Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen las consideraciones de diseño clave para las nubes privadas de Azure VMware Solution Generation 2 (Gen 2). Explica las funcionalidades que esta generación aporta a entornos de nube privada basados en VMware, lo que permite el acceso a las aplicaciones desde la infraestructura local y los recursos basados en Azure. Hay varias consideraciones que debe revisar antes de configurar la nube privada de Azure VMware Solution Gen 2. En este artículo se proporcionan soluciones para casos de uso que puede encontrar al usar el tipo de nube privada.
Nota:
La generación 2 está disponible en regiones públicas específicas de Azure. Póngase en contacto con el equipo de la cuenta microsoft o el soporte técnico de Microsoft para confirmar la cobertura.
Limitaciones
La funcionalidad siguiente está limitada durante este tiempo. Estas limitaciones se levantarán en el futuro:
No puede eliminar el Grupo de recursos, que contiene la nube privada. Primero debe eliminar la nube privada antes de eliminar el grupo de recursos.
Solo puede implementar 1 nube privada por instancia de Azure Virtual Network.
Solo puede crear 1 nube privada por grupo de recursos. No se admiten varias nubes privadas en un único grupo de recursos.
La nube privada y la red virtual de la nube privada deben estar en el mismo grupo de recursos.
No puede mover su nube privada de un grupo de recursos a otro una vez creada.
No puede mover la nube privada de un inquilino a otro después de crear la nube privada.
No se admite la conectividad directa de puntos de conexión de servicio de red virtual desde cargas de trabajo de Azure VMware Solution.
No se admiten puntos de conexión privados cuando se emparejan globalmente entre regiones conectadas a Azure VMware Solution.
Se admite el Director de vCloud a través de puntos de conexión privados. Sin embargo, vCloud Director con puntos de conexión públicos no está soportado.
No se admiten clústeres extendidos de vSAN.
No se admitirá la Dirección IP pública hasta VMware NSX Microsoft Edge para configurar Internet. Puede encontrar qué opciones de Internet se admiten en las Opciones de conectividad a Internet.
Durante el mantenimiento no planeado, como un error de hardware de host, en cualquiera de los cuatro primeros hosts del SDDC, puede experimentar una interrupción temporal de la conectividad de red North-South para algunas cargas de trabajo, que dura hasta 30 segundos. Conectividad Norte-Sur hace referencia al tráfico entre las cargas de trabajo de VMware de AVS y los puntos de conexión externos más allá del Edge de nivel 0 (T0) de NSX-T, como los servicios de Azure o los entornos locales.
Los grupos de seguridad de red asociados a la red virtual de host de nube privada deben crearse en el mismo grupo de recursos que la nube privada y su red virtual.
Las referencias entre grupos de recursos y suscripciones cruzadas de redes virtuales de clientes a la red virtual de Azure VMware Solution no se admiten de forma predeterminada. Esto incluye tipos de recursos como: rutas definidas por el usuario (UDR), planes de DDoS Protection y otros recursos de red vinculados. Si una red virtual del cliente está asociada a una de estas referencias que reside en un grupo de recursos o una suscripción diferentes a la red virtual de Azure VMware Solution, es posible que se produzca un error en la programación de red (como la propagación del segmento NSX). Para evitar problemas, los clientes deben asegurarse de que la red virtual de Azure VMware Solution no esté vinculada a recursos de otro grupo de recursos o suscripción y desasociar dichos recursos (por ejemplo, planes de protección contra DDoS) de la red virtual antes de continuar.
- Para mantener la referencia de grupo de recursos cruzada, cree una asignación de roles desde su grupo de recursos cruzados o suscripción y asigne a "AzS VIS Prod App" el "AVS en Fleet VIS Role". La asignación de roles permite usar la referencia y hacer que la referencia se aplique de forma correcta a la nube privada de Azure VMware Solution.
Las implementaciones de nube privada gen 2 pueden producir errores si las directivas de Azure que aplican reglas estrictas para grupos de seguridad de red o tablas de rutas (por ejemplo, convenciones de nomenclatura específicas). Estas restricciones de directiva pueden bloquear el grupo de seguridad de red de Azure VMware Solution necesario y la creación de tablas de rutas durante la implementación. Debe quitar estas directivas de la red virtual de Azure VMware Solution antes de implementar la nube privada. Una vez implementada la nube privada, estas directivas se pueden volver a agregar a la nube privada de Azure VMware Solution.
