Co to jest SDN w wielu lokacjach?

Dotyczy: Azure Local 2311.2 i nowsze

Dotyczy: Windows Server 2025

Ten artykuł zawiera omówienie wielu lokacji sieci SDN, w tym korzyści i bieżących ograniczeń. Możesz go użyć jako przewodnika, aby ułatwić projektowanie topologii sieci i planu odzyskiwania po awarii.

Funkcja SDN Multisite umożliwia rozszerzenie możliwości tradycyjnej sieci SDN wdrożonej w różnych lokalizacjach fizycznych. Funkcja SDN Multisite umożliwia natywną łączność warstwy 2 i warstwy 3 w różnych lokalizacjach fizycznych na potrzeby zwirtualizowanych obciążeń. W tym artykule wszystkie odwołania do lokacji oznaczają lokalizacje fizyczne.

Aby uzyskać informacje na temat zarządzania siecią SDN w wielu lokacjach, zobacz Manage SDN Multisite for Azure Local (Zarządzanie wieloma lokacjami sieci SDN dla usługi Azure Local).

Aby uzyskać informacje na temat zarządzania siecią SDN w wielu lokacjach, zobacz Manage SDN Multisite for Azure Local (Zarządzanie wieloma lokacjami sieci SDN dla usługi Azure Local).

Świadczenia

Poniżej przedstawiono zalety korzystania z wielu lokacji sieci SDN:

• Ujednolicony system zarządzania zasadami. Dzięki udostępnionym sieciom wirtualnym i konfiguracjom zasad można zarządzać i konfigurować sieci w wielu lokacjach z dowolnej lokacji.
• Bezproblemowa migracja obciążeń. Bezproblemowe migrowanie obciążeń między lokacjami fizycznymi bez konieczności ponownego konfigurowania adresów IP lub istniejących sieciowych grup zabezpieczeń.
• Automatyczna przystępność dla nowych maszyn wirtualnych. Uzyskiwanie automatycznej dostępności do nowo utworzonych maszyn wirtualnych w sieciach wirtualnych oraz automatyczne zarządzanie dowolnymi skojarzonymi sieciowymi grupami zabezpieczeń w lokalizacjach fizycznych.

Ograniczenia

Funkcja SDN w wielu lokacjach ma obecnie kilka ograniczeń:

• Jest obsługiwana tylko między dwiema lokacjami.
• Lokacje muszą być połączone za pośrednictwem sieci prywatnej, ponieważ nie jest zapewniana obsługa szyfrowania lokacji połączonych przez Internet.
• Wewnętrzne równoważenie obciążenia nie jest obsługiwane między lokacjami.
• Wdrażanie i zarządzanie Multisite z wykorzystaniem Native SDN, znanej również jako Kontroler Sieci na Klastrze typu Failover, jest obsługiwane wyłącznie poprzez PowerShell.

Komunikacja równorzędna w wielu lokacjach

Wiele lokacji wymaga komunikacji równorzędnej między lokacjami, która jest inicjowana jak komunikacja równorzędna sieci wirtualnych. Połączenie jest inicjowane automatycznie w obu witrynach za pośrednictwem Centrum administracyjnego systemu Windows. Po nawiązaniu połączenia komunikacja równorzędna zakończy się pomyślnie. Aby uzyskać instrukcje dotyczące nawiązywania komunikacji równorzędnej, zobacz Ustanawianie komunikacji równorzędnej.

Wiele lokacji wymaga komunikacji równorzędnej między lokacjami, która jest inicjowana jak komunikacja równorzędna sieci wirtualnych. Połączenie jest inicjowane automatycznie w obu witrynach za pośrednictwem Centrum administracyjnego systemu Windows. Po nawiązaniu połączenia komunikacja równorzędna zakończy się pomyślnie. Aby uzyskać instrukcje dotyczące nawiązywania komunikacji równorzędnej, zobacz Ustanawianie komunikacji równorzędnej.

W poniższych sekcjach opisano role każdej lokacji w środowisku obejmującym wiele lokacji oraz sposób obsługi i synchronizowania zasobów między lokacjami.

Role lokacji głównej i dodatkowej

W środowisku SDN w wielu lokacjach jedna lokacja jest wyznaczona jako podstawowa, a druga jako pomocnicza. Lokacja główna obsługuje synchronizację zasobów. Podczas komunikacji równorzędnej w wielu lokacjach lokacja główna jest wybierana automatycznie, co można zmienić później przy użyciu Centrum administracyjnego systemu Windows.

Obsługa zasobów

• Jeśli lokacja główna jest niemożliwa do osiągnięcia, zasoby globalne i zasoby wymagające globalnej weryfikacji lub globalne alokacje adresów klienta (CA) nie mogą być aktualizowane za pośrednictwem lokacji dodatkowej. Jednak inne zasoby lokalne można aktualizować za pośrednictwem lokacji dodatkowej.

  Przykłady zasobów wymagających globalnej weryfikacji obejmują:

  • Pule adresów MAC.
  • Sieć logiczna/pula adresów IP.

  Przykłady globalnych alokacji urzędu certyfikacji to:

  • Wewnętrzne równoważenie obciążenia dla podsieci wirtualnej. Obecnie nie jest to obsługiwane za pośrednictwem wielu lokacji.
  • Połączenia bramy dla podsieci wirtualnej.

• Jeśli lokacja dodatkowa nie jest osiągalna, zasoby można zaktualizować za pośrednictwem lokacji głównej. Jednak lokacja dodatkowa może mieć nieaktualne zasoby do czasu przywrócenia łączności. Po przywróceniu łączności synchronizacja zostanie wznowiona.

• Jeśli lokacja główna ulegnie awarii, możesz wyznaczyć lokację dodatkową jako nową lokację główną do wykonywania aktualizacji sieciowych grup zabezpieczeń i sieci wirtualnych. Jednak wszelkie oczekujące synchronizacje danych ze starej lokacji głównej zostaną utracone. Aby rozwiązać ten problem, zastosuj te same zmiany w nowej lokacji głównej po powrocie starej lokacji głównej do trybu online. Może jednak również prowadzić do konfliktów alokacji globalnego urzędu certyfikacji.

Synchronizacja zasobów

Po włączeniu wielu lokacji sieci SDN nie wszystkie zasoby z każdej lokacji są synchronizowane we wszystkich lokacjach. Poniżej przedstawiono listy zasobów, które są synchronizowane i które pozostają niezsynchronizowane.

• Zsynchronizowane zasoby

  Te zasoby są synchronizowane we wszystkich lokacjach po nawiązaniu komunikacji równorzędnej. Te zasoby można zaktualizować z dowolnej lokacji, główną lub pomocniczą. Jednak lokacja główna jest odpowiedzialna za zapewnienie, że te zasoby są stosowane i synchronizowane między lokacjami. Wytyczne i instrukcje dotyczące zarządzania tymi zasobami pozostają takie same jak w środowisku SDN pojedynczej lokacji.

  • Sieci wirtualne. Aby uzyskać instrukcje dotyczące zarządzania sieciami wirtualnymi, zobacz Zarządzanie sieciami wirtualnymi dzierżawcy. Należy pamiętać, że sieci logiczne nie są synchronizowane między lokacjami. Jeśli jednak sieci wirtualne odwołują się do sieci logicznej, sieć logiczna o tej samej nazwie musi istnieć w obu lokacjach.
  • Sieciowe grupy zabezpieczeń. Aby uzyskać instrukcje dotyczące konfigurowania sieciowej grupy zabezpieczeń za pomocą programu Windows Admin Center i programu PowerShell, zobacz Konfigurowanie sieciowych grup zabezpieczeń za pomocą Centrum administracyjnego systemu Windows i Konfigurowanie sieciowych grup zabezpieczeń za pomocą programu PowerShell.
  • Routing zdefiniowany przez użytkownika. Aby uzyskać instrukcje dotyczące korzystania z routingu zdefiniowanego przez użytkownika, zobacz Używanie wirtualnych urządzeń sieciowych w sieci wirtualnej.

• Zsynchronizowane zasoby

  Te zasoby są synchronizowane we wszystkich lokacjach po nawiązaniu komunikacji równorzędnej. Te zasoby można zaktualizować z dowolnej lokacji, główną lub pomocniczą. Jednak lokacja główna jest odpowiedzialna za zapewnienie, że te zasoby są stosowane i synchronizowane między lokacjami. Wytyczne i instrukcje dotyczące zarządzania tymi zasobami pozostają takie same jak w środowisku SDN pojedynczej lokacji.

  • Sieci wirtualne. Aby uzyskać instrukcje dotyczące zarządzania sieciami wirtualnymi, zobacz Zarządzanie sieciami wirtualnymi dzierżawcy. Należy pamiętać, że sieci logiczne nie są synchronizowane między lokacjami. Jeśli jednak sieci wirtualne odwołują się do sieci logicznej, sieć logiczna o tej samej nazwie musi istnieć w obu lokacjach.
  • Sieciowe grupy zabezpieczeń. Aby uzyskać instrukcje dotyczące konfigurowania sieciowej grupy zabezpieczeń za pomocą programu Windows Admin Center i programu PowerShell, zobacz Konfigurowanie sieciowych grup zabezpieczeń za pomocą Centrum administracyjnego systemu Windows i Konfigurowanie sieciowych grup zabezpieczeń za pomocą programu PowerShell.
  • Routing zdefiniowany przez użytkownika. Aby uzyskać instrukcje dotyczące korzystania z routingu zdefiniowanego przez użytkownika, zobacz Używanie wirtualnych urządzeń sieciowych w sieci wirtualnej.

• Zasoby niezsynchronizowane

  Te zasoby nie są synchronizowane po ustanowieniu komunikacji równorzędnej:

  • Zasady równoważenia obciążenia.
  • Wirtualne adresy IP (VIP).
  • Zasady bramy.
  • Sieci logiczne. Mimo że sieci logiczne nie są synchronizowane między lokacjami, pule adresów IP są sprawdzane pod kątem nakładania się i że nakładające się na siebie nie są dozwolone.

  Te zasady są tworzone w lokacji lokalnej, a jeśli chcesz, aby te same zasady w innej witrynie były tworzone ręcznie, należy je tam utworzyć ręcznie. Jeśli maszyny wirtualne zaplecza dla zasad równoważenia obciążenia znajdują się w jednej lokacji, łączność za pośrednictwem usługi SLB będzie działać prawidłowo bez dodatkowej konfiguracji. Jeśli jednak oczekujesz, że maszyny wirtualne zaplecza będą przechodzić z jednej lokacji do drugiej domyślnie, łączność działa tylko wtedy, gdy istnieją maszyny wirtualne zaplecza za wirtualnym adresem VIP w lokacji lokalnej. Jeśli wszystkie maszyny wirtualne zaplecza przeniosą się do innej lokacji, łączność za pośrednictwem tego adresu VIP zakończy się niepowodzeniem.

Przepływ ruchu wschodnio-zachodniego i udostępnianie podsieci

Wiele lokacji umożliwia maszynom wirtualnym w różnych lokacjach z wdrożona przez sieć SDN komunikację za pośrednictwem tej samej podsieci bez konieczności konfigurowania połączeń bramy SDN. Upraszcza to topologię sieci i zmniejsza potrzebę większej liczby maszyn wirtualnych i podsieci. Ścieżka danych między maszynami wirtualnymi w różnych lokacjach opiera się na podstawowej infrastrukturze fizycznej.

Poniższe scenariusze porównują sposób nawiązywania komunikacji między dwiema lokacjami fizycznymi w tradycyjnej konfiguracji sieci SDN a konfiguracją wielu lokacji sieci SDN.

Komunikacja między maszynami wirtualnymi bez połączenia SDN w wielu lokacjach

W tradycyjnej konfiguracji z siecią SDN wdrożoną w dwóch lokacjach fizycznych należy ustanowić połączenie bramy L3 lub GRE na potrzeby komunikacji między lokacjami. Należy również udostępnić więcej podsieci dla aplikacji. Jeśli na przykład każda lokacja hostuje aplikacje frontonu, należy przydzielić oddzielne zakresy podsieci, takie jak 10.1/16 i 10.6/16. Ponadto podczas konfigurowania połączenia bramy należy również przydzielić więcej maszyn wirtualnych dla maszyn wirtualnych bramy i zarządzać nimi później.

Komunikacja między maszynami wirtualnymi z siecią SDN w wielu lokacjach

Dzięki funkcji SDN Multisite w dwóch lokalizacjach fizycznych można mieć natywną łączność warstwy 2 na potrzeby komunikacji międzylokacyjnej. Dzięki temu można mieć jeden zakres podsieci dla aplikacji obejmujących obie lokalizacje, eliminując konieczność skonfigurowania połączenia bramy SDN. Na przykład, jak pokazano na poniższym diagramie, aplikacje frontonu w obu lokalizacjach mogą używać tej samej podsieci, takiej jak 10.1/16, zamiast obsługi dwóch oddzielnych. W przypadku tej konfiguracji przepływ danych z jednej maszyny wirtualnej do innej opiera się wyłącznie na podstawowej infrastrukturze fizycznej, unikając konieczności przechodzenia przez inną maszynę wirtualną bramy SDN.

Programowe moduły równoważenia obciążenia i ich ograniczenia

Obecnie programowe moduły równoważenia obciążenia to zasoby lokalne dla każdej lokacji fizycznej. Oznacza to, że zasady równoważenia obciążenia i konfiguracje nie są synchronizowane między lokacjami za pośrednictwem wielu lokacji. Należy pamiętać o migracji maszyn wirtualnych z jednej lokalizacji do innej w konfiguracji wielu lokacji SDN.

Równoważenie obciążenia w wielu lokacjach sieci SDN: przykładowy scenariusz

W poniższych sekcjach opisano równoważenie obciążenia w wielu lokacjach za pomocą przykładowego scenariusza, pokazującego zarówno bez migrowania maszyn wirtualnych obciążeń, jak i bez migracji. Załóżmy, że masz dwa wystąpienia lokalne platformy Azure z włączoną obsługą wielu lokacji sieci SDN, z których każda ma wdrożona i skonfigurowana własna infrastruktura SDN. W tym scenariuszu klient chce uzyskać dostęp do maszyny WIRTUALNEJ VM1 z adresem IP 10.0.0.5 i adresem VIP 11.0.0.5.

Równoważenie obciążenia w wielu lokacjach sieci SDN bez migrowania maszyn wirtualnych obciążeń

W wielu lokacjach sieci SDN, jeśli nie ma migracji maszyny wirtualnej między lokalizacjami, pakiety danych są przekazywane jak zwykle, podobnie jak w przypadku tradycyjnej konfiguracji sieci SDN. Poniższa animacja ilustruje ścieżkę danych z maszyny klienckiej do maszyny wirtualnej VM1 za pośrednictwem SLB MUX1 w klastrze 2.

Równoważenie obciążenia w wielu lokacjach sieci SDN z migrowaniem maszyn wirtualnych obciążeń

Jeśli zdecydujesz się zmigrować jedną maszynę wirtualną lub wszystkie maszyny wirtualne za wirtualnym adresem VIP do innej lokacji, mogą wystąpić sytuacje, w których maszyna wirtualna, z którą próbujesz nawiązać połączenie, stanie się nieosiągalna za pośrednictwem adresu VIP, w zależności od jego lokalizacji. Dzieje się tak, ponieważ zasoby modułu równoważenia obciążenia są lokalne dla każdego wystąpienia lokalnego platformy Azure. W miarę przenoszenia maszyn wirtualnych obciążeń konfiguracje MUXes nie są globalne, pozostawiając inną lokację nieświadomą migracji. Poniższa animacja ilustruje migrację maszyn wirtualnych z klastra 2 do klastra 1 i sposób niepowodzenia ścieżki pakietu danych po migracji.

Aby obejść to ograniczenie, możesz użyć zewnętrznego modułu równoważenia obciążenia, który sprawdza dostępność maszyn wirtualnych zaplecza w każdej lokacji i odpowiednio kieruje ruch. Zobacz Używanie zewnętrznego modułu równoważenia obciążenia w wielu lokacjach z migrowaniem maszyn wirtualnych obciążeń.

Używanie zewnętrznego modułu równoważenia obciążenia w wielu lokacjach z migrowaniem maszyn wirtualnych obciążeń

Możesz włączyć zewnętrzny moduł równoważenia obciążenia, aby sprawdzić, czy istnieją maszyny wirtualne zaplecza za modułem równoważenia obciążenia w jednej z witryn. Jeśli nie ma żadnych maszyn wirtualnych zaplecza za modułem równoważenia obciążenia, adres VIP dla MUX nie jest anonsowany do zewnętrznego modułu równoważenia obciążenia i każdą wysłaną sondę kondycji nie powiedzie się. Ten zewnętrzny moduł równoważenia obciążenia zapewnia łączność z obciążeniami, nawet gdy maszyny wirtualne przechodzą z jednej lokacji do innej.

Jeśli jednak wdrożenie zewnętrznego modułu równoważenia obciążenia nie jest możliwe, użyj rozwiązania do równoważenia obciążenia oprogramowania zgodnie z opisem w temacie Równoważenie obciążenia w wielu lokacjach sieci SDN bez migrowania maszyn wirtualnych obciążeń, o ile nie masz żadnych migrowanych maszyn wirtualnych obciążeń.

Bramy i ich ograniczenia

Wiele lokacji sieci SDN nie synchronizuje zasobów lokalnych, takich jak połączenia bramy między lokacjami. Każda lokacja ma własne maszyny wirtualne bramy i połączenia bramy. Gdy maszyna wirtualna obciążenia jest tworzona lub migrowana do lokacji, pobiera konfigurację bramy lokalnej, na przykład trasy bramy. Jeśli utworzysz połączenie bramy dla określonej sieci wirtualnej w jednej lokacji, maszyny wirtualne z tej lokacji utracą łączność bramy po migracji do drugiej lokacji. Aby maszyny wirtualne zachowały łączność bramy podczas migracji, należy skonfigurować oddzielne połączenie bramy dla tej samej sieci wirtualnej w innej lokacji.

Następne kroki

Zarządzanie siecią SDN w wielu lokacjach dla platformy Azure w środowisku lokalnym

Zarządzanie siecią SDN w wielu lokacjach dla platformy Azure w środowisku lokalnym