Fonctionnement d’Azure VMware Solution
- 7 minutes
Maintenant que vous connaissez Azure VMware Solution et ce qu’elle peut faire, voyons comment elle fonctionne sur Azure.
Prise en charge partagée
Les environnements VMware vSphere locaux exigent que le client prend en charge tous les logiciels et matériels pour l’exécution de la plateforme. Azure VMware Solution ne le fait pas. Microsoft maintient la plateforme pour le client. Examinons ce que le client gère et ce que Microsoft gère.
Dans le cas du tableau suivant : géré par Microsoft = Bleu, géré par le client = Gris
En partenariat avec VMware, Microsoft couvre la gestion du cycle de vie des logiciels VMware (ESXi, vCenter Server et vSAN). Microsoft travaille également avec VMware pour la gestion du cycle de vie des appliances NSX et l’amorçage de la configuration réseau. Y compris, la création de la passerelle de niveau 0 et l’activation du routage nord/sud.
Le client est responsable de la configuration NSX SDN :
- Segments réseau
- Règles de pare-feu distribuées
- Passerelles de niveau 1
- Équilibreurs de charge
Monitoring et correction
Azure VMware Solution surveille en permanence l’intégrité des composants sous-jacents et des composants de la solution VMware. Si Azure VMware Solution détecte une défaillance, il répare les composants ayant échoué. Quand Azure VMware Solution détecte une dégradation ou une défaillance sur un nœud Azure VMware Solution, il déclenche le processus de correction des hôtes.
La correction des hôtes implique le remplacement du nœud défaillant par un nouveau nœud sain dans le cluster. Ensuite, lorsque cela est possible, l’hôte défaillant est placé en mode de maintenance VMware vSphere. VMware vMotion déplace les machines virtuelles de l’hôte défaillant vers d’autres serveurs disponibles dans le cluster, ce qui peut éventuellement aboutir à une migration dynamique des charges de travail sans temps d’arrêt. Si l’hôte défaillant ne peut pas être placé en mode de maintenance, l’hôte est supprimé du cluster.
Azure VMware Solution supervise les conditions suivantes sur l’hôte :
- État des processeurs
- État de la mémoire
- État des connexions et de l’alimentation
- État du ventilateur matériel
- Perte de connectivité réseau
- État de la carte système matérielle
- Des erreurs se sont produites sur les disques d’un hôte vSAN
- Tension du matériel
- État de la température du matériel
- État de l’alimentation du matériel
- État du stockage
- Échec de connexion
Clouds privés, clusters et hôtes dans Azure
Azure VMware Solution fournit des clouds privés VCF sur du matériel dédié Azure.
Chaque cloud privé peut avoir plusieurs clusters gérés par le même serveur vCenter Server et NSX Manager. Les Clouds privés sont installés et gérés à partir d’un abonnement Azure. Le nombre de clouds privés au sein d’un abonnement est évolutif.
Pour chaque cloud privé créé, il existe un cluster vSphere par défaut. Vous pouvez ajouter, supprimer et mettre à l’échelle des clusters à l’aide du Portail Azure ou via l’API. Microsoft propose des configurations de nœuds basées sur les exigences de base, de mémoire et de stockage. Choisissez le type de nœud approprié pour votre région ; le choix le plus courant est AV36P.
Les configurations minimale et maximale des nœuds sont les suivantes :
- Au moins trois nœuds dans un cluster
- Au maximum 16 nœuds dans un cluster
- Maximum de 12 clusters dans un cloud privé Azure VMware Solution
- Maximum de 96 nœuds dans un cloud privé Azure VMware Solution
Le tableau suivant présente les spécifications processeur, mémoire, disque et réseau des hôtes AVS disponibles :
| Type d'hôte | CPU (Unité centrale de traitement) | mémoire vive | Niveau de cache vSAN | Capacité vSAN |
|---|---|---|---|---|
| AV36P | Double Processeurs Intel Xeon Gold 6240, 18 cœurs/processeur @ 2,6 GHz / 3,9 GHz Turbo. Total de 36 cœurs physiques. | 768 Go | 1,5 To (Intel Cache) | 19,20 To (NVMe) |
| AV48 | Processeurs Double Intel Xeon Gold 6442Y, 24 cœurs/processeur @ 2,6 GHz / 4,0 GHz Turbo. Total de 48 cœurs physiques. | 1 024 Go | N/A | 25,6 To (NVMe) |
| AV52 | Deux processeurs Intel Xeon Platinum 8270, 26 cœurs par processeur à 2,7 GHz ; 4,0 GHz en mode Turbo. Total de 52 cœurs physiques. | 1 536 Go | 1,5 To (Intel Cache) | 38,40 TB (NVMe) |
| AV64* | Double processeur Intel Xeon Platinum 8370C, 32 cœurs/processeur à 2,8 GHz / Turbo 3,5 GHz. Total de 64 cœurs physiques. | 1 024 Go | 3,84 To (NVMe) | 15,36 To (NVMe) |
(*) Dans AVS Gen 1, un cloud privé Azure VMware Solution déployé avec AV36P, AV48 ou AV52 est requis avant d’ajouter des hôtes AV64. Dans AVS Gen 2, AV64 peut être déployé seul.