Si usa DNS privado para la nube privada de Azure VMware Solution Gen 2, no se admite el uso de DNS personalizado en la red virtual donde se implementa una nube privada de Azure VMware Solution Gen 2. DNS personalizado interrumpe las operaciones de ciclo de vida, como el escalado, las actualizaciones y la aplicación de revisiones.
Si va a eliminar su nube privada de la solución Azure VMware y algunos recursos de Azure VMware Solution creados no son eliminados, puede volver a intentar la eliminación de la nube privada de la solución Azure VMware mediante la CLI de Azure.
Azure VMware Solution Gen2 usa un proxy HTTP para distinguir entre el tráfico de red de administración y el cliente. Es posible que determinados puntos de conexión de servicio en la nube de VMware no sigan la misma ruta de acceso de red o reglas de proxy que el tráfico administrado por vCenter general. Algunos ejemplos son: "scapi.vmware" y "apigw.vmware". El proxy VAMI rige el acceso general a Internet saliente del vCenter Server Appliance (VCSA), pero no todas las interacciones con los puntos finales de servicio fluyen a través de este proxy. Algunas interacciones se originan directamente desde el explorador del usuario o desde los componentes de integración, que en su lugar siguen la configuración de proxy de la estación de trabajo o inician conexiones de forma independiente. Como resultado, el tráfico a los puntos de conexión de servicio en la nube de VMware puede omitir completamente el proxy de VCSA.
Las migraciones de HCX RAV y Bulk en Gen 2 pueden experimentar un rendimiento significativamente más lento debido a las interrupciones durante las fases de Sincronización Base y Sincronización en Línea. Los clientes deben planear ventanas de migración más largas y programar oleadas en consecuencia por ahora. Para cargas de trabajo adecuadas, vMotion ofrece una opción rápida y de baja sobrecarga cuando las condiciones del host y de la red lo permiten.
Integraciones no admitidas
Las siguientes integraciones de la primera parte y de terceros no están disponibles:
- Zerto DR
Subredes delegadas y grupos de seguridad de red para Gen 2
Cuando se implementa una nube privada de Azure VMware Solution (AVS) Gen 2, Azure crea automáticamente varias subredes delegadas dentro de la red virtual host de la nube privada. Estas subredes se usan para aislar y proteger los componentes de administración de la nube privada.
Los clientes pueden administrar el acceso a estas subredes mediante grupos de seguridad de red (NSG) que están visibles en Azure Portal o a través de la CLI de Azure o PowerShell. Además de los NSG administrables por el cliente, AVS aplica NSG administrados por el sistema adicionales a interfaces de administración críticas. Estos NSG administrados por el sistema no son visibles ni editables por los clientes y existen para asegurarse de que la nube privada permanece segura de forma predeterminada.
Como parte de la posición de seguridad predeterminada:
- El acceso a Internet está deshabilitado para la nube privada a menos que el cliente lo habilite explícitamente.
- Solo se permite el tráfico de administración necesario para acceder a los servicios de la plataforma.
Nota:
Es posible que vea una advertencia en Azure Portal que indica que determinados puertos parecen exponerse a Internet. Esto ocurre porque el portal solo evalúa la configuración del grupo de seguridad de red (NSG) visible para el cliente. Sin embargo, Azure VMware Solution también aplica grupos de seguridad de red administrados por el sistema adicionales que no están visibles en el portal. Estos grupos de seguridad de red administrados por el sistema bloquean el tráfico entrante a menos que el acceso se haya habilitado explícitamente a través de la configuración de Azure VMware Solution.
Este diseño garantiza que el entorno de AVS esté aislado y seguro de forma predeterminada, a la vez que permite a los clientes controlar y personalizar el acceso a la red en función de sus requisitos específicos.
