Como a Solução VMware no Azure funciona

Agora que você sabe o que é a Solução VMware no Azure e o que ela pode fazer, vamos ver como ela funciona no Azure.

Suporte compartilhado

Ambientes VMware vSphere locais exigem que o cliente dê suporte a todo o hardware e software para executar a plataforma. A Solução VMware no Azure não. A Microsoft mantém a plataforma para o cliente. Vamos examinar o que o cliente gerencia e o que a Microsoft gerencia.

Para a tabela a seguir: Microsoft gerencia = Azul, Cliente gerencia = Cinza

Em parceria com o VMware, a Microsoft aborda o gerenciamento de ciclo de vida do software VMware (ESXi, vCenter Server e vSAN). A Microsoft também trabalha com o VMware para o gerenciamento de ciclo de vida de dispositivos NSX e inicializando a configuração de rede. Incluindo a criação do gateway da Camada 0 e a habilitação do roteamento norte/sul.

O cliente é responsável pela configuração do SDN do NSX:

• Segmentos de rede
• Regras de firewall distribuídas
• Gateways de camada 1
• Balanceadores de carga

Monitoramento e correção

A Solução VMware no Azure monitora continuamente a integridade dos componentes subjacentes e dos componentes da solução VMware. Se a Solução VMware no Azure detectar falha, ela reparará os componentes com falha. Quando a Solução VMware no Azure detecta uma degradação ou falha em um nó da Solução VMware no Azure, ela dispara o processo de correção do host.

A correção do host envolve a substituição do nó com falha por um novo nó íntegro no cluster. Em seguida, quando possível, o host com falha é colocado no modo de manutenção VMware vSphere. O VMware vMotion move as VMs do host com falha para outros servidores disponíveis no cluster, potencialmente permitindo tempo de inatividade zero para migração dinâmica de cargas de trabalho. Se o host com falha não puder ser colocado no modo de manutenção, o host será removido do cluster.

A Solução VMware no Azure monitora as seguintes condições no host:

• Status do processador
• Status da memória
• Estado de conexão e potência
• Status do ventilador de hardware
• Perda de conectividade de rede
• Status da placa do sistema de hardware
• Erros ocorridos nos discos de um host vSAN
• Tensão de hardware
• Status da temperatura do hardware
• Status de potência de hardware
• Status do armazenamento
• Falha de conexão

Nuvens privadas, clusters e hosts no Azure

A Solução VMware no Azure fornece nuvens privadas VCF no hardware dedicado do Azure.

Cada nuvem privada pode ter vários clusters gerenciados pelo mesmo vCenter Server e pelo NSX Manager. As nuvens privadas são instaladas e gerenciadas em uma assinatura do Azure. O número de nuvens privadas em uma assinatura é escalonável.

Para cada nuvem privada criada, há um cluster vSphere por padrão. É possível adicionar, excluir e escalar clusters usando o portal do Azure ou a API. A Microsoft oferece configurações de nó com base nos requisitos de núcleo, memória e armazenamento. Escolha o tipo de nó apropriado para sua região; a escolha mais comum é AV36P.

As configurações mínima e máxima de nós são:

• Mínimo de três nós em um cluster
• Máximo de 16 nós em um cluster
• Máximo de 12 clusters em uma nuvem privada da Solução VMware no Azure
• Máximo de 96 nós em uma nuvem privada da Solução VMware no Azure

A tabela a seguir mostra as especificações de CPU, memória, disco e rede dos Hosts AVS disponíveis:

(*) Na AVS Gen 1, uma nuvem privada da Solução VMware no Azure implantada com AV36P, AV48 ou AV52 é necessária antes de adicionar hosts AV64. Na AVS Gen 2, o AV64 pode ser implantado sozinho.

Você usa o vSphere e o NSX Manager para gerenciar a maioria dos aspectos da configuração ou operação do cluster. Todo o armazenamento local para cada host em um cluster está sob o controle do vSAN. Cada host ESXi na solução é configurado com quatro NICs de 25 Gbps, dois NICs provisionados para o tráfego do sistema ESXi e dois NICs provisionados para o tráfego de carga de trabalho.

As versões de software do VMware usadas em novas implantações de clusters de nuvem privada na Solução VMware no Azure são:

O NSX-T é a única versão com suporte do NSX. Quando novos clusters são adicionados a uma nuvem privada existente, a versão do software em execução no momento é aplicada.

Interconectividade no Azure

O ambiente de nuvem privada para a Solução VMware no Azure pode ser acessível de recursos locais e baseados no Azure. Os seguintes serviços oferecem interconectividade:

• Azure ExpressRoute
• Conexões VPN
• WAN Virtual do Azure
• Gateway do Azure ExpressRoute

O diagrama a seguir mostra o método de interconectividade entre o Alcance Global do ExpressRoute e o ExpressRoute para a Solução VMware no Azure.

Esses serviços exigem que você habilite intervalos de endereços de rede e portas de firewall específicos.

