Planowanie infrastruktury sieciowej zdefiniowanej programowo dla platformy Azure w wersji 23H2
Dotyczy: Azure Local, wersja 23H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Dowiedz się więcej o planowaniu wdrażania infrastruktury sieci komputerowej (SDN), w tym o wymaganiach wstępnych dotyczących sprzętu i oprogramowania. Ten temat zawiera wymagania dotyczące planowania konfiguracji sieci fizycznej i logicznej, routingu, bram, sprzętu sieciowego i nie tylko. Obejmuje ona również zagadnienia dotyczące rozszerzania infrastruktury SDN i korzystania z wdrożenia etapowego.
Wymagania wstępne
Istnieje kilka wymagań wstępnych dotyczących sprzętu i oprogramowania dla infrastruktury SDN, w tym:
Grupy zabezpieczeń i dynamiczna rejestracja DNS. Musisz przygotować centrum danych do wdrożenia kontrolera sieci, które wymaga zestawu maszyn wirtualnych. Przed wdrożeniem kontrolera sieci należy skonfigurować grupy zabezpieczeń i dynamiczną rejestrację DNS.
Aby dowiedzieć się więcej na temat wdrażania kontrolera sieci dla centrum danych, zobacz Wymagania dotyczące wdrażania kontrolera sieci.
Sieć fizyczna. Potrzebujesz dostępu do fizycznych urządzeń sieciowych w celu skonfigurowania wirtualnych sieci lokalnych (VLAN), routingu i protokołu BGP (Border Gateway Protocol). Ten temat zawiera instrukcje dotyczące konfiguracji przełącznika ręcznego i opcje używania komunikacji równorzędnej BGP na przełącznikach/routerach warstwy 3 lub maszynie wirtualnej serwera routingu i dostępu zdalnego (RRAS).
Hosty obliczeń fizycznych. Te hosty uruchamiają funkcję Hyper-V i są wymagane do hostowania infrastruktury SDN i maszyn wirtualnych dzierżawcy. Określony sprzęt sieciowy jest wymagany na tych hostach w celu uzyskania najlepszej wydajności, zgodnie z opisem w następnej sekcji.
Wymagania sprzętowe sieci SDN
Ta sekcja zawiera wymagania sprzętowe dotyczące przełączników fizycznych podczas planowania środowiska SDN.
Przełączniki i routery
Podczas wybierania przełącznika fizycznego i routera dla środowiska SDN upewnij się, że obsługuje on następujący zestaw możliwości:
- Przełącz ustawienia jednostki MTU (wymagane)
- MtU ustawiono wartość >= 1674 bajty (w tym nagłówek L2-Ethernet)
- Protokoły L3 (wymagane)
- Routing z wieloma ścieżkami (ECMP) o równych kosztach
- Protokół BGP (IETF RFC 4271) oparty na protokole ECMP
Implementacje powinny obsługiwać instrukcje MUST w następujących standardach IETF:
- RFC 2545: rozszerzenia wieloprotocol protokołu BGP-4 dla routingu międzydomenowego IPv6
- RFC 4760: Rozszerzenia wieloprotokolowe dla protokołu BGP-4
- RFC 4893: Obsługa protokołu BGP dla czterech oktetów AS Number Space
- RFC 4456: Odbicie trasy protokołu BGP: alternatywa dla wewnętrznego protokołu BGP (IBGP) pełnej siatki
- RFC 4724: Mechanizm bezpiecznego ponownego uruchamiania dla protokołu BGP
Wymagane są następujące protokoły tagowania:
- VLAN — izolacja różnych typów ruchu
- 802.1q magistrali
Następujące elementy zapewniają kontrolkę Link:
- Jakość usług (QoS) (PFC wymagane tylko w przypadku korzystania z usługi RoCE)
- Ulepszony wybór ruchu (802.1Qaz)
- Sterowanie przepływem opartym na priorytetach (PFC) (802.1p/Q i 802.1Qbb)
Następujące elementy zapewniają dostępność i nadmiarowość:
- Dostępność przełącznika (wymagana)
- Router o wysokiej dostępności jest wymagany do wykonywania funkcji bramy. Można to zapewnić za pomocą przełącznika wielosłonowego\routera lub technologii, takich jak Protokół nadmiarowości routera wirtualnego (VRRP).
