerne/CPU @ 2,8 GHz / 3,5 GHz Turbo. Insgesamt 64 physische Kerne. | 1.024 GB | 3,84 TB (NVMe) | 15,36 TB (NVMe) |
In AVS Gen 1 ist vor dem Hinzufügen von AV64-Hosts die Bereitstellung einer privaten Azure VMware Solution-Cloud mit AV36P, AV48 oder AV52 erforderlich. In AVS Gen 2 kann AV64 allein bereitgestellt werden.
Sie verwenden vSphere und NSX Manager, um die meisten Aspekte der Konfiguration oder des Betriebs von Clustern zu verwalten. Der gesamte lokale Speicher für die einzelnen Hosts in einem Cluster befindet sich unter der Kontrolle von vSAN. Jeder ESXi-Host in der Lösung ist mit vier Netzwerkadaptern mit 25 GBit/s konfiguriert. Dabei werden zwei Netzwerkadapter für den ESXi-Systemdatenverkehr und zwei Netzwerkadapter für den Workloaddatenverkehr bereitgestellt.
Die VMware-Softwareversionen, die in neuen Bereitstellungen privater Cloudcluster in Azure VMware Solution verwendet werden, sind:
| Software | Version |
|---|---|
| VMware vCenter Server | 7.0 U3o |
| ESXi | 7.0 U3o |
| vSAN | 7.0 U3 |
| vSAN-On-Disk-Format | 15 |
| HCX | 4.8.2 |
| VMware NSX | 4.1.1 |
NSX-T ist die einzige unterstützte Version von NSX. Wenn neue Cluster einer vorhandenen privaten Cloud hinzugefügt werden, wird die aktuell ausgeführte Softwareversion übernommen.
Interkonnektivität in Azure
Auf die private Cloudumgebung für Azure VMware-Lösung kann über lokale und Azure-basierte Ressourcen zugegriffen werden. Die folgenden Dienste stellen Interkonnektivität bereit:
- Azure ExpressRoute
- VPN-Verbindungen
- Azure Virtual WAN
- Azure ExpressRoute-Gateway
Die folgende Abbildung zeigt die Interkonnektivitätsmethoden „ExpressRoute“ und „ExpressRoute Global Reach“ für Azure VMware Solution.
Für diese Dienste müssen Sie bestimmte Netzwerkadressbereiche und Firewallports aktivieren.
Sie können ein vorhandenes ExpressRoute-Gateway verwenden, um eine Verbindung mit Azure VMware-Lösung herzustellen, wenn es nicht den Grenzwert von vier ExpressRoute-Schaltkreisen pro virtuellem Netzwerk überschreitet. Um von lokalen Systemen auf die Azure VMware-Lösung über ExpressRoute zuzugreifen, verwenden Sie bevorzugt ExpressRoute Global Reach. Wenn sie aufgrund bestimmter Netzwerk- oder Sicherheitsanforderungen nicht verfügbar oder ungeeignet ist, sollten Sie alternative Optionen in Betracht ziehen.
ExpressRoute Global Reach wird verwendet, um private Clouds mit lokalen Umgebungen zu verbinden. Die Verbindung erfordert ein virtuelles Netzwerk mit einer ExpressRoute-Leitung zur lokalen Umgebung in Ihrem Abonnement. Es gibt zwei Optionen für die Interkonnektivität in der privaten Cloud für Azure VMware Solution:
Die allgemeine, reine Azure-Interkonnektivität ermöglicht Ihnen die Verwaltung und Nutzung Ihrer privaten Cloud mit nur einem einzelnen virtuellen Netzwerk in Azure. Diese Implementierung eignet sich am besten für Azure VMware Solution-Evaluierungen oder -Implementierungen, die keinen Zugriff von lokalen Umgebungen erfordern.
Eine vollständige Interkonnektivität zwischen dem lokalen Rechenzentrum und der privaten Cloud erweitert die allgemeine, reine Azure-Implementierung um die Interkonnektivität zwischen lokalen Umgebungen und privaten Azure VMware Solution-Clouds.
Während der Bereitstellung einer privaten Cloud werden private Netzwerke für Verwaltung, Bereitstellung und vMotion erstellt. Diese privaten Netzwerke werden für den Zugriff auf vCenter Server und NSX-T Manager sowie vMotion für VMs oder die Bereitstellung von VMs verwendet.
Privater Cloudspeicher
Azure VMware Solution verwendet nativen, vollständig konfigurierten, all-flash VMware vSAN-Speicher, der lokal im Cluster ist. Der gesamte lokale Speicher von jedem Host in einem Cluster wird in einem VMware vSAN-Datenspeicher verwendet, und die Verschlüsselung ruhender Daten ist standardmäßig aktiviert.
Die ursprüngliche Speicherarchitektur von vSAN verwendet eine Ressourceneinheit, die als Datenträgergruppe bezeichnet wird. Jede Datenträgergruppe besteht aus einer Cache- und Kapazitätsebene. Alle Datenträgergruppen verwenden einen NVMe- oder Intel-Cache, wie in der folgenden Tabelle beschrieben. Die Größe der Cache- und Kapazitätsebenen variiert je nach Azure VMware Solution-Hosttyp. Auf jedem Knoten des vSphere-Clusters werden zwei Datenträgergruppen erstellt. Jede Datenträgergruppe enthält einen Cachedatenträger und drei Kapazitätsdatenträger. Alle Datenspeicher werden im Rahmen einer privaten Cloudbereitstellung erstellt und können sofort verwendet werden.
