Freigeben über

Überprüfen des Wechsels mit zwei Knoten speicherfreiem Netzwerkreferenzmuster für einmalige Switchbereitstellungen für Azure Local

  • Artikel

Gilt für: Azure Local, Versionen 23H2 und 22H2

In diesem Artikel wird der wechsellose Speicherwechsel mit einem einzelnen TOR-Switch-Netzwerkreferenzmuster beschrieben, mit dem Sie Ihre lokale Azure-Lösung bereitstellen können. Anhand der Informationen in diesem Artikel können Sie auch ermitteln, ob diese Konfiguration für Ihre Bereitstellungsplanungsanforderungen geeignet ist. Dieser Artikel richtet sich an die IT-Administratoren, die Azure Local in ihren Rechenzentren bereitstellen und verwalten.

Informationen zu anderen Netzwerkmustern finden Sie unter Azure Local network deployment patterns.

Szenarien

Szenarien für dieses Netzwerkmuster umfassen Labore, Fabriken, Einzelhandelsgeschäfte und Staatliche Einrichtungen.

Betrachten Sie dieses Muster für eine kostengünstige Lösung, die Fehlertoleranz auf Systemebene enthält, kann aber Unterbrechungen der nordgebundenen Konnektivität tolerieren, wenn der einzelne physische Switch fehlschlägt oder Wartung erfordert.

Sie können dieses Muster skalieren, erfordert jedoch Arbeitsauslastungsausfallzeiten, um die physische Speicherkonnektivität und die Neukonfiguration des Speichernetzwerks neu zu konfigurieren. Obwohl SDN L3-Dienste für dieses Muster vollständig unterstützt werden, müssen die Routingdienste wie BGP auf dem Firewallgerät über dem TOR-Switch konfiguriert werden, wenn sie L3-Dienste nicht unterstützt. Netzwerksicherheitsfeatures wie Mikrosegmentierung und QoS erfordern keine zusätzliche Konfiguration auf dem Firewallgerät, da sie auf dem virtuellen Switch implementiert sind.

Physische Verbindungskomponenten

Wie im folgenden Diagramm dargestellt, weist dieses Muster die folgenden physischen Netzwerkkomponenten auf:

  • Single TOR switch for north-south traffic communication.

  • Zwei teamierte Netzwerkports zur Behandlung von Verwaltungs- und Computedatenverkehr, die mit dem L2-Switch auf jedem Host verbunden sind

  • Zwei RDMA-NICs in einer vollmaschigen Konfiguration für ost-west-Datenverkehr für den Speicher. Jeder Knoten im System verfügt über eine redundante Verbindung mit dem anderen Knoten im System.

  • Als Option können einige Lösungen eine headless-Konfiguration ohne BMC-Karte für Sicherheitszwecke verwenden.

Diagramm mit zwei Knoten wechsellosen physischen Konnektivitätslayouts.

Netzwerke Verwaltung und Berechnung Storage BMC
Verbindungsgeschwindigkeit Mindestens 1 GBit/s. 10 GBit/s empfohlen Mindestens 10 GBit/s Wenden Sie sich an den Hardwarehersteller.
Schnittstellentyp RJ45, SFP+ oder SFP28 SFP+ oder SFP28 RJ45
Ports und Aggregation Zwei teamierte Ports Zwei eigenständige Ports Ein Port

AtC-Netzwerkabsichten

Bei Wechsellosen Mustern für zwei Knoten werden zwei Netzwerk-ATC-Absichten erstellt. Der erste für die Verwaltung und Berechnung des Netzwerkdatenverkehrs und der zweite für den Speicherdatenverkehr.