Konfiguracja sieci fizycznej i logicznej
Każdy fizyczny host obliczeniowy wymaga łączności sieciowej za pośrednictwem co najmniej jednej karty sieciowej dołączonej do portu przełącznika fizycznego. Sieć VLAN warstwy 2 obsługuje sieci podzielone na wiele segmentów sieci logicznych.
Napiwek
Użyj sieci VLAN 0 dla sieci logicznych w trybie dostępu lub bez tagów.
Ważne
Sieć zdefiniowana programowo w systemie Windows Server 2016 obsługuje adresowanie IPv4 dla nakładki i nakładki. Protokół IPv6 nie jest obsługiwany. System Windows Server 2019 obsługuje adresowanie IPv4 i IPv6.
Logical networks
W tej sekcji opisano wymagania dotyczące planowania infrastruktury SDN dla sieci logicznej zarządzania i sieci logicznej wirtualizacji sieci funkcji Hyper-V (HNV). Zawiera szczegółowe informacje na temat aprowizacji dodatkowych sieci logicznych w celu używania bram i programowego modułu równoważenia obciążenia (SLB) oraz przykładowej topologii sieci.
Zarządzanie i dostawca HNV
Wszystkie fizyczne hosty obliczeniowe muszą uzyskiwać dostęp do sieci logicznej zarządzania i sieci logicznej dostawcy HNV. Do celów planowania adresów IP każdy fizyczny host obliczeniowy musi mieć co najmniej jeden adres IP przypisany z sieci logicznej zarządzania. Kontroler sieci wymaga zastrzeżonego adresu IP z tej sieci, aby służył jako adres IP usługi Representational State Transfer (REST).
Sieć dostawcy HNV służy jako podstawowa sieć fizyczna dla ruchu dzierżawy East/West (wewnętrzny), Ruchu dzierżawy North/South (zewnętrznie-wewnętrzny) oraz wymiany informacji komunikacji równorzędnej BGP z siecią fizyczną.
Poniżej przedstawiono sposób przydzielania adresów IP przez sieć dostawcy HNV. Służy do planowania przestrzeni adresowej dla sieci dostawcy HNV.
- Przydziela dwa adresy IP do każdego serwera fizycznego
- Przydziela jeden adres IP do każdej maszyny wirtualnej MUX SLB
- Przydziela jeden adres IP do każdej maszyny wirtualnej bramy
Serwer DHCP może automatycznie przypisywać adresy IP dla sieci zarządzania lub ręcznie przypisywać statyczne adresy IP. Stos SDN automatycznie przypisuje adresy IP dla sieci logicznej dostawcy HNV dla poszczególnych hostów funkcji Hyper-V z puli adresów IP. Kontroler sieci określa pulę adresów IP i zarządza nią.
Uwaga
Kontroler sieci przypisuje adres IP dostawcy HNV do fizycznego hosta obliczeniowego dopiero po otrzymaniu przez agenta hosta kontrolera sieci zasad sieci dla określonej maszyny wirtualnej dzierżawy.
