この記事では、Azure VMware Solution Generation 2 (Gen 2) プライベート クラウドの主要な設計上の考慮事項について説明します。 この世代が VMware ベースのプライベート クラウド環境にもたらす機能について説明します。これにより、オンプレミスインフラストラクチャと Azure ベースのリソースの両方からアプリケーションにアクセスできるようになります。 Azure VMware Solution Gen 2 プライベート クラウドを設定する前に、いくつかの考慮事項を確認する必要があります。 この記事では、プライベート クラウドの種類を使用しているときに発生する可能性があるユース ケースの解決策について説明します。
注
第 2 世代は、特定の Azure パブリック リージョンで使用できます。 対象範囲を確認するには、Microsoft アカウント チームまたは Microsoft サポートにお問い合わせください。
制限事項
この期間中は、次の機能が制限されます。 これらの制限は、今後解除される予定です。
プライベート クラウドを含む リソース グループを削除することはできません。 リソース グループを削除する前に、まずプライベート クラウドを削除する必要があります。
Azure 仮想ネットワーク 1 つにつき、プライベート クラウドを 1 つだけデプロイできます。
リソース グループごとに作成できるプライベート クラウドは 1 つだけです。 1 つのリソース グループ内の複数のプライベート クラウドはサポートされていません。
プライベート クラウドと、プライベート クラウドの仮想ネットワークは、同じリソース グループに存在する必要があります。
プライベート クラウドの作成後に、プライベート クラウドをリソース グループ間で 移動 することはできません。
プライベート クラウドの作成後に、プライベート クラウドをテナント間で 移動 することはできません。
Azure VMware Solution ワークロードからのサービス エンドポイントの直接接続は、サポートされていません。
Azure VMware Solution に接続されているリージョン間でグローバルにピアリングされているプライベート エンドポイントはサポートされていません。
プライベート エンドポイントを使用する vCloud Director がサポートされています。 ただし、パブリック エンドポイントを使用する vCloud Director はサポートされていません。
vSAN ストレッチ クラスター はサポートされていません。
インターネットを構成するための VMware NSX Microsoft Edge へのパブリック IP は、サポートされません。 サポートされているインターネット オプションについては、インターネッ接続オプションで確認できます。
SDDC における最初の 4 つのホストのいずれかで計画外のメンテナンス (ホスト ハードウェアの障害など) 中に、一部のワークロードで一時的な North-South ネットワーク接続の中断が発生し、最大 30 秒続く場合があります。 North-South 接続とは、AVS VMware ワークロードと、NSX-T Tier-0 (T0) Edge を超える外部エンドポイント (Azure サービスやオンプレミス環境など) の間のトラフィックを指します。
プライベート クラウド ホスト仮想ネットワークに関連付けられているネットワーク セキュリティ グループは、プライベート クラウドとその仮想ネットワークと同じリソース グループに作成する必要があります。
顧客の仮想ネットワークから Azure VMware Solution 仮想ネットワークへのリソース グループ間およびサブスクリプション間の参照は、既定ではサポートされていません。 これには、ユーザー定義ルート (UDR)、DDoS 保護プラン、その他のリンクされたネットワーク リソースなどのリソースの種類が含まれます。 お客様の仮想ネットワークが、Azure VMware Solution 仮想ネットワークとは異なるリソース グループまたはサブスクリプションに存在するこれらの参照のいずれかに関連付けられている場合、ネットワーク プログラミング (NSX セグメント伝達など) が失敗する可能性があります。 問題を回避するには、続行する前に、Azure VMware Solution 仮想ネットワークが別のリソース グループまたはサブスクリプション内のリソースにリンクされていないことを確認し、そのようなリソース (DDoS Protection プランなど) を仮想ネットワークからデタッチする必要があります。
- リソース グループ間の参照を維持するには、クロスリソース グループまたはサブスクリプションからロールの割り当てを作成し、"AzS VIS Prod App" に "AVS on Fleet VIS ロール" を付与します。 ロールの割り当てにより、参照を使用し、Azure VMware Solution プライベート クラウドに参照を正しく適用できます。
