Compartilhar via

Considerações de design para nuvens privadas da Geração 2 da Solução VMware no Azure

Este artigo descreve as principais considerações de design para nuvens privadas da Geração 2 da Solução VMware no Azure (Gen 2). Ele explica os recursos que essa geração traz para ambientes de nuvem privada baseados em VMware, permitindo o acesso para seus aplicativos de infraestrutura local e recursos baseados no Azure. Há várias considerações a serem analisadas antes de configurar sua nuvem privada do Azure VMware Solution Gen 2. Este artigo fornece soluções para casos de uso que você pode encontrar ao usar o tipo de nuvem privada.

Observação

A geração 2 está disponível em regiões públicas específicas do Azure. Entre em contato com sua equipe de conta da Microsoft ou com o Suporte da Microsoft para confirmar a cobertura.

Limitações

A funcionalidade a seguir é limitada durante esse tempo. Essas limitações serão levantadas no futuro:

  1. Você não pode excluir seu Grupo de Recursos, que contém sua nuvem privada. Primeiro, você deve excluir a nuvem privada antes de excluir o grupo de recursos.

  2. Você só pode implantar 1 nuvem privada por Rede Virtual do Microsoft Azure.

  3. Você só pode criar uma nuvem privada por Grupo de Recursos. Não há suporte para várias nuvens privadas em um único Grupo de Recursos.

  4. Sua nuvem privada e rede virtual para sua nuvem privada devem estar no mesmo Grupo de Recursos.

  5. Você não pode mover sua nuvem privada de um Grupo de Recursos para outro após a criação da nuvem privada.

  6. Você não pode mover sua nuvem privada de um locatário para outro após a criação da nuvem privada.

  7. A conectividade direta de cargas de trabalho da Solução VMware no Azure por meio de Pontos de Serviço não é suportada.

  8. Não há suporte para pontos de extremidade privados quando emparelhados globalmente entre regiões conectadas à solução VMware no Azure.

  9. Há suporte para o vCloud Director usando os pontos de extremidade privados. No entanto, o vCloud Director usando endpoints públicos não é compatível.

  10. Não há suporte para clusters estendidos vSAN.

  11. O IP público até o VMware NSX Microsoft Edge para configurar a Internet não terá suporte. Você pode encontrar quais opções de Internet têm suporte nas opções de conectividade com a Internet.

  12. Durante a manutenção não planejada, como uma falha de hardware de host, em qualquer um dos quatro primeiros hosts em seu SDDC, pode haver uma interrupção temporária de conectividade de rede Norte-Sul para algumas cargas de trabalho, com duração de até 30 segundos. Conectividade Norte-Sul refere-se ao tráfego entre suas cargas de trabalho VMware da AVS e pontos de extremidade externos, além do NSX-T Edge de Nível 0 (T0), como serviços do Azure ou ambientes locais.

  13. Os Grupos de Segurança de Rede associados à rede virtual de host de nuvem privada devem ser criados no mesmo grupo de recursos que a nuvem privada e sua rede virtual.

  14. Não há suporte por padrão para referências cruzadas entre grupos de recursos e assinaturas das redes virtuais do cliente para a rede virtual da Solução VMware no Azure. Isso inclui tipos de recursos como: UDRs (rotas definidas pelo usuário), Planos de Proteção contra DDoS e outros recursos de rede vinculados. Se uma rede virtual do cliente estiver associada a uma dessas referências que reside em um grupo de recursos ou assinatura diferente da rede virtual da Solução VMware no Azure, a programação de rede (como propagação de segmento NSX) poderá falhar. Para evitar problemas, os clientes devem garantir que a rede virtual da Solução VMware no Azure não esteja vinculada a recursos em um grupo de recursos ou assinatura diferente e desanexe esses recursos (por exemplo, Planos de Proteção contra DDoS) da rede virtual antes de continuar.

    • Para manter sua referência entre grupos de recursos, crie uma atribuição de função a partir de uma assinatura ou grupo de recursos cruzados e conceda ao "AzS VIS Prod App" a "Função AVS para VIS da Frota". A atribuição de função permite que você utilize referências e tenha suas referências aplicadas corretamente à nuvem privada do Azure VMware Solution.

