Udostępnij za pośrednictwem

Zapoznaj się z wzorcem referencyjnym sieci wdrażania z dwoma węzłami dla usługi Azure Local

  • Artykuł

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule dowiesz się o wzorcu referencyjnym sieci, w której magazyn danych o dwóch węzłach jest przełączany i w pełni zbieżny z dwoma przełącznikami TOR, co można wykorzystać do wdrożenia lokalnego rozwiązania instancji Azure. Informacje przedstawione w tym artykule ułatwią również określenie, czy ta konfiguracja jest odpowiednia dla potrzeb dotyczących planowania wdrożenia. Ten artykuł jest przeznaczony dla administratorów IT, którzy wdrażają lokalne wystąpienia Azure i zarządzają nimi w swoich centrach danych.

Aby uzyskać informacje na temat innych wzorców sieci, zobacz Wzorce wdrażania sieci lokalnej platformy Azure.

Scenariusze

Scenariusze dla tego wzorca sieci obejmują laboratoria, biura oddziałów i obiekty centrum danych.

Rozważ ten schemat, jeśli planujesz dodać dodatkowe węzły i twoje wymagania dotyczące przepustowości dla ruchu danych z północy na południe nie wymagają dedykowanych adapterów sieciowych. To rozwiązanie może być dobrym rozwiązaniem, gdy porty przełącznika fizycznego są ograniczone i szukasz redukcji kosztów dla rozwiązania. Ten wzorzec wymaga dodatkowych kosztów operacyjnych w celu dostosowania zasad QoS udostępnionych kart sieciowych hostów w celu ochrony ruchu magazynu przed obciążeniem i ruchem zarządzania. Usługi SDN L3 są w pełni obsługiwane w tym wzorcu.

Usługi routingu, takie jak protokół BGP, można skonfigurować bezpośrednio na przełącznikach TOR, jeśli obsługują one usługi L3. Funkcje zabezpieczeń sieci, takie jak mikrosegmentacja i QoS, nie wymagają dodatkowej konfiguracji na urządzeniu zapory, ponieważ są one implementowane w warstwie wirtualnej karty sieciowej.

Składniki łączności fizycznej

Jak opisano na poniższym diagramie, ten wzorzec ma następujące składniki sieci fizycznej:

  • W przypadku ruchu na północ/południe system w tym wzorcu jest implementowany z dwoma przełącznikami TOR w konfiguracji MLAG.

  • Dwie połączone karty sieciowe obsługują ruch zarządzania, obliczeń i magazynowania RDMA podłączony do przełączników TOR. Każda karta sieciowa jest podłączona do innego przełącznika TOR. Funkcja SMB multichannel umożliwia łączenie ścieżek i odporność na awarie.

  • W ramach tej opcji wdrożenia mogą obejmować kartę BMC, aby umożliwić zdalne zarządzanie środowiskiem. Dla celów bezpieczeństwa niektóre rozwiązania mogą korzystać z konfiguracji pozbawionej karty BMC.

Diagram przedstawiający układ łączności fizycznej bez przełącznika z dwoma węzłami.

Sieci Zarządzanie, obliczenia, magazyn BMC
Szybkość łącza O szybkości 10 Gb/s Sprawdź u producenta sprzętu
Typ interfejsu SFP+ lub SFP28 RJ45
Porty i agregacja Dwa porty zespołowe Jeden port