Gen 2 プライベート クラウドのデプロイは、ネットワーク セキュリティ グループまたはルート テーブルに対して厳密な規則を適用する Azure ポリシー (特定の名前付け規則など) が適用されている場合に、失敗する可能性があります。 これらのポリシー制約により、デプロイ時に必要な Azure VMware Solution ネットワーク セキュリティ グループとルート テーブルの作成がブロックされる可能性があります。 プライベート クラウドをデプロイする前に、これらのポリシーを Azure VMware Solution 仮想ネットワークから削除する必要があります。 プライベート クラウドがデプロイされたら、これらのポリシーを Azure VMware Solution プライベート クラウドに追加し直すことができます。
Azure VMware Solution Gen 2 プライベート クラウドにプライベート DNS を使用している場合、Azure VMware Solution Gen 2 プライベート クラウドがデプロイされている仮想ネットワークでカスタム DNS を使用することはサポートされていません。 カスタム DNS を使用すると、スケーリング、アップグレード、修正プログラムの適用などのライフサイクル操作が中断されます。
プライベート クラウド を削除 していて、Azure VMware Solution で作成されたリソースの一部が削除されない場合は、Azure CLI を使用して Azure VMware Solution プライベート クラウドの削除を再試行できます。
Azure VMware Solution Gen 2 では、HTTP プロキシを使用して、顧客と管理のネットワーク トラフィックを区別します。 一部の VMware クラウド サービス エンドポイント は、一般的な vCenter で管理されるトラフィックと同じネットワーク パスまたはプロキシ 規則に従わない場合があります。 たとえば、"scapi.vmware" や "apigw.vmware" などがあります。 VAMI プロキシは、vCenter Server Appliance (VCSA) の一般的な送信インターネット アクセスを制御しますが、すべてのサービス エンドポイントの対話がこのプロキシを経由するわけではありません。 一部の対話は、ユーザーのブラウザーまたは統合コンポーネントから直接発生します。その代わりに、ワークステーションのプロキシ設定に従うか、個別に接続を開始します。 その結果、VMware クラウド サービス エンドポイントへのトラフィックが VCSA プロキシを完全にバイパスする可能性があります。
Gen 2 での HCX RAV と一括移行では、基本同期とオンライン同期のフェーズ中にストールが発生するため、パフォーマンスが大幅に低下する可能性があります。 お客様は、より長い移行期間を計画し、現時点では段階的なスケジュールを立てる必要があります。 適切なワークロードに対して、vMotion は、ホストとネットワークの条件が許す場合に、より高速でオーバーヘッドの少ないオプションを提供します。
サポートされていない統合
次のファースト パーティとサード パーティの統合は使用できません。
- Zerto DR
Gen 2 の委任されたサブネットとネットワーク セキュリティ グループ
Azure VMware Solution (AVS) Gen 2 プライベート クラウドがデプロイされると、Azure はプライベート クラウドのホスト仮想ネットワーク内に複数の委任されたサブネットを自動的に作成します。 これらのサブネットは、プライベート クラウドの管理コンポーネントを分離して保護するために使用されます。
お客様は、Azure portal または Azure CLI/PowerShell で表示されるネットワーク セキュリティ グループ (NSG) を使用して、これらのサブネットへのアクセスを管理できます。 AVS は、ユーザーが管理できる NSG に加えて、システムで管理される追加の NSG を重要な管理インターフェイスに適用します。 これらのシステム管理 NSG は、お客様が表示または編集することはできず、プライベート クラウドが既定でセキュリティで保護された状態を維持するために存在します。
既定のセキュリティ体制の一部として、次の手順を実行します。
- お客様が明示的に有効にしない限り、プライベート クラウドのインターネット アクセスは無効になります。
- 必要な管理トラフィックのみがプラットフォーム サービスに到達できます。
注
Azure portal で、特定のポートがインターネットに公開されているように見えるという警告が表示される場合があります。 これは、ポータルが顧客が認識できるネットワーク セキュリティ グループ (NSG) 構成のみを評価するためです。 ただし、Azure VMware Solution では、ポータルに表示されない追加のシステム管理ネットワーク セキュリティ グループも適用されます。 これらのシステム管理ネットワーク セキュリティ グループは、Azure VMware Solution 構成を介してアクセスが明示的に有効になっていない限り、受信トラフィックをブロックします。
この設計により、AVS環境は設計段階から分離されてセキュリティで保護されており、お客様は特定の要件に応じてネットワークアクセスを制御およびカスタマイズできます。
ルーティングとサブネットに関する考慮事項
Azure VMware Solution Gen 2 プライベート クラウドは、オンプレミスおよび Azure ベースの環境またはリソースからユーザーとアプリケーションからアクセスできる VMware プライベート クラウド環境を提供します。 接続は、標準の Azure ネットワークを介して配信されます。 これらのサービスを有効にするには、特定のネットワーク アドレス範囲とファイアウォール ポートが必要です。 このセクションは、Azure VMware Solution と連携するようにネットワークを構成する際に役立ちます。
