Kontrola referenčního vzoru sítě pro nasazení jednoúčelového úložiště pro Azure Local
Platí pro: Azure Local 2311.2 a novější
Tento článek popisuje vzor referenčních informací k síti úložiště s jedním serverem, který můžete použít k nasazení místního řešení Azure. Informace v tomto článku vám také pomůžou určit, jestli je tato konfigurace pro vaše potřeby plánování nasazení možná. Tento článek se zaměřuje na správce IT, kteří nasazují a spravují Azure Local ve svých datacentrech.
Informace o jiných vzorech sítě najdete v tématu Vzory nasazení místní sítě Azure.
Úvod
Nasazení s jedním serverem poskytují výhody nákladů a prostoru a zároveň pomáhají modernizovat infrastrukturu a přinést hybridní výpočetní prostředí Azure do umístění, která můžou tolerovat odolnost jednoho počítače. Azure Local běžící na jednom počítači se chová podobně jako Azure Local v clusteru s více uzly: přináší nativní integraci Azure Arc, možnost přidat servery pro horizontální navýšení kapacity systému a zahrnuje stejné výhody Azure.
Podporuje také stejné úlohy, jako je Azure Virtual Desktop (AVD) a AKS v Azure Local, a je podporovaný a fakturovaný stejným způsobem.
Scénáře
Vzor jednoúčelového úložiště použijte v následujících scénářích:
Zařízení, která mohou tolerovat nižší úroveň odolnosti. Zvažte implementaci tohoto modelu vždy, když vaše umístění nebo služba poskytované tímto modelem dokáže tolerovat nižší úroveň odolnosti, aniž by to mělo vliv na vaši firmu.
Potraviny, zdravotnictví, finance, maloobchod, vládní zařízení. Některé scénáře pro potraviny, zdravotnictví, finance a maloobchod můžou tuto možnost použít, aby se minimalizovaly náklady, aniž by to mělo vliv na základní provoz a obchodní transakce.
Přestože jsou služby SDN (Software Defined Networking) Vrstvy 3 (L3) plně podporované v tomto vzoru, možná bude potřeba nakonfigurovat směrování služeb, jako je protokol BGP (Border Gateway Protocol), pro zařízení brány firewall v přepínači TOR (Top-of-Rack).
Funkce zabezpečení sítě, jako je mikrosegmentace a technologie QoS (Quality of Service), nevyžadují pro zařízení brány firewall další konfiguraci, protože jsou implementovány ve vrstvě virtuálního síťového adaptéru. Další informace najdete v tématu Microsegmentation s využitím místního prostředí Azure.
Poznámka:
Jednoúčelové servery musí používat pouze jeden typ jednotky: jednotky NVMe (Non-volatile Memory Express) nebo SSD (Solid-State).
Součásti fyzického připojení
Jak je znázorněno v následujícím diagramu, tento model má následující součásti fyzické sítě:
- Pro provoz typu northbound/southbound se místní instance Azure implementuje pomocí jediného přepínače TOR L2 nebo L3.
- Dva seskupené síťové porty pro zpracování provozu správy a výpočetního provozu připojeného k přepínači.
- Dvě odpojené síťové karty RDMA, které se používají jenom v případě, že do systému přidáte druhý server pro horizontální navýšení kapacity. To znamená, že žádné zvýšené náklady na kabeláž nebo porty fyzických přepínačů.
- (Volitelné) Kartu řadiče pro správu základní desky můžete použít k povolení vzdálené správy vašeho prostředí. Pro účely zabezpečení můžou některá řešení používat bezobsádovou konfiguraci bez karty řadiče pro správu základní desky.
Následující tabulka uvádí několik pokynů pro nasazení s jedním serverem:
Síť | Správa a výpočetní prostředky | Úložiště | Řadič pro správu základní desky |
---|---|---|---|
Rychlost propojení | Minimálně 1 Gb/s, pokud je zakázaný RDMA, doporučuje se 10 Gb/s. | Alespoň 10 Gb/s. | Obraťte se na výrobce hardwaru. |
Typ rozhraní | RJ45, SFP+ nebo SFP28 | SFP+ nebo SFP28 | RJ45 |
Porty a agregace | Dva seskupené porty | Volitelné, pokud chcete povolit přidání druhého serveru; odpojené porty. | Jeden port |
RDMA | Nepovinné. Závisí na požadavcích na podporu RDMA hosta a síťové karty. | – | – |
Záměry ATC sítě
Model s jedním serverem používá pouze jeden záměr SÍŤOVÉ ATC pro správu a výpočetní provoz. Síťová rozhraní RDMA jsou volitelná a odpojená.
