Azure VMware Çözümü, şirket içi ve Azure tabanlı ortamlardan veya kaynaklardan kullanıcılar ve uygulamalar tarafından erişilebilen bir VMware özel bulut ortamı sağlar. Bağlantı, Azure ExpressRoute ve VPN bağlantıları gibi ağ hizmetleri aracılığıyla sağlanır. Bu hizmetleri etkinleştirmek için belirli ağ adresi aralıkları ve güvenlik duvarı bağlantı noktaları gereklidir. Bu makale, ağınızı Azure VMware Çözümü ile çalışacak şekilde yapılandırmanıza yardımcı olur.
Bu öğreticide şunlar hakkında bilgi edinin:
- Sanal ağ ve ExpressRoute bağlantı hattıyla ilgili dikkat edilmesi gerekenler
- Yönlendirme ve alt ağ gereksinimleri
- Hizmetlerle iletişim kurmak için gerekli ağ bağlantı noktaları
- Azure VMware Çözümü’nde DHCP ve DNS ile ilgili dikkat edilmesi gerekenler
Önkoşullar
ExpressRoute sağlayıcısının hizmeti de dahil olmak üzere tüm ağ geçitlerinin 4 baytlık Otonom Sistem Numarası’nı (ASN) desteklediğinden emin olun. Azure VMware Çözümü, reklam yolları için 4 baytlık genel ASN’ler kullanır.
Sanal ağ ve ExpressRoute bağlantı hattıyla ilgili dikkat edilmesi gerekenler
Aboneliğinizde bir sanal ağ bağlantısı oluşturduğunuzda, ExpressRoute bağlantı hattı, Azure portal istediğiniz bir yetkilendirme anahtarı ve eşleme kimliği kullanılarak eşleme aracılığıyla kurulur. Eşleme, özel bulutunuz ile sanal ağ arasında özel, bire bir bağlantıdır.
Not
ExpressRoute bağlantı hattı özel bulut dağıtımının bir parçası değildir. Şirket içi ExpressRoute bağlantı hattı bu belgenin kapsamı dışındadır. Özel bulutunuza şirket içi bağlantıya ihtiyacınız varsa, mevcut ExpressRoute bağlantı hatlarınızdan birini kullanın veya Azure portal bir tane satın alın.
Özel bir bulut dağıtırken, vCenter Server ve NSX-T Yöneticisi için IP adresleri alırsınız. Bu yönetim arabirimlerine erişmek için aboneliğinizin sanal ağında daha fazla kaynak oluşturun. Öğreticilerde bu kaynakları oluşturma ve ExpressRoute özel eşlemesi oluşturma yordamlarını bulun.
Özel bulut mantıksal ağı, önceden sağlanmış bir NSX-T Veri Merkezi yapılandırması içerir. Katman 0 ağ geçidi ve Katman 1 ağ geçidi sizin için önceden sağlanır. Bir segment oluşturabilir ve bunu mevcut Katman 1 ağ geçidine ekleyebilir veya tanımladığınız yeni bir Katman 1 ağ geçidine ekleyebilirsiniz. NSX-T Veri Merkezi mantıksal ağ bileşenleri, iş yükleri arasında Doğu-Batı bağlantısı ve İnternet ile Azure hizmetlerine Kuzey-Güney bağlantısı sağlar.
Önemli
Azure NetApp Files veri depolarını kullanarak Azure VMware Çözümü konaklarınızı ölçeklendirmeyi planlıyorsanız, sanal ağı bir ExpressRoute sanal ağ geçidi ile konaklarınıza yakın bir şekilde dağıtmak çok önemlidir. Depolama alanı ana bilgisayarlarınıza ne kadar yakınsa, performans o kadar iyi olur.
Yönlendirme ve alt ağ ile ilgili dikkat edilmesi gerekenler
Azure VMware Çözümü özel bulut, Azure ExpressRoute bağlantısı kullanarak Azure sanal ağınıza bağlanır. Bu yüksek bant genişliğine ve düşük gecikme süreli bağlantı, Azure aboneliğinizde çalışan hizmetlere özel bulut ortamınızdan erişmenizi sağlar. Yönlendirme, Sınır Ağ Geçidi Protokolü’nü (BGP) kullanır, otomatik olarak sağlanır ve her özel bulut dağıtımı için varsayılan olarak etkinleştirilir.
Azure VMware Çözümü özel bulutlar, alt ağlar için en düşük CIDR ağ adresi bloğu gerektirir. Bu ağ şirket içi ağlarınızı tamamlar, bu nedenle adres bloğu aboneliğinizdeki ve şirket içi ağlarınızdaki diğer sanal ağlarda kullanılan adres bloklarıyla çakışmamalıdır. Yönetim, sağlama ve vMotion ağları bu adres bloğu içinde otomatik olarak sağlanır./22
Not
Adres bloğunuz için izin verilen aralıklar, 172.17.0.0/16 dışında RFC 1918 özel adres alanlarıdır (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).
