Freigeben über


Überprüfen des Wechsels zwischen zwei Knoten und nicht konvergenten Bereitstellungsnetzwerkreferenzmustern für Azure Local

Gilt für: Azure Local, Versionen 23H2 und 22H2

In diesem Artikel erfahren Sie mehr über das wechselseitige, nicht konvergente, zwei-TOR-Switch-Netzwerkreferenzmuster, mit dem Sie Ihre lokale Azure-Lösung bereitstellen können. Anhand der Informationen in diesem Artikel können Sie auch ermitteln, ob diese Konfiguration für Ihre Bereitstellungsplanungsanforderungen geeignet ist. Dieser Artikel richtet sich an die IT-Administratoren, die Azure Local in ihren Rechenzentren bereitstellen und verwalten.

Informationen zu anderen Netzwerkmustern finden Sie unter Azure Local Network Deployment Patterns.

Szenarien

Szenarien für dieses Netzwerkmuster umfassen Labore, Fabriken, Zweigstellen und Rechenzentrumseinrichtungen.

Stellen Sie dieses Muster für eine verbesserte Netzwerkleistung Ihres Systems bereit, und wenn Sie weitere Knoten hinzufügen möchten. Die Ost-West-Speicherdatenverkehrreplikation stört oder konkurriert nicht mit nord-süd-Datenverkehr, der für die Verwaltung und Berechnung vorgesehen ist. Logische Netzwerkkonfiguration beim Hinzufügen zusätzlicher Knoten sind bereit, ohne Dass Arbeitsauslastungsausfälle oder physische Verbindungsänderungen erforderlich sind. SDN L3-Dienste werden für dieses Muster vollständig unterstützt.

Routingdienste wie BGP können direkt auf den TOR-Switches konfiguriert werden, wenn sie L3-Dienste unterstützen. Netzwerksicherheitsfeatures wie Mikrosegmentierung und QoS erfordern keine zusätzliche Konfiguration auf dem Firewallgerät, da sie auf der Ebene des virtuellen Netzwerkadapters implementiert werden.

Physische Verbindungskomponenten

Wie im folgenden Diagramm beschrieben, weist dieses Muster die folgenden physischen Netzwerkkomponenten auf:

  • Für ausgehenden/südgebundenen Datenverkehr wird das System in diesem Muster mit zwei TOR-Schaltern in der MLAG-Konfiguration implementiert.

  • Zwei teamierte Netzwerkkarten zum Verarbeiten von Verwaltungs- und Computedatenverkehr, der mit zwei TOR-Switches verbunden ist. Jede NIC ist mit einem anderen TOR-Schalter verbunden.

  • Zwei RDMA-NICs in eigenständiger Konfiguration. Jede NIC ist mit einem anderen TOR-Schalter verbunden. Die SMB-Multichannel-Funktion bietet Pfadaggregation und Fehlertoleranz.

  • Als Option können Bereitstellungen eine BMC-Karte enthalten, um die Remoteverwaltung der Umgebung zu ermöglichen. Einige Lösungen verwenden möglicherweise eine headless-Konfiguration ohne BMC-Karte für Sicherheitszwecke.

Diagramm mit zwei Knoten wechsellosen physischen Konnektivitätslayouts.

Netzwerke Verwaltung und Berechnung Storage BMC
Verbindungsgeschwindigkeit Mindestens 1 GBit/s. 10 GBit/s empfohlen Mindestens 10 GBit/s Wenden Sie sich an den Hardwarehersteller.
Schnittstellentyp RJ45, SFP+ oder SFP28 SFP+ oder SFP28 RJ45
Ports und Aggregation Zwei teamierte Ports Zwei eigenständige Ports Ein Port

AtC-Netzwerkabsichten

Diagramm mit zwei Knoten switchless Network ATC-Absichten

Verwaltungs- und Computeabsicht

  • Intent-Typ: Verwaltung und Berechnung
  • In Zelt-Modus: Clustermodus
  • Teaming: Ja. pNIC01 und pNIC02 sind teamiert
  • Standardverwaltungs-VLAN: Konfiguriertes VLAN für Verwaltungsadapter wird nicht geändert.
  • PA & Compute VLANs und vNICs: Network ATC ist transparent für PA vNICs und VLAN oder Compute VM vNICs und VLANs