Záměr správy a výpočetních prostředků
Záměr správy a výpočetních prostředků má následující charakteristiky:
- Typ záměru: Správa a výpočty
- V režim stanu: Režim clusteru
- Seskupování: Ano – pNIC01 a pNIC02 jsou seskupené
- Výchozí síť VLAN pro správu: Nakonfigurovaná síť VLAN pro adaptéry pro správu je ummodifikovaná
- Síť VLAN a virtuální síťové adaptéry: Síťová ATC je transparentní pro virtuální síťové adaptéry a sítě VLAN
- Výpočetní sítě VLAN a virtuální síťové adaptéry: Síťová ATC je transparentní pro výpočetní virtuální počítače vNI a sítě VLAN.
Záměr úložiště
Záměr úložiště má následující charakteristiky:
- Typ záměru: Žádný
- In režim stanu: None
- Seskupování: pNIC03 a pNIC04 jsou odpojené
- Výchozí sítě VLAN: Žádné
- Výchozí podsítě: Žádná
Pokud chcete vytvořit záměr sítě pro tento vzor odkazu, postupujte takto:
Spusťte PowerShell jako správce.
Spusťte následující příkaz:
Add-NetIntent -Name <management_compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Další informace najdete v tématu Nasazení hostitelských sítí: Záměr výpočetních prostředků a správy.
Komponenty logické sítě
Jak je znázorněno v následujícím diagramu, tento model má následující komponenty logické sítě:
Sítě VLAN pro úložiště
Volitelné – tento model nevyžaduje síť úložiště.
Síť OOB
Síť Out of Band (OOB) je vyhrazená pro podporu rozhraní pro správu serveru "lights-out", označované také jako řadič pro správu základní desky (BMC). Každé rozhraní řadiče pro správu základní desky se připojí k přepínači dodanému zákazníkem. Řadič pro správu základní desky slouží k automatizaci scénářů spouštění PXE.
Síť pro správu vyžaduje přístup k rozhraní řadiče pro správu základní desky pomocí portu 623 (Intelligent Platform Management Interface) User Datagram Protocol (UDP).
Síť OOB je izolovaná od výpočetních úloh a je volitelná pro nasazení, která nejsou založená na řešení.
Správa sítě VLAN
Všichni hostitelé fyzických výpočetních prostředků vyžadují přístup k logické síti pro správu. Pro plánování IP adres musí mít každý fyzický výpočetní hostitel alespoň jednu IP adresu přiřazenou z logické sítě pro správu.
Server DHCP může automaticky přiřadit IP adresy pro síť pro správu nebo můžete ručně přiřadit statické IP adresy. Pokud je upřednostňovanou metodou přiřazování IP adres DHCP, doporučujeme bez vypršení platnosti používat rezervace DHCP.
Síť pro správu podporuje následující konfigurace sítě VLAN:
Nativní síť VLAN – není nutné zadávat ID sítě VLAN. To se vyžaduje pro instalace založené na řešeních.
Tagged VLAN – v době nasazení zadáte ID sítě VLAN. připojení tenanta na každé bráně a v případě selhání brány přepne toky síťového provozu na pohotovostní bránu.
Brány používají protokol Border Gateway Protocol k inzerování koncových bodů GRE a navázání připojení typu point-to-point. Nasazení SDN vytvoří výchozí fond brány, který podporuje všechny typy připojení. V rámci tohoto fondu můžete určit, kolik bran je rezervováno v pohotovostním režimu v případě selhání aktivní brány.
Další informace najdete v tématu Co je brána RAS pro SDN?
Síť pro správu podporuje veškerý provoz používaný ke správě clusteru, včetně vzdálené plochy, Centra pro správu Windows a služby Active Directory.
Další informace najdete v tématu Plánování infrastruktury SDN: Správa a poskytovatel HNV.
Virtuální místní sítě (VLAN) pro výpočty
V některých scénářích nemusíte používat zapouzdření virtuálních sítí SDN s zapouzdřením sítě VXLAN (Virtual Extensible LAN). Místo toho můžete k izolaci úloh tenanta použít tradiční sítě VLAN. Tyto sítě VLAN jsou nakonfigurované na portu přepínače TOR v režimu kufru. Při připojování nových virtuálních počítačů k těmto sítím VLAN se na virtuálním síťovém adaptéru definuje odpovídající značka VLAN.
