Udostępnij za pośrednictwem

Przejrzyj wzorzec referencyjny wdrożenia sieci bez przełączników z dwoma węzłami oraz z dwoma przełącznikami dla usługi Azure Local

  • Artykuł

Dotyczy: Azure Local 2311.2 i nowsze

Z tego artykułu dowiesz się o konfiguracji sieci bezprzełącznikowej dwuwęzłowej pamięci masowej z dwoma przełącznikami TOR L3, której można użyć do wdrożenia lokalnego rozwiązania platformy Azure. Informacje przedstawione w tym artykule ułatwiają również określenie, czy ta konfiguracja jest odpowiednia dla potrzeb dotyczących planowania wdrożenia. Ten artykuł jest przeznaczony dla administratorów IT, którzy wdrażają platformę Azure Lokalnie i zarządzają nią w swoich centrach danych.

Aby uzyskać informacje na temat innych wzorców sieci, zobacz Wzorce wdrażania sieci lokalnej platformy Azure.

Scenariusze

Scenariusze dla tego wzorca sieci obejmują laboratoria, biura oddziałów i obiekty centrum danych.

Rozważ zaimplementowanie tego wzorca podczas wyszukiwania ekonomicznego rozwiązania, które ma odporność na uszkodzenia we wszystkich składnikach sieciowych. Istnieje możliwość skalowania wzorca w poziomie, ale wymaga przestojów systemu w celu reorganizacji łączności fizycznej i sieci przechowywania. Usługi SDN L3 są w pełni obsługiwane w tym wzorcu. Usługi routingu, takie jak protokół BGP, można skonfigurować bezpośrednio na przełącznikach TOR, jeśli obsługują one usługi L3. Funkcje zabezpieczeń sieci, takie jak mikrosegmentacja i QoS, nie wymagają dodatkowej konfiguracji dla urządzenia zapory, ponieważ są implementowane w warstwie wirtualnej karty sieciowej.

Składniki łączności fizycznej

Jak pokazano na poniższym diagramie, ten wzorzec ma następujące składniki sieci fizycznej:

  • W przypadku ruchu na północ/południe system wymaga dwóch przełączników TOR w konfiguracji MLAG.

  • Dwie połączone karty sieciowe, tworzące zespół, obsługują zarządzanie i ruch obliczeniowy oraz są podłączone do przełączników TOR. Każda karta sieciowa jest podłączona do innego przełącznika TOR.

  • Dwie karty sieciowe RDMA w pełnej siatkowej konfiguracji dla ruchu magazynowania East-West. Każdy węzeł w systemie ma nadmiarowe połączenie z innym węzłem w systemie.

  • Opcjonalnie, niektóre rozwiązania mogą używać bezgłowej konfiguracji bez karty BMC dla celów bezpieczeństwa.

Sieci Zarządzanie i obliczenia Przechowywanie BMC
Szybkość łącza Co najmniej 1 GB/s. Zaakceptowano 10 GBps Co najmniej 10 GB/s Sprawdź u producenta sprzętu
Typ interfejsu RJ45, SFP+ lub SFP28 SFP+ lub SFP28 RJ45
Porty i agregacja Dwa porty zespołowe Dwa porty autonomiczne Jeden port

Diagram przedstawiający układ łączności fizycznej bez przełącznika z dwoma węzłami.

Intencje usługi ATC sieci

W przypadku wzorców magazynowania bezprzełącznikowych z dwoma węzłami tworzone są dwie intencje ATC sieci. Pierwszy dla ruchu sieciowego zarządzania i przetwarzania, a drugi dla ruchu do magazynowania.

Diagram przedstawiający intencje sieci ATC bezprzełącznikowej z dwoma węzłami

Cel zarządzania i obliczeń

  • Typ intencji: zarządzanie i obliczenia
  • Tryb intencji: tryb klastra
  • Tworzenie zespołu: Tak. pNIC01 i pNIC02 Zespół
  • Domyślna sieć VLAN administracyjna: skonfigurowana sieć VLAN dla adapterów administracyjnych nie jest modyfikowana
  • VLAN-y PA i obliczeniowe VNIC: Sieć ATC jest przejrzysta dla VNIC PA i VLAN-ów lub obliczeniowych VNIC i VLAN-ów.

Przeznaczenie magazynowe

  • Typ intencji: Przechowywanie
  • Tryb docelowy: Tryb klastra
  • Tworzenie zespołu: pNIC03 i pNIC04 używają funkcji SMB Multichannel do zapewnienia odporności i agregacji przepustowości
  • Domyślne sieci VLAN:
    • 711 dla sieci magazynowej 1
    • 712 dla sieci magazynowej 2
  • Domyślne podsieci:
    • 10.71.1.0/24 dla sieci pamięci masowej 1
    • 10.71.2.0/24 dla sieci pamięci masowej 2

Aby uzyskać więcej informacji, zobacz Wdrażanie sieci hostów.