Speicherabsicht

  • Intent-Typ: Speicher
  • Absichtsmodus: Clustermodus
  • Teamerstellung: pNIC03 und pNIC04 verwenden SMB Multichannel, um Resilienz und Bandbreitenaggregation bereitzustellen
  • Standard-VLANs:
    • 711 für Speichernetzwerk 1
    • 712 für Speichernetzwerk 2
  • Standardsubnetze:
    • 10.71.1.0/24 für Speichernetzwerk 1
    • 10.71.2.0/24 für Speichernetzwerk 2

Führen Sie die folgenden Schritte aus, um Netzwerkabsichten für dieses Referenzmuster zu erstellen:

  1. Führen Sie PowerShell als Administrator aus.

  2. Führen Sie die folgenden Befehle aus:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
    Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
    

Logische Verbindungskomponenten

Wie im folgenden Diagramm dargestellt, weist dieses Muster die folgenden logischen Netzwerkkomponenten auf:

Diagramm mit zwei Knoten physischen Verbindungslayouts.

Speichernetzwerk-VLANs

Der speicherabsichtsbasierte Datenverkehr besteht aus zwei einzelnen Netzwerken, die RDMA-Datenverkehr unterstützen. Jede Schnittstelle ist einem separaten Speichernetzwerk zugeordnet, und beide können dasselbe VLAN-Tag verwenden.

Die Speicheradapter werden in verschiedenen IP-Subnetzen ausgeführt. Jedes Speichernetzwerk verwendet standardmäßig die vordefinierten ATC-VLANs (711 und 712). Diese VLANs können jedoch bei Bedarf angepasst werden. Wenn das von ATC definierte Standardsubnetz nicht verwendet werden kann, sind Sie außerdem dafür verantwortlich, alle Speicher-IP-Adressen im System zuzuweisen.

Weitere Informationen finden Sie unter Network ATC overview.

OOB-Netzwerk

Das Out of Band(OOB)-Netzwerk dient zur Unterstützung der "Lights-out"-Serververwaltungsschnittstelle, die auch als Baseboard-Verwaltungscontroller (Baseboard Management Controller, BMC) bezeichnet wird. Jede BMC-Schnittstelle stellt eine Verbindung mit einem vom Kunden bereitgestellten Switch her. Der BMC wird verwendet, um PXE-Startszenarien zu automatisieren.

Das Verwaltungsnetzwerk erfordert Zugriff auf die BMC-Schnittstelle mithilfe von IPMI-Port 623 (User Datagram Protocol) (User Datagram Protocol, UDP).

Das OOB-Netzwerk ist von Computeworkloads isoliert und ist optional für nicht lösungsbasierte Bereitstellungen.

Verwaltungs-VLAN

Alle physischen Computehosts benötigen Zugriff auf das logische Verwaltungsnetzwerk. Für die IP-Adressplanung muss jeder physische Computehost mindestens eine IP-Adresse aus dem logischen Verwaltungsnetzwerk zugewiesen haben.

Ein DHCP-Server kann automatisch IP-Adressen für das Verwaltungsnetzwerk zuweisen, oder Sie können statische IP-Adressen manuell zuweisen. Wenn DHCP die bevorzugte IP-Zuweisungsmethode ist, empfiehlt es sich, DHCP-Reservierungen ohne Ablauf zu verwenden.

Das Verwaltungsnetzwerk unterstützt die folgenden VLAN-Konfigurationen:

  • Natives VLAN – Sie müssen keine VLAN-IDs bereitstellen. Dies ist für lösungsbasierte Installationen erforderlich.

  • Tagged VLAN – Sie geben VLAN-IDs zum Zeitpunkt der Bereitstellung an.

Das Verwaltungsnetzwerk unterstützt den gesamten Datenverkehr, der für die Verwaltung des Clusters verwendet wird, einschließlich Remotedesktop, Windows Admin Center und Active Directory.

