Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u een overzicht van belangrijke ontwerpoverwegingen voor privéclouds van Azure VMware Solution Generation 2 (Gen 2). Hier wordt uitgelegd wat de mogelijkheden van deze generatie zijn voor VMware-omgevingen voor privéclouds, waardoor toegang voor uw toepassingen mogelijk is vanuit zowel on-premises infrastructuur als Azure-resources. Er zijn verschillende zaken om te overwegen voordat u uw Azure VMware Solution Gen-2 privécloud instelt. Dit artikel bevat oplossingen voor gebruiksvoorbeelden die u kunt tegenkomen wanneer u het type privécloud gebruikt.
Opmerking
Generatie 2 is beschikbaar in specifieke openbare Azure-regio's. Neem contact op met uw Microsoft-accountteam of Microsoft Ondersteuning om de dekking te bevestigen.
Beperkingen
De volgende functionaliteit is gedurende deze periode beperkt. Deze beperkingen worden in de toekomst opgeheven:
U kunt uw resourcegroep, die uw privécloud bevat, niet verwijderen. U moet eerst de privécloud verwijderen voordat u de resourcegroep verwijdert.
U kunt slechts 1 privécloud per virtueel Azure-netwerk implementeren.
U kunt slechts één privécloud maken per resourcegroep. Meerdere privéclouds in één resourcegroep worden niet ondersteund.
Uw privécloud en virtueel netwerk voor uw privécloud moeten zich in dezelfde resourcegroep bevinden.
U kunt uw privécloud niet van de ene resourcegroep naar de andere verplaatsen nadat de privécloud is gemaakt.
U kunt uw privécloud niet van de ene tenant naar de andere verplaatsen nadat de privécloud is gemaakt.
Directe connectiviteit van Service-eindpunten vanuit Azure VMware Solution-workloads wordt niet ondersteund.
Privé-eindpunten in globaal gekoppelde regio's die verbonden zijn met Azure VMware Solution, worden niet ondersteund.
vCloud Director met behulp van privé-eindpunten wordt ondersteund. vCloud Director met behulp van openbare eindpunten wordt echter niet ondersteund.
vSAN Stretched Clusters wordt niet ondersteund.
Openbaar IP-adres naar de VMware NSX Microsoft Edge voor het configureren van internet wordt niet ondersteund. U kunt vinden welke internetopties worden ondersteund in opties voor internetverbinding.
Tijdens niet-gepland onderhoud , zoals een hosthardwarefout, op een van de eerste vier hosts in uw SDDC, kan er een tijdelijke North-South netwerkverbindingsonderbreking optreden voor sommige workloads, die maximaal 30 seconden duren. Noord-Zuid-connectiviteit verwijst naar verkeer tussen uw AVS VMware-workloads en externe eindpunten buiten de NSX-T Tier-0 (T0) Edge, zoals Azure Services of on-premises omgevingen.
Netwerkbeveiligingsgroepen die zijn gekoppeld aan het virtuele netwerk van de privécloudhost moeten worden gemaakt in dezelfde resourcegroep als de privécloud en het bijbehorende virtuele netwerk.
Verwijzingen tussen resourcegroepen en abonnementen van virtuele netwerken van klanten naar het virtuele Azure VMware Solution-netwerk worden niet standaard ondersteund. Dit omvat resourcetypen zoals: door de gebruiker gedefinieerde routes (UDR's), DDoS-beveiligingsplannen en andere gekoppelde netwerkresources. Als een virtueel netwerk van een klant is gekoppeld aan een van deze verwijzingen die zich in een andere resourcegroep of een ander abonnement bevinden dan het virtuele Azure VMware Solution-netwerk, kan netwerkprogrammering (zoals NSX-segmentdoorgifte) mislukken. Om problemen te voorkomen, moeten klanten ervoor zorgen dat het virtuele Azure VMware Solution-netwerk niet is gekoppeld aan resources in een andere resourcegroep of een ander abonnement en dergelijke resources (bijvoorbeeld DDoS-beveiligingsplannen) loskoppelen van het virtuele netwerk voordat ze verdergaan.
- Als u de verwijzing voor meerdere resourcegroepen wilt behouden, maakt u een roltoewijzing op basis van uw cross-resourcegroep of abonnement en geeft u de AzS VIS Prod-app de AVS op Fleet VIS-rol. Met de roltoewijzing kunt u referentie gebruiken en uw verwijzing correct laten toepassen op uw Azure VMware Solution-privécloud.