Diagramm mit zwei Knoten switchless Network ATC-Absichten

Verwaltungs- und Computeabsicht

  • Intent-Typ: Verwaltung und Berechnung
  • Absichtsmodus: Clustermodus
  • Teaming: Ja. pNIC01 und pNIC02 sind teamiert
  • Standardverwaltungs-VLAN: Konfiguriertes VLAN für Verwaltungsadapter wird nicht geändert.
  • PA & Compute VLANs und vNICs: Network ATC ist transparent für PA vNICs und VLAN oder Compute VM vNICs und VLANs

Speicherabsicht

  • Intent-Typ: Speicher
  • In Zelt-Modus: Clustermodus
  • Teamerstellung: pNIC03 und pNIC04 verwenden SMB Multichannel, um Resilienz und Bandbreitenaggregation bereitzustellen
  • Standard-VLANs:
    • 711 für Speichernetzwerk 1
    • 712 für Speichernetzwerk 2
  • Standardsubnetze:
    • 10.71.1.0/24 für Speichernetzwerk 1
    • 10.71.2.0/24 für Speichernetzwerk 2

Weitere Informationen finden Sie unter Bereitstellen von Hostnetzwerken.

Führen Sie die folgenden Schritte aus, um Netzwerkabsichten für dieses Referenzmuster zu erstellen:

  1. Führen Sie PowerShell als Administrator aus.

  2. Führen Sie den folgenden Befehl aus:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

Logische Verbindungskomponenten

Wie im folgenden Diagramm dargestellt, weist dieses Muster die folgenden logischen Netzwerkkomponenten auf:

Diagramm, in dem das Layout

Speichernetzwerk-VLANs

Der speicherabsichtsbasierte Datenverkehr besteht aus zwei einzelnen Netzwerken, die RDMA-Datenverkehr unterstützen. Jede Schnittstelle wird einem separaten Speichernetzwerk zugeordnet, und beide verwenden möglicherweise dasselbe VLAN-Tag. Dieser Datenverkehr soll nur zwischen den beiden Knoten reisen. Speicherdatenverkehr ist ein privates Netzwerk ohne Verbindung mit anderen Ressourcen.

Die Speicheradapter funktionieren in verschiedenen IP-Subnetzen. Um eine switchlose Konfiguration zu aktivieren, unterstützt jeder verbundene Knoten ein übereinstimmende Subnetz seines Nachbarn. Jedes Speichernetzwerk verwendet standardmäßig die vordefinierten NETWORK ATC-VLANs (711 und 712). Diese VLANs können jedoch bei Bedarf angepasst werden. Wenn die von Network ATC (10.71.1.0/24 und 10.71.2.0/24) definierten Standardsubnetze nicht verwendet werden können, sind Sie für die Zuweisung aller Speicher-IP-Adressen im System verantwortlich.

Weitere Informationen finden Sie unter Network ATC overview.

OOB-Netzwerk

Das Out of Band(OOB)-Netzwerk dient zur Unterstützung der "Lights-out"-Serververwaltungsschnittstelle, die auch als Baseboard-Verwaltungscontroller (Baseboard Management Controller, BMC) bezeichnet wird. Jede BMC-Schnittstelle stellt eine Verbindung mit einem vom Kunden bereitgestellten Switch her. Der BMC wird verwendet, um PXE-Startszenarien zu automatisieren.

Das Verwaltungsnetzwerk erfordert Zugriff auf die BMC-Schnittstelle mithilfe von IPMI-Port 623 (User Datagram Protocol) (User Datagram Protocol, UDP).

Das OOB-Netzwerk ist von Computeworkloads isoliert und ist optional für nicht lösungsbasierte Bereitstellungen.

Verwaltungs-VLAN

Alle physischen Computehosts benötigen Zugriff auf das logische Verwaltungsnetzwerk. Für die IP-Adressplanung muss jeder physische Computehost mindestens eine IP-Adresse aus dem logischen Verwaltungsnetzwerk zugewiesen haben.

Ein DHCP-Server kann automatisch IP-Adressen für das Verwaltungsnetzwerk zuweisen, oder Sie können statische IP-Adressen manuell zuweisen. Wenn DHCP die bevorzugte IP-Zuweisungsmethode ist, empfiehlt es sich, DHCP-Reservierungen ohne Ablauf zu verwenden.

Das Verwaltungsnetzwerk unterstützt die folgenden VLAN-Konfigurationen:

  • Natives VLAN – Sie müssen keine VLAN-IDs bereitstellen. Dies ist für lösungsbasierte Installationen erforderlich.

  • Tagged VLAN – Sie geben VLAN-IDs zum Zeitpunkt der Bereitstellung an.