Intencje sieci ATC

Diagram przedstawiający intencje usługi ATC bez przełącznika z dwoma węzłami

Zamiar zarządzania, przetwarzania i przechowywania

  • Typ intencji: Zarządzanie, obliczenia i magazyn
  • Tryb intencji: tryb klastra
  • Tworzenie zespołu: Tak. PNIC01 i pNIC02 są połączone w zespół
  • Domyślna sieć VLAN zarządzania: Skonfigurowana sieć VLAN dla adapterów zarządzania nie jest zmieniana.
  • Storage vNIC 1:
    • Sieć VLAN 711
    • Podsieć 10.71.1.0/24 dla sieci magazynowej 1
  • Storage vNIC 2:
    • VLAN 712
    • Podsieć 10.71.2.0/24 dla sieci przechowywania 2
  • Magazyn vNIC1 i magazyn vNIC2 używają funkcji SMB Multichannel do zapewnienia odporności i agregacji przepustowości
  • PA VLAN i vNIC: Network ATC jest przezroczysta dla PA vNIC i VLAN
  • Obliczenia VLAN-ów i wirtualnych kart sieciowych (vNIC): usługa Network ATC jest przezroczysta dla wirtualnych kart sieciowych i sieci VLAN maszyn wirtualnych.

Aby uzyskać więcej informacji, zobacz Wdrażanie sieci hostów.

Wykonaj następujące kroki, aby utworzyć intencje sieciowe dla tego wzorca referencyjnego:

  1. Uruchom program PowerShell jako administrator.

  2. Uruchom następujące polecenie:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -Storage -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>

Składniki łączności logicznej

Jak pokazano na poniższym diagramie, ten wzorzec ma następujące składniki sieci logicznej:

Diagram przedstawiający układ łączności fizycznej bez przełącznika z jednym węzłem.

Sieci VLAN sieci pamięci masowej

Ruch oparty na przeznaczeniu pamięci masowej w tym wzorcu współdzieli fizyczne karty sieciowe z zarządzaniem i przetwarzaniem.

Sieć magazynu działa w różnych podsieciach IP. Każda sieć pamięci domyślnie używa wstępnie zdefiniowanych VLANów ATC (711 i 712). Jednak te sieci VLAN można dostosować w razie potrzeby. Ponadto, jeśli domyślna podsieć zdefiniowana przez usługę ATC nie jest używana, to Ty jesteś odpowiedzialny za przypisanie wszystkich adresów IP magazynu w systemie.

Aby uzyskać więcej informacji, zobacz Omówienie usługi Network ATC.

Sieć OOB

Sieć poza pasmem (OOB) jest przeznaczona do obsługi interfejsu zarządzania serwerem bez obecności personelu, znanego także jako kontroler zarządzania płytą główną (BMC). Każdy interfejs BMC łączy się z przełącznikiem dostarczonym przez klienta. Kontroler BMC służy do automatyzowania scenariuszy rozruchu środowiska PXE.

Sieć zarządzania wymaga dostępu do interfejsu BMC przy użyciu portu 623 protokołu UDP (Intelligent Platform Management Interface).

Sieć OOB jest odizolowana od obciążeń obliczeniowych i jest opcjonalna w przypadku wdrożeń nienależących do rozwiązań.

Sieć VLAN zarządzania

Wszystkie hosty obliczeniowe fizyczne wymagają dostępu do sieci logicznej zarządzania. W przypadku planowania adresów IP każdy fizyczny host obliczeniowy musi mieć co najmniej jeden adres IP przypisany z sieci logicznej zarządzania.

Serwer DHCP może automatycznie przypisywać adresy IP dla sieci zarządzania lub ręcznie przypisywać statyczne adresy IP. Jeśli protokół DHCP jest preferowaną metodą przypisywania adresów IP, zalecamy używanie rezerwacji DHCP bez wygaśnięcia.

Sieć zarządzania obsługuje następujące konfiguracje sieci VLAN:

  • Natywna sieć VLAN — nie musisz dostarczać identyfikatorów sieci VLAN. Jest to wymagane w przypadku instalacji opartych na rozwiązaniach.

  • Oznakowana sieć VLAN — identyfikatory sieci VLAN podajesz w momencie wdrażania.

Sieć zarządzania obsługuje cały ruch używany do zarządzania klastrem, w tym pulpitu zdalnego, Centrum administracyjnego systemu Windows i usługi Active Directory.

