Co je SDN ve více lokalitách?
Platí pro: Azure Local, verze 23H2
Platí pro: Windows Server 2025
Tento článek obsahuje přehled SDN ve více lokalitách, včetně jeho výhod a aktuálních omezení. Můžete ho použít jako vodítko, které vám pomůže navrhnout topologii sítě a plán zotavení po havárii.
SDN Multisite umožňuje rozšířit možnosti tradičních SDN nasazených v různých fyzických umístěních. SDN Multisite umožňuje nativní připojení vrstvy 2 a vrstvy 3 napříč různými fyzickými umístěními pro virtualizované úlohy. V tomto článku všechny odkazy na weby znamenají fyzická umístění.
Informace o správě SDN ve více lokalitách najdete v tématu Správa SDN multisite pro Azure Local.
Informace o správě SDN ve více lokalitách najdete v tématu Správa SDN multisite pro Azure Local.
Zaměstnanecké výhody
Tady jsou výhody použití SDN ve více lokalitách:
- Jednotný systém správy zásad. Díky sdíleným virtuálním sítím a konfiguracím zásad můžete spravovat a konfigurovat sítě ve více lokalitách z libovolné lokality.
- Bezproblémová migrace úloh Bezproblémová migrace úloh mezi fyzickými lokalitami bez nutnosti překonfigurovat IP adresy nebo existující skupiny zabezpečení sítě (NSG).
- Automatická dostupnost pro nové virtuální počítače Získejte automatickou dostupnost nově vytvořených virtuálních počítačů ve virtuálních sítích spolu s automatickou spravovatelností všech přidružených skupin zabezpečení sítě ve vašich fyzických umístěních.
Omezení
Funkce SDN ve více lokalitách má v současné době několik omezení:
- Podporováno pouze mezi dvěma lokalitami.
- Lokality musí být připojené přes privátní síť, protože není k dispozici podpora šifrování lokalit připojených přes internet.
- Interní vyrovnávání zatížení není podporováno mezi lokalitami.
Partnerský vztah ve více lokalitách
Ve více lokalitách se vyžaduje partnerský vztah mezi lokalitami, které se inicializovaly, jako je partnerský vztah virtuálních sítí. Připojení se automaticky zahájí na obou webech prostřednictvím Centra pro správu Windows. Po navázání připojení se partnerský vztah stane úspěšným. Pokyny k vytvoření partnerského vztahu najdete v tématu Vytvoření partnerského vztahu.
Ve více lokalitách se vyžaduje partnerský vztah mezi lokalitami, které se inicializovaly, jako je partnerský vztah virtuálních sítí. Připojení se automaticky zahájí na obou webech prostřednictvím Centra pro správu Windows. Po navázání připojení se partnerský vztah stane úspěšným. Pokyny k vytvoření partnerského vztahu najdete v tématu Vytvoření partnerského vztahu.
Následující části popisují role jednotlivých lokalit v prostředí s více lokalitami a způsob zpracování a synchronizace prostředků mezi lokalitami.
Role primární a sekundární lokality
V prostředí SDN ve více lokalitách je jedna lokalita určena jako primární a druhá jako sekundární. Primární lokalita zpracovává synchronizaci prostředků. Během partnerského vztahu ve více lokalitách je primární lokalita automaticky vybraná, kterou můžete později změnit pomocí centra Windows Admin Center.
Zpracování prostředků
Pokud je primární lokalita nedostupná, globální prostředky a prostředky vyžadující globální ověření nebo globální přidělení adres zákazníků (CA) není možné aktualizovat prostřednictvím sekundární lokality. Další místní prostředky je však možné aktualizovat prostřednictvím sekundární lokality.
Mezi příklady prostředků, které potřebují globální ověřování, patří:
- Fondy MAC.
- Logická síť nebo fond IP adres.
Mezi příklady globálních přidělení certifikační autority patří:
- Interní vyrovnávání zatížení pro virtuální podsíť V současné době to není podporováno prostřednictvím více webů.
- Připojení brány pro virtuální podsíť
Pokud sekundární lokalita není dostupná, je možné prostředky aktualizovat prostřednictvím primární lokality. Sekundární lokalita ale může mít zastaralé prostředky, dokud se neobnoví připojení. Po obnovení připojení se synchronizace obnoví.
Pokud primární lokalita přestane fungovat, můžete sekundární lokalitu určit jako novou primární lokalitu, abyste mohli provádět aktualizace skupin zabezpečení sítě a virtuálních sítí. Všechny čekající synchronizace dat ze staré primární lokality však budou ztraceny. Pokud chcete tento problém vyřešit, použijte stejné změny v nové primární lokalitě, jakmile bude původní primární lokalita opět online. Může ale také vést ke konfliktům globálního přidělení certifikační autority.
Synchronizace prostředků
Pokud povolíte SDN ve více lokalitách, ne všechny prostředky z každé lokality se synchronizují napříč všemi lokalitami. Tady jsou seznamy synchronizovaných prostředků, které zůstanou nesynchronizované.