Síť HNV Provider Address (PA)
Síť zprostředkovatele virtualizace sítě Hyper-V (HNV) slouží jako základní fyzická síť pro provoz tenanta – východ/západ (interní) provoz, provoz tenanta north/south (external-internal) a výměnu informací o partnerském vztahu protokolu BGP s fyzickou sítí. Tato síť se vyžaduje jenom v případě, že je potřeba nasazovat virtuální sítě pomocí zapouzdření sítě VXLAN pro jinou vrstvu izolace a pro víceklientskou architekturu sítě.
Další informace najdete v tématu Plánování infrastruktury SDN: Správa a poskytovatel HNV.
Možnosti izolace sítě
Podporují se následující možnosti izolace sítě:
Sítě VLAN (IEEE 802.1Q)
Sítě VLAN umožňují zařízením, která musí být oddělená pro sdílení kabeláže fyzické sítě, a přesto jim brání v přímé interakci. Toto spravované sdílení přináší zvýšení jednoduchosti, zabezpečení, řízení provozu a ekonomiky. Například síť VLAN se dá použít k oddělení provozu v rámci firmy na základě jednotlivých uživatelů nebo skupin uživatelů nebo jejich rolí nebo na základě charakteristik provozu. Mnoho služeb hostování internetu používá sítě VLAN k oddělení privátních zón od sebe navzájem, což umožňuje seskupit servery jednotlivých zákazníků do jednoho síťového segmentu bez ohledu na to, kde se jednotlivé servery nacházejí v datovém centru. Některá opatření jsou nutná k tomu, aby se zabránilo "úniku" provozu z dané sítě VLAN, které se označuje jako přeskakování sítě VLAN.
Další informace najdete v tématu Vysvětlení využití virtuálních sítí a sítí VLAN.
Výchozí zásady přístupu k síti a mikrosegmentace
Výchozí zásady přístupu k síti zajišťují, aby všechny virtuální počítače ve vašem clusteru Azure Stack HCI byly ve výchozím nastavení zabezpečené před externími hrozbami. Díky těmto zásadám ve výchozím nastavení zablokujeme příchozí přístup k virtuálnímu počítači a zároveň dáváme možnost povolit selektivní příchozí porty a tím zabezpečit virtuální počítače před externími útoky. Toto vynucování je dostupné prostřednictvím nástrojů pro správu, jako je Windows Admin Center.
Mikrosegmentace zahrnuje vytváření podrobných síťových zásad mezi aplikacemi a službami. Tím se v podstatě sníží hranice zabezpečení na plot kolem každé aplikace nebo virtuálního počítače. Tento plot umožňuje pouze nezbytnou komunikaci mezi aplikačními vrstvami nebo jinými logickými hranicemi, takže je mimořádně obtížné, aby se kyberthreaty šířily laterálně z jednoho systému do druhého. Mikrosegmentace bezpečně izoluje sítě od sebe a snižuje celkový prostor pro útoky na incident zabezpečení sítě.
Výchozí zásady přístupu k síti a mikrosegmentace jsou realizovány jako stavová sada pěti členů (předpona zdrojové adresy, zdrojový port, předpona cílové adresy, cílový port a protokol) pravidel brány firewall v clusterech Azure Stack HCI. Pravidla brány firewall se také označují jako skupiny zabezpečení sítě (NSG). Tyto zásady se vynucují na portu vSwitch každého virtuálního počítače. Tyto zásady jsou nabízeny prostřednictvím vrstvy správy a síťový adaptér SDN je distribuuje všem příslušným hostitelům. Tyto zásady jsou k dispozici pro virtuální počítače v tradičních sítích VLAN a v překryvných sítích SDN.
Další informace najdete v tématu Co je brána firewall datacentra?
QoS pro síťové adaptéry virtuálních počítačů
Pro síťový adaptér virtuálního počítače můžete nakonfigurovat technologii QoS (Quality of Service), která omezí šířku pásma na virtuálním rozhraní, aby zabránila virtuálnímu počítači s vysokým provozem v boji s jiným síťovým provozem virtuálních počítačů. QoS můžete také nakonfigurovat tak, aby si rezervovali konkrétní šířku pásma pro virtuální počítač, abyste zajistili, že virtuální počítač může posílat provoz bez ohledu na ostatní přenosy v síti. Dá se použít u virtuálních počítačů připojených k tradičním sítím VLAN i virtuálním počítačům připojeným k překryvné síti SDN.
Další informace najdete v tématu Konfigurace technologie QoS pro síťový adaptér virtuálního počítače.