Gen 2-implementaties voor privéclouds kunnen mislukken als Azure-beleid dat strikte regels afdwingt voor netwerkbeveiligingsgroepen of routetabellen (bijvoorbeeld specifieke naamconventies) afdwingen. Deze beleidsbeperkingen kunnen het maken van de vereiste Azure VMware Solution-netwerkbeveiligingsgroep en het maken van routetabellen tijdens de implementatie blokkeren. U moet dit beleid verwijderen uit het virtuele Azure VMware Solution-netwerk voordat u uw privécloud implementeert. Zodra uw privécloud is geïmplementeerd, kunnen deze beleidsregels worden toegevoegd aan uw Azure VMware Solution-privécloud.
Als u privé-DNS gebruikt voor uw Azure VMware Solution Gen 2-privécloud, wordt aangepaste DNS gebruikt in het virtuele netwerk waarin een Azure VMware Solution Gen 2-privécloud wordt geïmplementeerd, niet ondersteund. Aangepaste DNS-einden levenscyclusbewerkingen, zoals schalen, upgrades en patchen.
Als u uw privécloud verwijdert en sommige door Azure VMware Solution gemaakte resources niet worden verwijderd, kunt u het verwijderen van de azure VMware Solution-privécloud opnieuw proberen met behulp van de Azure CLI.
Azure VMware Solution Gen 2 maakt gebruik van een HTTP-proxy om onderscheid te maken tussen klant- en beheernetwerkverkeer. Bepaalde VMware-cloudservice-eindpunten volgen mogelijk niet hetzelfde netwerkpad of dezelfde proxyregels als algemeen door vCenter beheerd verkeer. Voorbeelden zijn: 'scapi.vmware' en 'apigw.vmware'. De VAMI-proxy beheert de algemene uitgaande internettoegang van de vCenter Server Appliance (VCSA), maar niet alle interacties met service-eindpunten verlopen via deze proxy. Sommige interacties zijn rechtstreeks afkomstig van de browser van de gebruiker of van integratieonderdelen, die in plaats daarvan de proxy-instellingen van het werkstation volgen of verbindingen onafhankelijk initiëren. Als gevolg hiervan kan verkeer naar VMware-cloudservice-eindpunten de VCSA-proxy volledig omzeilen.
HCX RAV- en bulkmigraties op Gen 2 kunnen aanzienlijk tragere prestaties ervaren door onderbrekingen tijdens de basissynchronisatie- en onlinesynchronisatiefasen. Klanten moeten nu rekening houden met langere migratievensters en de golven dienovereenkomstig inplannen. Voor geschikte workloads biedt vMotion een snellere optie voor lage overhead wanneer host- en netwerkomstandigheden zijn toegestaan.
Niet-ondersteunde integraties
De volgende integraties van derden en derden zijn niet beschikbaar:
- Zerto DR
Gedelegeerde subnetten en netwerkbeveiligingsgroepen voor Gen 2
Wanneer een AVS-privécloud (Azure VMware Solution) Gen 2 wordt geïmplementeerd, maakt Azure automatisch verschillende gedelegeerde subnetten binnen het virtuele hostnetwerk van de privécloud. Deze subnetten worden gebruikt om de beheeronderdelen van de privécloud te isoleren en te beveiligen.
Klanten kunnen de toegang tot deze subnetten beheren met behulp van netwerkbeveiligingsgroepen (NSG's) die zichtbaar zijn in Azure Portal of via Azure CLI/PowerShell. Naast klantbeheerbare NSG's past AVS aanvullende door het systeem beheerde NSG's toe op kritieke beheerinterfaces. Deze door het systeem beheerde NSG's zijn niet zichtbaar of bewerkbaar door klanten en bestaan om ervoor te zorgen dat de privécloud standaard veilig blijft.
Als onderdeel van de standaardbeveiligingspostuur:
- Internettoegang is uitgeschakeld voor de privécloud, tenzij de klant deze expliciet inschakelt.
- Alleen vereist beheerverkeer is toegestaan om platformservices te bereiken.
Opmerking
Mogelijk ziet u een waarschuwing in Azure Portal die aangeeft dat bepaalde poorten zichtbaar zijn voor internet. Dit gebeurt omdat in de portal alleen de configuratie van de klant-zichtbare netwerkbeveiligingsgroep (NSG) wordt geëvalueerd. Azure VMware Solution past echter ook extra door het systeem beheerde netwerkbeveiligingsgroepen toe die niet zichtbaar zijn in de portal. Deze door het systeem beheerde netwerkbeveiligingsgroepen blokkeren binnenkomend verkeer, tenzij de toegang expliciet is ingeschakeld via de Azure VMware Solution-configuratie.
Dit ontwerp zorgt ervoor dat de AVS-omgeving geïsoleerd en veilig is, terwijl klanten nog steeds netwerktoegang kunnen beheren en aanpassen op basis van hun specifieke vereisten.
