Planowanie infrastruktury sieci zdefiniowanej programowo
Dotyczy: Azure Stack HCI, wersje 22H2 i 21H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Ważne
Usługa Azure Stack HCI jest teraz częścią usługi Azure Local. Jednak starsze wersje rozwiązania Azure Stack HCI, na przykład 22H2 będą nadal odwoływać się do rozwiązania Azure Stack HCI i nie będą odzwierciedlać zmiany nazwy. Dowiedz się więcej.
Dowiedz się więcej o planowaniu wdrażania infrastruktury sieci komputerowej (SDN), w tym o wymaganiach wstępnych dotyczących sprzętu i oprogramowania. Ten temat zawiera wymagania dotyczące planowania konfiguracji sieci fizycznej i logicznej, routingu, bram, sprzętu sieciowego i nie tylko. Obejmuje ona również zagadnienia dotyczące rozszerzania infrastruktury SDN i korzystania z wdrożenia etapowego.
Uwaga
Sieć SDN nie jest obsługiwana w klastrach rozproszonych (obejmujących wiele lokacji).
Wymagania wstępne
Istnieje kilka wymagań wstępnych dotyczących sprzętu i oprogramowania dla infrastruktury SDN, w tym:
Grupy zabezpieczeń i dynamiczna rejestracja DNS. Musisz przygotować centrum danych do wdrożenia kontrolera sieci, które wymaga zestawu maszyn wirtualnych. Przed wdrożeniem kontrolera sieci należy skonfigurować grupy zabezpieczeń i dynamiczną rejestrację DNS.
Aby dowiedzieć się więcej na temat wdrażania kontrolera sieci dla centrum danych, zobacz Wymagania dotyczące wdrażania kontrolera sieci.
Sieć fizyczna. Potrzebujesz dostępu do fizycznych urządzeń sieciowych w celu skonfigurowania wirtualnych sieci lokalnych (VLAN), routingu i protokołu BGP (Border Gateway Protocol). Ten temat zawiera instrukcje dotyczące konfiguracji przełącznika ręcznego, a także opcje używania komunikacji równorzędnej BGP na przełącznikach/routerach warstwy 3 lub maszynie wirtualnej serwera routingu i dostępu zdalnego (RRAS).
Fizyczne hosty obliczeniowe. Te hosty uruchamiają funkcję Hyper-V i są wymagane do hostowania infrastruktury SDN i maszyn wirtualnych dzierżawcy. Określony sprzęt sieciowy jest wymagany na tych hostach w celu uzyskania najlepszej wydajności, zgodnie z opisem w następnej sekcji.
Wymagania sprzętowe sieci SDN
Ta sekcja zawiera wymagania sprzętowe dotyczące przełączników fizycznych podczas planowania środowiska SDN.
Przełączniki i routery
Uwaga
Jeśli używasz przełącznika certyfikowanego dla platformy Azure Local, spełnia już wszystkie niezbędne wymagania. Aby uzyskać więcej informacji, zobacz Przełączniki sieciowe dla Azure Local.
Podczas wybierania przełącznika fizycznego i routera dla środowiska SDN upewnij się, że obsługuje on następujący zestaw możliwości:
- Ustawienia MTU portu przełącznika (wymagane)
- MTU ustawiono na >= 1674 bajtów (w tym nagłówek L2-Ethernet)
- Protokoły L3 (wymagane)
- Routing z wieloma ścieżkami (ECMP) o równych kosztach
- Protokół BGP (IETF RFC 4271) oparty na protokole ECMP
Implementacje powinny obsługiwać instrukcje MUST w następujących standardach IETF:
- RFC 2545: rozszerzenia wieloprotokołowe BGP-4 dla ruchu międzydomenowego IPv6
- RFC 4760: Rozszerzenia wieloprotokolowe dla protokołu BGP-4
- RFC 4893: Obsługa protokołu BGP dla przestrzeni numerów AS czterooktetowych
- RFC 4456: Odbicie trasy protokołu BGP: alternatywa dla wewnętrznego protokołu BGP (IBGP) pełnej siatki
- RFC 4724: Mechanizm bezpiecznego ponownego uruchamiania dla protokołu BGP
Wymagane są następujące protokoły tagowania:
- VLAN — izolacja różnych typów ruchu
- 802.1q magistrali
Następujące elementy zapewniają kontrolkę Link:
- Jakość usług (QoS) (PFC wymagane tylko w przypadku korzystania z usługi RoCE)
- Ulepszony wybór ruchu (802.1Qaz)
- Sterowanie przepływem opartym na priorytetach (PFC) (802.1p/Q i 802.1Qbb)
Następujące elementy zapewniają dostępność i nadmiarowość:
- Dostępność przełącznika (wymagana)
- Router o wysokiej dostępności jest wymagany do wykonywania funkcji bramy. Można to zapewnić za pomocą przełącznika z wieloma podwoziami lub routera, lub technologii, takich jak Protokół nadmiarowości routera wirtualnego (VRRP).
