Azure VMware 解决方案的网络拓扑和连接

将 VMware 软件定义的数据中心（SDDC）与 Azure 云生态系统配合使用时，对于云原生和混合方案，需要遵循一组独特的设计注意事项。 本文提供了 Azure 和 Azure VMware 解决方案 部署之间及其内部的网络连接的关键注意事项和最佳实践。

本文基于多个云采用框架 企业规模落地区域 的架构原则和建议，用于规模化管理网络拓扑和连接。 可以将此 Azure 落地区域设计指南用于关键任务的 Azure VMware 解决方案平台。 设计领域包括：

• 用于本地、多云、边缘和全局用户之间的连接的混合集成。 有关详细信息，请参阅 混合和多云的企业规模支持。
• 大规模性能和可靠性，为工作负载提供一致、低延迟的体验和可伸缩性。 后续文章介绍了 双重区域部署。
• 基于零信任的网络安全，用于网络边界及流量安全。 有关详细信息，请参阅 Azure 上的网络安全策略。
• 扩展性，可轻松扩展网络的覆盖范围，无需进行任何设计返工。

常规设计注意事项和建议

以下部分提供了 Azure VMware 解决方案网络拓扑和连接的常规设计注意事项和建议。

中心辐射型与虚拟 WAN 网络拓扑

如果没有从本地到 Azure 的 ExpressRoute 连接，而是使用 S2S VPN，则可以使用虚拟 WAN 在本地 VPN 与 Azure VMware 解决方案 ExpressRoute 之间传输连接。 如果使用中心辐射拓扑，则需要 Azure 路由服务。 有关详细信息，请参阅 对 ExpressRoute 和 Azure VPN 的 Azure 路由服务器支持。

私有云和群集

• 所有群集都可以在 Azure VMware 解决方案私有云中通信，因为它们共享相同的 /22 地址空间。

• 所有群集共享相同的连接设置，包括 Internet、ExpressRoute、HCX、公共 IP 和 ExpressRoute Global Reach。 应用程序工作负荷还可以共享一些基本网络设置，例如网络段、动态主机配置协议（DHCP）和域名系统（DNS）设置。

• 在部署之前提前设计私有云和群集。 所需的私有云数量直接影响网络要求。 每个私有云都需要自己的 /22 地址空间，用于私有云管理和VM 工作负荷的 IP 地址段。 请考虑提前定义这些地址空间。

• 与 VMware 和网络团队讨论如何细分和分发工作负载的私有云、群集和网络段。 规划好并避免浪费 IP 地址。

有关管理私有云 IP 地址的详细信息，请参阅 定义私有云管理的 IP 地址段。

有关管理 VM 工作负荷 IP 地址的详细信息，请参阅 定义 VM 工作负荷的 IP 地址段。

DNS 和 DHCP

对于 DHCP，请使用内置于 NSX-T 数据中心的 DHCP 服务，或使用私有云中的本地 DHCP 服务器。 不要将广播 DHCP 流量路由回本地网络。

对于 DNS，根据采用的方案和要求，有多个选项：

• 仅适用于 Azure VMware 解决方案环境，可以在 Azure VMware 解决方案私有云中部署新的 DNS 基础结构。
• 对于连接到本地环境的 Azure VMware 解决方案，可以使用现有的 DNS 基础结构。 如有必要，请部署 DNS 转发器以扩展到 Azure 虚拟网络，或者最好是部署到 Azure VMware 解决方案。 有关详细信息，请参阅 添加 DNS 转发器服务。
• 对于连接到本地和 Azure 环境和服务的 Azure VMware 解决方案，可以使用中心虚拟网络中的现有 DNS 服务器或 DNS 转发器（如果可用）。 还可以将现有的本地 DNS 基础结构扩展到 Azure 中心虚拟网络。 有关详细信息，请参阅 企业规模登陆区域图。

如需了解更多信息，请参阅以下文章：

• DHCP 和 DNS 解析注意事项
• 配置适用于 Azure VMware 解决方案的 DHCP
• 在 L2 扩展 VMware HCX 网络上配置 DHCP
• 在 Azure 门户中配置 DNS 转发器

互联网

用于启用 Internet 以及筛选和检查流量的出站选项包括：

• 使用 Azure Internet 访问的 Azure 虚拟网络、NVA 和 Azure 路由服务器。
• 使用本地 Internet 访问的本地默认路由。
• 使用 Azure 防火墙或 NVA 的虚拟 WAN 安全枢纽，使用 Azure 互联网访问。