Önemli
NSX-T Veri Merkezi kullanımı için ayrılmış aşağıdaki IP şemalarını kullanmaktan kaçının:
- 169.254.0.0/24 – iç transit ağ için kullanılır
- 169.254.2.0/23 – VRF’ler arası geçiş ağı için kullanılır
- 100.64.0.0/16 – T1 ve T0 ağ geçitlerini dahili olarak bağlamak için kullanılır
Örnek CIDR ağ adresi bloğu: /2210.10.0.0/22
Alt ağlar:
Tabloyu genişlet
Ağ kullanımı | Tarif | Alt ağ | Örnek |
---|---|---|---|
Özel bulut yönetimi | Yönetim Ağı (vCenter, NSX-T gibi) | /26 | 10.10.0.0/26 |
HCX Yönetim Geçişleri | HCX cihazları için yerel bağlantı (aşağı bağlantılar) | /26 | 10.10.0.64/26 |
Küresel Erişim Saklıdır | ExpressRoute için giden arabirim | /26 | 10.10.0.128/26 |
NSX-T Veri Merkezi DNS Hizmeti | Yerleşik NSX-T DNS Hizmeti | /32 | 10.10.0.192/32 |
Ayrılmış | Ayrılmış | /32 | 10.10.0.193/32 |
Ayrılmış | Ayrılmış | /32 | 10.10.0.194/32 |
Ayrılmış | Ayrılmış | /32 | 10.10.0.195/32 |
Ayrılmış | Ayrılmış | /30 | 10.10.0.196/30 |
Ayrılmış | Ayrılmış | /29 | 10.10.0.200/29 |
Ayrılmış | Ayrılmış | /28 | 10.10.0.208/28 |
ExpressRoute eşlemesi | ExpressRoute Eşlemesi | /27 | 10.10.0.224/27 |
ESXi Yönetimi | ESXi yönetimi VMkernel arabirimleri | /25 | 10.10.1.0/25 |
vMotion Ağı | vMotion VMkernel arayüzleri | /25 | 10.10.1.128/25 |
Replikasyon Ağı | vSphere Replikasyon arabirimleri | /25 | 10.10.2.0/25 |
vSAN (Sanal Teknoloji) | vSAN VMkernel arayüzleri ve düğüm iletişimi | /25 | 10.10.2.128/25 |
HCX yukarı bağlantısı | HCX IX ve NE cihazları için uzak eşlere yukarı bağlantılar | /26 | 10.10.3.0/26 |
Ayrılmış | Ayrılmış | /26 | 10.10.3.64/26 |
Ayrılmış | Ayrılmış | /26 | 10.10.3.128/26 |
Ayrılmış | Ayrılmış | /26 | 10.10.3.192/26 |
Gerekli ağ bağlantı noktaları
Tabloyu genişlet
Kaynak | Hedef | Protokol | Liman | Tarif |
---|---|---|---|---|
Özel Bulut DNS sunucusu | Şirket içi DNS Sunucusu | UDP | 53 | DNS İstemcisi – Şirket içi DNS sorguları için Özel Bulut vCenter Server’dan gelen istekleri iletin (DNS bölümüne bakın). |
Şirket içi DNS Sunucusu | Özel Bulut DNS sunucusu | UDP | 53 | DNS İstemcisi – Şirket içi hizmetlerden gelen istekleri Özel Bulut DNS sunucularına iletin (DNS bölümüne bakın)) |
Şirket içi ağ | Özel Bulut vCenter Server | TCP (HTTP) | 80 | vCenter Server, doğrudan HTTP bağlantıları için 80 numaralı bağlantı noktası gerektirir. Bağlantı noktası 80, istekleri HTTPS bağlantı noktası 443’e yönlendirir. Bu yeniden yönlendirme, yerine kullanırsanız yardımcı olur.http://serverhttps://server |
Özel Bulut yönetim ağı | Şirket içi Active Directory | TCP | 389/636 | Azure VMware Çözümleri vCenter Server’ın şirket içi Active Directory/LDAP sunucularıyla iletişim kurmasını sağlayın. Şirket içi AD’yi Özel Bulut vCenter’da kimlik kaynağı olarak yapılandırmak için isteğe bağlıdır. Güvenlik amacıyla 636 numaralı bağlantı noktası önerilir. |
Özel Bulut yönetim ağı | Şirket içi Active Directory Genel Kataloğu | TCP | 3268/3269 | Azure VMware Çözümleri vCenter Server’ın şirket içi Active Directory/LDAP genel katalog sunucularıyla iletişim kurmasını sağlayın. Şirket içi AD’yi Özel Bulut vCenter Server’da kimlik kaynağı olarak yapılandırmak için isteğe bağlıdır. Güvenlik için 3269 numaralı bağlantı noktasını kullanın. |