Konfiguracja sieci fizycznej i logicznej
Każdy fizyczny host obliczeniowy wymaga łączności sieciowej za pośrednictwem co najmniej jednej karty sieciowej dołączonej do portu przełącznika fizycznego. Sieć VLAN warstwy 2 obsługuje sieci podzielone na wiele segmentów sieci logicznych.
Napiwek
Użyj VLAN 0 dla sieci logicznych w trybie dostępu lub bez oznaczeń.
Ważne
Programowalna sieć w Windows Server 2016 obsługuje adresowanie IPv4 dla warstwy podstawowej i nakładki. Protokół IPv6 nie jest obsługiwany. System Windows Server 2019 obsługuje adresowanie IPv4 i IPv6.
Sieci logiczne
W tej sekcji omówiono wymagania dotyczące planowania infrastruktury SDN dla zarządzania siecią logiczną oraz dla sieci logicznej dostawcy wirtualizacji sieci Hyper-V (HNV). Zawiera szczegółowe informacje na temat aprowizacji dodatkowych sieci logicznych w celu używania bram i programowego modułu równoważenia obciążenia (SLB) oraz przykładowej topologii sieci.
Zarządzanie i dostawca HNV
Wszystkie fizyczne hosty obliczeniowe muszą uzyskiwać dostęp do sieci logicznej zarządzania i sieci logicznej dostawcy HNV. Do celów planowania adresów IP każdy fizyczny host obliczeniowy musi mieć co najmniej jeden adres IP przypisany z sieci logicznej zarządzania. Kontroler sieci wymaga zastrzeżonego adresu IP z tej sieci, aby służył jako adres IP usługi Representational State Transfer (REST).
Sieć dostawcy HNV służy jako podstawowa sieć fizyczna dla ruchu dzierżawców East/West (wewnętrzno-wewnętrzny), ruchu dzierżawców North/South (zewnętrzno-wewnętrzny) oraz do wymiany informacji o komunikacji równorzędnej BGP z siecią fizyczną.
Sieć dostawcy HNV jest wymagana tylko dla sieci wirtualnych, a nie dla sieci logicznych.
Poniżej przedstawiono sposób przydzielania adresów IP przez sieć dostawcy HNV. Służy do planowania przestrzeni adresowej dla sieci dostawcy HNV.
- Przydziela dwa adresy IP do każdego serwera fizycznego
- Przydziela jeden adres IP do każdej maszyny wirtualnej MUX SLB
- Przydziela jeden adres IP każdej maszynie wirtualnej bramy
Serwer DHCP może automatycznie przypisywać adresy IP dla sieci zarządzania lub ręcznie przypisywać statyczne adresy IP. Stos SDN automatycznie przypisuje adresy IP dla logicznej sieci dostawcy HNV dla poszczególnych hostów Hyper-V z puli adresów IP. Kontroler sieci określa pulę adresów IP i zarządza nią.
Uwaga
Kontroler sieci przypisuje adres IP dostawcy HNV do fizycznego hosta obliczeniowego dopiero po otrzymaniu przez agenta hosta kontrolera sieci zasad sieci, dla określonej maszyny wirtualnej najemcy.
| Jeśli... | Wtedy... |
|---|---|
| Sieci logiczne używają sieci VLAN, | fizyczny host obliczeniowy musi nawiązać połączenie z portem przełącznika magistrali, który ma dostęp do sieci VLAN. Należy pamiętać, że fizyczne karty sieciowe na hoście komputera nie mogą mieć aktywowanego żadnego filtrowania sieci VLAN. |
| Host obliczeniowy fizyczny uruchamia dodatkowe maszyny wirtualne infrastruktury, takie jak Kontroler Sieci, Multiplexer SLB (MUX) lub Brama. | upewnij się, że sieć logiczna zarządzania ma wystarczające adresy IP dla każdej hostowanej maszyny wirtualnej. Upewnij się również, że sieć logiczna dostawcy HNV ma wystarczającą liczbę adresów IP do przydzielenia każdej maszynie wirtualnej SLB/MUX oraz infrastrukturze bramy. Mimo że rezerwacja adresów IP jest zarządzana przez kontroler sieci, brak możliwości zarezerwowania nowego adresu IP z powodu jego niedostępności może spowodować zduplikowanie adresów IP w sieci. |
Aby uzyskać informacje o wirtualizacji sieci Hyper-V (HNV), którą można zastosować do wirtualizacji sieci we wdrożeniu SDN firmy Microsoft, zobacz Hyper-V Network Virtualization. |
Bramy i programowy moduł równoważenia obciążenia (SLB)
Aby używać bram i SLB, należy utworzyć i skonfigurować dodatkowe sieci logiczne. Upewnij się, że uzyskasz poprawne prefiksy IP, identyfikatory sieci VLAN i adresy IP bramy dla tych sieci.
