この記事では、第 2 世代 (Gen 2) プライベート クラウドAzure VMware Solution設計上の重要な考慮事項について説明します。 この世代が VMware ベースのプライベート クラウド環境にもたらす機能について説明し、オンプレミスインフラストラクチャとAzureベースのリソースの両方からアプリケーションにアクセスできるようにします。 Azure VMware Solution Gen 2 プライベート クラウドを設定する前に、いくつかの考慮事項を確認する必要があります。 この記事では、プライベート クラウドの種類を使用しているときに発生する可能性があるユース ケースの解決策について説明します。
注
第 2 世代は、特定のAzureパブリック リージョンで使用できます。 対象範囲を確認するには、Microsoft アカウント チームまたはMicrosoft Supportにお問い合わせください。
制限事項
この期間中は、次の機能が制限されます。 これらの制限は、今後解除される予定です。
- プライベート クラウドを含む リソース グループを削除することはできません。 リソース グループを削除する前に、まずプライベート クラウドを削除する必要があります。
- Azure仮想ネットワークごとに1 プライベート クラウドのみをデプロイ。
- リソース グループごとに作成できるプライベート クラウドは 1 つだけです。 1 つのリソース グループ内の複数のプライベート クラウドはサポートされていません。
- プライベート クラウドと、プライベート クラウドの仮想ネットワークは、同じリソース グループに存在する必要があります。
- プライベート クラウドの作成後に、プライベート クラウドをリソース グループ間で 移動 することはできません。
- プライベート クラウドの作成後に、プライベート クラウドをテナント間で 移動 することはできません。
- AVS プライベート クラウドに ExpressRoute FastPath または Global Virtual Network ピアリングが必要な場合は、Azure ポータルを使用してサポート ケースを作成します。
- サービス エンドポイント Azure VMware Solution ワークロードからの直接接続はサポートされていません。
- Azure VMware Solution に接続されたプライベートエンドポイントがリージョン間でグローバルにピアリングされている場合はサポートされていません。
- プライベート エンドポイントを使用する vCloud Director がサポートされています。 ただし、パブリック エンドポイントを使用する vCloud Director はサポートされていません。
- vSAN ストレッチ クラスター はサポートされていません。
- インターネットを構成するための VMware NSX Microsoft Edge へのパブリック IP はサポートされません。 サポートされているインターネット オプションについては、インターネッ接続オプションで確認できます。
- SDDC における最初の 4 つのホストのいずれかで計画外のメンテナンス (ホスト ハードウェアの障害など) 中に、一部のワークロードで一時的な North-South ネットワーク接続の中断が発生し、最大 30 秒続く場合があります。 North-South 接続とは、AVS VMware ワークロードと、Azure サービスやオンプレミス環境など、NSX-T Tier-0 (T0) Edge を超える外部エンドポイント間のトラフィックを指します。 この制限は、特定のAzureリージョンで削除されました。 Azure サポートに問い合わせて、お使いのリージョンがこの制限の影響を受けるかどうかを確認してください。
- プライベート クラウド ホスト仮想ネットワークに関連付けられているネットワーク セキュリティ グループは、プライベート クラウドとその仮想ネットワークと同じリソース グループに作成する必要があります。
-
顧客の仮想ネットワークからAzure VMware Solution仮想ネットワークへのクロス リソース グループおよびクロス サブスクリプション参照は、既定ではサポートされていません。 これには、ユーザー定義ルート (UDR)、DDoS 保護プラン、その他のリンクされたネットワーク リソースなどのリソースの種類が含まれます。 お客様の仮想ネットワークが、Azure VMware Solution仮想ネットワークとは異なるリソース グループまたはサブスクリプションに存在するこれらの参照のいずれかに関連付けられている場合、ネットワーク プログラミング (NSX セグメント伝達など) が失敗する可能性があります。 問題を回避するには、続行する前に、Azure VMware Solution仮想ネットワークが別のリソース グループまたはサブスクリプション内のリソースにリンクされていないことを確認し、そのようなリソース (DDoS Protection プランなど) を仮想ネットワークからデタッチする必要があります。
- リソース グループ間の参照を維持するには、クロスリソース グループまたはサブスクリプションからロールの割り当てを作成し、"AzS VIS Prod App" に "AVS on Fleet VIS ロール" を付与します。 ロールの割り当てにより、参照を使用し、Azure VMware Solutionプライベート クラウドに参照を正しく適用できます。
- Gen 2 プライベート クラウド 展開は、Azure ポリシーでネットワーク セキュリティ グループまたはルート テーブル (特定の名前付け規則など) に厳密な規則が適用されている場合に失敗する可能性があります。 これらのポリシー制約により、展開中にAzure VMware Solutionのネットワーク セキュリティ グループおよびルート テーブルの作成がブロックされる可能性があります。 プライベート クラウドをデプロイする前に、Azure VMware Solution仮想ネットワークからこれらのポリシーを削除する必要があります。 プライベート クラウドがデプロイされたら、これらのポリシーを Azure VMware Solution プライベート クラウドに追加し直すことができます。