| Jeśli... | Wtedy... |
|---|---|
| Sieci logiczne używają sieci VLAN, | fizyczny host obliczeniowy musi nawiązać połączenie z portem przełącznika magistrali, który ma dostęp do sieci VLAN. Należy pamiętać, że fizyczne karty sieciowe na hoście komputera nie mogą mieć aktywowanego żadnego filtrowania sieci VLAN. |
| Używasz zespołu switched-Embedded Teaming (SET) i masz wielu członków zespołu kart sieciowych, takich jak karty sieciowe, | Należy połączyć wszystkich członków zespołu kart interfejsu sieciowego dla tego konkretnego hosta z tą samą domeną emisji warstwy 2. |
| Host obliczeniowy fizyczny uruchamia dodatkowe maszyny wirtualne infrastruktury, takie jak kontroler sieci, SLB/Multiplexer (MUX) lub brama, | upewnij się, że sieć logiczna zarządzania ma wystarczające adresy IP dla każdej hostowanej maszyny wirtualnej. Upewnij się również, że sieć logiczna dostawcy HNV ma wystarczające adresy IP do przydzielenia do każdej maszyny wirtualnej SLB/MUX i infrastruktury bramy. Mimo że rezerwacja adresów IP jest zarządzana przez kontroler sieci, nie można zarezerwować nowego adresu IP z powodu niedostępności może spowodować zduplikowanie adresów IP w sieci. |
Aby uzyskać informacje o wirtualizacji sieci funkcji Hyper-V (HNV), których można użyć do wirtualizacji sieci we wdrożeniu sieci SDN firmy Microsoft, zobacz Wirtualizacja sieci funkcji Hyper-V.
Bramy i programowy moduł równoważenia obciążenia (SLB)
Aby używać bram i SLB, należy utworzyć i aprowizować dodatkowe sieci logiczne. Upewnij się, że uzyskasz poprawne prefiksy IP, identyfikatory sieci VLAN i adresy IP bramy dla tych sieci.
| Sieć logiczna | opis |
|---|---|
| Sieć logiczna publicznych adresów VIP | Sieć logiczna publicznego wirtualnego adresu IP (VIP) musi używać prefiksów podsieci IP, które są routingiem poza środowiskiem chmury (zazwyczaj routing internetowy). Są to adresy IP frontonu używane przez klientów zewnętrznych do uzyskiwania dostępu do zasobów w sieciach wirtualnych, w tym adresy VIP frontonu dla bramy typu lokacja-lokacja. Nie musisz przypisywać sieci VLAN do tej sieci. Nie musisz konfigurować tej sieci na przełącznikach fizycznych. Upewnij się, że adresy IP w tej sieci nie nakładają się na istniejące adresy IP w organizacji. |
| Sieć logiczna prywatnych adresów VIP | Sieć logiczna prywatnych adresów VIP nie jest wymagana do routingu poza chmurą. Dzieje się tak, ponieważ korzystają z niego tylko adresy VIP, do których można uzyskać dostęp z klientów w chmurze wewnętrznej, takich jak usługi prywatne. Nie musisz przypisywać sieci VLAN do tej sieci. Ten adres IP może być maksymalnie siecią /22. Nie musisz konfigurować tej sieci na przełącznikach fizycznych. Upewnij się, że adresy IP w tej sieci nie nakładają się na istniejące adresy IP w organizacji. |
| Sieć logiczna adresów VIP protokołu GRE | Sieć adresów VIP protokołu GRE (Generic Routing Encapsulation) to podsieć, która istnieje wyłącznie do definiowania adresów VIP. Adresy VIP są przypisywane do maszyn wirtualnych bramy działających w sieci szkieletowej SDN dla typu połączenia S2S (lokacja-lokacja). Nie musisz wstępnie konfigurować tej sieci w przełącznikach fizycznych lub routerze ani przypisywać do niej sieci VLAN. Upewnij się, że adresy IP w tej sieci nie nakładają się na istniejące adresy IP w organizacji. |
Przykładowa topologia sieci
Zmień przykładowe prefiksy podsieci IP i identyfikatory sieci VLAN dla danego środowiska.