Weitere Informationen finden Sie unter Planen einer SDN-Infrastruktur: Verwaltung und HNV-Anbieter.

Berechnen von VLANs

In einigen Szenarien müssen Sie keine VIRTUELLEN SDN-Netzwerke mit VXLAN-Kapselung (Virtual Extensible LAN, VXLAN) verwenden. Stattdessen können Sie herkömmliche VLANs verwenden, um Ihre Mandantenarbeitslasten zu isolieren. Diese VLANs sind im Trunkmodus auf dem PORT des TOR-Switches konfiguriert. Beim Verbinden neuer VMs mit diesen VLANs wird das entsprechende VLAN-Tag auf dem virtuellen Netzwerkadapter definiert.

HNV Provider Address (PA)-Netzwerk

Das Hyper-V Network Virtualization (HNV)-Anbieteradresse (PA)-Netzwerk dient als zugrunde liegendes physisches Netzwerk für ost-/westinternen Mandantendatenverkehr, Nord-/Süd-Mandantendatenverkehr (extern-intern) und zum Austauschen von BGP-Peeringinformationen mit dem physischen Netzwerk. Dieses Netzwerk ist nur erforderlich, wenn virtuelle Netzwerke mithilfe der VXLAN-Kapselung für eine andere Isolationsebene und für netzwerkübergreifende Mandanten bereitgestellt werden müssen.

Weitere Informationen finden Sie unter Planen einer SDN-Infrastruktur: Verwaltung und HNV-Anbieter.

Optionen für die Netzwerkisolation

Die folgenden Netzwerkisolationsoptionen werden unterstützt:

VLANs (IEEE 802.1Q)

VLANs ermöglichen Es Geräten, die getrennt gehalten werden müssen, um die Verkabelung eines physischen Netzwerks freizugeben und dennoch daran gehindert zu werden, direkt miteinander zu interagieren. Durch diese verwaltete Freigabe werden Einfachheit, Sicherheit, Verkehrsmanagement und Wirtschaft erzielt. Beispielsweise kann ein VLAN verwendet werden, um den Datenverkehr innerhalb eines Unternehmens basierend auf einzelnen Benutzern oder Benutzergruppen oder rollen oder basierend auf den Datenverkehrseigenschaften zu trennen. Viele Internethostingdienste verwenden VLANs, um private Zonen voneinander zu trennen, sodass die Server jedes Kunden in einem einzigen Netzwerksegment gruppiert werden können, unabhängig davon, wo sich die einzelnen Server im Rechenzentrum befinden. Einige Vorsichtsmaßnahmen sind erforderlich, um den Datenverkehr von einem bestimmten VLAN zu verhindern, einem Exploit, der als VLAN-Hopping bezeichnet wird.

Weitere Informationen finden Sie unter "Grundlegendes zur Verwendung virtueller Netzwerke und VLANs".

Standardmäßige Netzwerkzugriffsrichtlinien und Mikrosegmentierung

Standardmäßige Netzwerkzugriffsrichtlinien stellen sicher, dass alle virtuellen Computer (VMs) in Ihrem Azure Stack HCI-Cluster standardmäßig von externen Bedrohungen geschützt sind. Mit diesen Richtlinien blockieren wir standardmäßig den eingehenden Zugriff auf einen virtuellen Computer, während die Möglichkeit gegeben wird, selektive eingehende Ports zu aktivieren und so die VMs vor externen Angriffen zu schützen. Diese Erzwingung ist über Verwaltungstools wie Windows Admin Center verfügbar.

Die Mikrosegmentierung umfasst die Erstellung präziser Netzwerkrichtlinien zwischen Anwendungen und Diensten. Dies reduziert im Wesentlichen den Sicherheitsperimeter auf einen Zaun um jede Anwendung oder VM. Dieser Zaun erlaubt nur die notwendige Kommunikation zwischen Anwendungsstufen oder anderen logischen Grenzen, wodurch es für Cyberthreats äußerst schwierig ist, sich lateral von einem System auf ein anderes auszubreiten. Die Mikrosegmentierung isoliert Netzwerke sicher voneinander und reduziert die gesamte Angriffsfläche eines Netzwerksicherheitsvorfalls.