Wykonaj następujące kroki, aby utworzyć intencje sieciowe dla tego wzorca referencyjnego:

  1. Uruchom program PowerShell jako administrator.

  2. Uruchom następujące polecenie:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

Składniki łączności logicznej

Jak pokazano na poniższym diagramie, ten wzorzec ma następujące składniki sieci logicznej:

Diagram przedstawiający układ łączności fizycznej bez przełącznika z jednym węzłem.

VLANy sieci przechowywania

Ruch oparty na intencji przechowywania składa się z dwóch odrębnych sieci obsługujących ruch RDMA. Każdy interfejs jest przeznaczony dla oddzielnej sieci pamięci masowej i oba mogą współużytkować ten sam tag sieci VLAN. Ten ruch jest przeznaczony tylko do podróży między dwoma węzłami. Ruch danych magazynowania to sieć prywatna bez połączenia z innymi zasobami.

Adaptery pamięci masowej działają w różnych podsieciach IP. Aby włączyć konfigurację bez przełącznika, każdy połączony węzeł musi posiadać zgodną podsieć z sąsiadem. Każda sieć magazynowa domyślnie używa wstępnie zdefiniowanych sieci VLAN sieci ATC (711 i 712). Te sieci VLAN można dostosować w razie potrzeby. Ponadto, jeśli domyślna podsieć zdefiniowana przez usługę ATC nie jest użyteczna, odpowiadasz za przypisanie wszystkich adresów IP pamięci masowej w systemie.

Aby uzyskać więcej informacji, zobacz Omówienie usługi Network ATC.

Sieć OOB

Sieć Out of Band (OOB) jest przeznaczona do obsługi "lights-out" interfejsu zarządzania serwerem, znanego również jako kontroler zarządzania płytą główną (BMC). Każdy interfejs BMC łączy się z przełącznikiem dostarczonym przez klienta. Kontroler BMC służy do automatyzowania scenariuszy rozruchu środowiska PXE.

Sieć zarządzania wymaga dostępu do interfejsu BMC przy użyciu portu 623 protokołu UDP (Intelligent Platform Management Interface).

Sieć OOB jest odizolowana od obciążeń obliczeniowych i jest opcjonalna w przypadku wdrożeń nienależących do rozwiązań.

Sieć VLAN zarządzania

Wszystkie hosty obliczeniowe fizyczne wymagają dostępu do sieci logicznej zarządzania. W przypadku planowania adresów IP każdy fizyczny host obliczeniowy musi mieć co najmniej jeden adres IP przypisany z sieci logicznej zarządzania.

Serwer DHCP może automatycznie przypisywać adresy IP dla sieci zarządzania lub ręcznie przypisywać statyczne adresy IP. Jeśli protokół DHCP jest preferowaną metodą przypisywania adresów IP, zalecamy używanie rezerwacji DHCP bez wygaśnięcia.

Sieć zarządzania obsługuje następujące konfiguracje sieci VLAN:

  • Natywna sieć VLAN — nie musisz dostarczać identyfikatorów sieci VLAN. Jest to wymagane w przypadku instalacji opartych na rozwiązaniach.

  • Oznakowana sieć VLAN – podajesz identyfikatory sieci VLAN w momencie wdrażania.

Sieć zarządzania obsługuje cały ruch używany do zarządzania klastrem, w tym pulpitu zdalnego, Centrum administracyjnego systemu Windows i usługi Active Directory.

Aby uzyskać więcej informacji, zobacz Planowanie infrastruktury SDN: Zarządzanie i dostawca HNV.

Obliczanie sieci VLAN

W niektórych scenariuszach nie trzeba używać wirtualnych sieci SDN z enkapsulacją wirtualnej sieci LAN (VXLAN). Zamiast tego można używać tradycyjnych sieci VLAN do izolowania obciążeń dzierżawy. Te sieci VLAN są konfigurowane na porcie przełącznika TOR w trybie magistrali. Podczas łączenia nowych maszyn wirtualnych z tymi VLAN-ami odpowiedni tag VLAN jest definiowany na wirtualnej karcie sieciowej.

Sieć adresów dostawców HNV (PA)

Sieć adresów Providera HNV (Hyper-V Network Virtualization) działa jako podstawowa sieć fizyczna dla ruchu najemców typu East/West (wewnętrzny-wewnętrzny), North/South (zewnętrzny-wewnętrzny) oraz dla wymiany informacji o komunikacji równorzędnej BGP z siecią fizyczną. Ta sieć jest wymagana tylko wtedy, gdy konieczne jest wdrożenie sieci wirtualnych przy użyciu hermetyzacji sieci VXLAN dla innej warstwy izolacji i wielodostępności sieci.