用于传送内容和应用程序的入站选项包括：

• 具有 L7、安全套接字层 (SSL) 终止和 Web 应用程序防火墙的 Azure 应用程序网关。
• 本地的 DNAT 和负载均衡器。
• 各种方案中的 Azure 虚拟网络、NVA 和 Azure 路由服务器。
• 具有 Azure 防火墙、L4 和 DNAT 的虚拟 WAN 安全中心。
• 各种方案中具有 NVA 的受保护的虚拟 WAN 中心。

ExpressRoute

Azure VMware 解决方案现成的私有云部署会自动创建一条免费的 10 Gbps ExpressRoute 线路。 此线路将 Azure VMware 解决方案连接到 D-MSEE。

请考虑在数据中心附近的 Azure 配对区域中部署 Azure VMware 解决方案。 有关 Azure VMware 解决方案的双区域网络拓扑的建议，请查看 本文 。

Global Reach

• Global Reach 是 Azure VMware 解决方案与本地数据中心、Azure 虚拟网络和虚拟 WAN 通信所必需的 ExpressRoute 加载项。 另一种方法是设计与 Azure 路由服务器的网络连接。

• 您可以使用 Global Reach 免费将 Azure VMware 解决方案的 ExpressRoute 线路与其他 ExpressRoute 线路互联。

• 可通过 ISP 将 Global Reach 用于 ExpressRoute 线路对等互连，也可将其用于 ExpressRoute Direct 线路。

• ExpressRoute Local 线路不支持 Global Reach。 对于 ExpressRoute Local，通过 Azure 虚拟网络中的第三方 NVA 从 Azure VMware 解决方案传输到本地数据中心。

• Global Reach 在所有位置都不可用。

带宽

为 Azure VMware 解决方案和 Azure 虚拟网络之间的最佳带宽选择适当的 虚拟网络网关 SKU 。 Azure VMware 解决方案最多支持 四条 ExpressRoute 线路 到一个区域中的 ExpressRoute 网关。

网络安全

网络安全涉及流量检查和端口镜像。

SDDC 中的东西流量检查使用 NSX-T 数据中心或 NVA 来检查跨区域流向 Azure 虚拟网络的流量。

North-South 流量检查 检查 Azure VMware 解决方案与数据中心之间的双向流量流。 南北交通检查可以使用以下工具：

• 第三方防火墙 NVA 和 Azure 路由服务器（通过 Azure Internet）。
• 本地默认路由（通过本地 Internet）。
• Azure 防火墙和虚拟 WAN（通过 Azure Internet）
• SDDC 中的 NSX-T 数据中心（通过 Azure VMware 解决方案 Internet）。
• SDDC 内 Azure VMware 解决方案中的第三方防火墙 NVA（通过 Azure VMware 解决方案 Internet）

端口和协议要求

为本地防火墙配置所有必要的端口，以确保正确访问所有 Azure VMware 解决方案私有云组件。 有关详细信息，请参阅 所需的网络端口。

Azure VMware 解决方案管理访问权限

• 请考虑在 Azure 虚拟网络中使用 Azure Bastion 主机在部署期间访问 Azure VMware 解决方案环境。

• 建立到本地环境的路由后，Azure VMware 解决方案管理网络不采用来自本地网络的 0.0.0.0/0 路由，因此需要为本地网络播发更具体的路由。

业务连续性、灾难恢复（BCDR）和迁移

• 在 VMware HCX 迁移中，默认网关保留在本地。 有关详细信息，请参阅 部署和配置 VMware HCX。

• VMware HCX 迁移可以使用 HCX L2 扩展。 需要第 2 层扩展的迁移也需要 ExpressRoute。 只要满足最基本的网络要求，就能支持 S2S VPN。 最大传输单元（MTU）大小应为 1350，以适应 HCX 的开销。 有关第 2 层扩展设计的详细信息，请参阅管理器模式下的第 2 层桥接（VMware.com）。

后续步骤

• 若要详细了解中心和分支网络中的 Azure VMware 解决方案，请参阅在中心和分支体系结构中集成 Azure VMware 解决方案。

• 有关 VMware NSX-T 数据中心网段的详细信息，请参阅 使用 Azure VMware 解决方案配置 NSX-T 数据中心网络组件。

• 若要了解云采用框架企业规模登陆区域体系结构原则、各种设计注意事项和 Azure VMware 解决方案的最佳做法，请参阅本系列中的下一篇文章：

  单一区域中心辐射型拓扑