Vous utilisez vSphere et NSX Manager pour gérer la plupart des aspects de la configuration ou de l’opération du cluster. Tout le stockage local de chaque hôte dans un cluster est contrôlé par le logiciel vSAN. Chaque hôte ESXi dans la solution est configuré avec quatre cartes réseau de 25 Gbit/s, deux cartes réseau étant configurées pour le trafic système ESXi et deux cartes réseau pour le trafic de charge de travail.
Les versions logicielles VMware utilisées dans les nouveaux déploiements de clusters de cloud privé dans Azure VMware Solution sont les suivantes :
| Logiciel | Version |
|---|---|
| VMware vCenter Server | 7.0 U3o |
| ESXi | 7.0 U3o |
| vSAN | 7.0 U3 |
| Format vSAN sur disque | 15 |
| HCX | 4.8.2 |
| VMware NSX | 4.1.1 |
NSX-T est la seule version prise en charge de NSX. Lorsque de nouveaux clusters ont été ajoutés à un Cloud privé existant, la version du logiciel en cours d’exécution est appliquée.
Interconnexion dans Azure
L’environnement de cloud privé pour Azure VMware Solution peut être accessible à partir de ressources locales et basées sur Azure. Les services suivants offrent l’interconnexion :
- Azure ExpressRoute
- Connexions VPN
- Azure Virtual WAN
- Passerelle Azure ExpressRoute
Le diagramme suivant illustre la méthode d’interconnexion ExpressRoute et ExpressRoute Global Reach pour Azure VMware Solution.
Ces services requièrent l’activation des plages d’adresses réseau et des ports de pare-feu spécifiques.
Vous pouvez utiliser une passerelle ExpressRoute existante pour vous connecter à Azure VMware Solution si elle ne dépasse pas la limite de quatre circuits ExpressRoute par réseau virtuel. Pour accéder à Azure VMware Solution à partir d’un emplacement local via ExpressRoute, utilisez ExpressRoute Global Reach comme option préférée. S’il n’est pas disponible ou non adapté en raison d’exigences spécifiques en matière de réseau ou de sécurité, envisagez d’autres options.
ExpressRoute Global Reach est utilisé pour connecter les clouds privés à votre environnement local. La connexion nécessite un réseau virtuel avec un circuit ExpressRoute à l’environnement local dans votre abonnement. Il existe deux options d’interconnexion dans le Cloud privé pour Azure VMware Solution :
L’interconnexion Azure de base vous permet de gérer et d’utiliser votre cloud privé avec un seul réseau virtuel dans Azure. Cette implémentation est idéale pour les évaluations ou implémentations Azure VMware Solution qui n’ont pas besoin d’accès à partir d’environnements locaux.
L’interconnexion complète entre un environnement local et un Cloud privé étend l’implémentation de base d’Azure pour inclure l’interconnexion entre des environnements locaux et des Clouds privés Azure VMware Solution.
Pendant le déploiement d’un cloud privé, des réseaux privés pour la gestion, l’approvisionnement et vMotion sont créés. Ces réseaux privés sont utilisés pour accéder à vCenter Server et NSX-T Manager, à la machine virtuelle vMotion ou au déploiement de machines virtuelles.
Stockage de cloud privé
Azure VMware Solution utilise un stockage VMware vSAN tout-flash natif, entièrement configuré et qui est local pour le cluster. Tous les stockages locaux de chaque hôte d’un cluster sont utilisés dans un magasin de données VMware vSAN, et le chiffrement des données au repos est activé par défaut.
L’architecture de stockage d’origine vSAN utilise une unité de ressources appelée groupe de disques. Chaque groupe de disques se compose d’un cache et d’un niveau de capacité. Tous les groupes de disques utilisent un cache NVMe ou Intel, comme décrit dans le tableau suivant. La taille des niveaux de cache et de capacité varie en fonction du type d’hôte Azure VMware Solution. Deux groupes de disques sont créés sur chaque nœud du cluster vSphere. Chacun contient un disque de cache et trois disques de capacité. Tous les magasins de données sont créés dans le cadre d’un déploiement de Cloud privé et immédiatement utilisables.