Aby uzyskać więcej informacji, zobacz Planowanie infrastruktury SDN: Zarządzanie i Dostawca HNV.

Obliczeniowe sieci VLAN

W niektórych scenariuszach nie trzeba używać wirtualnych sieci SDN z enkapsulacją Virtual Extensible LAN (VXLAN). Zamiast tego można używać tradycyjnych sieci VLAN do izolowania obciążeń najemcy. Te sieci VLAN są konfigurowane na porcie przełącznika TOR w trybie magistrali. Podczas łączenia nowych maszyn wirtualnych z tymi VLAN-ami odpowiedni tag VLAN jest definiowany na karcie sieciowej do maszyn wirtualnych.

Sieć adresów dostawców HNV (PA)

Sieć adresów dostawcy (PA) wirtualizacji sieci Hyper-V stanowi podstawową sieć fizyczną dla ruchu dzierżawy wschód-zachód (wewnętrzny-wewnętrzny), ruchu dzierżawy północ-południe (zewnętrzny-wewnętrzny) oraz do wymiany informacji o komunikacji równorzędnej BGP z siecią fizyczną. Ta sieć jest wymagana tylko wtedy, gdy konieczne jest wdrożenie sieci wirtualnych przy użyciu hermetyzacji sieci VXLAN dla innej warstwy izolacji i wielodostępności sieci.

Aby uzyskać więcej informacji, zobacz Planowanie infrastruktury SDN: Zarządzanie i dostawca HNV.

Opcje izolacji sieciowej

Obsługiwane są następujące opcje izolacji sieciowej:

Sieci VLAN (IEEE 802.1Q)

Sieci VLAN umożliwiają urządzeniom, które muszą być oddzielone, aby współużytkować okablowanie sieci fizycznej, a jednak nie mogą bezpośrednio wchodzić ze sobą w interakcje. To udostępnianie zarządzane daje zyski w prostocie, bezpieczeństwie, zarządzaniu ruchem i gospodarce. Na przykład sieć VLAN może służyć do oddzielania ruchu w firmie na podstawie poszczególnych użytkowników lub grup użytkowników lub ich ról lub na podstawie właściwości ruchu. Wiele usług hostingowych w Internecie używa sieci VLAN do oddzielania stref prywatnych od siebie, umożliwiając grupowanie serwerów każdego klienta w jednym segmencie sieci, niezależnie od tego, gdzie poszczególne serwery znajdują się w centrum danych. Niektóre środki ostrożności są potrzebne, aby zapobiec "ucieczki" ruchu z danej sieci VLAN, luki znanej jako przeskok sieci VLAN.

Aby uzyskać więcej informacji, zobacz Omówienie użycia sieci wirtualnych i sieci VLAN.

Domyślne zasady dostępu do sieci i mikrosegmentacja

Domyślne zasady dostępu do sieci zapewniają, że wszystkie maszyny wirtualne w klastrze azure Stack HCI są domyślnie zabezpieczone przed zagrożeniami zewnętrznymi. Dzięki tym zasadom domyślnie zablokujemy dostęp przychodzący do maszyny wirtualnej, zapewniając jednocześnie opcję włączania selektywnych portów przychodzących, a tym samym zabezpieczania maszyn wirtualnych przed atakami zewnętrznymi. To wymuszanie jest dostępne za pośrednictwem narzędzi do zarządzania, takich jak Windows Admin Center.

Mikrosegmentacja obejmuje tworzenie szczegółowych zasad sieciowych między aplikacjami i usługami. Zasadniczo zmniejsza to obwód zabezpieczeń do ogrodzenia wokół każdej aplikacji lub maszyny wirtualnej. To ogrodzenie umożliwia tylko niezbędną komunikację między warstwami aplikacji lub innymi granicami logicznymi, co sprawia, że niezwykle trudne dla cyberataków rozprzestrzenianie się poprzecznie z jednego systemu do innego. Mikrosegmentacja bezpiecznie izoluje sieci, zmniejszając całkowitą powierzchnię podatności na ataki podczas incydentów bezpieczeństwa sieciowego.