Consideraciones sobre el enrutamiento y las subredes
Las nubes privadas de Azure VMware Solution Gen 2 proporcionan un entorno de nube privada de VMware accesible a los usuarios y aplicaciones desde entornos o recursos locales y basados en Azure. La conectividad se entrega a través de redes estándar de Azure. Para habilitar estos servicios se necesitan rangos de direcciones de red y puertos de firewall específicos. Esta sección le ayuda a configurar las redes para que funcionen con Azure VMware Solution.
La nube privada se conecta a la red virtual de Azure mediante redes estándar de Azure. Las nubes privadas de Azure VMware Solution Gen 2 requieren un bloque de direcciones de red CIDR /22 como mínimo para las subredes. Esta red complementa sus redes locales, por lo que el bloque de direcciones no debería solaparse con los bloques de direcciones utilizados en otras redes virtuales de sus redes de suscripción y locales. Las redes de administración, vMotion y Replicación se aprovisionan automáticamente dentro de este bloque de direcciones como subredes dentro de la red virtual.
Nota:
Los rangos permitidos para el bloque de direcciones son los espacios de direcciones privados RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), excepto 172.17.0.0/16. La red de replicación no es aplicable a los nodos AV64 y está planeada para el desuso general en una fecha futura.
Evite usar el siguiente esquema IP reservado para el uso de VMware NSX:
- 169.254.0.0/24: se usa para la red de tránsito interna
- 169.254.2.0/23: se usa para la red de tránsito entre VRF
- 100.64.0.0/16: se usa para conectar puertas de enlace T1 y T0 internamente
- 100.73.x.x: usado por la red de administración de Microsoft
El bloque de direcciones de red CIDR de ejemplo /22 10.31.0.0/22 se divide en las siguientes subredes:
| Uso de red | Subred | Descripción | Ejemplo |
|---|---|---|---|
| Red NSX de VMware | /27 | Red de NSX Manager. | 10.31.0.0/27 |
| Red vCSA | /27 | Red de vCenter Server. | 10.31.0.32/27 |
| avs-mgmt | /27 | Los dispositivos de administración (vCenter Server y NSX Manager) están detrás de la subred "avs-mgmt", programados como rangos secundarios de IP en esta subred. | 10.31.0.64/27 |
| avs-vnet-sync | /27 | Usado por Azure VMware Solution Gen 2 para programar rutas creadas en VMware NSX en la red virtual. | 10.31.0.96/27 |
| avs-services | /27 | Se usa para los servicios de proveedor de Azure VMware Solution Gen 2. También se usa para configurar la resolución DNS privada para la nube privada. | 10.31.0.160/27 |
| avs-nsx-gw, avs-nsx-gw-1 | /28 | Subredes fuera de cada una de las puertas de enlace T0 por perímetro. Estas subredes se usan para programar segmentos de red de VMware NSX como direcciones IP secundarias. | 10.31.0.224/28, 10.31.0.240/28 |
| esx-mgmt-vmk1 | /24 | vmk1 es la interfaz de administración que usan los clientes para acceder al host. Las direcciones IP de la interfaz vmk1 proceden de estas subredes. Todo el tráfico de vmk1 para todos los hosts procede de este rango de subred. | 10.31.1.0/24 |
| esx-vmotion-vmk2 | /24 | Interfaces VMkernel de vMotion. | 10.31.2.0/24 |
| esx-vsan-vmk3 | /24 | Interfaces VMkernel de vSAN y comunicación entre nodos. | 10.31.3.0/24 |
| Red de VMware HCX | /22 | Red de VMware HCX | 10.31.4.0/22 |
| Reservado | /27 | Espacio reservado. | 10.31.0.128/27 |
| Reservado | /27 | Espacio reservado. | 10.31.0.192/27 |
Nota:
En el caso de las implementaciones de Azure VMware Solution Gen 2, los clientes ahora deben asignar una subred /22 adicional para la gestión y el uplink de HCX, además del /22 especificado durante la implementación del SDDC. Esta /22 adicional no es necesaria para Gen 1.
Pasos siguientes
Introducción a la configuración de la entidad de servicio de Azure VMware Solution como requisito previo. Para más información, consulte el inicio rápido Habilitación de la entidad de servicio de Azure VMware Solution.
Siga un tutorial para crear una nube privada de Azure VMware Gen 2