Azure VMware 解決方案的運作方式
- 7 分鐘
在您了解 Azure VMware 解決方案的內容及其功用後,我們來看看它在 Azure 上的運作方式。
共用支援
內部部署 VMware vSphere 環境需要客戶支援執行平臺的所有硬體和軟體。 Azure VMware 解決方案不具備此功用。 Microsoft 會為客戶維護該平台。 讓我們來看看客戶負責管理的項目,以及 Microsoft 負責管理的項目。
在下表中:Microsoft 管理 = 藍色,客戶管理 = 灰色
與 VMware 合作,Microsoft涵蓋 VMware 軟體的生命週期管理(ESXi、vCenter Server 和 vSAN)。 Microsoft也與 VMware 合作,以便進行 NSX 設備的生命週期管理,以及初始化網路配置。 包括建立第0層閘道,並啟用南北路由。
客戶負責 NSX SDN 設定:
- 網路區段
- 分散式防火牆規則
- 第 1 層閘道
- 負載平衡器
監視和補救
Azure VMware 解決方案會持續監視基礎元件和 VMware 解決方案元件的健康情況。 如果 Azure VMware 解決方案偵測到失敗,它會修復失敗的元件。 當 Azure VMware 解決方案偵測到 Azure VMware 解決方案節點上的效能降低或發生失敗時,就會觸發主機補救程序。
主機補救牽涉到將故障的節點取代為叢集中狀況良好的新節點。 如此一來,故障的主機可能會放在 VMware vSphere 維修模式。 VMware vMotion 會將 VM 從故障的主機移至叢集中的其他可用伺服器,從而讓工作負載即時移轉的零停機時間有機會實現。 如果故障的主機無法放在維修模式中,則會將主機從叢集中移除。
Azure VMware 解決方案會監視主機上的下列情況:
- 處理器狀態
- 記憶體狀態
- 連接和電源狀態
- 硬體風扇狀態
- 網路連線能力遺失
- 硬體系統面板狀態
- vSAN 主機的磁碟發生錯誤
- 硬體電壓
- 硬體溫度狀態
- 硬體電源狀態
- 儲存體狀態
- 連線失敗
Azure 中的私人雲端、叢集和主機
Azure VMware 解決方案在 Azure 專用硬體上提供 VCF 私有雲。
每個私人雲端可以有多個叢集由相同的 vCenter Server 和 NSX Manager 管理。 私人雲端是透過 Azure 訂用帳戶內進行安裝和管理。 訂用帳戶內的私人雲端數目是可調整的。
每個建立的私人雲端依預設都有一個 vSphere 叢集。 您可以使用 Azure 入口網站或使用 API,來新增、刪除及調整叢集。 Microsoft 會依據核心、記憶體和儲存需求,提供節點設定。 選擇適合您區域的節點類型;最常見的選擇是AV36P。
節點設定的上下限為:
- 一個叢集至少三個節點
- 一個叢集最多 16 個節點
- Azure VMware 解決方案私人雲端中最多 12 個叢集
- Azure VMware 解決方案私人雲端中最多 96 個節點
下表顯示可用 AVS 主機的 CPU、記憶體、磁碟和網路規格:
| 主機類型 | CPU | RAM | vSAN 快取層 | vSAN 容量 |
|---|---|---|---|---|
| AV36P | 雙 Intel Xeon Gold 6240 CPU,18 核心/CPU @ 2.6 GHz / 3.9 GHz Turbo。 總共36個實體核心。 | 768 GB | 1.5 TB (Intel Cache) | 19.20 TB(NVMe) |
| AV48 | 兩顆 Intel Xeon Gold 6442Y CPU,24 核心/每顆 CPU,2.6 GHz / 4.0 GHz 加速。 總共有 48 個實體核心。 | 1,024 吉位元組 | N/A | 25.6 TB(NVMe) |
| AV52 | 雙 Intel Xeon Platinum 8270 CPU,26 核心/CPU @ 2.7 GHz / 4.0 GHz Turbo。 總共52個實體核心。 | 1,536 GB | 1.5 TB (Intel Cache) | 38.40 TB (NVMe) |