| Sieć logiczna | opis |
|---|---|
| Publiczna sieć logiczna VIP | Sieć logiczna publicznego wirtualnego adresu IP (VIP) musi używać prefiksów podsieci IP, które są routowalne poza środowiskiem chmury (zazwyczaj routowalne w internecie). Są to adresy IP interfejsu bazowego używane przez klientów zewnętrznych do uzyskiwania dostępu do zasobów w sieciach wirtualnych, w tym adresy VIP interfejsu bazowego dla bramy typu site-to-site. Nie musisz przypisywać VLAN do tej sieci. Nie musisz konfigurować tej sieci na przełącznikach fizycznych. Upewnij się, że adresy IP w tej sieci nie nakładają się na istniejące adresy IP w organizacji. |
| Prywatna logiczna sieć VIP | Prywatna, logiczna sieć VIP nie musi być routowalna poza chmurą. Dzieje się tak, ponieważ korzystają z niego tylko adresy VIP, do których można uzyskać dostęp z klientów w chmurze wewnętrznej, takich jak usługi prywatne. Nie musisz przypisywać VLAN do tej sieci. Ten adres IP może być maksymalnie siecią /22. Nie musisz konfigurować tej sieci na przełącznikach fizycznych. Upewnij się, że adresy IP w tej sieci nie nakładają się na istniejące adresy IP w organizacji. |
| Logiczna sieć GRE VIP | Sieć adresów VIP protokołu GRE (Generic Routing Encapsulation) to podsieć, która istnieje wyłącznie do definiowania adresów VIP. Adresy VIP są przypisywane do maszyn wirtualnych bramowych działających na infrastrukturze SDN dla połączenia typu S2S (site-to-site) GRE. Nie musisz wstępnie konfigurować tej sieci w przełącznikach fizycznych lub routerze ani przypisywać do niej sieci VLAN. Upewnij się, że adresy IP w tej sieci nie nakładają się na istniejące adresy IP w organizacji. |
Przykładowa topologia sieci
Zmień przykładowe prefiksy podsieci IP i identyfikatory sieci VLAN dla danego środowiska.
| Nazwa sieci | Podsieć | Maska | Identyfikator VLAN na trunku | Wrota | Rezerwacja (przykłady) |
|---|---|---|---|---|---|
| Zarządzanie | 10.184.108.0 | 24 | 7 | 10.184.108.1 | 10.184.108.1 — Router 10.184.108.4 — kontroler sieci 10.184.108.10 — host obliczeniowy 1 10.184.108.11 — host obliczeniowy 2 10.184.108.X — host obliczeniowy X |
| Dostawca HNV | 10.10.56.0 | 23 | 11 | 10.10.56.1 | 10.10.56.1 — router 10.10.56.2 — SLB/MUX1 10.10.56.5 — Gateway1 10.10.56.6, 10.10.56.7 — host obliczeniowy 1 |
| Publiczny VIP | 41.40.40.0 | 27 | NA | 41.40.40.1 | 41.40.40.2 — publiczny adres VIP1 41.40.40.3 — IPSec S2S VPN VIP |
| Prywatny VIP | 20.20.20.0 | 27 | NA | 20.20.20.1 | 20.20.20.2 — prywatny VIP1 |
| GRE VIP | 31.30.30.0 | 24 | NA | 31.30.30.1 | 31.30.30.2 – GRE VIP1 |
Infrastruktura routingu
Informacje o routingu (takie jak następny przeskok) dla podsieci adresów VIP są anonsowane przez bramy SLB/MUX i serwera dostępu zdalnego (RAS) do sieci fizycznej przy użyciu wewnętrznej komunikacji równorzędnej BGP. Sieci logiczne VIP nie mają przypisanej sieci VLAN i nie są one wstępnie skonfigurowane w przełączniku warstwy 2 (na przykład przełącznik top-of-Rack).