Synchronizované prostředky
Tyto prostředky se synchronizují napříč všemi lokalitami po navázání partnerského vztahu. Tyto prostředky můžete aktualizovat z libovolné lokality, ať už primární nebo sekundární. Primární lokalita však zodpovídá za zajištění, že se tyto prostředky použijí a synchronizují napříč lokalitami. Pokyny a pokyny pro správu těchto prostředků zůstávají stejné jako v prostředí SDN s jednou lokalitou.
- Virtuální sítě. Pokyny ke správě virtuálních sítí najdete v tématu Správa virtuálních sítí tenanta. Všimněte si, že logické sítě se nesynchronují mezi lokalitami. Pokud však vaše virtuální sítě odkazují na logickou síť, musí logická síť se stejným názvem existovat v obou lokalitách.
- Skupiny zabezpečení sítě (NSG). Pokyny ke konfiguraci skupiny zabezpečení sítě s Windows Admin Center a PowerShellem najdete v tématu Konfigurace skupin zabezpečení sítě pomocí Centra pro správu windows a konfigurace skupin zabezpečení sítě pomocí PowerShellu.
- Směrování definované uživatelem Pokyny k použití uživatelem definovaného směrování najdete v tématu Použití síťových virtuálních zařízení ve virtuální síti.
Synchronizované prostředky
Tyto prostředky se synchronizují napříč všemi lokalitami po navázání partnerského vztahu. Tyto prostředky můžete aktualizovat z libovolné lokality, ať už primární nebo sekundární. Primární lokalita však zodpovídá za zajištění, že se tyto prostředky použijí a synchronizují napříč lokalitami. Pokyny a pokyny pro správu těchto prostředků zůstávají stejné jako v prostředí SDN s jednou lokalitou.
- Virtuální sítě. Pokyny ke správě virtuálních sítí najdete v tématu Správa virtuálních sítí tenanta. Všimněte si, že logické sítě se nesynchronují mezi lokalitami. Pokud však vaše virtuální sítě odkazují na logickou síť, musí logická síť se stejným názvem existovat v obou lokalitách.
- Skupiny zabezpečení sítě (NSG). Pokyny ke konfiguraci skupiny zabezpečení sítě s Windows Admin Center a PowerShellem najdete v tématu Konfigurace skupin zabezpečení sítě pomocí Centra pro správu windows a konfigurace skupin zabezpečení sítě pomocí PowerShellu.
- Směrování definované uživatelem Pokyny k použití uživatelem definovaného směrování najdete v tématu Použití síťových virtuálních zařízení ve virtuální síti.
Nesynchronizované prostředky
Po navázání partnerského vztahu se tyto prostředky nesynchronují:
- Zásady vyrovnávání zatížení
- Virtuální IP adresy (VIPs).
- Zásady brány
- Logické sítě. I když se logické sítě nesynchronují mezi lokalitami, fondy IP adres se kontrolují, jestli se překrývají a které se překrývají, nejsou povolené.
Tyto zásady se vytvoří na místním webu a pokud chcete stejné zásady na druhém webu, musíte je tam vytvořit ručně. Pokud se vaše back-endové virtuální počítače pro zásady vyrovnávání zatížení nacházejí v jedné lokalitě, bude připojení přes SLB fungovat bez jakékoli další konfigurace. Pokud ale očekáváte, že se back-endové virtuální počítače přesunou z jedné lokality do druhé, připojení funguje ve výchozím nastavení jenom v případě, že virtuální počítače back-endu jsou za virtuální IP sadou v místní lokalitě. Pokud se všechny back-endové virtuální počítače přesunou do jiné lokality, připojení přes danou virtuální IP adresu selže.
Tok provozu východ-západ a sdílení podsítě
Ve více lokalitách umožňuje virtuálním počítačům na různých lokalitách s nasazeným SDN komunikovat přes stejnou podsíť, aniž by bylo nutné nastavovat připojení brány SDN. To zjednodušuje topologii sítě a snižuje potřebu více virtuálních počítačů a podsítí. Cesta k datům mezi virtuálními počítači na různých lokalitách závisí na základní fyzické infrastruktuře.
Následující scénáře porovnávají způsob vytvoření komunikace virtuálních počítačů mezi dvěma fyzickými lokalitami v tradičním nastavení SDN a v nastavení SDN ve více lokalitách.
Komunikace virtuálních počítačů s virtuálním počítačem bez SDN ve více lokalitách
V tradičním nastavení s SDN nasazenými ve dvou fyzických lokalitách je potřeba vytvořit připojení brány L3 nebo GRE pro komunikaci mezi lokalitami. Musíte také poskytovat více podsítí pro vaše aplikace. Pokud například každá lokalita hostuje front-endové aplikace, přidělíte samostatné rozsahy podsítí, například 10.1/16 a 10.6/16. Kromě toho při nastavování připojení brány musíte také přidělit více virtuálních počítačů pro virtuální počítače brány a následně je spravovat.