Domyślne zasady dostępu do sieci i mikrosegmentacja są realizowane jako reguły zapory ogniowej pięciotupletowego stanu (prefiks adresu źródłowego, port źródłowy, prefiks adresu docelowego, port docelowy i protokół) w klastrach Azure Stack HCI. Reguły zapory są również nazywane sieciowymi grupami zabezpieczeń (NSGs). Te zasady są wymuszane na porcie vSwitch każdej maszyny wirtualnej. Zasady są przekazywane przez warstwę zarządzania, a kontroler SDN dystrybuuje je do wszystkich odpowiednich hostów. Te zasady są dostępne dla maszyn wirtualnych w tradycyjnych sieciach sieci VLAN i w sieciach nakładek SDN.

Aby uzyskać więcej informacji, zobacz Co to jest zapora centrum danych?.  

QoS dla kart sieciowych maszyn wirtualnych

Możesz skonfigurować jakość usług (QoS) dla karty sieciowej maszyny wirtualnej, aby ograniczyć przepustowość na interfejsie wirtualnym i zapobiec sytuacji, w której maszyna wirtualna o dużym natężeniu ruchu konkuruje z ruchem sieciowym innych maszyn wirtualnych. Możesz również skonfigurować funkcję QoS, aby zarezerwować określoną przepustowość dla maszyny wirtualnej, aby upewnić się, że maszyna wirtualna może wysyłać ruch niezależnie od innego ruchu w sieci. Można to zastosować do maszyn wirtualnych dołączonych do tradycyjnych sieci VLAN, a także maszyn wirtualnych dołączonych do sieci nakładek SDN.

Aby uzyskać więcej informacji, zobacz Konfigurowanie QoS dla adaptera sieciowego maszyny wirtualnej.

Sieci wirtualne

Wirtualizacja sieci udostępnia sieci wirtualne maszynom wirtualnym podobne do sposobu, w jaki wirtualizacja serwera (hypervisor) udostępnia maszyny wirtualne do systemu operacyjnego. Wirtualizacja sieci oddziela sieci wirtualne od fizycznej infrastruktury sieciowej i usuwa ograniczenia w przypisaniu sieci VLAN oraz hierarchicznego adresu IP podczas aprowizacji maszyn wirtualnych. Taka elastyczność ułatwia przejście do chmur IaaS infrastruktury jako usługi i jest wydajne dla hostów i administratorów centrów danych w celu zarządzania infrastrukturą oraz utrzymania niezbędnej izolacji wielodostępnej, wymagań dotyczących zabezpieczeń i nakładających się adresów IP maszyn wirtualnych.

Aby uzyskać więcej informacji, zobacz Wirtualizacja sieciowa Hyper-V.

Opcje usług sieciowych L3

Dostępne są następujące opcje usługi sieci L3:

Peering sieci wirtualnej

Peering sieci wirtualnych umożliwia płynne łączenie dwóch sieci wirtualnych. Po połączeniu równorzędnym sieci wirtualne są wyświetlane jako jedno. Korzyści z peerowania wirtualnych sieci obejmują m.in.:

  • Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych jest kierowany tylko przez infrastrukturę szkieletową za pośrednictwem prywatnych adresów IP. Komunikacja między sieciami wirtualnymi nie wymaga publicznego Internetu ani bram.
  • Połączenie o małych opóźnieniach i dużej przepustowości między zasobami w różnych sieciach wirtualnych.
  • Możliwość komunikacji zasobów w jednej sieci wirtualnej z zasobami w innej sieci wirtualnej.
  • Brak przestoju dla zasobów w obu sieciach wirtualnych podczas tworzenia połączenia równorzędnego.