Należy utworzyć element równorzędny BGP na routerze używanym przez infrastrukturę SDN do odbierania tras dla sieci logicznych VIP anonsowanych przez SLB/MUXes i bramy RAS. Komunikacja BGP musi być zainicjowana jednostronnie (od bramy SLB/MUX lub bramy RAS do zewnętrznego partnera BGP). Nad pierwszą warstwą routingu można użyć tras statycznych lub innego protokołu routingu dynamicznego, takiego jak Open Shortest Path First (OSPF). Jednak jak wspomniano wcześniej, prefiks podsieci IP dla sieci logicznych VIP powinien być routowalny z sieci fizycznej do zewnętrznego peer BGP.
Peering BGP jest zwykle konfigurowany w przełączniku zarządzanym lub routerze jako część infrastruktury sieciowej. Element równorzędny protokołu BGP można również skonfigurować w systemie Windows Server z rolą RAS zainstalowaną w trybie tylko routingu. Równorzędny router BGP w infrastrukturze sieciowej musi być skonfigurowany do używania własnych numerów systemu autonomicznego (ASN) i zezwalać na komunikację równorzędną z numeru ASN przypisanego do składników SDN (SLB/MUX i Bram RAS).
Należy uzyskać następujące informacje z routera fizycznego lub od administratora sieci pod kontrolą tego routera:
- Router ASN
- Adres IP routera
Uwaga
Czterobajtowe ASN-y nie są obsługiwane przez SLB/MUX. Należy przydzielić dwu-bajtowe ASN do SLB/MUX i routera, z którym się łączy. Możesz użyć czterech bajtów ASN w innym miejscu w swoim środowisku.
Użytkownik lub administrator sieci musi skonfigurować router BGP tak, aby akceptował połączenia z numeru ASN oraz adresu IP lub adresu podsieci sieci logicznej dostawcy HNV, które wykorzystuje twoja brama RAS oraz multipleksery SLB.
Aby uzyskać więcej informacji, zobacz Border Gateway Protocol (BGP).
Brama domyślna
Maszyny skonfigurowane do łączenia się z wieloma sieciami, takimi jak hosty fizyczne, SLB/MUX i maszyny wirtualne pełniące rolę bramy, muszą mieć skonfigurowaną tylko jedną bramę domyślną. Instalacja sieci SDN za pośrednictwem centrum administracyjnego systemu Windows, sieci SDN Express lub witryny Azure Portal automatycznie konfiguruje bramy domyślne.
Użyj następujących bram domyślnych dla hostów i maszyn wirtualnych infrastruktury:
- W przypadku hostów Hyper-V wykorzystaj sieć zarządzającą jako bramę domyślną.
- W przypadku maszyn wirtualnych kontrolera sieci użyj sieci zarządzania jako bramy domyślnej.
- W przypadku maszyn wirtualnych SLB/MUX użyj sieci zarządzania jako bramy domyślnej.
- W przypadku maszyn wirtualnych bramy użyj sieci dostawcy HNV jako bramy domyślnej. Należy to ustawić na przedniej karcie sieciowej maszyn wirtualnych bramy.
Compute
Wszystkie hosty Hyper-V muszą mieć zainstalowany odpowiedni system operacyjny, być włączone dla Hyper-V oraz używać zewnętrznego przełącznika wirtualnego Hyper-V z co najmniej jedną fizyczną kartą podłączoną do sieci logicznej zarządzania. Host musi być dostępny przez adres IP przypisany do wirtualnej karty sieciowej zarządzania hostem.
Możesz użyć dowolnego typu przechowywania, który jest zgodny z funkcją Hyper-V, czy to współdzielonego, czy lokalnego.
Wymagania dotyczące obliczeń hosta
Poniżej przedstawiono minimalne wymagania sprzętowe i programowe dla czterech hostów fizycznych używanych w przykładowym wdrożeniu.
| Gospodarz | Wymagania sprzętowe | Wymagania dotyczące oprogramowania |
|---|---|---|
| Fizyczny host Hyper-V | Czterordzeniowy procesor 2,66 GHz 32 GB pamięci RAM 300 GB miejsca na dysku Fizyczna karta sieciowa 1 Gb/s (lub szybsza) |
System operacyjny: zgodnie z definicją w "Dotyczy" na początku tego tematu. Rola Hyper-V zainstalowana |
Wymagania dotyczące roli maszyny wirtualnej infrastruktury SDN
Poniżej przedstawiono wymagania dotyczące ról maszyny wirtualnej.