Das Verwaltungsnetzwerk unterstützt den gesamten Datenverkehr, der für die Verwaltung des Clusters verwendet wird, einschließlich Remotedesktop, Windows Admin Center und Active Directory.

Weitere Informationen finden Sie unter Planen einer SDN-Infrastruktur: Verwaltung und HNV-Anbieter.

Berechnen von VLANs

In einigen Szenarien müssen Sie keine VIRTUELLEN SDN-Netzwerke mit VXLAN-Kapselung (Virtual Extensible LAN, VXLAN) verwenden. Stattdessen können Sie herkömmliche VLANs verwenden, um Ihre Mandantenarbeitslasten zu isolieren. Diese VLANs sind im Trunkmodus auf dem PORT des TOR-Switches konfiguriert. Beim Verbinden neuer VMs mit diesen VLANs wird das entsprechende VLAN-Tag auf dem virtuellen Netzwerkadapter definiert.

HNV Provider Address (PA)-Netzwerk

Das Hyper-V Network Virtualization (HNV)-Anbieteradresse (PA)-Netzwerk dient als zugrunde liegendes physisches Netzwerk für ost-/westinternen Mandantendatenverkehr, Nord-/Süd-Mandantendatenverkehr (extern-intern) und zum Austauschen von BGP-Peeringinformationen mit dem physischen Netzwerk. Dieses Netzwerk ist nur erforderlich, wenn virtuelle Netzwerke mithilfe der VXLAN-Kapselung für eine andere Isolationsebene und für netzwerkübergreifende Mandanten bereitgestellt werden müssen.

Weitere Informationen finden Sie unter Planen einer SDN-Infrastruktur: Verwaltung und HNV-Anbieter.

Optionen für die Netzwerkisolation

Die folgenden Netzwerkisolationsoptionen werden unterstützt:

VLANs (IEEE 802.1Q)

VLANs ermöglichen Es Geräten, die getrennt gehalten werden müssen, um die Verkabelung eines physischen Netzwerks freizugeben und dennoch daran gehindert zu werden, direkt miteinander zu interagieren. Durch diese verwaltete Freigabe werden Einfachheit, Sicherheit, Verkehrsmanagement und Wirtschaft erzielt. Beispielsweise kann ein VLAN verwendet werden, um den Datenverkehr innerhalb eines Unternehmens basierend auf einzelnen Benutzern oder Benutzergruppen oder rollen oder basierend auf den Datenverkehrseigenschaften zu trennen. Viele Internethostingdienste verwenden VLANs, um private Zonen voneinander zu trennen, sodass die Server jedes Kunden in einem einzigen Netzwerksegment gruppiert werden können, unabhängig davon, wo sich die einzelnen Server im Rechenzentrum befinden. Einige Vorsichtsmaßnahmen sind erforderlich, um den Datenverkehr von einem bestimmten VLAN zu verhindern, einem Exploit, der als VLAN-Hopping bezeichnet wird.

Weitere Informationen finden Sie unter "Grundlegendes zur Verwendung virtueller Netzwerke und VLANs".

Standardmäßige Netzwerkzugriffsrichtlinien und Mikrosegmentierung

Standardmäßige Netzwerkzugriffsrichtlinien stellen sicher, dass alle virtuellen Computer (VMs) in Ihrem Azure Stack HCI-Cluster standardmäßig von externen Bedrohungen geschützt sind. Mit diesen Richtlinien blockieren wir standardmäßig den eingehenden Zugriff auf einen virtuellen Computer, während die Möglichkeit gegeben wird, selektive eingehende Ports zu aktivieren und so die VMs vor externen Angriffen zu schützen. Diese Erzwingung ist über Verwaltungstools wie Windows Admin Center verfügbar.

Die Mikrosegmentierung umfasst die Erstellung präziser Netzwerkrichtlinien zwischen Anwendungen und Diensten. Dies reduziert im Wesentlichen den Sicherheitsperimeter auf einen Zaun um jede Anwendung oder VM. Dieser Zaun erlaubt nur die notwendige Kommunikation zwischen Anwendungsstufen oder anderen logischen Grenzen, wodurch es für Cyberthreats äußerst schwierig ist, sich lateral von einem System auf ein anderes auszubreiten. Die Mikrosegmentierung isoliert Netzwerke sicher voneinander und reduziert die gesamte Angriffsfläche eines Netzwerksicherheitsvorfalls.

