Azure VMware 解决方案网络设计注意事项

Azure VMware 解决方案提供了一个 VMware 私有云环境，用户和应用程序可以从本地和基于 Azure 的环境或资源进行访问。 Azure ExpressRoute 和虚拟专用网络（VPN）连接等网络服务提供连接。

在设置 Azure VMware 解决方案环境之前，需要考虑几个网络注意事项。 本文提供了在使用 Azure VMware 解决方案配置网络时可能会遇到的用例的解决方案。

与 AS-Path Prepend 的 Azure VMware 解决方案兼容性

Azure VMware 解决方案有与使用 AS 路径前置进行冗余 ExpressRoute 配置相关的注意事项。 如果在本地和 Azure 之间运行两个或多个 ExpressRoute 路径，请考虑以下指南，了解如何通过 ExpressRoute GlobalReach 影响从 Azure VMware 解决方案流向本地位置的流量。

由于非对称路由，当 Azure VMware 解决方案未观察到 AS 路径前置并因此使用等价多路径 (ECMP) 路由通过两个 ExpressRoute 线路向你的环境发送流量时，可能会出现连接问题。 此行为可能会导致位于现有 ExpressRoute 线路后面的有状态防火墙检查设备出现问题。

先决条件

对于 AS 路径前置，请考虑以下先决条件：

• 关键点是，必须追加 公共 自治系统编号（ASN），以影响 Azure VMware 解决方案将流量路由回本地的方式。 如果你使用专用 ASN 进行前置操作，Azure VMware 解决方案会忽略该前置操作，会出现前面提到的 ECMP 行为。 即使你在本地运行专用 BGP ASN，仍然可以将本地设备配置为在将出站路由前置时使用公共 ASN，以确保与 Azure VMware 解决方案的兼容性。
• 设计公共 ASN 之后的专用 ASN 的流量路径，供 Azure VMware 解决方案遵循。 处理公共 ASN 后，Azure VMware 解决方案 ExpressRoute 线路不会去除路径中存在的任何专用 ASN。
• 两条或所有线路都通过 Azure ExpressRoute Global Reach 连接到 Azure VMware 解决方案。
• 从两个或更多个线路播发相同的网块。
• 你希望使用 AS 路径前置强制 Azure VMware 解决方案优先选择一条线路而不是另一条线路。
• 使用 2 字节或 4 字节公共 ASN 号码。

Azure VMware 解决方案中的预留专用 ASN

Azure VMware 解决方案利用特定的专用自治系统编号（ASN）作为其底层网络基础结构。 为了防止冲突并确保无缝网络集成，客户 不应 在其网络配置中使用以下 ASN。

用于底层网络的预留 ASN

以下 ASN 是为内部 Azure VMware 解决方案基础结构保留的，应由客户避免：

• 第 2 层 ASN： 65300 – 65340

• 第 1 层 ASN： 65200 – 65240

• 传输 ASN（T0 网关）：64513 (NSX Edges)，64600 – 64940

• 管理 ASN： 65000 – 65412、398656-398670、400572-400581

使用预留 ASN 的影响

在环境中使用上面列出的任一 ASN 可能会导致 BGP 会话失败、网络路由冲突或服务中断。 确保 ASN 分配不与这些保留值重叠。

从本地管理 VM 和默认路由

如果你仅使用向 Azure 播发的默认路由来路由回本地网络，则从所使用的 vCenter Server 和 NSX 管理器 VM 到具有专用 IP 地址的本地目标的流量不会遵循该路由。

若要从本地访问 vCenter Server 和 NSX Manager，请提供特定的路由，以允许流量具有这些网络的返回路径。 例如，播发RFC1918摘要（10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16）。

用于 Internet 流量检查的 Azure VMware 解决方案的默认路由

某些部署需要检查从 Azure VMware 解决方案到 Internet 的所有出口流量。 尽管可以在 Azure VMware 解决方案中创建网络虚拟设备（NVA），但在某些情况下，这些设备已存在于 Azure 中，并且可以应用于检查来自 Azure VMware 解决方案的 Internet 流量。 在这种情况下，可以从 Azure 中的 NVA 注入默认路由，以吸引来自 Azure VMware 解决方案的流量，并在流量传出公共 Internet 之前对其进行检查。

下图描述基本中心及辐射拓扑通过 ExpressRoute 连接到 Azure VMware 解决方案云和本地网络。 此图显示了 Azure 中的 NVA 如何源自默认路由（0.0.0.0/0）。 Azure 路由服务器通过 ExpressRoute 将路由传播到 Azure VMware 解决方案。

