Planeamiento de la integración de red para Azure Stack Hub
En este artículo se proporciona información sobre la infraestructura de red de Azure Stack Hub para ayudarle a decidir cómo integrar mejor Azure Stack Hub en el entorno de red existente.
Nota
Para resolver nombres DNS externos desde Azure Stack Hub (por ejemplo, www.bing.com), debe proporcionar servidores DNS a los que reenviar solicitudes DNS. Para más información sobre los requisitos de DNS de Azure Stack Hub, consulte integración del centro de datos de Azure Stack Hub: DNS.
Diseño de red física
La solución de Azure Stack Hub requiere una infraestructura física resistente y de alta disponibilidad para admitir su operación y servicios. Para integrar Azure Stack Hub en la red, requiere conexiones ascendentes de los conmutadores situados en la parte superior del rack (ToR) al conmutador o enrutador más cercano, que en este artículo se conoce como Border. Los ToR se pueden vincular a un único borde o a un par de ellos. El ToR está preconfigurado por nuestra herramienta de automatización. Espera un mínimo de una conexión entre ToR y Border cuando se usa el enrutamiento BGP y un mínimo de dos conexiones (una por ToR) entre ToR y Border al usar enrutamiento estático, con un máximo de cuatro conexiones en cualquiera de las opciones de enrutamiento. Estas conexiones están limitadas a medios SFP+ o SFP28 y una velocidad mínima de un GB. Consulte con el proveedor de hardware del fabricante de equipos originales (OEM) para obtener disponibilidad. En el diagrama siguiente se presenta el diseño recomendado:
Asignación de ancho de banda
Azure Stack Hub se crea mediante las tecnologías de clústeres de conmutación por error de Windows Server 2019 y Espacios de almacenamiento directo. Para asegurarse de que las comunicaciones de almacenamiento directo de Spaces pueden satisfacer el rendimiento y la escala necesarios de la solución, se configura una parte de la configuración de red física de Azure Stack Hub para usar la separación del tráfico y las garantías de ancho de banda. La configuración de red utiliza las clases de tráfico para separar las comunicaciones basadas en RDMA de los espacios directos de las de la utilización de la red por parte de la infraestructura de Azure Stack Hub y el inquilino. Para estar en línea con los procedimientos recomendados actuales definidos para Windows Server 2019, se han efectuado cambios en Azure Stack Hub para que use una clase o prioridad de tráfico adicional para separar aún más la comunicación entre servidores y mejorar la comunicación del control de los clústeres de conmutación por error. Esta nueva definición de clase de tráfico está configurada para reservar un 2% del ancho de banda físico disponible. Esta configuración de reserva de ancho de banda y clase de tráfico se realiza mediante un cambio en los conmutadores de la parte superior del bastidor (ToR) de la solución de Azure Stack Hub y en el host o los servidores de Azure Stack Hub. Tenga en cuenta que no se requieren cambios en los dispositivos de red fronterizos del cliente. Estos cambios proporcionan una mejor resistencia para la comunicación de clústeres de conmutación por error y están diseñados para evitar situaciones en las que el ancho de banda de red se consume completamente y, como resultado, se interrumpen los mensajes de control del clúster de conmutación por error. Tenga en cuenta que la comunicación del clúster de conmutación por error es un componente crítico de la infraestructura de Azure Stack Hub y, si se interrumpe durante largos períodos, puede provocar inestabilidad en los servicios de almacenamiento directo de Spaces u otros servicios que finalmente afectarán a la estabilidad de la carga de trabajo del inquilino o del usuario final.
Redes lógicas
Las redes lógicas representan una abstracción de la infraestructura de red física subyacente. Se usan para organizar y simplificar las asignaciones de red para hosts, máquinas virtuales y servicios. Como parte de la creación de redes lógicas, los sitios de red se crean para definir las redes de área local virtual (VLAN), las subredes IP y los pares de subred ip/VLAN que están asociados a la red lógica en cada ubicación física.