Komunikace virtuálního počítače s virtuálním počítačem ve více lokalitách SDN
S více lokalitami SDN ve dvou fyzických umístěních můžete mít nativní připojení vrstvy 2 pro komunikaci mezi lokalitami. To vám umožní mít jeden rozsah podsítě pro vaše aplikace, které se nachází v obou umístěních, což eliminuje nutnost nastavit připojení brány SDN. Jak je znázorněno například v následujícím diagramu, front-endové aplikace v obou umístěních můžou používat stejnou podsíť, například 10.1/16, místo toho, aby si zachovaly dvě samostatné. Díky tomuto nastavení se tok dat z jednoho virtuálního počítače do druhého spoléhá výhradně na vaši základní fyzickou infrastrukturu, aby nedocházelo k nutnosti procházet jiný virtuální počítač brány SDN.
Nástroje pro vyrovnávání zatížení softwaru a jejich omezení
Nástroje pro vyrovnávání zatížení softwaru jsou v současné době místní prostředky pro každou fyzickou lokalitu. To znamená, že zásady a konfigurace vyrovnávání zatížení se nesynchronizují mezi lokalitami prostřednictvím více lokalit. Mějte na paměti při migraci virtuálních počítačů z jednoho umístění do jiného v nastavení SDN ve více lokalitách.
Vyrovnávání zatížení ve více lokalitách SDN: Ukázkový scénář
Následující části vysvětlují vyrovnávání zatížení ve více lokalitách prostřednictvím ukázkového scénáře, který demonstruje jak bez, tak i s migrací virtuálních počítačů úloh. Předpokládejme, že máte dvě místní instance Azure s povoleným více lokalitám SDN, z nichž každá má nasazenou a nakonfigurovanou vlastní infrastrukturu SDN. V tomto scénáři chce klient dosáhnout virtuálního počítače VM1 s IP adresou 10.0.0.5 a VIRTUÁLNÍ IP adresou 11.0.0.5.
Vyrovnávání zatížení ve více lokalitách SDN bez migrace virtuálních počítačů úloh
Pokud ve více lokalitách SDN neexistuje migrace virtuálních počítačů mezi umístěními, datové pakety se předávají obvyklým způsobem, podobně jako u tradičního nastavení SDN. Následující animace znázorňuje cestu k datům z klientského počítače na virtuální počítač 1 přes SLB MUX1 v clusteru 2.
Vyrovnávání zatížení ve více lokalitách SDN s migrací virtuálních počítačů úloh
Pokud se rozhodnete migrovat jeden virtuální počítač nebo všechny virtuální počítače za virtuální IP sadou na jinou lokalitu, může docházet k situacím, kdy se virtuální počítač, ke kterým se pokoušíte připojit, bude v závislosti na jeho umístění nedostupný. K tomu dochází, protože prostředky nástroje pro vyrovnávání zatížení jsou místní pro každou místní instanci Azure. Při přesunu virtuálních počítačů s úlohami nejsou konfigurace v muxech globální, takže ostatní lokality nebudou vědět o migracích. Následující animace znázorňuje migraci virtuálních počítačů z clusteru 2 do clusteru 1 a způsob selhání cesty datového paketu po migraci.
Pokud chcete toto omezení obejít, můžete použít externí nástroj pro vyrovnávání zatížení, který kontroluje dostupnost back-endových virtuálních počítačů v každé lokalitě a odpovídajícím způsobem směruje provoz. Viz Použití externího nástroje pro vyrovnávání zatížení ve více lokalitách s migrací virtuálních počítačů úloh.
Použití externího nástroje pro vyrovnávání zatížení ve více lokalitách s migrací virtuálních počítačů úloh
Můžete povolit externí nástroj pro vyrovnávání zatížení a zkontrolovat, jestli jsou back-endové virtuální počítače za nástrojem pro vyrovnávání zatížení na jedné z vašich lokalit. Pokud za nástrojem pro vyrovnávání zatížení nejsou žádné back-endové virtuální počítače, virtuální IP adresa pro MUX se neinzeruje do externího nástroje pro vyrovnávání zatížení a všechny sondy stavu se neposílají. Tento externí nástroj pro vyrovnávání zatížení zajišťuje připojení k úlohám i při přesunu virtuálních počítačů z jedné lokality do druhé.
Pokud ale nasazení externího nástroje pro vyrovnávání zatížení není možné, použijte řešení vyrovnávání zatížení softwaru, jak je popsáno v tématu Vyrovnávání zatížení ve více lokalitách SDN bez migrace virtuálních počítačů úloh, pokud nemáte žádné migrované virtuální počítače úloh.
Brány a jejich omezení
SDN ve více lokalitách nesynchronizuje místní prostředky, jako jsou připojení brány mezi lokalitami. Každá lokalita má vlastní virtuální počítače brány a připojení brány. Když se virtuální počítač úlohy vytvoří nebo migruje do lokality, získá konfiguraci místní brány, jako jsou trasy brány. Pokud vytvoříte připojení brány pro konkrétní virtuální síť v jedné lokalitě, virtuální počítače z této lokality při migraci do druhé lokality ztratí připojení brány. Aby virtuální počítače při migraci zachovaly připojení brány, musíte nakonfigurovat samostatné připojení brány pro stejnou virtuální síť na druhé lokalitě.