| Hosttyp | vSAN-Cacheebene (TB, unformatiert) | vSAN Kapazitätsebene (TB, roh) |
|---|---|---|
| AV36P | 1,5 (Intel Cache) | 19.20 (NVMe) |
| AV48 | N/A | 25.60 (NVMe) |
| AV52 | 1,5 (Intel Cache) | 38.40 (NVMe) |
| AV64 | 3,84 (NVMe) | 15,36 (NVMe) |
Eine Richtlinie wird im vSphere-Cluster erstellt und auf den vSAN-Datenspeicher angewendet. Es bestimmt, wie die VM-Speicherobjekte bereitgestellt und innerhalb des vSAN-Datenspeichers zugewiesen werden, um die erforderliche Dienstebene zu gewährleisten. Zur Einhaltung der Vereinbarung zum Servicelevel muss im vSAN-Datenspeicher eine freie Kapazität von 25 Prozent beibehalten werden. Darüber hinaus muss die anwendbare FTT-Richtlinie (Fehlertoleranz) angewendet werden, um die Service-Level-Vereinbarung für Azure VMware Solution aufrechtzuerhalten. Dies ändert sich basierend auf der Clustergröße.
Sie können Azure-Speicherdienste in Workloads verwenden, die in Ihrer privaten Cloud ausgeführt werden. Das folgende Diagramm zeigt einige der verfügbaren Speicherdienste, die Sie mit Azure VMware Solution verwenden können.
Sicherheit und Compliance
Für den Zugriff und die Sicherheit wird von privaten Azure VMware Solution-Clouds die rollenbasierte Zugriffssteuerung von vSphere verwendet. Sie können Benutzer und Gruppen in Active Directory mit der CloudAdmin-Rolle mithilfe von LDAP oder LDAPS konfigurieren.
In Der Azure VMware-Lösung verfügt vCenter Server über einen integrierten lokalen Benutzer namens "cloudadmin ", der der Rolle "cloudAdmin " zugewiesen ist. Die Rolle "cloudAdmin" verfügt über vCenter Server-Berechtigungen, die sich von den Administratorberechtigungen in anderen VMware-Cloudlösungen unterscheiden:
Der lokale CloudAdmin-Benutzer verfügt nicht über die Berechtigung zum Hinzufügen einer Identitätsquelle, z. B. eines lokalen LDAP-Servers (Lightweight Directory Access Protocol) oder eines LDAP-Servers (Secure LDAPS) zu vCenter Server. Mithilfe von Befehlen "Ausführen" können Sie eine Identitätsquelle hinzufügen und benutzern und Gruppen die Rolle "CloudAdmin" zuweisen.
In einer Azure VMware-Lösungsbereitstellung hat der Administrator keinen Zugriff auf das Administratorbenutzerkonto. Der Administrator kann Active Directory-Benutzer und -Gruppen der CloudAdmin-Rolle auf vCenter Server zuweisen.
Der Private Cloud-Benutzer hat keinen Zugriff auf bestimmte Verwaltungskomponenten, die Microsoft unterstützt und verwaltet. Beispiele für diese Komponenten sind Cluster, Hosts, Datenspeicher und verteilte virtuelle Switches.
Azure VMware Solution bietet Sicherheit für vSAN-Speicherdatenspeicher mithilfe der standardmäßig aktivierten Verschlüsselung ruhender Daten. Die Verschlüsselung basiert auf dem Schlüsselverwaltungsdienst (Key Management Service, KMS) und unterstützt vCenter Server-Vorgänge für die Schlüsselverwaltung. Schlüssel werden verschlüsselt gespeichert und von einem Azure Key Vault-Hauptschlüssel umschlossen. Wenn ein Host aus einem Cluster entfernt wird, werden die Daten auf SSDs sofort ungültig. Die folgende Abbildung veranschaulicht die Beziehung der Verschlüsselungsschlüssel zu Azure VMware Solution.
Schritte für das Bereitstellen von Azure VMware Solution
In der folgenden Tabelle werden die Schritte beschrieben, die eine Organisation für die Einführung von Azure VMware Solution unternehmen muss.
| Meilenstein | Schritte |
|---|---|
| Plan | Planen der Bereitstellung von Azure VMware Solution: - Bewerten von Workloads - Bestimmen der Dimensionierung – Identifizieren des Hosts - Anfragelimit – Ermitteln von Netzwerk und Konnektivität |
| Bereitstellen | Bereitstellen und Konfigurieren von Azure VMware Solution: – Registrieren des Ressourcenanbieters „Microsoft.AVS“ – Erstellen einer privaten Cloud für Azure VMware Solution – Herstellen einer Verbindung mit Azure Virtual Network über ExpressRoute – Prüfen der Verbindung |
| Herstellen einer Verbindung mit der lokalen Umgebung | Erstellen Sie einen ExpressRoute-Autorisierungsschlüssel im lokalen ExpressRoute-Schaltkreis: – Peering der privaten Cloud mit der lokalen Umgebung – Überprüfen der lokalen Netzwerkkonnektivität Weitere Konnektivitätsoptionen sind ebenfalls verfügbar. |
| Bereitstellen und Konfigurieren von VMware HCX | Bereitstellen und Konfigurieren von VMware HCX: – Aktivieren des HCX-Dienst-Add-Ons – Herunterladen der OVA-Datei für den VMware HCX-Connector – Bereitstellen der lokalen OVA-Datei für VMware HCX (VMware HCX-Connector). – Aktivieren des VMware HCX-Connectors – Koppeln Ihres lokalen VMware HCX-Connectors mit Ihrem HCX-Cloudmanager für Azure VMware Solution – Konfigurieren der Verbindungen (Netzwerkprofil, Computeprofil und Dienstmesh) – Abschließen des Setups, indem Sie den Gerätestatus überprüfen und prüfen, ob eine Migration möglich ist |