| AV64* | 雙 Intel Xeon Platinum 8370C CPU,32 核心/CPU @ 2.8 GHz / 3.5 GHz Turbo。 總共64個實體核心。 | 1,024 吉位元組 | 3.84 TB (NVMe) | 15.36 TB (NVMe) |
(*)在 AVS 第一代中,必須先部署 AV36P、AV48 或 AV52 的 Azure VMware 解決方案私有雲,才能加入 AV64 主機。 在 AVS 第二代中,AV64 可以單獨部署。
您可以使用 vSphere 和 NSX Manager 來管理叢集設定或作業的大部分層面。 叢集中每部主機的所有本機儲存體都受到 vSAN 的控制。 解決方案中每部 ESXi 主機都設定了四個 25-Gbps 的 NIC、為 ESXi 系統流量佈建的兩個 NIC,以及為工作負載流量佈建的兩個 NIC。
在 Azure VMware 解決方案中新部署私人雲端叢集中使用的 VMware 軟體版本如下:
| 軟體 | 版本 |
|---|---|
| VMware vCenter 伺服器 | 7.0 U3o |
| ESXi | 7.0 U3o |
| vSAN | 7.0 U3 |
| vSAN 磁碟上的格式 | 15 |
| HCX | 4.8.2 |
| VMware NSX | 4.1.1 |
NSX-T 是唯一受支援的 NSX 版本。 將新的叢集新增至現有的私人雲端時,會套用目前執行中的軟體版本。
Azure 的互連能力
Azure VMware 解決方案的私人雲端環境可以從內部部署和 Azure 型資源存取。 下列服務提供互連能力:
- Azure ExpressRoute
- VPN 連線
- Azure Virtual WAN
- Azure ExpressRoute 閘道
下圖顯示 Azure VMware 解決方案的 ExpressRoute 和 ExpressRoute Global Reach 互連能力方法。
這些服務需要您啟用特定的網路位址範圍和防火牆連接埠。
如果現有的 ExpressRoute 閘道未超過每個虛擬網路四個 ExpressRoute 線路的限制,您可以使用現有的 ExpressRoute 閘道來連線到 Azure VMware 解決方案。 若要透過 ExpressRoute 從內部部署存取 Azure VMware 解決方案,請使用 ExpressRoute Global Reach 作為慣用選項。 如果因為特定網路或安全性需求而無法使用或不適合,請考慮替代選項。
ExpressRoute Global Reach 可用來將私人雲端連線至內部部署環境。 連線需要虛擬網路,該網路具有訂用帳戶中內部部署的 ExpressRoute 線路。 Azure VMware 解決方案的私人雲端有兩個互連能力選項:
僅限 Azure 的基本互連能力可讓您在 Azure 中只使用單一虛擬網路來管理和使用私人雲端。 此實作最適合不需要從內部部署環境存取的 Azure VMware 解決方案評估或實作。
內部部署和私人雲端間的完整互連能力,可將僅限 Azure 的基本實作,擴展成包括內部部署與 Azure VMware 解決方案私人雲端之間的互連能力。
在部署私人雲端期間,會建立用於管理、布建和 vMotion 的專用網。 這些專用網可用來存取 vCenter Server 和 NSX-T Manager、虛擬機 vMotion 或虛擬機部署。
私人雲端記憶體
Azure VMware 解決方案會使用叢集本機的原生、完整設定的全快閃 VMware vSAN 儲存體。 叢集中每個主機的所有本機記憶體都會用於 VMware vSAN 數據存放區,且預設會啟用待用數據加密。
vSAN 原始記憶體架構會使用稱為磁碟群組的資源單位。 每個磁碟群組都包含快取區和容量層。 所有磁碟群組都會使用 NVMe 或 Intel 快取,如下表所述。 快取和容量層級的大小會根據 Azure VMware 解決方案主機類型而有所不同。 vSphere 叢集的每個節點上都會建立兩個磁碟群組。 每個磁碟群組都包含一個快取磁碟和三個容量磁碟。 在私人雲端部署過程中都會建立所有可立即使用的資料存放區。
| 主機類型 | vSAN 快取層 (TB,未經處理) | vSAN 容量層 (TB,原始) |
|---|---|---|