En la tabla siguiente se muestran las redes lógicas y los intervalos de subred IPv4 asociados para los que debe planear:
| Red lógica | Descripción | Tamaño |
|---|---|---|
| VIP pública | Azure Stack Hub usa un total de 31 direcciones de esta red y las máquinas virtuales del inquilino usan el resto. A partir de las 31 direcciones, se usan 8 direcciones IP públicas para un pequeño conjunto de servicios de Azure Stack Hub. Si planea usar App Service y los proveedores de recursos de SQL, se utilizarán 7 direcciones adicionales. Las 16 direcciones IP restantes están reservadas para futuros servicios de Azure. | /26 (62 hosts) - /22 (1022 hosts) Recomendado = /24 (254 hosts) |
| Infraestructura de conmutador | Direcciones IP de punto a punto con fines de enrutamiento, interfaces de administración de conmutador dedicado y direcciones de bucle invertido asignadas al conmutador. | /26 |
| Infraestructura | Se usa para que los componentes internos de Azure Stack Hub se comuniquen. | /24 |
| Privado | Se usa para la red de almacenamiento, direcciones IP virtuales privadas, contenedores de infraestructura y otras funciones internas. Para obtener más información, consulte la sección Red privada de este artículo. | /20 |
| BMC | Se utiliza para comunicarse con los BMC en los hosts físicos. | /26 |
Nota
Una alerta en el portal recuerda al operador que ejecute el cmdlet PEP Set-AzsPrivateNetwork para agregar un nuevo bloque IP privado /20. Para obtener más información y orientación sobre cómo seleccionar el espacio IP privado /20, consulte la sección de red privada en este artículo.
Infraestructura de red
La infraestructura de red de Azure Stack Hub consta de varias redes lógicas configuradas en los conmutadores. En el diagrama siguiente se muestran estas redes lógicas y cómo se integran en los conmutadores de la parte superior del bastidor (TOR), el controlador de administración de placa base (BMC) y los conmutadores de borde (red del cliente).
Red de BMC
Esta red está dedicada a conectar todos los controladores de administración de placa base (también conocidos como procesadores BMC o de servicio) a la red de administración. Algunos ejemplos son: iDRAC, iLO, iBMC, etc. Solo se usa una cuenta de BMC para comunicarse con cualquier nodo de BMC. Si está presente, el host de ciclo de vida de hardware (HLH) se encuentra en esta red y puede proporcionar software específico del OEM para el mantenimiento o la supervisión del hardware.
HLH también hospeda la máquina virtual de implementación (DVM). El DVM se usa durante la implementación de Azure Stack Hub y se quita cuando se completa la implementación. DvM requiere acceso a Internet en escenarios de implementación conectados para probar, validar y acceder a varios componentes. Estos componentes pueden estar dentro y fuera de la red corporativa (por ejemplo, NTP, DNS y Azure). Para más información sobre los requisitos de conectividad, consulte la sección NAT de integración del firewall de Azure Stack Hub.
Red privada
Esta red /20 (4096 direcciones IP) es privada de la región de Azure Stack Hub y no se enruta más allá de los dispositivos de conmutación de borde del sistema de Azure Stack Hub. Está dividida en varias subredes; a continuación se presentan algunos ejemplos:
- Red de almacenamiento: una red /25 (128 IP) que se utiliza para admitir el uso del tráfico de espacios de almacenamiento directo y el bloque de mensajes del servidor (SMB), y la migración en vivo de VM.
- Red IP virtual interna: una red /25 dedicada a direcciones IP virtuales (VIP) solo internas para el equilibrador de carga de software.
- red de contenedores: una red /23 (512 direcciones IP) dedicada al tráfico interno exclusivamente entre contenedores que ejecutan servicios de infraestructura.
El sistema de Azure Stack Hub requiere un espacio ip interno /20 privado adicional. Esta red es privada para el sistema de Azure Stack Hub (no se enruta más allá de los dispositivos de conmutador de borde del sistema de Azure Stack Hub) y se puede reutilizar en varios sistemas de Azure Stack Hub dentro del centro de datos. Aunque la red es privada para Azure Stack, no debe superponerse con otras redes del centro de datos. El espacio ip privado /20 se divide en varias redes que permiten ejecutar la infraestructura de Azure Stack Hub en contenedores. Además, este nuevo espacio de direcciones IP privadas permite los esfuerzos continuos para reducir el espacio de IP enrutable necesario previo a la implementación. El objetivo de ejecutar la infraestructura de Azure Stack Hub en contenedores es optimizar el uso y mejorar el rendimiento. Además, el espacio de direcciones IP privadas /20 también se usa para habilitar los esfuerzos continuos que reducirán el espacio ip enrutable necesario antes de la implementación. Para obtener instrucciones sobre el espacio ip privado, consulte RFC 1918.