Virtuální sítě
Virtualizace sítě poskytuje virtuálním sítím virtuálním počítačům podobně jako virtualizace serverů (hypervisor) virtuální počítače operačnímu systému. Virtualizace sítě odděluje virtuální sítě od infrastruktury fyzické sítě a odstraňuje omezení sítě VLAN a hierarchického přiřazení IP adres ze zřizování virtuálních počítačů. Tato flexibilita usnadňuje přechod do cloudů IaaS (infrastruktura jako služba) a je efektivní pro hostitele a správce datacenter spravovat jejich infrastrukturu a udržovat potřebnou izolaci s více tenanty, požadavky na zabezpečení a překrývající se IP adresy virtuálních počítačů.
Další informace naleznete v tématu Virtualizace sítě Technologie Hyper-V.
Možnosti síťových služeb L3
K dispozici jsou následující možnosti síťové služby L3:
Peering virtuálních sítí
Partnerský vztah virtuálních sítí umožňuje bezproblémově propojit dvě virtuální sítě. Po vytvoření partnerského vztahu se pro účely připojení virtuální sítě zobrazí jako jedna. Mezi výhody použití partnerských vztahů virtuálních sítí patří:
- Provoz mezi virtuálními počítači v partnerských virtuálních sítích se směruje přes páteřní infrastrukturu pouze prostřednictvím privátních IP adres. Komunikace mezi virtuálními sítěmi nevyžaduje veřejný internet ani brány.
- Nízká latence a velká šířka pásma při propojení prostředků v různých virtuálních sítích.
- Schopnost prostředků v jedné virtuální síti komunikovat s prostředky v jiné virtuální síti.
- Při vytváření partnerského vztahu nedojde k výpadkům prostředků ve virtuální síti.
Další informace najdete v tématu Partnerské vztahy virtuálních sítí.
Nástroj pro vyrovnávání zatížení softwaru SDN
Poskytovatelé cloudových služeb (CSP) a podniky, které nasazují softwarově definované sítě (SDN), můžou k rovnoměrné distribuci síťového provozu zákazníků mezi prostředky virtuální sítě použít software Load Balancer (SLB). SLB umožňuje více serverům hostovat stejnou úlohu a poskytuje tak vysokou dostupnost a škálovatelnost. Slouží také k poskytování příchozích služeb překladu adres (NAT) pro příchozí přístup k virtuálním počítačům a odchozím službám NAT pro odchozí připojení.
Pomocí nástroje SLB můžete škálovat možnosti vyrovnávání zatížení pomocí virtuálních počítačů SLB na stejných výpočetních serverech Hyper-V, které používáte pro ostatní úlohy virtuálních počítačů. SLB podporuje rychlé vytváření a odstraňování koncových bodů vyrovnávání zatížení podle potřeby pro operace CSP. Kromě toho SLB podporuje desítky gigabajtů na cluster, poskytuje jednoduchý model zřizování a umožňuje snadné horizontální navýšení a snížení kapacity. SLB používá protokol Border Gateway Protocol k inzerování virtuálních IP adres do fyzické sítě.
Další informace najdete v tématu Co je SLB pro SDN?
Brány VPN SDN
SDN Gateway je softwarově podporující směrovač protokolu BGP (Border Gateway Protocol) navržený pro poskytovatele cloudových služeb a podniky, které hostují virtuální sítě s více tenanty pomocí virtualizace sítě Hyper-V (HNV). Bránu RAS můžete použít ke směrování síťového provozu mezi virtuální sítí a jinou sítí, ať už místní, nebo vzdálenou.
Bránu SDN je možné použít k:
Vytvořte zabezpečená připojení IPsec typu site-to-site mezi virtuálními sítěmi SDN a externími sítěmi zákazníků přes internet.
Vytvořte obecná připojení gre (Routing Encapsulation) mezi virtuálními sítěmi SDN a externími sítěmi. Rozdíl mezi připojeními typu site-to-site a připojeními GRE spočívá v tom, že druhé připojení není šifrovaným připojením.
Další informace o scénářích připojení GRE najdete v tématu Tunelování GRE ve Windows Serveru.
Vytvořte připojení vrstvy 3 (L3) mezi virtuálními sítěmi SDN a externími sítěmi. V tomto případě brána SDN jednoduše funguje jako směrovač mezi vaší virtuální sítí a externí sítí.
Brána SDN vyžaduje síťový adaptér SDN. Síťový adaptér provádí nasazení fondů bran, konfiguruje
Další kroky
Seznamte se se vzory se dvěma uzly – vzory nasazení místní sítě Azure.