Azure VMware 解决方案与本地网络之间的通信通常通过 ExpressRoute Global Reach 进行，如 Azure VMware 解决方案的对等互连环境中所述。

Azure VMware 解决方案与本地网络之间的连接

Azure VMware 解决方案与通过第三方 NVA 的本地网络之间的连接有两个主要方案：

• 组织要求通过 NVA（通常是防火墙）在 Azure VMware 解决方案与本地网络之间发送流量。
• ExpressRoute Global Reach 在特定区域中不可用，无法将 Azure VMware 解决方案和本地网络的 ExpressRoute 线路互连。

有两种拓扑可用于满足这些方案的所有要求：超级网络 和 传输分支虚拟网络。

超网设计拓扑

如果两条 ExpressRoute 线路（到 Azure VMware 解决方案和本地）都在同一 ExpressRoute 网关中终止，则可以假设网关将跨它们路由数据包。 但是，ExpressRoute 网关并不是为了执行这种功能而设计的。 你需要将流量回环到可以路由流量的 NVA。

要将网络流量固定到 NVA，有两个要求：

• NVA 应播发 Azure VMware 解决方案和本地前缀的超级网络。

  可以使用包含 Azure VMware 解决方案和本地前缀的超级网络。 或者，你可以为 Azure VMware 解决方案和本地解决方案使用单独的前缀（始终不如通过 ExpressRoute 播发的实际前缀具体）。 切记，所有播发给路由服务器的超网前缀都传播到 Azure VMware 解决方案和本地。

• 网关子网中与从 Azure VMware 解决方案和本地播发的前缀完全匹配的 UDR 会导致将来自网关子网的流量回环到 NVA。

此拓扑会导致大型网络在一段时间内发生更改时产生较高的管理开销。 请考虑以下限制：

• 每当在 Azure VMware 解决方案中创建工作负荷段时，可能需要添加 UDR，以确保来自 Azure VMware 解决方案的流量通过 NVA 传输。
• 如果本地环境具有大量更改的路由，可能需要更新超级网络中的边界网关协议（BGP）和 UDR 配置。
• 由于单个 ExpressRoute 网关双向处理网络流量，因此性能可能会受到限制。
• Azure 虚拟网络限制为 400 个 UDR。

下图演示了 NVA 需要如何播发更通用（不太具体）的前缀，这些前缀包括来自本地和 Azure VMware 解决方案的网络。 请谨慎使用此方法。 NVA 可能会吸引它不应该吸引的流量，因为它的播发范围更广（例如，整个 10.0.0.0/8 网络）。

传输分支虚拟网络拓扑

在此拓扑中，两个位于不同虚拟网络中的 NVA 可以相互交换路由，而不是通过传播较不具体的路由来吸引流量至 ExpressRoute 网关。 虚拟网络可以通过 BGP 和 Azure 路由服务器将这些路由传播到各自的 ExpressRoute 线路。 每个 NVA 都完全控制将哪些前缀传播到每个 ExpressRoute 线路。

下图演示了如何将单个 0.0.0.0/0 路由发布到 Azure VMware 服务。 它还演示了如何将单个 Azure VMware 解决方案前缀传播到本地网络。

除了使用叠加层之外，还有另一种替代方法。 应用 NVA 中无法从 Azure 路由服务器了解路由的辅助 NIC。 然后，配置 UDR，以便 Azure 可以通过这些 NIC 将流量路由到远程环境。 可以在 Azure VMware 解决方案的企业规模网络拓扑和连接中找到更多详细信息。

此拓扑需要复杂的初始设置。 然后，拓扑按预期工作，且只需最低限度的管理开销。 设置复杂性包括：

• 添加另一个中转虚拟网络（包括 Azure 路由服务器、ExpressRoute 网关和另一个 NVA）的额外成本。 NVA 可能还需要使用大规模 VM 来满足吞吐量要求。
• 两个 NVA 之间需要 IPsec 或 VXLAN 隧道，这意味着这些 NVA 也在数据传输路径中。 根据所使用的 NVA 类型，它可能会导致这些 NVA 上的自定义和复杂配置。

后续步骤

了解 Azure VMware 解决方案的网络设计注意事项后，请考虑浏览以下文章：

• Azure VMware 解决方案网络和互连概念
• 规划 Azure VMware 解决方案部署
• 教程：Azure VMware 解决方案的网络规划清单