  15. As implantações de nuvem privada de 2ª geração poderão falhar se as políticas do Azure que impõem regras rígidas para grupos de segurança de rede ou tabelas de rotas (por exemplo, convenções de nomenclatura específicas). Essas restrições de política podem bloquear o Grupo de Segurança de Rede da Solução VMware no Azure necessário e a criação da tabela de rotas durante a implantação. Você deve remover essas políticas da rede virtual da Solução VMware no Azure antes de implantar sua nuvem privada. Depois que sua nuvem privada for implantada, essas políticas poderão ser adicionadas novamente à nuvem privada da Solução VMware no Azure.

  16. Se você estiver usando o DNS privado para sua nuvem privada da 2ª geração da Solução VMware no Azure, o uso de DNS personalizado na rede virtual em que uma nuvem privada da 2ª geração da Solução VMware no Azure é implantada não tem suporte. O DNS personalizado interrompe operações de ciclo de vida, como dimensionamento, atualizações e aplicação de patch.

  17. Se você estiver excluindo sua nuvem privada e alguns recursos criados da Solução VMware no Azure não forem removidos, poderá repetir a exclusão da nuvem privada da Solução VMware no Azure usando a CLI do Azure.

  18. A Solução VMware Gen 2 do Azure usa um Proxy HTTP para distinguir entre o tráfego de rede de gerenciamento e o cliente. Certos endpoints de serviço de nuvem VMware podem não seguir o mesmo caminho de rede ou regras de proxy que o tráfego geral gerenciado pelo vCenter. Os exemplos incluem: "scapi.vmware" e "apigw.vmware". O proxy VAMI rege o acesso geral de saída à Internet do vCenter Server Appliance (VCSA), mas nem todas as interações de serviços fluem por esse proxy. Algumas interações se originam diretamente do navegador do usuário ou de componentes de integração, que, em vez disso, seguem as configurações de proxy da estação de trabalho ou iniciam conexões de forma independente. Como resultado, o tráfego para pontos de extremidade do serviço de nuvem VMware pode ignorar totalmente o proxy VCSA.

  19. As migrações de RAV do HCX e em massa na geração 2 podem apresentar um desempenho significativamente mais lento devido a paralisações durante as fases de sincronização base e sincronização online. Os clientes devem planejar janelas de migração mais longas e agendar ondas adequadamente nesse momento. Para cargas de trabalho adequadas, o vMotion oferece uma opção mais rápida e de baixa sobrecarga quando as condições de host e rede permitem.

Integrações sem suporte

As seguintes integrações próprias e de terceiros não estão disponíveis:

  • Zerto DR

Sub-redes delegadas e grupos de segurança de rede para Gen 2

Quando uma nuvem privada AVS (Solução VMware) do Azure Gen2 é implantada, o Azure cria automaticamente várias sub-redes delegadas dentro da rede virtual de host da nuvem privada. Essas sub-redes são usadas para isolar e proteger os componentes de gerenciamento da nuvem privada.

Os clientes podem gerenciar o acesso a essas sub-redes usando NSGs (Grupos de Segurança de Rede) visíveis no portal do Azure ou por meio da CLI/PowerShell do Azure. Além dos NSGs gerenciáveis pelo cliente, a AVS aplica NSGs adicionais gerenciados pelo sistema a interfaces de gerenciamento críticas. Esses NSGs gerenciados pelo sistema não são visíveis ou editáveis pelos clientes e existem para garantir que a nuvem privada permaneça segura por padrão.

Como parte da postura de segurança padrão:

  • O acesso à Internet está desabilitado para a nuvem privada, a menos que o cliente o habilite explicitamente.
  • Somente o tráfego de gerenciamento necessário tem permissão para acessar os serviços de plataforma.

Observação

Você pode ver um aviso no portal do Azure indicando que determinadas portas parecem estar expostas à Internet. Isso ocorre porque o portal avalia apenas a configuração do NSG (Grupo de Segurança de Rede) visível ao cliente. No entanto, a Solução VMware no Azure também aplica grupos de segurança de rede gerenciados pelo sistema adicionais que não estão visíveis no portal. Esses Grupos de Segurança de Rede gerenciados pelo sistema bloqueiam o tráfego de entrada, a menos que o acesso tenha sido explicitamente habilitado por meio da configuração da Solução VMware no Azure.

