Pianificazione dell'integrazione di rete per l'hub di Azure Stack
Questo articolo fornisce informazioni sull'infrastruttura di rete dell'hub di Azure Stack per decidere come integrare al meglio l'hub di Azure Stack nell'ambiente di rete esistente.
Nota
Per risolvere i nomi DNS esterni dall'hub di Azure Stack (ad esempio, www.bing.com), è necessario fornire server DNS a cui inoltrare le richieste DNS. Per ulteriori informazioni sui requisiti DNS di Azure Stack Hub, vedere integrazione del datacenter di Azure Stack Hub - DNS.
Progettazione di rete fisica
La soluzione hub di Azure Stack richiede un'infrastruttura fisica resiliente e a disponibilità elevata per supportare il funzionamento e i servizi. Per integrare Azure Stack Hub alla rete, sono necessari uplink dai commutatori Top-of-Rack (ToR) al commutatore o router più vicino, che in questo articolo viene definito Border. I ToRs possono essere connessi a un singolo Border o a una coppia di Borders. Il ToR è preconfigurato dallo strumento di automazione. Si prevede almeno una connessione tra ToR e Border quando si usa il routing BGP e almeno due connessioni (una per ToR) tra ToR e Border quando si usa il routing statico, con un massimo di quattro connessioni su entrambe le opzioni di routing. Queste connessioni sono limitate ai supporti SFP+ o SFP28 e almeno a una velocità di GB. Rivolgersi al fornitore di hardware oem (Original Equipment Manufacturer) per la disponibilità. Il diagramma seguente presenta la progettazione consigliata:
Allocazione della larghezza di banda
L'Azure Stack Hub è costruito utilizzando le tecnologie Windows Server 2019 Failover Cluster e Spaces Direct. Per garantire che le comunicazioni di archiviazione diretta di Spaces possano soddisfare le prestazioni e la scalabilità necessarie per la soluzione, viene configurata una parte della configurazione della rete fisica dell'hub di Azure Stack per usare la separazione del traffico e le garanzie di larghezza di banda. La configurazione di rete usa classi di traffico per separare le comunicazioni basate su Spaces Direct e RDMA rispetto a quella dell'utilizzo della rete dall'infrastruttura dell'hub di Azure Stack e/o dal tenant. Per allinearsi alle procedure consigliate correnti definite per Windows Server 2019, Azure Stack Hub modificherà l'utilizzo di una classe di traffico aggiuntiva o di una priorità per separare in modo più efficace la comunicazione tra server a supporto della comunicazione di controllo del clustering di failover. Questa nuova definizione della classe di traffico è configurata per riservare 2% della larghezza di banda fisica disponibile. Questa configurazione della prenotazione della larghezza di banda e della classe di traffico viene eseguita da una modifica nei commutatori top-of-rack (ToR) della soluzione hub di Azure Stack e nell'host o nei server dell'hub di Azure Stack. Si noti che non sono necessarie modifiche ai dispositivi di rete di confine del cliente. Queste modifiche offrono una migliore resilienza per la comunicazione del cluster di failover e sono concepite per evitare situazioni in cui la larghezza di banda di rete viene completamente utilizzata e di conseguenza i messaggi di controllo del cluster di failover vengono interrotti. Si noti che la comunicazione del cluster di failover è un componente fondamentale dell'infrastruttura dell'hub di Azure Stack e, se interrotta per lunghi periodi, può causare instabilità nei servizi di archiviazione di Spazi diretti o in altri servizi che avranno un impatto finale sulla stabilità del carico di lavoro del tenant o dell'utente finale.
Reti logiche
Le reti logiche rappresentano un'astrazione dell'infrastruttura di rete fisica sottostante. Vengono usati per organizzare e semplificare le assegnazioni di rete per host, macchine virtuali e servizi. Nell'ambito della creazione della rete logica, i siti di rete vengono creati per definire le reti locali virtuali (VLAN), le subnet IP e le coppie subnet IP/VLAN associate alla rete logica in ogni posizione fisica.