Aby uzyskać więcej informacji, zobacz Peering sieci wirtualnych.

Programowy moduł równoważenia obciążenia sieci SDN

Dostawcy usług w chmurze (CSP) i przedsiębiorstwa wdrażające programową sieć zdefiniowaną przez oprogramowanie (SDN) mogą używać programowego modułu równoważenia obciążenia (SLB), aby równomiernie dystrybuować ruch sieciowy klientów między zasobami sieci wirtualnej. SLB umożliwia wielu serwerom hostowanie tego samego obciążenia, zapewniając wysoką dostępność i skalowalność. Służy również do udostępniania przychodzących usług translatora adresów sieciowych (NAT) na potrzeby dostępu przychodzącego do maszyn wirtualnych i wychodzących usług NAT na potrzeby łączności wychodzącej.

Za pomocą usługi SLB można zwiększać skalę możliwości równoważenia obciążenia, wykorzystując maszyny wirtualne SLB na tych samych serwerach obliczeniowych z funkcją Hyper-V, które są używane dla innych obciążeń maszyn wirtualnych. SLB obsługuje szybkie tworzenie i usuwanie punktów końcowych równoważenia obciążenia zgodnie z wymaganiami dotyczącymi operacji CSP. Ponadto SLB obsługuje dziesiątki gigabajtów na klaster, oferuje prosty model wdrożenia i jest łatwy w skalowaniu w poziomie i w pionie. SLB używa protokołu Border Gateway Protocol do anonsowania wirtualnych adresów IP do sieci fizycznej.

Aby uzyskać więcej informacji, zobacz Co to jest SLB dla sieci SDN?

Bramy sieci VPN sieci SDN

Brama SDN to programowy router obsługujący protokół BGP (Border Gateway Protocol), przeznaczony dla dostawców usług w chmurze i przedsiębiorstw, które hostują sieci wirtualne z wieloma dzierżawcami, korzystając z wirtualizacji sieci Hyper-V (HNV). Brama RAS umożliwia kierowanie ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną.

Brama SDN może służyć do:

  • Utwórz bezpieczne połączenia IPsec typu lokacja-lokacja między sieciami wirtualnymi SDN i zewnętrznymi sieciami klientów za pośrednictwem Internetu.

  • Utwórz połączenia protokołu GRE (Generic Routing Encapsulation) między sieciami wirtualnymi SDN i sieciami zewnętrznymi. Różnica między połączeniami typu lokacja-lokacja i połączeniami GRE polega na tym, że ten ostatni nie jest szyfrowanym połączeniem.

    Aby uzyskać więcej informacji na temat scenariuszy łączności GRE, zobacz GRE Tunneling in Windows Server (Tunelowanie GRE w systemie Windows Server).

  • Utwórz połączenia warstwy 3 (L3) między sieciami wirtualnymi SDN i sieciami zewnętrznymi. W takim przypadku brama SDN działa po prostu jako router między siecią wirtualną a siecią zewnętrzną.

Brama SDN wymaga kontrolera sieci SDN. Kontroler sieciowy wykonuje wdrażanie pul bram, konfiguruje połączenia najemców na każdej bramie i przełącza ruch sieciowy do bramy rezerwowej w przypadku awarii bramy.

Bramy używają protokołu Border Gateway Protocol do ogłaszania punktów końcowych GRE i ustanawiania połączeń typu punkt-punkt. Wdrożenie SDN tworzy domyślną pulę bram sieciowych, które obsługują wszystkie typy połączeń. W tej puli można określić, ile bram jest zarezerwowanych w trybie gotowości w przypadku awarii aktywnej bramy.

Aby uzyskać więcej informacji, zobacz Co to jest brama RAS dla sieci SDN?

Następne kroki

Dowiedz się więcej o dwuwęzłowym wzorcu sieciowym z przełączanym magazynem, który jest niezbieżny.