Standardmäßige Netzwerkzugriffsrichtlinien und Mikrosegmentierung werden als Fünf-Tupel-Zustand (Quelladresspräfix, Quellport, Zieladresspräfix, Zielport und Protokoll)-Firewallregeln für Azure Stack HCI-Cluster realisiert. Firewallregeln werden auch als Netzwerksicherheitsgruppen (Network Security Groups, NSGs) bezeichnet. Diese Richtlinien werden am vSwitch-Port jeder VM erzwungen. Die Richtlinien werden über die Verwaltungsebene übertragen, und der SDN-Netzwerkcontroller verteilt sie an alle anwendbaren Hosts. Diese Richtlinien sind für VMs in herkömmlichen VLAN-Netzwerken und sdN-Überlagerungsnetzwerken verfügbar.

Weitere Informationen finden Sie unter Was ist die Rechenzentrumsfirewall?.  

QoS für VM-Netzwerkadapter

Sie können Quality of Service (QoS) für einen VM-Netzwerkadapter konfigurieren, um die Bandbreite auf einer virtuellen Schnittstelle zu begrenzen, um zu verhindern, dass eine VM mit hohem Datenverkehr mit anderen VM-Netzwerkdatenverkehr zu kämpfen hat. Sie können QoS auch so konfigurieren, dass eine bestimmte Bandbreite für einen virtuellen Computer reserviert wird, um sicherzustellen, dass der virtuelle Computer Unabhängig vom anderen Datenverkehr im Netzwerk Datenverkehr senden kann. Diese Konfiguration kann sowohl auf an herkömmliche VLANs angeschlossene VMs als auch auf an SDN-Überlagerungsnetzwerke angeschlossene VMs angewendet werden.

Weitere Informationen finden Sie unter Konfigurieren von QoS für einen VM-Netzwerkadapter.

Virtuelle Netzwerke

Die Netzwerkvirtualisierung stellt virtuelle Netzwerke für virtuelle Computer bereit, ähnlich wie servervirtualisierung (Hypervisor) VMs für das Betriebssystem bereitstellt. Die Netzwerkvirtualisierung entkoppelt virtuelle Netzwerke von der physischen Netzwerkinfrastruktur und entfernt die Einschränkungen von VLAN und hierarchischer IP-Adresszuweisung von der VM-Bereitstellung. Diese Flexibilität erleichtert Es Ihnen, zu IaaS-Clouds (Infrastructure-as-a-Service) zu wechseln und ist für Hoster und Rechenzentrumsadministratoren effizient, um ihre Infrastruktur zu verwalten und die erforderliche Mehrinstanzenisolation, Sicherheitsanforderungen und überlappende VM-IP-Adressen aufrechtzuerhalten.

Weitere Informationen finden Sie unter Hyper-V-Netzwerkvirtualisierung.

L3-Netzwerkdiensteoptionen

Die folgenden L3-Netzwerkdienstoptionen sind verfügbar:

Peering von virtuellen Netzwerken

Über das Peering virtueller Netzwerke können Sie zwei virtuelle Netzwerke nahtlos verbinden. Nach dem Peering werden die virtuellen Netzwerke zu Konnektivitätszwecken als ein Netzwerk angezeigt. Die Verwendung von VNET-Peering bietet unter anderem folgende Vorteile:

  • Datenverkehr zwischen virtuellen Computern in den virtuellen Peernetzwerken wird nur über die Backbone-Infrastruktur über private IP-Adressen weitergeleitet. Die Kommunikation zwischen den virtuellen Netzwerken erfordert keine öffentlichen Internet- oder Gateways.
  • Niedrige Latenz, Verbindung mit hoher Bandbreite zwischen Ressourcen in unterschiedlichen virtuellen Netzwerken
  • Die Möglichkeit zur Kommunikation für Ressourcen in einem virtuellen Netzwerk mit Ressourcen in einem anderen virtuellen Netzwerk.
  • Keine Downtime für Ressourcen in beiden virtuellen Netzwerken beim Erstellen des Peerings

Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.