La tabella seguente illustra le reti logiche e gli intervalli di subnet IPv4 associati che è necessario pianificare:
| Rete logica | Descrizione | Grandezza |
|---|---|---|
| VIP pubblico | L'hub di Azure Stack usa un totale di 31 indirizzi da questa rete e il resto vengono usati dalle macchine virtuali tenant. Dai 31 indirizzi, vengono usati 8 indirizzi IP pubblici per un piccolo set di servizi dell'hub di Azure Stack. Se si prevede di usare il servizio app e i provider di risorse SQL, vengono usati altri 7 indirizzi. I rimanenti 16 indirizzi IP sono riservati per i servizi di Azure futuri. | /26 (62 host) - /22 (1022 host) Consigliato = /24 (254 host) |
| Infrastruttura di commutazione | Indirizzi IP da punto a punto a scopo di routing, interfacce di gestione del commutatore dedicate e indirizzi di loopback assegnati al commutatore. | /26 |
| Infrastruttura | Usato per i componenti interni dell'hub di Azure Stack per comunicare. | /24 |
| Privato | Usato per la rete di archiviazione, per gli indirizzi VIP privati nella rete, per i contenitori dell'infrastruttura e per altre funzioni interne. Per ulteriori dettagli, fare riferimento alla sezione rete privata in questo articolo. | /20 |
| BMC | Utilizzato per comunicare con i BMC sui server fisici. | /26 |
Nota
Un avviso nel portale ricorda all'operatore di eseguire il cmdlet PEP Set-AzsPrivateNetwork per aggiungere un nuovo spazio IP privato /20. Per ulteriori informazioni e indicazioni sulla selezione dello spazio IP privato /20, vedere la sezione rete privata in questo articolo.
Infrastruttura di rete
L'infrastruttura di rete per l'hub di Azure Stack è costituita da diverse reti logiche configurate nei commutatori. Il diagramma seguente illustra queste reti logiche e come si integrano con i commutatori top-of-rack (TOR), BMC (Baseboard Management Controller) e border (customer network).
Rete BMC
Questa rete è dedicata alla connessione di tutti i controller di gestione della scheda di base (noti anche come processori di servizi o BMC) alla rete di gestione. Gli esempi includono: iDRAC, iLO, iBMC e così via. Viene usato un solo account BMC per comunicare con qualsiasi nodo BMC. Se presente, l'host del ciclo di vita hardware (HLH) si trova in questa rete e può fornire software specifico dell'OEM per la manutenzione o il monitoraggio dell'hardware.
HLH ospita anche la macchina virtuale di distribuzione (DVM). La DVM viene usata durante la distribuzione dell'hub di Azure Stack e viene rimossa al termine della distribuzione. La DVM richiede l'accesso a Internet negli scenari di distribuzione connessi per testare, convalidare e accedere a più componenti. Questi componenti possono trovarsi all'interno e all'esterno della rete aziendale, ad esempio NTP, DNS e Azure. Per altre informazioni sui requisiti di connettività, vedere la sezione NAT in Integrazione del firewall dell'hub di Azure Stack.
Rete privata
Questa rete /20 (4096 IP) è privata per l'area dell'Azure Stack Hub (non instrada oltre i dispositivi switch di confine del sistema Azure Stack Hub) ed è suddivisa in più subnet, ecco alcuni esempi:
- rete di archiviazione: rete /25 (128 IP) usata per supportare l'uso del traffico di archiviazione SMB (Spaces Direct and Server Message Block) e della migrazione in tempo reale delle macchine virtuali.
- rete IP virtuale interna: una rete /25 dedicata agli indirizzi VIP solo interni per il servizio di bilanciamento del carico software.
- rete di container: Una rete /23 (512 indirizzi IP) dedicata al traffico esclusivamente interno tra container che eseguono servizi di infrastruttura.
Il sistema hub di Azure Stack richiede uno spazio IP interno privato aggiuntivo /20. Questa rete è privata per il sistema hub di Azure Stack (non instrada oltre i dispositivi del commutatore di bordo del sistema hub di Azure Stack) e può essere riutilizzata in più sistemi hub di Azure Stack all'interno del data center. Anche se la rete è privata in Azure Stack, non deve sovrapporsi ad altre reti nel data center. Lo spazio IP privato /20 è suddiviso in più reti che consentono di eseguire l'infrastruttura dell'hub di Azure Stack nei contenitori. Inoltre, questo nuovo spazio IP privato consente di ridurre lo spazio IP instradabile necessario prima della distribuzione. L'obiettivo di eseguire l'infrastruttura dell'hub di Azure Stack nei contenitori è ottimizzare l'utilizzo e migliorare le prestazioni. Inoltre, lo spazio IP privato /20 viene usato anche per consentire sforzi continui che ridurranno lo spazio IP instradabile necessario prima della distribuzione. Per indicazioni sullo spazio IP privato, vedere RFC 1918.