Esse design garante que o ambiente da AVS esteja isolado e seguro fora da caixa, ao mesmo tempo em que permite aos clientes controlar e personalizar o acesso à rede com base em seus requisitos específicos.

Considerações sobre o roteamento e a sub-rede

As nuvens privadas do Azure VMware Solution Gen 2 fornecem um ambiente de nuvem privada do VMware acessível a usuários e aplicativos de ambientes ou recursos locais e baseados no Azure. A conectividade é fornecida por meio da Rede padrão do Azure. Portas de firewall e intervalos de endereços de rede específicos são necessários para habilitar esses serviços. Esta seção ajuda você a configurar sua rede para trabalhar com a Solução VMware no Azure.

A nuvem privada se conecta à sua rede virtual do Azure usando a rede padrão do Azure. As nuvens privadas da Solução VMware Gen 2 do Azure exigem um bloco mínimo de endereços de rede CIDR /22 para sub-redes. Esta rede complementa as suas redes no local, pelo que o bloco de endereços não deve se sobrepor aos blocos de endereços utilizados em outras redes virtuais nas suas redes de assinatura e no local. As redes de gerenciamento, vMotion e replicação são provisionadas automaticamente nesse bloco de endereço como sub-redes em sua rede virtual.

Observação

Os intervalos permitidos para seu bloco de endereços são os espaços de endereço privados RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), exceto pelo 172.17.0.0/16. A rede de replicação não se aplica a nós AV64 e está planejada para descontinuação geral em uma data futura.

Evite usar o seguinte esquema ip reservado para uso do VMware NSX:

  • 169.254.0.0/24 – Usado para a rede de trânsito interna
  • 169.254.2.0/23 – Usado para a rede de trânsito entre VRF
  • 100.64.0.0/16 – Usado para conectar gateways T1 e T0 internamente
  • 100.73.x.x – usado pela rede de gerenciamento da Microsoft

O exemplo /22 bloco de endereços de rede CIDR 10.31.0.0/22 é dividido nas seguintes sub-redes:

Uso de rede Sub-rede Descrição Exemplo
Rede NSX do VMware / 27 Rede do NSX Manager. 10.31.0.0/27
Rede vCSA / 27 Rede do vCenter Server. 10.31.0.32/27
avs-mgmt / 27 Os dispositivos de gerenciamento (vCenter Server e gerenciador NSX) estão por trás da sub-rede "avs-mgmt", programada como intervalos de IP secundários nesta sub-rede. 10.31.0.64/27
avs-vnet-sync / 27 Usado pelo Azure VMware Solution Gen 2 para programar rotas criadas no VMware NSX para a rede virtual. 10.31.0.96/27
avs-services / 27 Usado para serviços de provedor da Solução VMware no Azure Gen 2. Também usado para configurar a resolução DNS privada para sua nuvem privada. 10.31.0.160/27
avs-nsx-gw, avs-nsx-gw-1 / 28 Sub-redes de cada um dos Gateways T0 por borda. Essas sub-redes são usadas para programar segmentos de rede NSX do VMware como endereços IPs secundários. 10.31.0.224/28, 10.31.0.240/28
esx-mgmt-vmk1 /24 vmk1 é a interface de gerenciamento usada pelos clientes para acessar o host. Os IPs da interface vmk1 vêm dessas sub-redes. Todo o tráfego vmk1 para todos os hosts vem desse intervalo de sub-rede. 10.31.1.0/24
esx-vmotion-vmk2 /24 Interfaces VMkernel de vMotion. 10.31.2.0/24
esx-vsan-vmk3 /24 Interfaces de kernel da VM do vSAN e comunicação de nó. 10.31.3.0/24
Rede VMware HCX /22 Rede VMware HCX 10.31.4.0/22
Reservado / 27 Espaço Reservado. 10.31.0.128/27
Reservado / 27 Espaço Reservado. 10.31.0.192/27

Observação

Para implantações de solução VMware no Azure da geração 2, os clientes agora devem alocar uma sub-rede /22 adicional para o gerenciamento e o uplink do HCX, além do /22 inserido durante a implantação do SDDC. Este /22 adicional não é necessário para a Geração 1.

Próximas etapas

  • Last updated on