Standardmäßige Netzwerkzugriffsrichtlinien und Mikrosegmentierung werden als Fünf-Tupel-Zustand (Quelladresspräfix, Quellport, Zieladresspräfix, Zielport und Protokoll)-Firewallregeln für Azure Stack HCI-Cluster realisiert. Firewallregeln werden auch als Netzwerksicherheitsgruppen (Network Security Groups, NSGs) bezeichnet. Diese Richtlinien werden am vSwitch-Port jeder VM erzwungen. Die Richtlinien werden über die Verwaltungsebene übertragen, und der SDN-Netzwerkcontroller verteilt sie an alle anwendbaren Hosts. Diese Richtlinien sind für VMs in herkömmlichen VLAN-Netzwerken und sdN-Überlagerungsnetzwerken verfügbar.

Weitere Informationen finden Sie unter Was ist die Rechenzentrumsfirewall?.  

QoS für VM-Netzwerkadapter

Sie können Quality of Service (QoS) für einen VM-Netzwerkadapter konfigurieren, um die Bandbreite auf einer virtuellen Schnittstelle zu begrenzen, um zu verhindern, dass eine VM mit hohem Datenverkehr mit anderen VM-Netzwerkdatenverkehr zu kämpfen hat. Sie können QoS auch so konfigurieren, dass eine bestimmte Bandbreite für einen virtuellen Computer reserviert wird, um sicherzustellen, dass der virtuelle Computer Unabhängig vom anderen Datenverkehr im Netzwerk Datenverkehr senden kann. Diese Konfiguration kann sowohl auf an herkömmliche VLANs angeschlossene VMs als auch auf an SDN-Überlagerungsnetzwerke angeschlossene VMs angewendet werden.

Weitere Informationen finden Sie unter Konfigurieren von QoS für einen VM-Netzwerkadapter.

Virtuelle Netzwerke

Die Netzwerkvirtualisierung stellt virtuelle Netzwerke für virtuelle Computer bereit, ähnlich wie servervirtualisierung (Hypervisor) VMs für das Betriebssystem bereitstellt. Die Netzwerkvirtualisierung entkoppelt virtuelle Netzwerke von der physischen Netzwerkinfrastruktur und entfernt die Einschränkungen von VLAN und hierarchischer IP-Adresszuweisung von der VM-Bereitstellung. Diese Flexibilität erleichtert Es Ihnen, zu IaaS-Clouds (Infrastructure-as-a-Service) zu wechseln und ist für Hoster und Rechenzentrumsadministratoren effizient, um ihre Infrastruktur zu verwalten und die erforderliche Mehrinstanzenisolation, Sicherheitsanforderungen und überlappende VM-IP-Adressen aufrechtzuerhalten.

Weitere Informationen finden Sie unter Hyper-V-Netzwerkvirtualisierung.

L3-Netzwerkdiensteoptionen

Die folgenden L3-Netzwerkdienstoptionen sind verfügbar:

Peering von virtuellen Netzwerken

Über das Peering virtueller Netzwerke können Sie zwei virtuelle Netzwerke nahtlos verbinden. Nach dem Peering werden die virtuellen Netzwerke zu Konnektivitätszwecken als ein Netzwerk angezeigt. Die Verwendung von VNET-Peering bietet unter anderem folgende Vorteile:

  • Datenverkehr zwischen virtuellen Computern in den virtuellen Peernetzwerken wird nur über die Backbone-Infrastruktur über private IP-Adressen weitergeleitet. Die Kommunikation zwischen den virtuellen Netzwerken erfordert keine öffentlichen Internet- oder Gateways.
  • Niedrige Latenz, Verbindung mit hoher Bandbreite zwischen Ressourcen in unterschiedlichen virtuellen Netzwerken
  • Die Möglichkeit zur Kommunikation für Ressourcen in einem virtuellen Netzwerk mit Ressourcen in einem anderen virtuellen Netzwerk.
  • Keine Downtime für Ressourcen in beiden virtuellen Netzwerken beim Erstellen des Peerings

Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.