プライベート クラウドは、標準の Azure ネットワークを使用して Azure 仮想ネットワークに接続します。 Azure VMware Solution Gen 2 プライベート クラウドでは、サブネットに対して最小 /22 CIDR ネットワーク アドレス ブロックが必要です。 このネットワークによってオンプレミスのネットワークが補完されるため、アドレス ブロックは、サブスクリプションの他の仮想ネットワークやオンプレミス ネットワークで使用されているアドレス ブロックと重複しないようにする必要があります。 管理、vMotion、レプリケーションのネットワークは、仮想ネットワーク内のサブネットとしてこのアドレス ブロック内に自動的にプロビジョニングされます。
注
アドレス ブロックで許可される範囲は RFC 1918 プライベート アドレス空間 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) です。ただし、172.17.0.0/16 を除きます。 レプリケーション ネットワークは AV64 ノードには適用されず、将来の一般的な非推奨となる予定です。
VMware NSX の使用のために予約されている次の IP スキーマを使用しないでください。
- 169.254.0.0/24 - 内部転送ネットワークに使用
- 169.254.2.0/23 - VRF 間転送ネットワークに使用
- 100.64.0.0/16 - T1 および T0 ゲートウェイを内部的に接続するために使用
- 100.73.x.x – Microsoft の管理ネットワークで使用されます
/22 CIDR ネットワーク アドレス ブロック 10.31.0.0/22 の例は、次のサブネットに分かれています。
| ネットワークの使用状況 | サブネット | 説明 | 例 |
|---|---|---|---|
| VMware NSX ネットワーク | /27 | NSX Manager ネットワーク。 | 10.31.0.0/27 |
| vCSA ネットワーク | /27 | vCenter Server ネットワーク。 | 10.31.0.32/27 |
| avs-mgmt | /27 | 管理アプライアンス (vCenter Server および NSX マネージャー) は、"avs-mgmt" サブネットの背後にあり、このサブネットのセカンダリ IP 範囲としてプログラムされます。 | 10.31.0.64/27 |
| avs-vnet-sync | /27 | VMware NSX で作成されたルートを仮想ネットワークにプログラムするために Azure VMware Solution Gen 2 によって使用されます。 | 10.31.0.96/27 |
| avs-services | /27 | Azure VMware Solution Gen 2 プロバイダー サービスに使用されます。 プライベート クラウドのプライベート DNS 解決を構成するためにも使用されます。 | 10.31.0.160/27 |
| avs-nsx-gw、avs-nsx-gw-1 | /28 | エッジごとの各 T0 ゲートウェイのサブネット。 これらのサブネットは、VMware NSX ネットワーク セグメントをセカンダリ IP アドレスとしてプログラムするために使用されます。 | 10.31.0.224/28, 10.31.0.240/28 |
| esx-mgmt-vmk1 | /24 | vmk1 は、顧客がホストにアクセスするために使用する管理インターフェイスです。 vmk1 インターフェイスからの IP は、これらのサブネットから取得されます。 すべてのホストのすべての vmk1 トラフィックは、このサブネット範囲から送信されます。 | 10.31.1.0/24 |
| esx-vmotion-vmk2 | /24 | vMotion VMkernel インターフェイス。 | 10.31.2.0/24 |
| esx-vsan-vmk3 | /24 | vSAN VMkernel インターフェイスとノード通信。 | 10.31.3.0/24 |
| VMware HCX ネットワーク | /22 | VMware HCX ネットワーク | 10.31.4.0/22 |
| 予約済み | /27 | 予約済みの領域。 | 10.31.0.128/27 |
| 予約済み | /27 | 予約済みの領域。 | 10.31.0.192/27 |
注
Azure VMware Solution Gen 2 のデプロイでは、SDDC デプロイ中に入力された /22 に加えて、HCX 管理とアップリンク用に追加の /22 サブネットを割り当てる必要があります。 Gen 1 では、この追加の /22 は必要ありません。
次のステップ
Azure VMware Solution サービス プリンシパルの構成を開始する準備を整えることを前提条件にしてください。 方法の詳細については、Azure VMware Solution のサービス プリンシパルの有効化 クイック スタートを参照してください。
Azure VMware Gen 2 プライベート クラウドの作成に関するチュートリアルに従う