Você pode usar um gateway do ExpressRoute existente para se conectar à Solução VMware no Azure se ele não exceder o limite de quatro circuitos do ExpressRoute por rede virtual. Para acessar a Azure VMware Solution das instalações locais usando ExpressRoute, utilize o ExpressRoute Global Reach como a opção preferida. Se estiver indisponível ou inadequado devido a requisitos específicos de rede ou segurança, considere opções alternativas.

O Alcance Global do ExpressRoute é usado para conectar nuvens privadas aos ambientes locais. A conexão requer uma rede virtual com um circuito do ExpressRoute para o local em sua assinatura. Há duas opções de interconectividade na nuvem privada para a Solução VMware no Azure:

• A interconectividade básica somente do Azure permite gerenciar e usar sua nuvem privada com apenas uma única rede virtual no Azure. Essa implementação é mais adequada para avaliações ou implementações da Solução VMware no Azure que não exigem acesso de ambientes locais.

• A interconectividade completa entre a nuvem local e privada estende a implementação básica somente no Azure para incluir a interconectividade entre ambientes locais e nuvens privadas da Solução VMware no Azure.

Durante a implantação de uma nuvem privada, redes privadas para gerenciamento, provisionamento e vMotion são criadas. Essas redes privadas são usadas para acessar o vCenter Server e o NSX-T Manager, realizar vMotion em máquinas virtuais ou implantar máquinas virtuais.

Armazenamento em nuvem privado

A Solução VMware Azure usa um armazenamento VMware vSAN nativo, totalmente configurado e 100% em flash, e que está localizado no cluster. Todo o armazenamento local de cada host em um cluster é usado em um armazenamento de dados vSAN do VMware e a criptografia de dados em repouso é habilitada por padrão.

A arquitetura de armazenamento original do vSAN usa uma unidade de recursos conhecida como um grupo de discos. Cada grupo de discos consiste em um cache e uma camada de capacidade. Todos os grupos de discos usam um cache NVMe ou Intel, conforme descrito na tabela a seguir. O tamanho das camadas de cache e capacidade varia, dependendo do tipo de host da Solução VMware no Azure. Dois grupos de discos são criados em cada nó do cluster do vSphere. Cada grupo de discos contém um disco de cache e três discos de capacidade. Todos os armazenamentos de dados são criados como parte de uma implantação de nuvem privada e estão disponíveis para uso imediato.

Uma política é criada no cluster do vSphere e aplicada ao armazenamento de dados do vSAN. Ele determina como os objetos de armazenamento de VM são provisionados e alocados no armazenamento de dados vSAN para garantir o nível de serviço necessário. Para manter o SLA, 25% da capacidade sobressalente deve ser mantida no armazenamento de dados do vSAN. Além disso, a política FTT (falha ao tolerar) aplicável deve ser aplicada para manter o contrato de nível de serviço da Solução VMware no Azure. Isso muda, com base no tamanho do cluster.

Você pode usar os serviços de armazenamento do Azure em cargas de trabalho executadas em sua nuvem privada. O diagrama a seguir mostra alguns dos serviços de armazenamento disponíveis que você pode usar com a Solução VMware no Azure.

Segurança e conformidade

As nuvens privadas da Solução VMware no Azure usam o controle de acesso baseado em função do vSphere para acesso e segurança. Você pode configurar usuários e grupos no Active Directory com a função CloudAdmin usando LDAP ou LDAPS.

Na Solução VMware no Azure, o vCenter Server tem um usuário local interno chamado cloudadmin atribuído à função cloudAdmin . A função cloudAdmin tem permissões do vCenter Server que diferem das permissões de administrador em outras soluções de nuvem do VMware:

• O usuário local do CloudAdmin não tem permissão para adicionar uma fonte de identidade, como um LDAP (Lightweight Directory Access Protocol) local ou um servidor LDAPS (LDAPS Seguro) ao vCenter Server. É possível usar comandos Executar para adicionar uma fonte de identidade e atribuir a função CloudAdmin a usuários e grupos.

• Em uma implantação da Solução VMware no Azure, o administrador não tem acesso à conta de usuário do administrador. O administrador pode atribuir usuários e grupos do Active Directory à função CloudAdmin no vCenter Server.

• O usuário de nuvem privada não tem acesso e não pode configurar componentes de gerenciamento específicos aos quais a Microsoft dá suporte e gerencia. Exemplos desses componentes são clusters, hosts, armazenamentos de dados e comutadores virtuais distribuídos.

A Solução VMware no Azure fornece segurança para armazenamentos de dados de armazenamento vSAN usando criptografia de dados em repouso e ativando-a por padrão. A criptografia é baseada no KMS (Serviço de Gerenciamento de Chaves) e dá suporte a operações do vCenter Server para gerenciamento de chaves. As chaves são armazenadas criptografadas e encapsuladas por uma chave mestra do Azure Key Vault. Quando um host é removido de um cluster, os dados em SSDs são invalidados imediatamente. O diagrama a seguir ilustra a relação das chaves de criptografia com a Solução VMware no Azure.

Etapas para implantar a Solução VMware no Azure

A tabela a seguir descreve as etapas que uma organização segue para começar a usar a Solução VMware no Azure.