Şirket içi ağ | Özel Bulut vCenter Server | TCP (HTTPS) | 443 | Şirket içi ağdan vCenter Server’a erişin. vCenter Server’ın vSphere İstemcisi bağlantılarını dinlemesi için varsayılan bağlantı noktası. vCenter Server sisteminin vSphere İstemcisi’nden veri almasını sağlamak için güvenlik duvarında 443 numaralı bağlantı noktasını açın. vCenter Server sistemi, SDK istemcilerinden veri aktarımını izlemek için 443 numaralı bağlantı noktasını da kullanır. |
Şirket içi ağ | HCX Bulut Yöneticisi | TCP (HTTPS) | 9443 | HCX sistem yapılandırması için HCX Cloud Manager sanal gereç yönetim arabirimi. |
Şirket İçi Yönetici Ağı | HCX Bulut Yöneticisi | SSH (SSH) | 22 | HCX Cloud Manager sanal gerecine yönetici SSH erişimi. |
HCX Yöneticisi | Ara bağlantı (HCX-IX) | TCP (HTTPS) | 8123 | HCX Toplu Geçiş Denetimi. |
HCX Yöneticisi | Ara Bağlantı (HCX-IX), Ağ Uzantısı (HCX-NE) | TCP (HTTPS) | 9443 | REST API’yi kullanarak yerel HCX Bağlantısı’na yönetim yönergeleri gönderin. |
Ara bağlantı (HCX-IX) | L2C (L2C) | TCP (HTTPS) | 443 | L2C, Ara Bağlantı ile aynı yolu kullandığında, Ara Bağlantı’dan L2C’ye yönetim talimatları gönderin. |
HCX Yöneticisi, Ara Bağlantı (HCX-IX) | ESXi Ana Bilgisayarları | TCP | 80,443,902 | Yönetim ve OVF dağıtımı. |
Kaynakta Ara Bağlantı (HCX-IX), Ağ Uzantısı (HCX-NE) | Hedefte Ara Bağlantı (HCX-IX), Ağ Uzantısı (HCX-NE) | UDP | 4500 | Çift yönlü tünel için iş yüklerini kapsüllemek üzere IPSEC İnternet anahtarı değişimi (IKEv2) için gereklidir. Ağ Adresi Çeviri-Geçişini (NAT-T) destekler. |
Şirket İçi Ara Bağlantı (HCX-IX) | Bulut Ara Bağlantısı (HCX-IX) | UDP | 500 | Çift yönlü tünel için IPSEC Internet Anahtar Değişimi (ISAKMP) için gereklidir. |
Şirket içi vCenter Server ağı | Özel Bulut yönetim ağı | TCP | 8000 | VM’lerin şirket içi vCenter Server’dan Özel Bulut vCenter Server’a taşınması |
HCX Bağlayıcı | connect.hcx.vmware.com hybridity.depot.vmware.com |
TCP | 443 | connect lisans anahtarını doğrulamak için gereklidir. güncellemeler için gereklidir.hybridity |
Bu tabloda, tipik senaryolar için ortak güvenlik duvarı kuralları gösterilmektedir. Ancak, güvenlik duvarı kurallarını yapılandırırken daha fazla öğeyi göz önünde bulundurmanız gerekebilir. Kaynak ve hedef “şirket içi” dediğinde, bu bilgilerin yalnızca veri merkezinizde akışları inceleyen bir güvenlik duvarı varsa geçerli olduğunu unutmayın. Şirket içi bileşenlerinizde inceleme için bir güvenlik duvarı yoksa, bu kuralları yoksayabilirsiniz.
Daha fazla bilgi için VMware HCX bağlantı noktası gereksinimlerinin tam listesine bakın.
DHCP ve DNS çözümlemesi ile ilgili dikkat edilmesi gerekenler
Özel bulut ortamında çalışan uygulamalar ve iş yükleri, arama ve IP adresi atamaları için ad çözümlemesi ve DHCP hizmetleri gerektirir. Bu hizmetleri sağlamak için uygun bir DHCP ve DNS altyapısı gereklidir. Bu hizmetleri özel bulut ortamınızda sağlamak için bir sanal makine yapılandırabilirsiniz.
NSX-T Veri Merkezi’nde yerleşik olarak bulunan DHCP hizmetini kullanın veya WAN üzerinden yayın DHCP trafiğini şirket içine geri yönlendirmek yerine özel bulutta yerel bir DHCP sunucusu kullanın.