Rete dell'infrastruttura dell'hub di Azure Stack
Questa rete /24 è dedicata ai componenti interni dell'hub di Azure Stack in modo che possano comunicare e scambiare dati tra loro. Questa subnet può essere instradabile esternamente dalla soluzione hub di Azure Stack al data center. Non è consigliabile usare indirizzi IP instradabili pubblici o Internet in questa subnet. Questa rete viene pubblicizzata al confine, ma la maggior parte dei relativi INDIRIZZI IP è protetta da elenchi di controllo di accesso (ACL). Gli indirizzi IP consentiti per l'accesso si trovano all'interno di un intervallo ridotto, equivalente a una rete /27, ed ospitano servizi quali il punto finale con privilegi (PEP) e il backup dell'Azure Stack Hub .
Rete VIP pubblica
La rete VIP pubblica viene assegnata al controller di rete in Azure Stack. Non è una rete logica sul commutatore. Lo SLB utilizza il pool di indirizzi e assegna reti /32 per i carichi di lavoro dei tenant. Nella tabella di routing del commutatore questi indirizzi IP /32 vengono annunciati come route disponibili tramite BGP. Questa rete contiene gli indirizzi IP pubblici o accessibili dall'esterno. L'infrastruttura dell'hub di Azure Stack riserva i primi 31 indirizzi da questa rete VIP pubblica mentre il resto viene usato dalle macchine virtuali tenant. Le dimensioni di rete in questa subnet possono variare da un minimo di /26 (64 host) a un massimo di /22 (1022 host). È consigliabile pianificare una rete /24.
Connessione alle reti locali
L'hub di Azure Stack usa reti virtuali per le risorse dei clienti, ad esempio macchine virtuali, servizi di bilanciamento del carico e altri.
Sono disponibili diverse opzioni per la connessione dalle risorse all'interno della rete virtuale alle risorse locali/aziendali:
- Usare indirizzi IP pubblici dalla rete VIP pubblica.
- Usare il gateway di rete virtuale o l'appliance virtuale di rete.Use Virtual Network Gateway or Network Virtual Appliance (NVA).
Quando si usa un tunnel VPN da sito a sito per connettere le risorse alle reti locali o da reti locali, è possibile che si verifichi uno scenario in cui a una risorsa è assegnato anche un indirizzo IP pubblico e non è più raggiungibile tramite tale indirizzo IP pubblico. Se l'origine tenta di accedere all'indirizzo IP pubblico e rientra nello stesso intervallo di subnet definito nelle route del gateway di rete locale (gateway di rete virtuale) o nella route definita dall'utente per soluzioni NVA, Azure Stack Hub tenta di instradare il traffico in uscita di nuovo all'origine tramite il tunnel S2S, in base alle regole di routing configurate. Il traffico di ritorno utilizza l'indirizzo IP privato della macchina virtuale, anziché essere tradotto tramite NAT come indirizzo IP pubblico.
Esistono due soluzioni per questo problema:
- Instradare il traffico diretto alla rete VIP pubblica verso Internet.
- Aggiungere un dispositivo NAT per tradurre (effettuare il NAT di) qualsiasi IP di subnet definito nel gateway di rete locale indirizzato verso la rete VIP pubblica.
Rete di infrastruttura di switch
Questa rete /26 è la sottorete che contiene le sottoreti IP punto a punto instradabili /30 (ciascuna con due indirizzi IP host) e i loopback IP, che sono sottoreti /32 dedicate per la gestione in-band dei commutatori e l'ID del router BGP. Questo intervallo di indirizzi IP deve essere instradabile all'esterno della soluzione hub di Azure Stack al data center. Possono essere indirizzi IP privati o pubblici.
Rete di gestione commutatori
Questa rete /29 (sei indirizzi IP host) è dedicata alla connessione delle porte di gestione dei commutatori. Consente l'accesso fuori banda per la distribuzione, la gestione e la risoluzione dei problemi. Viene calcolato dalla rete dell'infrastruttura del commutatore menzionata in precedenza.
Reti consentite
Il foglio di lavoro della distribuzione include un campo che consente all'operatore di modificare alcuni elenchi di controllo di accesso per consentire l'accesso alle interfacce di gestione dei dispositivi di rete e all'host del ciclo di vita hardware (HLH) da un intervallo di rete data center attendibile. Con la modifica dell'elenco di controllo di accesso, l'operatore può consentire alle macchine virtuali jumpbox di gestione all'interno di un intervallo di rete specifico di accedere all'interfaccia di gestione del commutatore e al sistema operativo HLH. L'operatore può fornire una o più subnet a questo elenco; se lasciato vuoto, per impostazione predefinita viene negato l'accesso. Questa nuova funzionalità sostituisce la necessità di un intervento manuale post-distribuzione come descritto nella Modificare impostazioni specifiche nella configurazione del commutatore dell'hub di Azure Stack.
Passaggi successivi
- instradamento del traffico di rete virtuale
- Informazioni sulla pianificazione della rete: connettività di confine