Overwegingen voor routering en subnetten
Azure VMware Solution Gen 2-privéclouds bieden een VMware-privécloudomgeving die toegankelijk is voor gebruikers en toepassingen vanuit on-premises en azure-omgevingen of -resources. Connectiviteit wordt geleverd via standaard Azure-netwerken. Specifieke netwerkadresbereiken en firewallpoorten zijn vereist om deze services in te schakelen. Deze sectie helpt u bij het configureren van uw netwerken voor gebruik met Azure VMware Solution.
De privécloud maakt verbinding met uw virtuele Azure-netwerk met behulp van standaard Azure-netwerken. Voor Privéclouds van Azure VMware Solution Gen 2 is minimaal /22 CIDR-netwerkadresblok voor subnetten vereist. Dit netwerk vormt een aanvulling op uw on-premises netwerken, dus het adresblok mag niet overlappen met adresblokken die worden gebruikt in andere virtuele netwerken in uw abonnement en on-premises netwerken. Beheer-, vMotion- en replicatienetwerken worden automatisch ingericht binnen dit adresblok als subnetten in uw virtuele netwerk.
Opmerking
Het toegestane bereik voor uw adresblok zijn de RFC 1918-privéadresruimten (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), met uitzondering van 172.17.0.0/16. Replicatienetwerk is niet van toepassing op AV64-knooppunten en is gepland voor algemene afschaffing op een toekomstige datum.
Vermijd het gebruik van het volgende IP-schema dat is gereserveerd voor VMware NSX-gebruik:
- 169.254.0.0/24 - gebruikt voor intern doorvoernetwerk
- 169.254.2.0/23 - gebruikt voor inter-VRF-transitnetwerk
- 100.64.0.0/16 - wordt gebruikt om intern verbinding te maken met T1- en T0-gateways
- 100.73.x.x – gebruikt door het beheernetwerk van Microsoft
Voorbeeld /22 CIDR-netwerkadresblok 10.31.0.0/22 is onderverdeeld in de volgende subnetten:
| Netwerkgebruik | Subnet | Beschrijving | Voorbeeld |
|---|---|---|---|
| VMware NSX-netwerk | /27 | NSX Manager-netwerk. | 10.31.0.0/27 |
| vCSA-netwerk | /27 | vCenter Server-netwerk. | 10.31.0.32/27 |
| avs-mgmt | /27 | De beheer-apparaten (vCenter Server en NSX Manager) bevinden zich achter het subnet "avs-mgmt", geconfigureerd als secundaire IP-bereiken op dit subnet. | 10.31.0.64/27 |
| avs-vnet-sync | /27 | Wordt gebruikt door Azure VMware Solution Gen 2 om routes te programmeren die zijn gemaakt in VMware NSX in het virtuele netwerk. | 10.31.0.96/27 |
| avs-services | /27 | Wordt gebruikt voor Azure VMware Solution Gen 2-providerservices. Wordt ook gebruikt voor het configureren van privé-DNS-omzetting voor uw privécloud. | 10.31.0.160/27 |
| avs-nsx-gw, avs-nsx-gw-1 | /28 | Subnetten van elk van de T0-gateways per netwerkgrens. Deze subnetten worden gebruikt om VMware NSX-netwerksegmenten te programmeren als secundaire IP-adressen. | 10.31.0.224/28, 10.31.0.240/28 |
| esx-mgmt-vmk1 | /24 | vmk1 is de beheerinterface die door klanten wordt gebruikt voor toegang tot de host. IP's van de vmk1-interface zijn afkomstig van deze subnetten. Al het vmk1-verkeer voor alle hosts komt uit dit subnetbereik. | 10.31.1.0/24 |
| esx-vmotion-vmk2 | /24 | vMotion VMkernel-interfaces. | 10.31.2.0/24 |
| esx-vsan-vmk3 | /24 | vSAN VMkernel-interfaces en knooppuntcommunicatie. | 10.31.3.0/24 |
| VMware HCX-netwerk | /22 | VMware HCX-netwerk | 10.31.4.0/22 |
| Gereserveerd | /27 | Gereserveerde ruimte. | 10.31.0.128/27 |
| Gereserveerd | /27 | Gereserveerde ruimte. | 10.31.0.192/27 |
Opmerking
Voor Implementaties van Azure VMware Solution Gen 2 moeten klanten nu een extra /22-subnet toewijzen voor HCX-beheer en uplink, naast de /22 die tijdens de SDDC-implementatie is ingevoerd. Deze extra /22 is niet vereist voor Gen 1.
Volgende stappen
Ga aan de slag met het configureren van uw Azure VMware Solution-service-principal als een vereiste. Zie de quickstart voor het inschakelen van de Azure VMware Solution-service-principal voor meer informatie.
Volg een zelfstudie voor het maken van een Azure VMware Gen 2-privécloud