| Nazwa sieci | Podsieć | Maska | Identyfikator sieci VLAN w magistrali | Brama | Rezerwacja (przykłady) |
|---|---|---|---|---|---|
| Zarządzanie | 10.184.108.0 | 24 | 7 | 10.184.108.1 | 10.184.108.1 — Router 10.184.108.4 — kontroler sieci 10.184.108.10 — host obliczeniowy 1 10.184.108.11 — host obliczeniowy 2 10.184.108.X — host obliczeniowy X |
| Dostawca HNV | 10.10.56.0 | 23 | 11 | 10.10.56.1 | 10.10.56.1 — router 10.10.56.2 — SLB/MUX1 10.10.56.5 — Brama1 |
| Publiczny adres VIP | 41.40.40.0 | 27 | NA | 41.40.40.1 | 41.40.40.1 — router 41.40.40.3 — adres IPSec S2S VPN VIP |
| Prywatny adres VIP | 20.20.20.0 | 27 | NA | 20.20.20.1 | 20.20.20.1 — domyślna brama (router) |
| GRE VIP | 31.30.30.0 | 24 | NA | 31.30.30.1 | 31.30.30.1 — domyślna brama |
Infrastruktura routingu
Informacje o routingu (takie jak następny przeskok) dla podsieci adresów VIP są anonsowane przez bramy SLB/MUX i serwera dostępu zdalnego (RAS) do sieci fizycznej przy użyciu wewnętrznej komunikacji równorzędnej BGP. Sieci logiczne VIP nie mają przypisanej sieci VLAN i nie są one wstępnie skonfigurowane w przełączniku warstwy 2 (na przykład przełącznik top-of-Rack).
Należy utworzyć element równorzędny BGP na routerze używanym przez infrastrukturę SDN do odbierania tras dla sieci logicznych VIP anonsowanych przez SLB/MUXes i bramy RAS. Komunikacja równorzędna BGP musi odbywać się tylko w jeden sposób (z bramy SLB/MUX lub RAS do zewnętrznego elementu równorzędnego protokołu BGP). Nad pierwszą warstwą routingu można użyć tras statycznych lub innego protokołu routingu dynamicznego, takiego jak Open Shortest Path First (OSPF). Jednak jak wspomniano wcześniej, prefiks podsieci IP dla sieci logicznych VIP musi być routingiem z sieci fizycznej do zewnętrznego elementu równorzędnego protokołu BGP.
Komunikacja równorzędna BGP jest zwykle konfigurowana w przełączniku zarządzanym lub routerze w ramach infrastruktury sieciowej. Element równorzędny protokołu BGP można również skonfigurować w systemie Windows Server z rolą RAS zainstalowaną w trybie tylko routingu. Element równorzędny routera BGP w infrastrukturze sieciowej musi być skonfigurowany do używania własnych numerów systemu autonomicznego (ASN) i zezwalać na komunikację równorzędną z sieci ASN przypisanej do składników SDN (SLB/MUX i BRAM RAS).
Należy uzyskać następujące informacje z routera fizycznego lub od administratora sieci pod kontrolą tego routera:
- Router ASN
- Adres IP routera
Uwaga
Cztery bajty ASN nie są obsługiwane przez SLB/MUX. Należy przydzielić dwu bajtowe sieci ASN do SLB/MUX i routera, z którym się łączy. Możesz użyć czterech bajtów ASN w innym miejscu w swoim środowisku.
Użytkownik lub administrator sieci musi skonfigurować element równorzędny routera BGP tak, aby akceptował połączenia z usługi ASN i adresu IP lub podsieci sieci logicznej dostawcy HNV używanej przez bramę RAS i muxy SLB.
Aby uzyskać więcej informacji, zobacz Border Gateway Protocol (BGP).
Brama domyślna
Maszyny skonfigurowane do łączenia się z wieloma sieciami, takimi jak hosty fizyczne, SLB/MUX i maszyny wirtualne bramy, muszą mieć skonfigurowaną tylko jedną bramę domyślną. Użyj następujących bram domyślnych dla hostów i maszyn wirtualnych infrastruktury:
- W przypadku hostów funkcji Hyper-V użyj sieci zarządzania jako bramy domyślnej.
