Azure VMware 解决方案第 2 代私有云的设计注意事项

本文概述了 Azure VMware 解决方案第 2 代（第 2 代）私有云的关键设计注意事项。 它解释了这一代为基于 VMware 的私有云环境提供的功能，使应用程序能够从本地基础结构和基于 Azure 的资源访问。 在设置 Azure VMware 解决方案第 2 代私有云之前，需要考虑几个注意事项。 本文提供使用私有云类型时可能遇到的用例的解决方案。

局限性

在此期间，以下功能受到限制。 将来将取消这些限制：

1. 无法删除包含私有云的资源组。 必须先删除私有云，然后才能删除资源组。

2. 每个 Azure 虚拟网络只能部署 1 个私有云。

3. 每个资源组只能创建 1 个私有云。 不支持单个资源组中的多个私有云。

4. 私有云和私有云的虚拟网络必须位于相同的资源组中。

5. 创建私有云后，无法将私有云从一个资源组 移到 另一个资源组。

6. 私有云创建完成后，无法将其从一个租户迁移到另一个租户。

7. 不支持从 Azure VMware 解决方案工作负载直接连接服务终结点。

8. 在连接到 Azure VMware 解决方案的跨区域全局对等互连环境中，不支持使用专用终结点。

9. 支持使用专用终结点的vCloud 控制器。 但是，vCloud Director 不支持使用公共终结点。

10. 不支持 vSAN 拉伸群集。

11. 不支持将公共 IP 向下连接到 VMware NSX Microsoft Edge 以配置 Internet。 可以在“Internet 访问选项”中找到支持哪些 Internet 选项。

12. 在 SDDC 的前四个主机中的任何一个发生计划外维护（例如主机硬件故障）时，某些工作负载可能会出现暂时的北-南网络连接中断，持续时间最长可达 30 秒。 North-South 连接是指 AVS VMware 工作负荷与外部终结点之间的流量，这些流量超出了 NSX-T 第 0 层 （T0） Edge，例如 Azure 服务或本地环境。

13. 与私有云主机虚拟网络关联的网络安全组必须在与私有云及其虚拟网络相同的资源组中创建。

14. 默认情况下不支持从客户虚拟网络到 Azure VMware 解决方案虚拟网络的跨资源组和跨订阅引用。 其中包括以下资源类型：用户定义路由 (UDR)、DDoS 防护计划和其他链接的网络资源。 如果客户的虚拟网络与某个引用相关联，而该引用位于与 Azure VMware 解决方案虚拟网络不同的资源组或订阅中，则网络编程（例如 NSX 段传播）可能会失败。 为了避免问题，客户必须确保 Azure VMware 解决方案虚拟网络未链接到其他资源组或订阅中的资源，并在继续作之前从虚拟网络中分离此类资源（例如 DDoS 保护计划）。

    • 若要维护跨资源组引用，请从跨资源组或订阅中创建角色分配，并向“AzS VIS Prod 应用”授予“AVS on Fleet VIS 角色”。 通过角色分配，可以使用参考并将其正确应用于 Azure VMware 解决方案的私有云。

15. 如果 Azure 的某些策略对网络安全组或路由表（例如，特定的命名规则）实施了严格限制，那么 Gen 2 私有云部署可能会失败。 这些政策限制可能会在部署过程中阻碍 Azure VMware 解决方案网络安全组和路由表的创建。 在部署私有云之前，必须从 Azure VMware 解决方案虚拟网络中删除这些策略。 部署私有云后，可将这些策略添加回 Azure VMware 解决方案私有云。

16. 如果对 Azure VMware 解决方案第 2 代私有云使用专用 DNS，则不支持在部署 Azure VMware 解决方案第 2 代私有云的虚拟网络上使用自定义 DNS。 自定义 DNS 中断生命周期操作，例如缩放、升级和修补。

17. 如果要 删除 私有云，并且不会删除某些 Azure VMware 解决方案创建的资源，则可以使用 Azure CLI 重试删除 Azure VMware 解决方案私有云。

18. Azure VMware 解决方案第 2 代使用 HTTP 代理来区分客户和管理网络流量。 某些 VMware 云服务终结点 可能不遵循与常规 vCenter 托管流量相同的网络路径或代理规则。 示例包括：“scapi.vmware”和“apigw.vmware”。 VAMI 代理控制 vCenter 服务器设备（VCSA）的常规出站 Internet 访问，但并非所有服务终结点交互都流经此代理。 某些交互直接源自用户的浏览器或集成组件，并遵循工作站的代理设置或独立发起连接。 因此，发到 VMware 云服务终结点的流量可能会完全绕过 VCSA 代理。

不支持的集成

不支持以下第一方和第三方集成：

• Zerto DR

第 2 代的委托子网和网络安全组

部署 Azure VMware 解决方案（AVS）第 2 代私有云时，Azure 会自动在私有云的主机虚拟网络中创建多个委托子网。 这些子网用于隔离和保护私有云的管理组件。

客户可以使用 Azure 门户或 Azure CLI/PowerShell 中显示的网络安全组（NSG）管理对这些子网的访问。 除了客户可管理的 NSG 之外，AVS 还向关键管理接口应用了其他系统管理的 NSG。 这些系统管理的 NSG 不可供客户查看或编辑，并且存在以确保私有云在默认情况下保持安全。

作为默认安全状况的一部分：

• 除非客户明确启用 Internet 访问，否则私有云将禁用 Internet 访问。
• 仅允许所需的管理流量访问平台服务。

此设计可确保 AVS 环境是独立且安全的，同时仍允许客户根据其特定要求控制和自定义网络访问。

路由和子网注意事项

Azure VMware 解决方案第 2 代私有云提供可供本地和基于 Azure 的环境或资源的用户和应用程序访问的 VMware 私有云环境。 连接通过标准 Azure 网络提供。 需要特定的网络地址范围和防火墙端口才能启用这些服务。 本部分有助于配置网络以使用 Azure VMware 解决方案。

私有云使用标准 Azure 网络连接到 Azure 虚拟网络。 Azure VMware 解决方案 Gen2 私有云要求至少对子网使用 /22 CIDR 网络地址块。 该网络是对本地网络的补充，因此地址块不应与订阅和本地网络的其他虚拟网络中使用的地址块重叠。 在此地址块中，管理、vMotion 和复制网络会自动预配为虚拟网络中的子网。

避免使用以下为 VMware NSX 使用保留的 IP 架构：

• 169.254.0.0/24 - 用于内部传输网络
• 169.254.2.0/23 - 用于 VRF 间传输网络
• 100.64.0.0/16 - 用于在内部连接 T1 和 T0 网关
• 100.73.x.x – Microsoft 管理网络使用

示例 /22 CIDR 网络地址块 10.31.0.0/22 分为以下子网：

后续步骤

• 首先将 Azure VMware 解决方案服务主体配置为先决条件。 若要了解如何操作，请参阅启用 Azure VMware 解决方案服务主体快速入门。

• 请按照教程步骤，了解如何创建 Azure VMware Gen 2 私有云