Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve as principais considerações de design para nuvens privadas do Azure VMware Solution Generation 2 (Gen 2). Ele explica os recursos que essa geração traz para ambientes de nuvem privada baseados em VMware, permitindo o acesso para seus aplicativos a partir da infraestrutura local e dos recursos baseados no Azure. Há várias considerações a serem analisadas antes de configurar sua nuvem privada do Azure VMware Solution Gen 2. Este artigo fornece soluções para casos de uso que você pode encontrar ao usar o tipo de nuvem privada.
Observação
A Geração 2 está disponível em regiões públicas específicas do Azure. Contacte a equipa da sua conta Microsoft ou o Suporte da Microsoft para confirmar a cobertura.
Limitações
A funcionalidade a seguir é limitada durante esse período. Estas limitações serão levantadas no futuro:
Não é possível excluir seu Grupo de Recursos, que contém sua nuvem privada. Você deve excluir a nuvem privada primeiro antes de excluir o grupo de recursos.
Você só pode implantar 1 nuvem privada por rede virtual do Azure.
Você só pode criar 1 nuvem privada por Grupo de Recursos. Não há suporte para várias nuvens privadas em um único Grupo de Recursos.
Sua nuvem privada e rede virtual para sua nuvem privada devem estar no mesmo Grupo de Recursos.
Não é possível mover sua nuvem privada de um Grupo de Recursos para outro depois que a nuvem privada é criada.
Não é possível mover sua nuvem privada de um locatário para outro depois que a nuvem privada é criada.
Não há suporte para a conectividade direta de pontos de extremidade de serviço de cargas de trabalho da solução VMware do Azure.
Endpoints privados, quando emparelhados globalmente entre regiões ligadas ao Azure VMware Solution não são suportados.
O vCloud Diretor usando Private Endpoints é suportado. No entanto, o vCloud Director utilizando endereços públicos não é suportado.
Não há suporte para vSAN Stretched Clusters.
O IP público até o VMware NSX Microsoft Edge para configurar a Internet não será suportado. Você pode encontrar quais opções de internet são suportadas em Opções de conectividade com a Internet.
Durante a manutenção não planejada – como uma falha de hardware do host – em qualquer um dos quatro primeiros hosts do SDDC, você pode enfrentar uma interrupção temporária da conectividade de rede North-South para algumas cargas de trabalho, com duração de até 30 segundos. Conectividade Norte-Sul refere-se ao tráfego entre as suas cargas de trabalho VMware AVS e pontos de extremidade externos para além do NSX-T Tier-0 (T0) Edge, como serviços da Azure ou ambientes locais.
Os Grupos de Segurança de Rede associados à rede virtual de host de nuvem privada devem ser criados no mesmo grupo de recursos que a nuvem privada e sua rede virtual.
Referências entre grupos de recursos e entre subscrições de redes virtuais de clientes para a rede virtual da Solução VMware do Azure não são suportadas por padrão. Isso inclui tipos de recursos como: UDRs (rotas definidas pelo usuário), planos de proteção contra DDoS e outros recursos de rede vinculados. Se uma rede virtual do cliente estiver associada a uma dessas referências que reside em um grupo de recursos ou assinatura diferente da rede virtual da Solução VMware do Azure, a programação de rede (como a propagação do segmento NSX) poderá falhar. Para evitar problemas, os clientes devem garantir que a rede virtual da Solução VMware do Azure não esteja vinculada a recursos em um grupo de recursos ou assinatura diferente e desanexar esses recursos (por exemplo, Planos de Proteção contra DDoS) da rede virtual antes de prosseguir.
- Para manter a referência do seu grupo de recursos cruzados, crie uma atribuição de função a partir do seu grupo de recursos cruzados ou da subscrição e atribua à "AzS VIS Prod App" a função "AVS on Fleet VIS Role". A atribuição de função permite que utilize a referência e que esta seja corretamente aplicada à sua nuvem privada da Solução VMware da Azure.
As implantações de nuvem privada da geração 2 podem falhar se as políticas do Azure, que impõem regras rígidas para Grupos de Segurança de Rede ou tabelas de rotas (por exemplo, convenções de nomenclatura específicas), estiverem ativadas. Essas restrições de política podem bloquear a criação necessária do Azure VMware Solution Network Security Group e da tabela de rotas durante a implantação. Você deve remover essas políticas da rede virtual da Solução VMware do Azure antes de implantar sua nuvem privada. Depois que sua nuvem privada for implantada, essas políticas poderão ser adicionadas novamente à sua nuvem privada da Solução VMware do Azure.