| Type d'hôte | Niveau cache vSAN (To, brut) | Niveau de capacité vSAN (To, brut) |
|---|---|---|
| AV36P | 1.5 (cache Intel) | 19,20 (NVMe) |
| AV48 | N/A | 25.60 (NVMe) |
| AV52 | 1.5 (cache Intel) | 38,40 (NVMe) |
| AV64 | 3,84 (NVMe) | 15,36 (NVMe) |
Une stratégie est créée sur le cluster vSphere et appliquée au magasin de données vSAN. Il détermine comment les objets de stockage de machines virtuelles sont provisionnés et alloués dans le magasin de données vSAN pour garantir le niveau de service requis. Pour respecter le contrat de niveau de service, 25 % de la capacité de rechange doit être conservée sur le magasin de données vSAN. En outre, la stratégie FTT applicable (échec à tolérer) doit être appliquée afin de respecter le contrat de niveau de service pour Azure VMware Solution. Cela change, en fonction de la taille du cluster.
Vous pouvez utiliser les services de stockage Azure dans des charges de travail qui s’exécutent dans votre Cloud privé. Le diagramme suivant illustre certains des services de stockage disponibles que vous pouvez utiliser avec Azure VMware Solution.
Sécurité et conformité
Les Clouds privés Azure VMware Solution utilisent le contrôle d’accès en fonction du rôle vSphere pour l’accès et la sécurité. Vous pouvez configurer des utilisateurs et des groupes dans Active Directory avec le rôle CloudAdmin à l’aide du protocole LDAP ou LDAPS.
Dans Azure VMware Solution, vCenter Server dispose d’un utilisateur local intégré appelé cloudadmin affecté au rôle cloudAdmin . Le rôle cloudAdmin dispose d’autorisations vCenter Server qui diffèrent des autorisations d’administrateur dans d’autres solutions cloud VMware :
L’utilisateur CloudAdmin local n’a pas l’autorisation d’ajouter une source d’identité, comme un serveur LDAP (Lightweight Directory Access Protocol) local ou LDAP (LDAPS) sécurisé à vCenter Server. Il est possible d’utiliser des commandes d’exécution pour ajouter une source d’identité et affecter le rôle CloudAdmin aux utilisateurs et aux groupes.
Dans un déploiement Azure VMware Solution, l’administrateur n’a pas accès au compte d’utilisateur administrateur. L’administrateur peut affecter des utilisateurs et des groupes Active Directory au rôle CloudAdmin sur vCenter Server.
L’utilisateur du cloud privé n’a pas accès et ne peut pas configurer des composants de gestion spécifiques pris en charge et gérés par Microsoft. Les clusters, les hôtes, les magasins de données et les commutateurs virtuels distribués sont des exemples de ces composants.
Azure VMware Solution fournit la sécurité pour les magasins de données de stockage vSAN en utilisant le chiffrement des données au repos et en l’activant par défaut. Le chiffrement est basé sur le service de gestion des clés (KMS) et prend en charge les opérations vCenter Server pour la gestion des clés. Les clés sont stockées chiffrées et encapsulées par une clé principale Azure Key Vault. Lorsqu’un hôte est supprimé d’un cluster, les données sur disques SSD sont immédiatement invalidées. Le diagramme suivant illustre la relation des clés de chiffrement avec Azure VMware Solution.
Étapes pour le déploiement d’Azure VMware Solution
Le tableau suivant présente les étapes nécessaires à une organisation pour commencer à utiliser Azure VMware Solution.
| Jalon | Étapes |
|---|---|
| Plan | Planifier le déploiement d’Azure VMware Solution : - Évaluer les charges de travail - Déterminer le dimensionnement - Identifier l’hôte - Demander un quota - Déterminer la mise en réseau et la connectivité |
| Déployer | Déployer et configurer Azure VMware Solution : - Inscrire le fournisseur de ressources Microsoft.AVS - Créer un Cloud privé Azure VMware Solution - Se connecter à Azure Virtual Network avec ExpressRoute - Valider la connexion |
| Se connecter localement | Créez une clé d’autorisation ExpressRoute dans le circuit ExpressRoute local : - Homologuer le Cloud privé en local - Vérifier la connectivité réseau locale D’autres options de connectivité sont également disponibles. |
| Déployer et configurer VMware HCX | Déployer et configurer VMware HCX : - Activer le module complémentaire du service HCX - Télécharger le fichier VMware HCX Connector OVA - Déployer le fichier VMware HCX OVA localement (connecteur VMware HCX) – Activer le connecteur VMware HCX - Associer votre connecteur VMware HCX local à votre Gestionnaire de Clouds HCX d’Azure VMware Solution - Configurer l’interconnexion (profil réseau, profil de calcul et maille de services) - Terminer l’installation en contrôlant l’état de l’appliance et en vérifiant que la migration est possible |