Aby uzyskać więcej informacji, zobacz Planowanie infrastruktury SDN: Zarządzanie i Dostawca HNV.

Opcje izolacji sieciowej

Obsługiwane są następujące opcje izolacji sieciowej:

Sieci VLAN-y (IEEE 802.1Q)

Sieci VLAN umożliwiają urządzeniom, które muszą być oddzielone, aby współużytkować okablowanie sieci fizycznej, a jednak nie mogą bezpośrednio wchodzić ze sobą w interakcje. To udostępnianie zarządzane daje zyski w prostocie, bezpieczeństwie, zarządzaniu ruchem i gospodarce. Na przykład sieć VLAN może służyć do oddzielania ruchu w firmie na podstawie poszczególnych użytkowników lub grup użytkowników lub ich ról lub na podstawie właściwości ruchu. Wiele usług hostingowych w Internecie używa sieci VLAN do oddzielania stref prywatnych od siebie, umożliwiając grupowanie serwerów każdego klienta w jednym segmencie sieci, niezależnie od tego, gdzie poszczególne serwery znajdują się w centrum danych. Niektóre środki ostrożności są potrzebne, aby zapobiec "ucieczki" ruchu z danej sieci VLAN, luki znanej jako przeskok sieci VLAN.

Aby uzyskać więcej informacji, zobacz Omówienie użycia sieci wirtualnych i sieci VLAN.

Domyślne zasady dostępu do sieci i mikrosegmentacja

Domyślne zasady dostępu do sieci zapewniają, że wszystkie maszyny wirtualne w klastrze azure Stack HCI są domyślnie zabezpieczone przed zagrożeniami zewnętrznymi. Dzięki tym zasadom domyślnie zablokujemy dostęp przychodzący do maszyny wirtualnej, zapewniając jednocześnie opcję włączania selektywnych portów przychodzących, a tym samym zabezpieczania maszyn wirtualnych przed atakami zewnętrznymi. To wymuszanie jest dostępne za pośrednictwem narzędzi do zarządzania, takich jak Windows Admin Center.

Mikrosegmentacja obejmuje tworzenie szczegółowych zasad sieciowych między aplikacjami i usługami. Zasadniczo zmniejsza to obwód zabezpieczeń do ogrodzenia wokół każdej aplikacji lub maszyny wirtualnej. To ogrodzenie umożliwia tylko niezbędną komunikację między warstwami aplikacji lub innymi granicami logicznymi, co sprawia, że niezwykle trudne dla cyberataków rozprzestrzenianie się poprzecznie z jednego systemu do innego. Mikrosegmentacja bezpiecznie izoluje sieci od siebie i zmniejsza całkowitą powierzchnię narażenia w przypadku incydentu bezpieczeństwa sieci.

Domyślne zasady dostępu do sieci i mikrosegmentacja są realizowane jako pięciopolowe stanowe zasady zapory (prefiks adresu źródłowego, port źródłowy, prefiks adresu docelowego, port docelowy i protokół) w klastrach usługi Azure Stack HCI. Reguły zapory sieciowej są również nazywane grupami zabezpieczeń sieciowych (NSG). Te zasady są egzekwowane na porcie vSwitch każdej maszyny wirtualnej. Zasady są przekazywane poprzez warstwę zarządzania, a kontroler sieci SDN dystrybuuje je do wszystkich docelowych hostów. Te zasady są dostępne dla maszyn wirtualnych w tradycyjnych sieciach sieci VLAN i w sieciach nakładek SDN.

Aby uzyskać więcej informacji, zobacz Co to jest zapora centrum danych?.  

QoS dla adapterów sieci maszyn wirtualnych

Możesz skonfigurować jakość usług (QoS) dla karty sieciowej maszyny wirtualnej, aby ograniczyć przepustowość interfejsu wirtualnego i zapobiec sytuacji, w której maszyna wirtualna o dużym natężeniu ruchu zakłóca ruch sieciowy innych maszyn wirtualnych. Możesz również skonfigurować funkcję QoS, aby zarezerwować określoną przepustowość dla maszyny wirtualnej, aby upewnić się, że maszyna wirtualna może wysyłać ruch niezależnie od innego ruchu w sieci. Można to zastosować do maszyn wirtualnych dołączonych do tradycyjnych sieci VLAN, a także maszyn wirtualnych dołączonych do sieci nakładek SDN.

Aby uzyskać więcej informacji, zobacz Skonfiguruj QoS dla adaptera sieciowego maszyny wirtualnej.