- W przypadku maszyn wirtualnych kontrolera sieci użyj sieci zarządzania jako bramy domyślnej.
- W przypadku maszyn wirtualnych SLB/MUX użyj sieci zarządzania jako bramy domyślnej.
- W przypadku maszyn wirtualnych bramy użyj sieci dostawcy HNV jako bramy domyślnej. Należy to ustawić na karcie sieciowej frontonu maszyn wirtualnych bramy.
Przełączniki i routery
Aby ułatwić skonfigurowanie przełącznika fizycznego lub routera, zestaw przykładowych plików konfiguracji dla różnych modeli przełączników i dostawców jest dostępny w repozytorium GitHub sieci Microsoft SDN. Dostępny jest plik readme i przetestowane polecenia interfejsu wiersza polecenia (CLI) dla określonych przełączników.
Aby uzyskać szczegółowe wymagania dotyczące przełącznika i routera, zobacz sekcję wymagania sprzętowe sieci SDN powyżej.
Compute
Wszystkie hosty funkcji Hyper-V muszą mieć zainstalowany odpowiedni system operacyjny, być włączony dla funkcji Hyper-V i używać zewnętrznego przełącznika wirtualnego funkcji Hyper-V z co najmniej jedną fizyczną kartą podłączoną do sieci logicznej zarządzania. Host musi być dostępny za pośrednictwem adresu IP zarządzania przypisanego do wirtualnej karty sieciowej hosta zarządzania.
Możesz użyć dowolnego typu magazynu zgodnego z funkcją Hyper-V, udostępnioną lub lokalną.
Napiwek
Wygodne jest użycie tej samej nazwy dla wszystkich przełączników wirtualnych, ale nie jest to obowiązkowe. Jeśli planujesz użyć skryptów do wdrożenia, zobacz komentarz skojarzony ze zmienną vSwitchName w pliku config.psd1.
Wymagania dotyczące obliczeń hosta
Poniżej przedstawiono minimalne wymagania sprzętowe i programowe dla czterech hostów fizycznych używanych w przykładowym wdrożeniu.
| Gospodarz | Wymagania sprzętowe | Wymagania dotyczące oprogramowania |
|---|---|---|
| Fizyczny host funkcji Hyper-V | Czterordzeniowy procesor 2,66 GHz 32 GB pamięci RAM 300 GB miejsca na dysku Fizyczna karta sieciowa 1 Gb/s (lub szybsza) |
System operacyjny: zgodnie z definicją w "Dotyczy" na początku tego tematu. Zainstalowana rola funkcji Hyper-V |
Wymagania dotyczące roli maszyny wirtualnej infrastruktury SDN
Poniżej przedstawiono wymagania dotyczące ról maszyny wirtualnej.
| Rola | Wymagania dotyczące procesorów wirtualnych | Wymagania dotyczące pamięci | Wymagania dyskowe |
|---|---|---|---|
| Kontroler sieci (trzy węzły) | 4 procesory wirtualne | Minimalna 4 GB (zalecane 8 GB) |
75 GB dla dysku systemu operacyjnego |
| SLB/MUX (trzy węzły) | 8 procesorów wirtualnych | Zalecane 8 GB | 75 GB dla dysku systemu operacyjnego |
| Brama RAS (pojedyncza pula trzech węzłów bramy, dwa aktywne, jeden pasywny) |
8 procesorów wirtualnych | Zalecane 8 GB | 75 GB dla dysku systemu operacyjnego |
| Router BGP bramy RAS dla komunikacji równorzędnej SLB/MUX (alternatywnie użyj przełącznika ToR jako router BGP) |
2 procesory wirtualne | 2 GB | 75 GB dla dysku systemu operacyjnego |
Jeśli do wdrożenia używasz programu System Center — Virtual Machine Manager (VMM), dodatkowe zasoby maszyny wirtualnej infrastruktury są wymagane dla programu VMM i innej infrastruktury innej niż SDN. Aby dowiedzieć się więcej, zobacz Wymagania systemowe programu System Center Virtual Machine Manager.