SDN-Softwarelastenausgleich

CloudDienstanbieter (CSPs) und Unternehmen, die Software Defined Networking (SDN) bereitstellen, können Software Load Balancer (SLB) verwenden, um den Kundennetzwerkdatenverkehr gleichmäßig zwischen virtuellen Netzwerkressourcen zu verteilen. SLB ermöglicht es Ihnen, mehrere Server zum Hosten derselben Workload zu aktivieren, um hohe Verfügbarkeit und Skalierbarkeit bereitzustellen. Es wird auch verwendet, um eingehende Nat-Dienste (Network Address Translation) für eingehenden Zugriff auf VMs und ausgehende NAT-Dienste für ausgehende Verbindungen bereitzustellen.

Mithilfe von SLB können Sie Ihre Lastenausgleichsfunktionen mithilfe von SLB-V-Computern auf denselben Hyper-V-Computeservern skalieren, die Sie für Ihre anderen VM-Workloads verwenden. SLB unterstützt die schnelle Erstellung und Löschung von Lastenausgleichsendpunkten nach Bedarf für CSP-Vorgänge. Darüber hinaus unterstützt SLB zehn Gigabyte pro Cluster, bietet ein einfaches Bereitstellungsmodell und ist einfach zu skalieren und ein. Beim SLB wird das Border Gateway Protocol verwendet, um dem physischen Netzwerk virtuelle IP-Adressen anzukündigen.

Weitere Informationen finden Sie unter Was ist SLB für SDN?

SDN-VPN-Gateways

SDN-Gateway ist ein softwarebasierter Border Gateway Protocol (BGP)-fähiger Router, der für CSPs und Unternehmen entwickelt wurde, die virtuelle Multimandantennetzwerke mit Hyper-V-Netzwerkvirtualisierung (HNV) hosten. Sie können RAS-Gateways verwenden, um Netzwerkdatenverkehr zwischen einem virtuellen Netzwerk und einem anderen Netzwerk (lokal oder remote) weiterzuleiten.

DAS SDN-Gateway kann verwendet werden, um:

  • Erstellen sicherer Site-to-Site-IPsec-Verbindungen zwischen virtuellen SDN-Netzwerken und externen Kundennetzwerken über das Internet

  • Erstellen von GRE-Verbindungen (Generic Routing Encapsulation) zwischen virtuellen SDN-Netzwerken und externen Netzwerken. Der Unterschied zwischen Standort-zu-Standort-Verbindungen und GRE-Verbindungen besteht darin, dass letztere keine verschlüsselte Verbindung ist.

    Weitere Informationen zu GRE-Konnektivitätsszenarien finden Sie unter GRE-Tunneling in Windows Server 2016.

  • Erstellen Sie Layer 3 (L3)-Verbindungen zwischen virtuellen SDN-Netzwerken und externen Netzwerken. In diesem Fall fungiert das SDN-Gateway einfach als Router zwischen Ihrem virtuellen Netzwerk und dem externen Netzwerk.

SDN-Gateway erfordert SDN-Netzwerkcontroller. Der Netzwerkcontroller führt die Bereitstellung von Gatewaypools durch, konfiguriert Mandantenverbindungen auf jedem Gateway und wechselt Netzwerkdatenverkehr zu einem Standbygateway, wenn ein Gateway fehlschlägt.

Von Gateways wird das Border Gateway Protocol verwendet, um GRE-Endpunkte anzukündigen und Point-to-Point-Verbindungen herzustellen. Bei der SDN-Bereitstellung wird ein Standardgatewaypool erstellt, der alle Verbindungstypen unterstützt. Innerhalb dieses Pools können Sie angeben, wie viele Gateways im Standby für den Fall vorgehalten werden sollen, dass ein aktives Gateway ausfällt.

Weitere Informationen finden Sie unter Was ist RAS-Gateway für SDN?

Nächste Schritte

Erfahren Sie mehr über das Zwei-Knoten-Speichermuster, das vollständig konvergent ist.