Se você estiver usando o DNS privado para sua nuvem privada do Azure VMware Solution Gen 2, o uso do DNS personalizado na rede virtual onde uma nuvem privada do Azure VMware Solution Gen 2 está implantada não é suportado. O DNS personalizado interrompe as operações do ciclo de vida, como dimensionamento, atualizações e aplicação de patches.
Se você estiver excluindo sua nuvem privada e alguns recursos criados pela Solução VMware do Azure não forem removidos, você poderá tentar excluir novamente a nuvem privada da Solução VMware do Azure usando a CLI do Azure.
O Azure VMware Solution Gen 2 usa um Proxy HTTP para distinguir entre o tráfego de rede de gerenciamento e do cliente. Alguns endpoints do serviço de nuvem VMware podem não seguir o mesmo caminho de rede ou regras de proxy que o tráfego geral gerenciado pelo vCenter. Os exemplos incluem: "scapi.vmware" e "apigw.vmware". O proxy VAMI controla o acesso geral de saída à Internet do vCenter Server Appliance (VCSA), mas nem todas as interações de ponto de extremidade de serviço fluem por meio desse proxy. Algumas interações originam-se diretamente do navegador do usuário ou de componentes de integração, que em vez disso seguem as configurações de proxy da estação de trabalho ou iniciam conexões de forma independente. Como resultado, o tráfego para os endpoints do serviço de nuvem VMware pode ignorar totalmente o proxy VCSA.
As migrações de RAV e Bulk do HCX na Gen 2 podem apresentar um desempenho significativamente mais lento devido a atrasos durante as fases de Sincronização de Base e Sincronização Online. Os clientes devem planear janelas de migração mais longas e agendar fases em conformidade, por enquanto. Para cargas de trabalho adequadas, o vMotion oferece uma opção mais rápida e de baixo overhead quando as condições do host e da rede o permitem.
Integrações sem suporte
As seguintes integrações de 1ª e 3ª parte não estão disponíveis:
- Zerto DR
Sub-redes delegadas e grupos de segurança de rede para a geração 2
Quando uma nuvem privada Azure VMware Solution (AVS) Gen 2 é implantada, o Azure cria automaticamente várias sub-redes delegadas dentro da rede virtual host da nuvem privada. Essas sub-redes são usadas para isolar e proteger os componentes de gerenciamento da nuvem privada.
Os clientes podem gerenciar o acesso a essas sub-redes usando NSGs (Grupos de Segurança de Rede) visíveis no portal do Azure ou por meio da CLI do Azure/PowerShell. Além dos NSGs gerenciáveis pelo cliente, o AVS aplica NSGs adicionais gerenciados pelo sistema a interfaces de gerenciamento críticas. Esses NSGs gerenciados pelo sistema não são visíveis ou editáveis pelos clientes e existem para garantir que a nuvem privada permaneça segura por padrão.
Como parte da postura de segurança padrão:
- O acesso à Internet está desativado para a nuvem privada, a menos que o cliente a habilite explicitamente.
- Apenas o tráfego de gerenciamento necessário é permitido para acessar os serviços da plataforma.
Observação
Você pode ver um aviso no portal do Azure indicando que determinadas portas parecem estar expostas à Internet. Isso ocorre porque o portal avalia apenas a configuração NSG (Network Security Group) visível pelo cliente. No entanto, a Solução VMware do Azure também aplica grupos de segurança de rede gerenciados pelo sistema adicionais que não estão visíveis no portal. Esses Grupos de Segurança de Rede gerenciados pelo sistema bloqueiam o tráfego de entrada, a menos que o acesso tenha sido explicitamente habilitado por meio da configuração da Solução VMware do Azure.
Esse design garante que o ambiente AVS seja isolado e seguro imediatamente, ao mesmo tempo em que permite que os clientes controlem e personalizem o acesso à rede com base em suas necessidades específicas.