Rozszerzanie infrastruktury
Wymagania dotyczące rozmiaru i zasobów dla infrastruktury zależą od maszyn wirtualnych obciążeń dzierżawy, które mają być hostowane. Wymagania dotyczące procesora CPU, pamięci i dysku dla maszyn wirtualnych infrastruktury (na przykład: kontroler sieci, SLB, brama itd.) są zdefiniowane w poprzedniej tabeli. W razie potrzeby możesz dodać więcej maszyn wirtualnych infrastruktury do skalowania. Jednak wszystkie maszyny wirtualne dzierżawy uruchomione na hostach funkcji Hyper-V mają własne wymagania dotyczące procesora CPU, pamięci i dysku, które należy wziąć pod uwagę.
Gdy maszyny wirtualne obciążenia dzierżawy zaczynają zużywać zbyt wiele zasobów na fizycznych hostach funkcji Hyper-V, możesz rozszerzyć infrastrukturę, dodając dodatkowe hosty fizyczne. Do tworzenia nowych zasobów serwera za pośrednictwem kontrolera sieci można użyć programu Windows Admin Center, programu VMM lub skryptów programu PowerShell. Metoda do użycia zależy od tego, jak początkowo wdrożono infrastrukturę. Jeśli musisz dodać dodatkowe adresy IP dla sieci dostawcy HNV, możesz utworzyć nowe podsieci logiczne (z odpowiednimi pulami adresów IP), których mogą używać hosty.
Stopniowe wdrożenie
Na podstawie wymagań może być konieczne wdrożenie podzestawu infrastruktury SDN. Jeśli na przykład chcesz hostować obciążenia klientów tylko w centrum danych, a komunikacja zewnętrzna nie jest wymagana, możesz wdrożyć kontroler sieci i pominąć wdrażanie maszyn wirtualnych SLB/MUX i bramy. Poniżej opisano wymagania dotyczące infrastruktury funkcji sieciowych dla etapowego wdrażania infrastruktury SDN.
| Funkcja | Wymagania dotyczące wdrażania | Wymagania dotyczące sieci |
|---|---|---|
| Zarządzanie siecią logiczną Sieciowe grupy zabezpieczeń (sieciowe grupy zabezpieczeń) (dla sieci opartej na sieci VLAN) Jakość usług (QoS) (dla sieci opartych na sieciach VLAN) |
Kontroler sieci | Brak |
| Sieć wirtualna Routing zdefiniowany przez użytkownika Listy ACL (dla sieci wirtualnej) Zaszyfrowane podsieci QoS (dla sieci wirtualnych) Komunikacja równorzędna sieci wirtualnej |
Kontroler sieci | Sieć VLAN PA HNV, podsieć, router |
| Translator adresów sieciowych dla ruchu przychodzącego/wychodzącego Równoważenie obciążenia |
Kontroler sieci SLB/MUX |
Protokół BGP w sieci PA HNV Podsieci prywatnych i publicznych adresów VIP |
| Połączenia bramy GRE | Kontroler sieci SLB/MUX Brama |
Protokół BGP w sieci PA HNV Podsieci prywatnych i publicznych adresów VIP Podsieć adresów VIP protokołu GRE |
| Połączenia bramy PROTOKOŁU IPSec | Kontroler sieci SLB/MUX Brama |
Protokół BGP w sieci PA HNV Podsieci prywatnych i publicznych adresów VIP |
| Połączenia bramy L3 | Kontroler sieci SLB/MUX Brama |
Protokół BGP w sieci PA HNV Podsieci prywatnych i publicznych adresów VIP Sieć VLAN dzierżawy, podsieć, router Protokół BGP w sieci VLAN dzierżawy opcjonalny |
Następne kroki
Aby uzyskać powiązane informacje, zobacz również: