Udostępnij za pośrednictwem

Zapoznaj się z wzorcem referencyjnym sieci wdrażania z dwoma węzłami dla usługi Azure Local

  • Artykuł

Dotyczy: Azure Local, wersje 23H2 i 22H2

W tym artykule znajdziesz informacje na temat przełącznika magazynu z dwoma węzłami, w pełni zbieżnego z dwoma wzorcami referencyjnymi sieci przełączników TOR, którego można użyć do wdrożenia rozwiązania lokalnego platformy Azure. Informacje przedstawione w tym artykule ułatwią również określenie, czy ta konfiguracja jest odpowiednia dla potrzeb dotyczących planowania wdrożenia. Ten artykuł jest przeznaczony dla administratorów IT, którzy wdrażają platformę Azure Lokalnie i zarządzają nią w swoich centrach danych.

Aby uzyskać informacje na temat innych wzorców sieci, zobacz Wzorce wdrażania sieci lokalnej platformy Azure.

Scenariusze

Scenariusze dla tego wzorca sieci obejmują laboratoria, biura oddziałów i obiekty centrum danych.

Rozważ ten wzorzec, jeśli planujesz dodać dodatkowe węzły i wymagania dotyczące przepustowości dla ruchu północno-południowego nie wymagają dedykowanych kart. To rozwiązanie może być dobrym rozwiązaniem, gdy porty przełącznika fizycznego są ograniczone i szukasz redukcji kosztów dla rozwiązania. Ten wzorzec wymaga dodatkowych kosztów operacyjnych w celu dostosowania zasad QoS udostępnionych kart sieciowych hostów w celu ochrony ruchu magazynu przed obciążeniem i ruchem zarządzania. Usługi SDN L3 są w pełni obsługiwane w tym wzorcu.

Usługi routingu, takie jak protokół BGP, można skonfigurować bezpośrednio na przełącznikach TOR, jeśli obsługują one usługi L3. Funkcje zabezpieczeń sieci, takie jak mikrosegmentacja i QoS, nie wymagają dodatkowej konfiguracji na urządzeniu zapory, ponieważ są one implementowane w warstwie wirtualnej karty sieciowej.

Składniki łączności fizycznej

Jak opisano na poniższym diagramie, ten wzorzec ma następujące składniki sieci fizycznej:

  • W przypadku ruchu na północ/południe system w tym wzorcu jest implementowany z dwoma przełącznikami TOR w konfiguracji MLAG.

  • Dwie zespołowe karty sieciowe obsługują ruch magazynu zarządzania, obliczeń i RDMA podłączony do przełączników TOR. Każda karta sieciowa jest podłączona do innego przełącznika TOR. Funkcja SMB multichannel zapewnia agregację ścieżki i odporność na uszkodzenia.

  • W ramach tej opcji wdrożenia mogą obejmować kartę BMC, aby umożliwić zdalne zarządzanie środowiskiem. Niektóre rozwiązania mogą używać konfiguracji bez użycia karty BMC do celów bezpieczeństwa.

Diagram przedstawiający układ łączności fizycznej bez przełącznika z dwoma węzłami.

Sieci Zarządzanie, obliczenia, magazyn BMC
Szybkość łącza O szybkości 10 Gb/s Sprawdź u producenta sprzętu
Typ interfejsu SFP+ lub SFP28 RJ45
Porty i agregacja Dwa porty zespołowe Jeden port

Intencje usługi ATC sieci

Diagram przedstawiający intencje usługi ATC bez przełącznika z dwoma węzłami

Intencja zarządzania, obliczeń i magazynu

  • Typ intencji: Zarządzanie, obliczenia i magazyn
  • Tryb intencji: tryb klastra
  • Tworzenie zespołu: Tak. PNIC01 i pNIC02 są zespołowe
  • Domyślna sieć VLAN zarządzania: skonfigurowana sieć VLAN dla kart zarządzania nie jest modyfikowana
  • Storage vNIC 1:
    • Sieć VLAN 711
    • Podsieć 10.71.1.0/24 dla sieci magazynu 1
  • Storage vNIC 2:
    • Sieć VLAN 712
    • Podsieć 10.71.2.0/24 dla sieci magazynu 2
  • Magazyn vNIC1 i magazyn vNIC2 używają funkcji SMB Multichannel do zapewnienia odporności i agregacji przepustowości
  • Pa VLAN i vNICs: sieć ATC jest przezroczysta dla wirtualnych kart sieciowych i sieci VLAN
  • Obliczanie sieci VLAN i wirtualnych kart sieciowych: usługa Network ATC jest niewidoczna dla obliczeń wirtualnych kart sieciowych i sieci VLAN maszyn wirtualnych

Aby uzyskać więcej informacji, zobacz Wdrażanie sieci hostów.

Wykonaj następujące kroki, aby utworzyć intencje sieciowe dla tego wzorca referencyjnego:

  1. Uruchom program PowerShell jako administrator.

  2. Uruchom następujące polecenie:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -Storage -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>

Składniki łączności logicznej

Jak pokazano na poniższym diagramie, ten wzorzec ma następujące składniki sieci logicznej:

Diagram przedstawiający układ łączności fizycznej bez przełącznika z jednym węzłem.

Sieci VLAN sieci magazynu

Ruch oparty na intencji magazynu w tym wzorcu współudzieli fizyczne karty sieciowe z zarządzaniem i obliczeniami.

Sieć magazynu działa w różnych podsieciach IP. Każda sieć magazynu domyślnie używa wstępnie zdefiniowanych sieci VLAN usługi ATC (711 i 712). Jednak te sieci VLAN można dostosować w razie potrzeby. Ponadto, jeśli domyślna podsieć zdefiniowana przez usługę ATC nie może być użyteczna, odpowiadasz za przypisanie wszystkich adresów IP magazynu w systemie.

Aby uzyskać więcej informacji, zobacz Omówienie usługi Network ATC.

Sieć OOB

Sieć poza pasmem (OOB) jest przeznaczona do obsługi interfejsu zarządzania serwerem "lights-out" znanego również jako kontroler zarządzania płytą główną (BMC). Każdy interfejs BMC łączy się z przełącznikiem dostarczonym przez klienta. Kontroler BMC służy do automatyzowania scenariuszy rozruchu środowiska PXE.

Sieć zarządzania wymaga dostępu do interfejsu BMC przy użyciu portu 623 protokołu UDP (Intelligent Platform Management Interface).

Sieć OOB jest odizolowana od obciążeń obliczeniowych i jest opcjonalna w przypadku wdrożeń nienależących do rozwiązań.

Sieć VLAN zarządzania

Wszystkie hosty obliczeniowe fizyczne wymagają dostępu do sieci logicznej zarządzania. W przypadku planowania adresów IP każdy fizyczny host obliczeniowy musi mieć co najmniej jeden adres IP przypisany z sieci logicznej zarządzania.

Serwer DHCP może automatycznie przypisywać adresy IP dla sieci zarządzania lub ręcznie przypisywać statyczne adresy IP. Jeśli protokół DHCP jest preferowaną metodą przypisywania adresów IP, zalecamy używanie rezerwacji DHCP bez wygaśnięcia.

Sieć zarządzania obsługuje następujące konfiguracje sieci VLAN:

  • Natywna sieć VLAN — nie musisz dostarczać identyfikatorów sieci VLAN. Jest to wymagane w przypadku instalacji opartych na rozwiązaniach.

  • Oznakowana sieć VLAN — identyfikatory sieci VLAN są dostarczane w momencie wdrażania.

Sieć zarządzania obsługuje cały ruch używany do zarządzania klastrem, w tym pulpitu zdalnego, Centrum administracyjnego systemu Windows i usługi Active Directory.

Aby uzyskać więcej informacji, zobacz Planowanie infrastruktury SDN: zarządzanie i dostawca HNV.

Obliczeniowe sieci VLAN

W niektórych scenariuszach nie trzeba używać sieci wirtualnych SDN z hermetyzacją wirtualnej sieci LAN (VXLAN). Zamiast tego można używać tradycyjnych sieci VLAN do izolowania obciążeń dzierżawy. Te sieci VLAN są konfigurowane na porcie przełącznika TOR w trybie magistrali. Podczas łączenia nowych maszyn wirtualnych z tymi sieciami VLAN odpowiedni tag sieci VLAN jest definiowany na wirtualnej karcie sieciowej.

Sieć adresu dostawcy HNV (PA)

Sieć adresów dostawcy wirtualizacji sieci funkcji Hyper-V (PA) służy jako podstawowa sieć fizyczna dla ruchu dzierżawy East/West (internal-internal), ruchu dzierżawy North/South (zewnętrznie-wewnętrzny) oraz wymiany informacji dotyczących komunikacji równorzędnej BGP z siecią fizyczną. Ta sieć jest wymagana tylko wtedy, gdy konieczne jest wdrożenie sieci wirtualnych przy użyciu hermetyzacji sieci VXLAN dla innej warstwy izolacji i wielodostępności sieci.

Aby uzyskać więcej informacji, zobacz Planowanie infrastruktury SDN: zarządzanie i dostawca HNV.

Opcje izolacji sieciowej

Obsługiwane są następujące opcje izolacji sieciowej:

Sieci VLAN (IEEE 802.1Q)

Sieci VLAN umożliwiają urządzeniom, które muszą być oddzielone, aby współużytkować okablowanie sieci fizycznej, a jednak nie mogą bezpośrednio wchodzić ze sobą w interakcje. To udostępnianie zarządzane daje zyski w prostocie, bezpieczeństwie, zarządzaniu ruchem i gospodarce. Na przykład sieć VLAN może służyć do oddzielania ruchu w firmie na podstawie poszczególnych użytkowników lub grup użytkowników lub ich ról lub na podstawie właściwości ruchu. Wiele usług hostingowych w Internecie używa sieci VLAN do oddzielania stref prywatnych od siebie, umożliwiając grupowanie serwerów każdego klienta w jednym segmencie sieci, niezależnie od tego, gdzie poszczególne serwery znajdują się w centrum danych. Niektóre środki ostrożności są potrzebne, aby zapobiec "ucieczki" ruchu z danej sieci VLAN, luki znanej jako przeskok sieci VLAN.

Aby uzyskać więcej informacji, zobacz Omówienie użycia sieci wirtualnych i sieci VLAN.

Domyślne zasady dostępu do sieci i mikrosegmentacja

Domyślne zasady dostępu do sieci zapewniają, że wszystkie maszyny wirtualne w klastrze azure Stack HCI są domyślnie zabezpieczone przed zagrożeniami zewnętrznymi. Dzięki tym zasadom domyślnie zablokujemy dostęp przychodzący do maszyny wirtualnej, zapewniając jednocześnie opcję włączania selektywnych portów przychodzących, a tym samym zabezpieczania maszyn wirtualnych przed atakami zewnętrznymi. To wymuszanie jest dostępne za pośrednictwem narzędzi do zarządzania, takich jak Windows Admin Center.

Mikrosegmentacja obejmuje tworzenie szczegółowych zasad sieciowych między aplikacjami i usługami. Zasadniczo zmniejsza to obwód zabezpieczeń do ogrodzenia wokół każdej aplikacji lub maszyny wirtualnej. To ogrodzenie umożliwia tylko niezbędną komunikację między warstwami aplikacji lub innymi granicami logicznymi, co sprawia, że niezwykle trudne dla cyberataków rozprzestrzenianie się poprzecznie z jednego systemu do innego. Mikrosegmentacja bezpiecznie izoluje sieci od siebie i zmniejsza całkowitą powierzchnię ataków zdarzeń zabezpieczeń sieci.

Domyślne zasady dostępu do sieci i mikrosegmentacja są realizowane jako pięć stanowych krotki (prefiks adresu źródłowego, port źródłowy, prefiks adresu docelowego, port docelowy i protokół) reguł zapory w klastrach usługi Azure Stack HCI. Reguły zapory są również nazywane sieciowymi grupami zabezpieczeń. Te zasady są wymuszane na porcie przełącznika wirtualnego każdej maszyny wirtualnej. Zasady są wypychane przez warstwę zarządzania, a kontroler sieci SDN dystrybuuje je do wszystkich odpowiednich hostów. Te zasady są dostępne dla maszyn wirtualnych w tradycyjnych sieciach sieci VLAN i w sieciach nakładek SDN.

Aby uzyskać więcej informacji, zobacz Co to jest zapora centrum danych?.  

QoS dla kart sieciowych maszyn wirtualnych

Możesz skonfigurować jakość usług (QoS) dla karty sieciowej maszyny wirtualnej, aby ograniczyć przepustowość interfejsu wirtualnego, aby uniemożliwić maszynie wirtualnej o dużym natężeniu ruchu z innymi ruchem sieciowym maszyn wirtualnych. Możesz również skonfigurować funkcję QoS, aby zarezerwować określoną przepustowość dla maszyny wirtualnej, aby upewnić się, że maszyna wirtualna może wysyłać ruch niezależnie od innego ruchu w sieci. Można to zastosować do maszyn wirtualnych dołączonych do tradycyjnych sieci VLAN, a także maszyn wirtualnych dołączonych do sieci nakładek SDN.

Aby uzyskać więcej informacji, zobacz Konfigurowanie funkcji QoS dla karty sieciowej maszyny wirtualnej.

Sieci wirtualne

Wirtualizacja sieci udostępnia sieci wirtualne maszynom wirtualnym podobne do sposobu, w jaki wirtualizacja serwera (hypervisor) udostępnia maszyny wirtualne do systemu operacyjnego. Wirtualizacja sieci rozdziela sieci wirtualne z infrastruktury sieci fizycznej i usuwa ograniczenia przypisania sieci VLAN i hierarchicznego adresu IP z aprowizacji maszyny wirtualnej. Taka elastyczność ułatwia przejście do chmur IaaS infrastruktury jako usługi i jest wydajne dla hostów i administratorów centrów danych w celu zarządzania infrastrukturą oraz utrzymania niezbędnej izolacji wielodostępnej, wymagań dotyczących zabezpieczeń i nakładających się adresów IP maszyn wirtualnych.

Aby uzyskać więcej informacji, zobacz Wirtualizacja sieci funkcji Hyper-V.

Opcje usług sieciowych L3

Dostępne są następujące opcje usługi sieci L3:

Komunikacja równorzędna sieci wirtualnej

Komunikacja równorzędna sieci wirtualnych umożliwia bezproblemowe łączenie dwóch sieci wirtualnych. Po połączeniu równorzędnym sieci wirtualne są wyświetlane jako jedno. Korzystanie z wirtualnych sieci równorzędnych zapewnia m.in. następujące korzyści:

  • Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych jest kierowany tylko przez infrastrukturę szkieletową za pośrednictwem prywatnych adresów IP. Komunikacja między sieciami wirtualnymi nie wymaga publicznego Internetu ani bram.
  • Połączenie o małych opóźnieniach i dużej przepustowości między zasobami w różnych sieciach wirtualnych.
  • Możliwość komunikacji zasobów w jednej sieci wirtualnej z zasobami w innej sieci wirtualnej.
  • Brak przestoju dla zasobów w żadnej sieci wirtualnej podczas tworzenia komunikacji równorzędnej.

Aby uzyskać więcej informacji, zobacz Komunikacja równorzędna sieci wirtualnych.

Programowy moduł równoważenia obciążenia sieci SDN

Dostawcy usług w chmurze (CSP) i przedsiębiorstwa wdrażające programową sieć zdefiniowaną przez oprogramowanie (SDN) mogą używać programowego modułu równoważenia obciążenia (SLB), aby równomiernie dystrybuować ruch sieciowy klientów między zasobami sieci wirtualnej. SLB umożliwia wielu serwerom hostowanie tego samego obciążenia, zapewniając wysoką dostępność i skalowalność. Służy również do udostępniania przychodzących usług translatora adresów sieciowych (NAT) na potrzeby dostępu przychodzącego do maszyn wirtualnych i wychodzących usług NAT na potrzeby łączności wychodzącej.

Za pomocą usługi SLB można skalować w poziomie możliwości równoważenia obciążenia przy użyciu maszyn wirtualnych SLB na tych samych serwerach obliczeniowych funkcji Hyper-V, które są używane dla innych obciążeń maszyn wirtualnych. SLB obsługuje szybkie tworzenie i usuwanie punktów końcowych równoważenia obciążenia zgodnie z wymaganiami dotyczącymi operacji CSP. Ponadto SLB obsługuje dziesiątki gigabajtów na klaster, zapewnia prosty model aprowizacji i jest łatwy do skalowania w poziomie i w poziomie. SLB używa protokołu Border Gateway Protocol do anonsowania wirtualnych adresów IP do sieci fizycznej.

Aby uzyskać więcej informacji, zobacz Co to jest SLB dla sieci SDN?

Bramy sieci VPN sieci SDN

Brama SDN to oparty na oprogramowaniu router obsługujący protokół BGP (Border Gateway Protocol) przeznaczony dla dostawców usług w chmurze i przedsiębiorstw, które hostują wielodostępne sieci wirtualne przy użyciu wirtualizacji sieci funkcji Hyper-V (HNV). Brama RAS umożliwia kierowanie ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną.

Brama SDN może służyć do:

  • Utwórz bezpieczne połączenia IPsec typu lokacja-lokacja między sieciami wirtualnymi SDN i zewnętrznymi sieciami klientów za pośrednictwem Internetu.

  • Utwórz połączenia protokołu GRE (Generic Routing Encapsulation) między sieciami wirtualnymi SDN i sieciami zewnętrznymi. Różnica między połączeniami typu lokacja-lokacja i połączeniami GRE polega na tym, że ten ostatni nie jest szyfrowanym połączeniem.

    Aby uzyskać więcej informacji na temat scenariuszy łączności GRE, zobacz GRE Tunneling in Windows Server (Tunelowanie GRE w systemie Windows Server).

  • Utwórz połączenia warstwy 3 (L3) między sieciami wirtualnymi SDN i sieciami zewnętrznymi. W takim przypadku brama SDN działa po prostu jako router między siecią wirtualną a siecią zewnętrzną.

Brama SDN wymaga kontrolera sieci SDN. Kontroler sieci wykonuje wdrażanie pul bramy, konfiguruje połączenia dzierżawy w każdej bramie i przełącza ruch sieciowy do bramy rezerwowej, jeśli brama ulegnie awarii.

Bramy używają protokołu Border Gateway Protocol do anonsowania punktów końcowych GRE i ustanawiania połączeń punkt-punkt. Wdrożenie sieci SDN tworzy domyślną pulę bramy, która obsługuje wszystkie typy połączeń. W tej puli można określić, ile bram jest zarezerwowanych w stanie wstrzymania w przypadku awarii aktywnej bramy.

Aby uzyskać więcej informacji, zobacz Co to jest brama RAS dla sieci SDN?

Następne kroki

Dowiedz się więcej o dwuwęźle przełączonym wzorcu sieciowym, który nie jest zbieżny.