Considerações sobre roteamento e sub-rede
As nuvens privadas do Azure VMware Solution Gen 2 fornecem um ambiente de nuvem privada VMware acessível a usuários e aplicativos de ambientes ou recursos locais e baseados no Azure. A conectividade é fornecida através da Rede do Azure padrão. Intervalos de endereços de rede específicos e portas de firewall são necessários para habilitar esses serviços. Esta seção ajuda você a configurar sua rede para trabalhar com a Solução VMware do Azure.
A nuvem privada se conecta à sua rede virtual do Azure usando a rede padrão do Azure. As nuvens privadas do Azure VMware Solution Gen 2 exigem um bloco de endereço de rede CIDR /22 mínimo para sub-redes. Essa rede complementa suas redes locais, portanto, o bloco de endereço não deve se sobrepor aos blocos de endereços usados em outras redes virtuais em sua assinatura e redes locais. As redes de gerenciamento, vMotion e replicação são provisionadas automaticamente dentro desse bloco de endereços como sub-redes dentro de sua rede virtual.
Observação
Os intervalos permitidos para o seu bloco de endereço são os espaços de endereço privado RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), exceto 172.17.0.0/16. A rede de replicação não é aplicável aos nós AV64 e está planejada para substituição geral em uma data futura.
Evite usar o seguinte esquema IP reservado para uso do VMware NSX:
- 169.254.0.0/24 - utilizados para a rede de trânsito interno
- 169.254.2.0/23 - utilizado para a rede de trânsito inter-VRF
- 100.64.0.0/16 - usado para conectar gateways T1 e T0 internamente
- 100.73.x.x – usado pela rede de gerenciamento da Microsoft
Exemplo /22 O bloco de endereços de rede CIDR 10.31.0.0/22 é dividido nas seguintes sub-redes:
| Utilização da rede | Subrede | Descrição | Exemplo |
|---|---|---|---|
| Rede VMware NSX | /27 | Rede NSX Manager. | 10.31.0.0/27 |
| Rede vCSA | /27 | Rede vCenter Server. | 10.31.0.32/27 |
| AVS-MGMT | /27 | Os dispositivos de gerenciamento (vCenter Server e NSX manager) estão por trás da sub-rede "avs-mgmt", programada como intervalos de IP secundários nessa sub-rede. | 10.31.0.64/27 |
| avs-vnet-sync | /27 | Usado pelo Azure VMware Solution Gen 2 para programar rotas criadas no VMware NSX na rede virtual. | 10.31.0.96/27 |
| AVS Serviços | /27 | Usado para serviços de provedor do Azure VMware Solution Gen 2. Também utilizado para configurar a resolução DNS privada para a sua nuvem privada. | 10.31.0.160/27 |
| AVS-NSX-GW, AVS-NSX-GW-1 | /28 | Sub-redes de cada um dos gateways T0 em cada extremidade. Essas sub-redes são usadas para programar segmentos de rede VMware NSX como endereços IPs secundários. | 10.31.0.224/28, 10.31.0.240/28 |
| ESX-MGMT-VMK1 | /24 | vmk1 é a interface de gerenciamento usada pelos clientes para acessar o host. IPs da interface vmk1 vêm dessas sub-redes. Todo o tráfego de vmk1 para todos os hosts vem desta gama de sub-redes. | 10.31.1.0/24 |
| esx-vmotion-vmk2 | /24 | Interfaces de vMotion do VMkernel | 10.31.2.0/24 |
| ESX-VSAN-VMK3 | /24 | Interfaces vSAN VMkernel e comunicação de nós. | 10.31.3.0/24 |
| Rede VMware HCX | /22 | Rede VMware HCX | 10.31.4.0/22 |
| Reservado | /27 | Espaço reservado. | 10.31.0.128/27 |
| Reservado | /27 | Espaço reservado. | 10.31.0.192/27 |
Observação
Para as implementações do Azure VMware Solution Gen 2, os clientes devem agora alocar uma sub-rede /22 adicional para a gestão e o uplink do HCX, além da sub-rede /22 já configurada durante a implementação do SDDC. Este /22 adicional não é necessário para a Gen 1.
Próximos passos
Comece por configurar o principal de serviço da solução Azure VMware como um pré-requisito. Para saber como, consulte o guia rápido Ativação do principal de serviço do Azure VMware Solution.
Siga um tutorial para criar uma nuvem privada do Azure VMware Gen 2