你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文概述了 Azure VMware 解决方案第 2 代(第 2 代)私有云的关键设计注意事项。 它解释了这一代为基于 VMware 的私有云环境提供的功能,使应用程序能够从本地基础结构和基于 Azure 的资源访问。 在设置 Azure VMware 解决方案第 2 代私有云之前,需要考虑几个注意事项。 本文提供使用私有云类型时可能遇到的用例的解决方案。
注释
第 2 代在特定 Azure 公共区域中可用。 SLA 特定于区域。 请联系Microsoft帐户团队或Microsoft支持部门确认覆盖范围。
局限性
在此期间,以下功能受到限制。 将来将取消这些限制:
- 不能删除包含私有云的 资源组。 必须先删除私有云,然后才能删除资源组。
- 每个 Azure 虚拟网络只能部署 1 个私有云。
- 每个资源组只能创建 1 个私有云。 不支持单个资源组中的多个私有云。
- 私有云和虚拟网络必须位于 同一 资源组中。
- 创建私有云后,无法将私有云从一个资源组 移到 另一个资源组。
- 创建私有云后,无法将私有云从一个租户 移到 另一个租户。
- 不支持从 Azure VMware 解决方案工作负载直接连接服务终结点。
- 仅支持 Azure NetApp 文件的主机级装载。 不支持直接从 Azure VMware 解决方案虚拟机进行装载。
- 支持使用专用终结点的 vCloud 控制器。 但是,vCloud Director 不支持使用公共终结点。
- 不支持 vSAN 拉伸群集。
- 不支持将公共 IP 向下连接到 VMware NSX Microsoft Edge 以配置 Internet。 可以在 Internet 连接选项中找到哪些 Internet 选项受支持。
- 在 SDDC 的前四台主机中的任何一个计划 外维护 (如主机硬件故障)期间,可能会遇到一些工作负荷的临时 North-South 网络连接中断,持续长达 30 秒。 North-South 连接是指 AVS VMware 工作负荷与外部终结点之间的流量,这些流量超出了 NSX-T 第 0 层(T0) Edge,例如 Azure 服务或本地环境。
- 与私有云主机虚拟网络关联的网络安全组必须在与私有云及其虚拟网络相同的资源组中创建。
- 默认情况下不支持从客户虚拟网络到 Azure VMware 解决方案虚拟网络的跨资源组引用。 这包括资源类型,例如:用户定义的路由(UDR)、DDoS 保护计划和其他链接的网络资源。 如果客户虚拟网络与某个位于与 Azure VMware 解决方案虚拟网络不同资源组的参考相关联,则网络编程(例如 NSX 段传播)可能会失败。 为了避免问题,客户必须确保 Azure VMware 解决方案虚拟网络未链接到其他资源组中的资源,并在继续作之前从虚拟网络中分离此类资源(例如 DDoS 保护计划)。
- 若要维护跨资源组引用,请从跨资源组创建角色分配,并为“AzS VIS Prod 应用”提供“Fleet VIS 角色上的 AVS”。 通过角色分配,可以使用参考并将其正确应用于 Azure VMware 解决方案的私有云。
- 如果强制实施网络安全组或路由表严格规则(例如特定命名约定)的 Azure 策略,则第 2 代私有云部署可能会失败。 这些策略约束可以阻止所需的 Azure VMware 解决方案网络安全组,并在部署期间路由表创建。 在部署私有云之前,必须从 Azure VMware 解决方案虚拟网络中删除这些策略。 部署私有云后,可将这些策略添加回 Azure VMware 解决方案私有云。
- 如果对 Azure VMware 解决方案第 2 代私有云使用 专用 DNS ,则不支持在部署 Azure VMware 解决方案第 2 代私有云的虚拟网络上使用 自定义 DNS 。 自定义 DNS 中断生命周期作,例如缩放、升级和修补。
- 如果要删除私有云,并且不会删除某些 Azure VMware 解决方案创建的资源,则可以使用 Azure CLI 重试删除 Azure VMware 解决方案私有云。
不支持的集成
以下第一方和第三方集成不可用:
- Zerto DR
- JetStream DR
路由和子网注意事项
Azure VMware 解决方案第 2 代私有云提供可供本地和基于 Azure 的环境或资源的用户和应用程序访问的 VMware 私有云环境。 连接通过标准 Azure 网络提供。 需要特定的网络地址范围和防火墙端口才能启用这些服务。 本部分有助于配置网络以使用 Azure VMware 解决方案。
私有云使用标准 Azure 网络连接到 Azure 虚拟网络。 Azure VMware 解决方案 Gen2 私有云要求至少对子网使用 /22 CIDR 网络地址块。 该网络是对本地网络的补充,因此地址块不应与订阅和本地网络的其他虚拟网络中使用的地址块重叠。 管理、vMotion 和复制网络会自动在此地址块中预配为虚拟网络中的子网。
注释
地址块的允许范围为 RFC 1918 专用地址空间(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),172.17.0.0/16 除外。 复制网络不适用于 AV64 节点,并计划在未来某个日期整体停止使用。
避免使用以下为 VMware NSX 使用保留的 IP 架构:
- 169.254.0.0/24 - 用于内部传输网络
- 169.254.2.0/23 - 用于 VRF 间传输网络
- 100.64.0.0/16 - 用于在内部连接 T1 和 T0 网关
- 100.73.x.x – Microsoft 管理网络使用
示例 /22 CIDR 网络地址块 10.31.0.0/22 分为以下子网:
| 网络使用情况 | 子网 | 说明 | 示例 |
|---|---|---|---|
| VMware NSX 网络 | /27 | NSX 管理器网络。 | 10.31.0.0/27 |
| vCSA 网络 | /27 | vCenter Server 网络。 | 10.31.0.32/27 |
| avs-mgmt | /27 | 管理设备(vCenter Server 和 NSX 管理器)位于“avs-mgmt”子网后面,该子网被配置为在此子网上的辅助 IP 范围。 | 10.31.0.64/27 |
| avs-vnet-sync | /27 | Azure VMware 解决方案第 2 代用于将 VMware NSX 中创建的路由编程到虚拟网络中。 | 10.31.0.96/27 |
| avs-services | /27 | 用于 Azure VMware 解决方案第二代提供者服务。 还用于为私有云配置专用 DNS 解析。 | 10.31.0.160/27 |
| avs-nsx-gw、avs-nsx-gw-1 | /28 | 每个边缘的各 T0 网关的子网。 这些子网用于将 VMware NSX 网段编程为辅助 IP 地址。 | 10.31.0.224/28, 10.31.0.240/28 |
| esx-mgmt-vmk1 | /24 | vmk1 是客户用于访问主机的管理接口。 来自 vmk1 接口的 IP 来自这些子网。 所有主机的所有 vmk1 流量都来自此子网范围。 | 10.31.1.0/24 |
| esx-vmotion-vmk2 | /24 | vMotion VMkernel 接口。 | 10.31.2.0/24 |
| esx-vsan-vmk3 | /24 | vSAN VMkernel 接口和节点通信。 | 10.31.3.0/24 |
| 保留 | /27 | 保留的空间。 | 10.31.0.128/27 |
| 保留 | /27 | 保留的空间。 | 10.31.0.192/27 |
后续步骤
首先将 Azure VMware 解决方案服务主体配置为先决条件。 若要了解如何操作,请参阅启用 Azure VMware 解决方案服务主体快速入门。
请按照教程步骤,了解如何创建 Azure VMware Gen 2 私有云