- Azure VMware Solution Gen 2 プライベート クラウドに Private DNS を使用している場合、Azure VMware Solution Gen 2 プライベート クラウドがデプロイされている仮想ネットワークで Custom DNS を使用することはサポートされていません。 カスタム DNS を使用すると、スケーリング、アップグレード、修正プログラムの適用などのライフサイクル操作が中断されます。
- プライベート クラウドを削除している途中で、Azure VMware Solutionで作成されたリソースが削除されない場合は、Azure CLIを使用してAzure VMware Solutionのプライベート クラウドの削除を再試行できます。
- Azure VMware Solution Gen 2 では、HTTP プロキシを使用して、顧客と管理のネットワーク トラフィックを区別します。 一部の VMware クラウド サービス エンドポイント は、一般的な vCenter で管理されるトラフィックと同じネットワーク パスまたはプロキシ 規則に従わない場合があります。 たとえば、"scapi.vmware" や "apigw.vmware" などがあります。 VAMI プロキシは、vCenter Server Appliance (VCSA) の一般的な送信インターネット アクセスを制御しますが、すべてのサービス エンドポイントの対話がこのプロキシを経由するわけではありません。 一部の対話は、ユーザーのブラウザーまたは統合コンポーネントから直接発生します。その代わりに、ワークステーションのプロキシ設定に従うか、個別に接続を開始します。 その結果、VMware クラウド サービス エンドポイントへのトラフィックが VCSA プロキシを完全にバイパスする可能性があります。
- Gen 2 での HCX RAV と一括移行では、基本同期とオンライン同期のフェーズ中にストールが発生するため、パフォーマンスが大幅に低下する可能性があります。 お客様は、より長い移行期間を計画し、現時点では段階的なスケジュールを立てる必要があります。 適切なワークロードに対して、vMotion は、ホストとネットワークの条件が許す場合に、より高速でオーバーヘッドの少ないオプションを提供します。
サポートされていない統合
次のファースト パーティとサード パーティの統合は使用できません。
- Zerto DR
Gen 2 の委任されたサブネットとネットワーク セキュリティ グループ
Azure VMware Solution (AVS) Gen 2 プライベート クラウドがデプロイされると、Azureはプライベート クラウドのホスト仮想ネットワーク内に複数の委任されたサブネットを自動的に作成します。 これらのサブネットは、プライベート クラウドの管理コンポーネントを分離して保護するために使用されます。
これらのサブネットへのアクセスは、Azure ポータルまたは Azure CLI/PowerShell で表示されるネットワーク セキュリティ グループ (NSG) を使用して管理できます。 AVS は、ユーザーが管理できる NSG に加えて、システムで管理される追加の NSG を重要な管理インターフェイスに適用します。 これらのシステム管理 NSG は、お客様が表示または編集することはできず、プライベート クラウドが既定でセキュリティで保護された状態を維持するために存在します。
既定のセキュリティ体制の一部として、次の手順を実行します。
- お客様が明示的に有効にしない限り、プライベート クラウドのインターネット アクセスは無効になります。
- 必要な管理トラフィックのみがプラットフォーム サービスに到達できます。
注
Azure ポータルに、特定のポートがインターネットに公開されているように見えるという警告が表示されることがあります。 これは、ポータルが顧客が認識できるネットワーク セキュリティ グループ (NSG) 構成のみを評価するためです。 ただし、Azure VMware Solutionでは、ポータルに表示されない追加のシステム管理ネットワーク セキュリティ グループも適用されます。 これらのシステム管理ネットワーク セキュリティ グループは、Azure VMware Solution構成によってアクセスが明示的に有効になっていない限り、受信トラフィックをブロックします。
この設計により、AVS環境は設計段階から分離されてセキュリティで保護されており、お客様は特定の要件に応じてネットワークアクセスを制御およびカスタマイズできます。
ルーティングとサブネットに関する考慮事項
Azure VMware Solution Gen 2 プライベート クラウドは、オンプレミスおよびAzureベースの環境またはリソースからユーザーとアプリケーションからアクセスできる VMware プライベート クラウド環境を提供します。 接続は、標準の Azure ネットワーク経由で配信されます。 これらのサービスを有効にするには、特定のネットワーク アドレス範囲とファイアウォール ポートが必要です。 このセクションは、Azure VMware Solutionで動作するようにネットワークを構成する際に役立ちます。