| Rola | Wymagania dotyczące vCPU | Wymagania dotyczące pamięci | Wymagania dyskowe |
|---|---|---|---|
| Kontroler sieci (trzy węzły) | 4 procesory wirtualne | Minimalna 4 GB (zalecane 8 GB) |
75 GB dla dysku systemu operacyjnego |
| SLB/MUX (trzy węzły) | 8 procesorów wirtualnych | Zalecane 8 GB | 75 GB dla dysku systemu operacyjnego |
| Brama RAS (pojedyncza pula trzech węzłów bramy, dwa aktywne, jeden pasywny) |
8 procesorów wirtualnych | Zalecane 8 GB | 75 GB dla dysku systemu operacyjnego |
Jeśli do wdrożenia używasz programu System Center — Virtual Machine Manager (VMM), dodatkowe zasoby maszyny wirtualnej infrastruktury są wymagane dla programu VMM i innej infrastruktury innej niż SDN. Aby dowiedzieć się więcej, zobacz Wymagania systemowe programu System Center Virtual Machine Manager.
Rozszerzanie infrastruktury
Wymagania dotyczące rozmiaru i zasobów dla infrastruktury zależą od maszyn wirtualnych obciążeń dzierżawcy, które planujesz hostować. Wymagania dotyczące procesora CPU, pamięci i dysku dla maszyn wirtualnych infrastruktury (na przykład: kontroler sieci, SLB, brama itd.) są zdefiniowane w poprzedniej tabeli. Możesz dodać więcej maszyn wirtualnych infrastruktury, aby skalować w razie potrzeby. Jednak jakiekolwiek maszyny wirtualne dzierżawców uruchomione na hostach Hyper-V mają własne wymagania dotyczące CPU, pamięci i dysku, które trzeba uwzględnić.
Gdy maszyny wirtualne najemców zaczynają zużywać zbyt wiele zasobów na fizycznych hostach Hyper-V, możesz rozszerzyć infrastrukturę, dodając dodatkowe hosty fizyczne. Do tworzenia nowych zasobów serwera za pośrednictwem kontrolera sieci można użyć programu Windows Admin Center, programu VMM lub skryptów programu PowerShell. Metoda do użycia zależy od tego, jak początkowo wdrożono infrastrukturę. Jeśli musisz dodać dodatkowe adresy IP dla sieci dostawcy HNV, możesz utworzyć nowe podsieci logiczne (z odpowiednimi pulami adresów IP), których mogą używać hosty.
Stopniowe wdrożenie
Na podstawie wymagań może być konieczne wdrożenie podzestawu infrastruktury SDN. Jeśli na przykład chcesz hostować obciążenia klientów tylko w centrum danych, a komunikacja zewnętrzna nie jest wymagana, możesz wdrożyć kontroler sieci i pominąć wdrażanie maszyn wirtualnych SLB/MUX i bramy. Poniżej opisano wymagania dotyczące infrastruktury funkcji sieciowych dla etapowego wdrażania infrastruktury SDN.
| Funkcja | Wymagania dotyczące wdrażania | Wymagania dotyczące sieci |
|---|---|---|
| Zarządzanie siecią logiczną Sieciowe grupy zabezpieczeń (sieciowe grupy zabezpieczeń) (dla sieci opartej na sieci VLAN) Jakość usług (QoS) (dla sieci opartych na sieciach VLAN) |
Kontroler sieci | Brak |
| Sieć wirtualna Routing zdefiniowany przez użytkownika ACL-e (dla sieci wirtualnej) Zaszyfrowane podsieci QoS (dla sieci wirtualnych) Peering sieci wirtualnej |
Kontroler sieci | Sieć VLAN HNV PA, podsieć, router |
| Translacja adresów sieciowych (NAT) dla ruchu przychodzącego/wychodzącego Równoważenie obciążenia |
Kontroler sieci SLB/MUX |
Protokół BGP w sieci PA HNV Prywatne i publiczne podsieci VIP |
| Połączenia bramy GRE | Kontroler sieci SLB/MUX Brama |
Protokół BGP w sieci HNV PA Prywatne i publiczne podsieci VIP Podsieć VIP GRE |
| Połączenia bramy IPSec | Kontroler sieci SLB/MUX Brama |
Protokół BGP w sieci PA HNV Prywatne i publiczne podsieci VIP |
| Połączenia bramy L3 | Kontroler sieci SLB/MUX Brama |
Protokół BGP w sieci PA HNV Prywatne i publiczne podsieci VIP VLAN najemcy, podsieć, router Protokół BGP w VLAN najemcy jest opcjonalny |
Następne kroki
Aby uzyskać powiązane informacje, zobacz również: