Sdílet prostřednictvím

Důležité informace o sítích pro úlohy Azure VMware Solution

  • Článek

Tento článek pojednává o oblasti návrhu síťové architektury úlohy Azure VMware Solution. Dobře navržená síť je důležitá pro umožnění připojení, optimalizaci doby odezvy, distribuci provozu a pomáhá zajistit nepřetržitou dostupnost úloh v Azure VMware Solution.

Distribuce zatížení pro zajištění vysoké dostupnosti

Dopad: Spolehlivost, efektivita výkonu

Pokud chcete dosáhnout škálovatelnosti a optimalizovat výkon, měli byste distribuovat provoz mezi cíle v rámci infrastruktury řešení Azure VMware. Když vyrovnáte zatížení provozu azure VMware Solution, můžete ho distribuovat různými algoritmy, jako jsou algoritmy, které berou v úvahu výkon a váhu. Distribuce příchozího provozu zlepšuje škálování a spolehlivost aplikací úloh. Pokud vaše aplikace pokrývá více softwarově definovaných datacenter (SDDC), může nástroj pro vyrovnávání zatížení Azure distribuovat provoz napříč všemi vašimi prostředími.

Doporučení

  • K rovnoměrné distribuci provozu použijte nástroj pro vyrovnávání zatížení, jako je VMware NSX Advanced Load Balancer. Podpora interních a externích aplikačních bran. Nástroj pro vyrovnávání zatížení použijte ke směrování, doručování aplikací a ukončení protokolu TLS.
  • Pro úlohy, které se rozšiřují do Azure, použijte Azure Application Gateway. Tento nástroj pro vyrovnávání zatížení distribuuje provoz za účelem zvýšení výkonu aplikace. Application Gateway také nabízí možnosti detekce a prevence neoprávněných vniknutí (IDPS) a Firewall webových aplikací Azure. Azure Load Balancer může distribuovat provoz napříč zónami, aby poskytoval vysokou dostupnost a odolnost proti chybám pro úlohy, které zahrnují více zón dostupnosti Azure.

Minimalizace vzdálenosti v globálním rozdělení

Dopad: Spolehlivost, efektivita výkonu, optimalizace nákladů

U aplikací s globální přítomností je důležité minimalizovat vzdálenost mezi instancemi a uživateli. Tohoto cíle můžete dosáhnout směrováním provozu do nejbližšího SDDC řešení Azure VMware Solution. Pokud používáte Traffic Manager, můžete také potenciálně snížit náklady na odchozí přenos dat. Konkrétně můžete odesílat uživatele do nejbližšího nasazení Azure VMware Solution nebo do edge lokality. Zmenšení vzdálenosti, po které data cestuje, vám pomůže vyhnout se dlouhým přenosům dat.

Doporučení

  • U aplikací, které pokrývají více oblastí, zvažte nasazení globálního řešení vyrovnávání zatížení provozu založeného na systému Domain Name System, jako je Azure Traffic Manager.
  • Vytvořte profily směrování provozu. Nakonfigurujte různé metody směrování, jako je směrování na základě priority, vážené kruhové dotazování, směrování na základě výkonu nebo geografické směrování.

Doručování obsahu

dopad: výkon, optimalizace nákladů

Aplikace s vysokým provozem vyžadují optimální načítání obsahu. Techniky optimalizace, jako jsou komprese a akcelerátory HTTP, můžou zlepšit výkon načítání prostředků v rámci vašeho prostředí Azure VMware Solution. Před jejich přenosem můžete u souborů použít techniky komprese. Tento postup může snížit náklady snížením množství přenášených dat. Síť pro doručování obsahu ukládá často používaný obsah do mezipaměti. Výsledkem je, že použití sítě pro doručování obsahu s azure VMware Solution vám může pomoct optimalizovat načítání a distribuci. Sítě pro doručování obsahu vám také můžou pomoct ušetřit náklady jinými způsoby. Vzhledem k tomu, že tyto sítě ukládají data do mezipaměti v hraničních umístěních, která jsou blízko uživatelům, zmenšují vzdálenost, kterou data cestují.

Doporučení

  • Pomocí služby Azure Content Delivery Network můžete zlepšit rychlost odezvy a snížit latenci pro uživatele, kteří přistupují k vašim aplikacím a webům.
  • Pomocí komprese minimalizujte datovou část statických prostředků.
  • Používejte řešení ukládání do mezipaměti, jako je Redis nebo Azure Cache for Redis, k ukládání často přístupných dat do mezipaměti.

Použijte firewall pro úlohy orientované na internet

dopad: Zabezpečení

Úlohy směřující ven v Azure VMware Solution jsou mapovány na veřejnou IP adresu. V důsledku toho mohou být vystaveny internetu a přijímají příchozí připojení z externích zdrojů. Toto přidružení k virtuálnímu počítači nebo nástroji pro vyrovnávání zatížení představuje pro vaše úlohy rizika.

Doporučení

  • Pro aplikace orientované na internet použijte bránu firewall, jako je Azure Firewall nebo certifikované virtuální síťové zařízení třetí strany (NVA), ke kontrole provozu řešení Azure VMware směrem na internet a Azure.
  • Ujistěte se, že brána firewall obsahuje pravidla a seznamy řízení přístupu pro omezení a filtrování příchozího provozu.

Zabezpečení provozu mezi interními úlohami

dopad: Zabezpečení

Síť je kritickým perimetrem v prostředí Azure VMware Solution. Sítě pomáhají řídit přístup, chránit data a zmírnit hrozby. Robustní opatření zabezpečení sítě pomáhají zajistit dostupnost a odolnost úloh Azure VMware Solution. Například implementace izolace sítě prostřednictvím segmentace a použití virtuálních sítí LAN může pomoct zabránit neoprávněnému přístupu mezi komponentami prostředí Azure VMware Solution. Skupiny zabezpečení sítě můžete použít k izolaci a ochraně provozu ve virtuálních sítích úloh.

Doporučení

  • Vytvořte segmenty sítě pro úlohy Azure VMware Solution.
  • Vytvořte pravidla brány firewall v datovém centru VMware NSX-T.
  • Povolte rozšíření HCX s vysokou dostupností. Ve výchozím nastavení se síťová rozšíření HCX nasazují jako samostatné instance. Selhání instance spuštěné ve zdroji nebo cíli způsobí, že celá roztažená síť VLAN nebude funkční. Použitím HCX Network Extension HA zajistíte, že operace HCX, jako je vMotion, budou schopny tolerovat selhání jedné instance.

Návrh schémat přidělování IP adres pro růst

dopad : zabezpečení, efektivita provozu

K návrhu řešení Azure VMware Solution a cloudových virtuálních sítí pro růst můžete použít úmyslnou strategii zabezpečení podsítě. Tento návrh zahrnuje strategickou organizaci přidělování IP adres. Musíte také použít nástroj pro správu IP adresování a vynutit alokaci.

Kromě rozsahu adres /22 RFC-1918 mají segmenty úloh samostatné a nekolidující rozsahy beztřídového směrování mezi doménami (CIDR). Naplánujte si dostatek IP adres pro virtuální počítače, veřejné IP adresy a nástroje pro vyrovnávání zatížení.

Doporučení

  • Ujistěte se, že je rozsah IP adres dostatečně velký, aby vyhovoval všem aktuálním a budoucím úlohám azure VMware Solution.
  • Pomocí tabulky nebo nástroje pro správu IP adres (IPAM) můžete efektivně uspořádat dostupné IP adresy, sledovat využití IP adres a vyhnout se konfliktům IP adres.
  • Naplánujte potenciální nárůst počtu zařízení, segmentů nebo podsítí. Použijte schéma přidělování IP adres, které dokáže zpracovat nárůst poptávky.
  • Identifikujte duplicitní trasy ve směrovačích T0 datového centra NSX-T. Duplicitní trasy představují možnou indikaci asymetrických tras. Připojení k místním prostředím může přestat fungovat, pokud není zjištěna asymetrie.
  • Použijte více serverů DNS na zónu privátního plně kvalifikovaného názvu domény. Azure VMware Solution SDDC může podporovat až tři DNS servery pro jediný FQDN. Použití jednoho serveru DNS pro řešení DNS představuje jediný bod selhání. Ujistěte se, že se pro překlad plně kvalifikovaného názvu domény z Azure VMware Solution SDDC používá více serverů DNS.
  • Pro přiřazení dynamické IP adresy použijte protokol DHCP (Dynamic Host Configuration Protocol).

Další zdroje informací

  • Překročení limitů konfigurace může ponechat službu Azure VMware Solution SDDC v nepodporovaném stavu a ovlivnit její dostupnost pro všechny operace podpory a upgradu. Použití více segmentů NSX vám pomůže zajistit, abyste nepřekročili limity konfigurace VMware.

Další kroky

Teď, když jste prozkoumali sítě ve službě Azure VMware Solution, prozkoumejte osvědčené postupy pro monitorování infrastruktury a aplikace.

monitorování

Pomocí nástroje pro posouzení vyhodnoťte volby návrhu.

posouzení