プライベート クラウドは、標準のAzure ネットワークを使用してAzure仮想ネットワークに接続します。 Azure VMware Solution Gen 2 プライベート クラウドでは、サブネットには少なくとも /22 CIDR ネットワーク アドレス ブロックが必要です。 このネットワークによってオンプレミスのネットワークが補完されるため、アドレス ブロックは、サブスクリプションの他の仮想ネットワークやオンプレミス ネットワークで使用されているアドレス ブロックと重複しないようにする必要があります。 管理、vMotion、レプリケーションのネットワークは、仮想ネットワーク内のサブネットとしてこのアドレス ブロック内に自動的にプロビジョニングされます。
注
アドレス ブロックで許可される範囲は RFC 1918 プライベート アドレス空間 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) です。ただし、172.17.0.0/16 を除きます。 レプリケーション ネットワークは AV64 ノードには適用されず、将来の一般的な非推奨となる予定です。
VMware NSX の使用のために予約されている次の IP スキーマを使用しないでください。
- 169.254.0.0/24 - 内部転送ネットワークに使用
- 169.254.2.0/23 - VRF 間転送ネットワークに使用
- 100.64.0.0/16 - T1 および T0 ゲートウェイを内部的に接続するために使用
- 100.73.x.x – Microsoft の管理ネットワークで使用されます
/22 CIDR ネットワーク アドレス ブロック 10.31.0.0/22 の例は、次のサブネットに分かれています。
| ネットワークの使用状況 | サブネット | 説明 | 例 |
|---|---|---|---|
| VMware NSX ネットワーク | /27 | NSX Manager ネットワーク。 | 10.31.0.0/27 |
| vCSA ネットワーク | /27 | vCenter Server ネットワーク。 | 10.31.0.32/27 |
| avs-mgmt | /27 | 管理アプライアンス (vCenter Server、NSX マネージャー、HCX クラウド マネージャー) は、このサブネットのセカンダリ IP 範囲としてプログラムされた "avs-mgmt" サブネットの背後にあります。 管理アプライアンスのネットワーク トラフィックが NVA またはファイアウォールを経由してルーティングする必要がある場合は、このサブネットに関連付けられているルート テーブルを調整することが必要になる場合があります | 10.31.0.64/27 |
| avs-vnet-sync | /27 | Azure VMware Solution Gen 2 によって、VMware NSX で作成されたルートを仮想ネットワークにプログラムするために使用されます。 | 10.31.0.96/27 |
| avs-services | /27 | Azure VMware Solution Gen 2 プロバイダー サービスに使用されます。 プライベート クラウドのプライベート DNS 解決を構成するためにも使用されます。 | 10.31.0.224/27 |
| avs-nsx-gw、avs-nsx-gw-1 | /27 | エッジごとの各 T0 ゲートウェイのサブネット。 これらのサブネットは、VMware NSX ネットワーク セグメントをセカンダリ IP アドレスとしてプログラムするために使用されます。 | 10.31.0.128/27, 10.31.0.160/27 |
| esx-mgmt-vmk1 | /25 | vmk1 は、顧客がホストにアクセスするために使用する管理インターフェイスです。 vmk1 インターフェイスからの IP は、これらのサブネットから取得されます。 すべてのホストのすべての vmk1 トラフィックは、このサブネット範囲から送信されます。 | 10.31.1.0/25 |
| esx-vmotion-vmk2 | /25 | vMotion VMkernel インターフェイス。 | 10.31.1.128/25 |
| esx-vsan-vmk3 | /25 | vSAN VMkernel インターフェイスとノード通信。 | 10.31.2.0/25 |
| AVSネットワークインフラゲートウェイ (avs-network-infra-gw) | /26 | NSX セグメントのプログラミングにAzure VMware Solution管理で使用されます。 このサブネットはAzure VMware Solutionインフラストラクチャにのみ使用されるため、このサブネットを変更する必要はありません。 このサブネットの下に、セカンダリ IP プレフィックスとして作成されている NSX ネットワーク セグメントが表示されます。 ただし、ワークロード セグメントは引き続き avs-nsx-gw サブネットと avs-nsx-gw-1 サブネットを経由します。 | 10.31.2.128/26 |
| 予約済み | /27 | 予約済みの領域。 | 10.31.0.128/27 |
| 予約済み | /27 | 予約済みの領域。 | 10.31.0.192/27 |
注
Azure VMware Solution Gen 2 のデプロイでは、SDDC デプロイ中に入力された /22 に加えて、HCX 管理とアップリンク用に 2 つの追加の /24 サブネットを割り当てる必要があります。 AVS Gen 2 では、HCX mgmt と HCX アップリンク サブネットのみが必要です。 VMotion とレプリケーション ネットワークは、AVS Gen 2 には必要ありません。
次のステップ
前提条件として、Azure VMware Solution サービス プリンシパルの構成を開始します。 その方法については、Azure VMware Solution サービス プリンシパルの有効化のクイックスタートをご覧ください。
Azure VMware Gen 2 プライベート クラウドの作成