SDN-Softwarelastenausgleich

CloudDienstanbieter (CSPs) und Unternehmen, die Software Defined Networking (SDN) bereitstellen, können Software Load Balancer (SLB) verwenden, um den Kundennetzwerkdatenverkehr gleichmäßig zwischen virtuellen Netzwerkressourcen zu verteilen. SLB ermöglicht es Ihnen, mehrere Server zum Hosten derselben Workload zu aktivieren, um hohe Verfügbarkeit und Skalierbarkeit bereitzustellen. Es wird auch verwendet, um eingehende Nat-Dienste (Network Address Translation) für eingehenden Zugriff auf VMs und ausgehende NAT-Dienste für ausgehende Verbindungen bereitzustellen.

Mithilfe von SLB können Sie Ihre Lastenausgleichsfunktionen mithilfe von SLB-V-Computern auf denselben Hyper-V-Computeservern skalieren, die Sie für Ihre anderen VM-Workloads verwenden. SLB unterstützt die schnelle Erstellung und Löschung von Lastenausgleichsendpunkten nach Bedarf für CSP-Vorgänge. Darüber hinaus unterstützt SLB zehn Gigabyte pro Cluster, bietet ein einfaches Bereitstellungsmodell und ist einfach zu skalieren und ein. Beim SLB wird das Border Gateway Protocol verwendet, um dem physischen Netzwerk virtuelle IP-Adressen anzukündigen.

Weitere Informationen finden Sie unter Was ist SLB für SDN?

SDN-VPN-Gateways

SDN-Gateway ist ein softwarebasierter Border Gateway Protocol (BGP)-fähiger Router, der für CSPs und Unternehmen entwickelt wurde, die virtuelle Multimandantennetzwerke mit Hyper-V-Netzwerkvirtualisierung (HNV) hosten. Sie können RAS-Gateways verwenden, um Netzwerkdatenverkehr zwischen einem virtuellen Netzwerk und einem anderen Netzwerk (lokal oder remote) weiterzuleiten.

DAS SDN-Gateway kann verwendet werden, um:

  • Erstellen sicherer Site-to-Site-IPsec-Verbindungen zwischen virtuellen SDN-Netzwerken und externen Kundennetzwerken über das Internet

  • Erstellen von GRE-Verbindungen (Generic Routing Encapsulation) zwischen virtuellen SDN-Netzwerken und externen Netzwerken. Der Unterschied zwischen Standort-zu-Standort-Verbindungen und GRE-Verbindungen besteht darin, dass letztere keine verschlüsselte Verbindung ist.

    Weitere Informationen zu GRE-Konnektivitätsszenarien finden Sie unter GRE-Tunneling in Windows Server 2016.

  • Erstellen Sie Layer 3 (L3)-Verbindungen zwischen virtuellen SDN-Netzwerken und externen Netzwerken. In diesem Fall fungiert das SDN-Gateway einfach als Router zwischen Ihrem virtuellen Netzwerk und dem externen Netzwerk.

SDN-Gateway erfordert SDN-Netzwerkcontroller. Der Netzwerkcontroller führt die Bereitstellung von Gatewaypools durch, konfiguriert Mandantenverbindungen auf jedem Gateway und wechselt Netzwerkdatenverkehr zu einem Standbygateway, wenn ein Gateway fehlschlägt.

Von Gateways wird das Border Gateway Protocol verwendet, um GRE-Endpunkte anzukündigen und Point-to-Point-Verbindungen herzustellen. Bei der SDN-Bereitstellung wird ein Standardgatewaypool erstellt, der alle Verbindungstypen unterstützt. Innerhalb dieses Pools können Sie angeben, wie viele Gateways im Standby für den Fall vorgehalten werden sollen, dass ein aktives Gateway ausfällt.

Weitere Informationen finden Sie unter Was ist RAS-Gateway für SDN?

Nächste Schritte

Erfahren Sie mehr über den wechsellosen Speicher mit zwei Knoten, zwei Switches im Netzwerkmuster