Red de infraestructura de Azure Stack Hub
Esta red /24 está dedicada a componentes internos de Azure Stack Hub para que puedan comunicarse e intercambiar datos entre sí. Esta subred se puede enrutar externamente desde la solución de Azure Stack Hub al centro de datos. No se recomienda usar direcciones IP enrutables públicas o de Internet en esta subred. Esta red se anuncia a la frontera, pero la mayoría de sus direcciones IP están protegidas por listas de control de acceso (ACL). Las direcciones IP que tienen el acceso permitido se encuentran dentro de un pequeño intervalo equivalente en tamaño a una red /27 y hospedan servicios, como el punto de conexión con privilegios (PEP) y el servicio de copia de seguridad de Azure Stack Hub.
Red VIP pública
La red VIP pública se asigna a la controladora de red en Azure Stack. No es una red lógica en el conmutador. El equilibrador de carga de software utiliza el grupo de direcciones y asigna redes /32 a las cargas de trabajo de inquilino. En la tabla de enrutamiento de conmutadores, estas direcciones IP /32 se anuncian como una ruta disponible a través de BGP. Esta red contiene las direcciones IP públicas o accesibles externamente. La infraestructura de Azure Stack Hub reserva las primeras 31 direcciones de esta red VIP pública, mientras que el resto las usan las máquinas virtuales del inquilino. El tamaño de red de esta subred puede oscilar entre /26 (64 hosts) y un máximo de /22 (1022 hosts). Se recomienda que planee una red /24.
Conexión a redes locales
Azure Stack Hub usa redes virtuales para recursos de clientes, como máquinas virtuales, equilibradores de carga y otros.
Hay varias opciones diferentes para conectarse desde recursos dentro de la red virtual a recursos locales o corporativos:
- Use direcciones IP públicas desde la red VIP pública.
- Use la puerta de enlace de red virtual o la aplicación virtual de red (NVA).
Cuando se usa un túnel VPN S2S para conectar recursos a redes locales o desde ellas, puede encontrarse con un escenario en el que un recurso también tiene asignada una dirección IP pública y ya no es accesible a través de esa dirección IP pública. Si el origen intenta acceder a la dirección IP pública y se encuentra dentro del mismo intervalo de subred que se encuentra definido en las rutas de la puerta de enlace de la red local o en la ruta definida por el usuario para las soluciones de NVA, Azure Stack Hub intenta enrutar el tráfico saliente de regreso al origen a través del túnel S2S, según las reglas de enrutamiento configuradas. El tráfico devuelto utiliza la dirección IP privada de la máquina virtual, en lugar de aplicar NAT de origen como dirección IP pública:
Hay dos soluciones para este problema:
- Enrutar el tráfico dirigido a la red IP virtual pública a Internet.
- Agregar un dispositivo NAT para aplicar NAT a cualquier dirección IP de subred definida en la puerta de enlace de red local dirigida a la red IP virtual pública.
Red de la infraestructura de conmutadores
Esta red /26 es la subred que contiene las subredes IP /30 (dos IP de host) punto a punto enrutables y los bucles invertidos que son subredes /32 dedicadas a la administración de conmutadores en banda y al ID de router de BGP. Este intervalo de direcciones IP debe ser enrutable fuera de la solución de Azure Stack Hub al centro de datos. Pueden ser direcciones IP privadas o públicas.
Red de administración de conmutadores
Esta red /29 (seis direcciones IP de host) está dedicada a conectar los puertos de administración de los conmutadores. Permite el acceso fuera de banda para la implementación, la administración y la solución de problemas. Se calcula a partir de la red de infraestructura del conmutador mencionada anteriormente.
Redes permitidas
La hoja de cálculo de implementación tiene un campo que permite al operador cambiar algunas listas de control de acceso para permitir el acceso a interfaces de administración de dispositivos de red y al host de ciclo de vida de hardware (HLH) desde un intervalo de red del centro de datos de confianza. Con el cambio de la lista de control de acceso, el operador puede permitir que sus máquinas virtuales de jumpbox de administración de un intervalo de red específico obtengan acceso a la interfaz de administración de conmutadores y al sistema operativo HLH. El operador puede proporcionar una o varias subredes a esta lista; si se deja en blanco, el valor predeterminado es denegar el acceso. Esta nueva funcionalidad reemplaza la necesidad de intervención manual posterior a la implementación tal como se ha descrito en la Modificar una configuración específica en la configuración del conmutador de Azure Stack Hub.
Pasos siguientes
- Enrutamiento del tráfico de redes virtuales
- Más información sobre la planificación de red: Conectividad de borde