| AV36P | 1.5 (Intel 快取) | 19.20 (NVMe) |
| AV48 | N/A | 25.60 (NVMe) |
| AV52 | 1.5 (Intel 快取) | 38.40 (NVMe) |
| AV64 | 3.84 (NVMe) | 15.36 (NVMe) |
在 vSphere 叢集上建立原則並套用至 vSAN 資料存放區。 它會決定 VM 記憶體物件如何在 vSAN 資料存放區內布建和配置,以確保所需的服務層級。 若要維護服務等級協定,vSAN 資料存放區必須維持 25% 的備用容量。 此外,必須套用適用的 FTT(無法容忍)原則,才能維護 Azure VMware 解決方案的服務等級協定。 該變更會根據叢集大小。
您可以在私人雲端中執行的工作負載中使用 Azure 儲存體服務。 下圖顯示您可以搭配 Azure VMware 解決方案使用的一些可用記憶體服務。
安全性與合規性
Azure VMware 解決方案私人雲端會使用 vSphere 角色型存取控制,以實現存取和安全性。 您可以使用 LDAP 或 LDAPS,使用 CloudAdmin 角色在 Active Directory 中設定使用者和群組。
在 Azure VMware 解決方案中,vCenter Server 具有內建的本機使用者,稱為 cloudadmin ,指派給 cloudAdmin 角色。 cloudAdmin 角色具有 vCenter Server 許可權,與其他 VMware 雲端解決方案中的系統管理員許可權不同:
本地 CloudAdmin 使用者沒有權限將身分識別來源,例如內部部署的輕量型目錄存取通訊協定(LDAP)或安全 LDAP(LDAPS)伺服器,新增至 vCenter Server。 您可以使用執行命令來新增身分識別來源,並將 CloudAdmin 角色指派給使用者和群組。
在 Azure VMware 解決方案部署中,系統管理員無法存取系統管理員用戶帳戶。 系統管理員可以將 Active Directory 使用者和群組指派給 vCenter Server 上的 CloudAdmin 角色。
私人雲端用戶無法存取且無法設定Microsoft支援和管理的特定管理元件。 這些元件包括叢集、主機、資料存放區和分散式虛擬交換器等等。
Azure VMware 解決方案使用預設為開啟的待用資料加密,提供 vSAN 儲存體資料存放區的安全性。 加密是以金鑰管理服務 (KMS) 為基礎,並支援用於金鑰管理的 vCenter Server 作業。 金鑰會以加密方式儲存,並由 Azure Key Vault 主要金鑰包裝。 將主機從叢集中移除時,SSD 上的資料會立即失效。 下圖說明加密金鑰與 Azure VMware 解決方案之間的關聯性。
Azure VMware 解決方案的部署步驟
下表概述組織開始使用 Azure VMware 解決方案時所採取的步驟。
| 里程碑 | 步驟 |
|---|---|
| 方案 | 規劃部署 Azure VMware 解決方案: - 評估工作負載 - 判斷調整大小 - 找出主機 - 請求配額 - 判斷網路和連線能力 |
| 部署 | 部署及設定 Azure VMware 解決方案: - 註冊 Microsoft.AVS 資源提供者 - 建立 Azure VMware 解決方案私人雲端 - 使用 ExpressRoute 連線至 Azure 虛擬網路 - 驗證連線 |
| 連線至內部部署 | 在內部部署 ExpressRoute 線路中建立 ExpressRoute 授權金鑰: - 將私人雲端對等互連至內部部署 - 確認本端網路連線能力 您也可以使用其他連線選項。 |
| 部署及設定 VMWare HCX | 部署及設定 VMWare HCX: - 啟用 HCX 服務附加元件 - 下載 VMware HCX Connector OVA - 部署內部部署 VMware HCX OVA (VMware HCX Connector) - 啟動 VMware HCX Connector - 將內部部署 VMware HCX Connector 與 Azure VMware 解決方案 HCX 雲端管理員配對 - 設定互連 (網路設定檔、計算設定檔和服務網格) - 藉由檢查設備狀態和驗證移轉的可行性來完成設定 |