Sieci wirtualne

Wirtualizacja sieci udostępnia sieci wirtualne maszynom wirtualnym podobne do sposobu, w jaki wirtualizacja serwera (hypervisor) udostępnia maszyny wirtualne do systemu operacyjnego. Wirtualizacja sieci rozdziela sieci wirtualne z infrastruktury sieci fizycznej i usuwa ograniczenia przypisania sieci VLAN i hierarchicznego adresu IP z aprowizacji maszyny wirtualnej. Taka elastyczność ułatwia przejście do chmur 'infrastruktura jako usługa' (IaaS) i jest efektywne dla dostawców usług i administratorów centrów danych do zarządzania infrastrukturą, utrzymując niezbędną izolację wielodostępową, wymagania dotyczące zabezpieczeń i nakładające się adresy IP maszyn wirtualnych.

Aby uzyskać więcej informacji, zobacz Wirtualizację sieci Hyper-V.

Opcje usług sieciowych L3

Dostępne są następujące opcje usługi sieci L3:

Peerowanie sieci wirtualnej

Peering sieci wirtualnych umożliwia bezproblemowe łączenie dwóch sieci wirtualnych. Po połączeniu w celu zapewnienia łączności, sieci wirtualne wyglądają na połączone w jedną. Korzyści z użycia wirtualnego łączenia sieci obejmują m.in.:

  • Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych jest kierowany tylko przez infrastrukturę szkieletową za pośrednictwem prywatnych adresów IP. Komunikacja między sieciami wirtualnymi nie wymaga publicznego Internetu ani bram.
  • Połączenie o małych opóźnieniach i dużej przepustowości między zasobami w różnych sieciach wirtualnych.
  • Możliwość komunikacji zasobów w jednej sieci wirtualnej z zasobami w innej sieci wirtualnej.
  • Brak przestoju dla zasobów w żadnej z sieci wirtualnych podczas tworzenia połączenia równorzędnego.

Więcej informacji znajdziesz w Peering sieci wirtualnych.

Programowy moduł równoważenia obciążenia sieci SDN

Dostawcy usług w chmurze (CSP) i przedsiębiorstwa wdrażające programową sieć zdefiniowaną przez oprogramowanie (SDN) mogą używać programowego modułu równoważenia obciążenia (SLB), aby równomiernie dystrybuować ruch sieciowy klientów między zasobami sieci wirtualnej. SLB umożliwia wielu serwerom hostowanie tego samego obciążenia, zapewniając wysoką dostępność i skalowalność. Służy również do udostępniania przychodzących usług translatora adresów sieciowych (NAT) na potrzeby dostępu przychodzącego do maszyn wirtualnych i wychodzących usług NAT na potrzeby łączności wychodzącej.

Za pomocą usługi SLB można zwiększać możliwości równoważenia obciążenia, korzystając z maszyn wirtualnych SLB na tych samych serwerach obliczeniowych Hyper-V, które są używane dla innych obciążeń maszyn wirtualnych. SLB obsługuje szybkie tworzenie i usuwanie punktów końcowych równoważenia obciążenia zgodnie z wymaganiami dotyczącymi operacji CSP. Ponadto SLB obsługuje dziesiątki gigabajtów na klaster, zapewnia prosty model wdrażania i jest łatwy do skalowania w górę i w dół. SLB używa protokołu Border Gateway Protocol do anonsowania wirtualnych adresów IP do sieci fizycznej.

Aby uzyskać więcej informacji, zobacz Co to jest SLB dla sieci SDN?

Bramy VPN sieci SDN

Brama SDN to oparty na oprogramowaniu router obsługujący protokół BGP (Border Gateway Protocol), przeznaczony dla dostawców usług i przedsiębiorstw, które hostują wielodostępne sieci wirtualne przy użyciu wirtualizacji sieci Hyper-V (HNV). Brama RAS umożliwia kierowanie ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną.

Brama SDN może służyć do:

  • Utwórz bezpieczne połączenia IPsec typu lokacja-lokacja między sieciami wirtualnymi SDN i zewnętrznymi sieciami klientów za pośrednictwem Internetu.

  • Utwórz połączenia protokołu GRE (Generic Routing Encapsulation) między sieciami wirtualnymi SDN i sieciami zewnętrznymi. Różnica między połączeniami typu lokacja-lokacja i połączeniami GRE polega na tym, że ten ostatni nie jest szyfrowanym połączeniem.

    Aby uzyskać więcej informacji na temat scenariuszy łączności GRE, zobacz GRE Tunneling in Windows Server (Tunelowanie GRE w systemie Windows Server).

  • Utwórz połączenia warstwy 3 (L3) między sieciami wirtualnymi SDN i sieciami zewnętrznymi. W takim przypadku brama SDN działa po prostu jako router między siecią wirtualną a siecią zewnętrzną.

Brama SDN wymaga kontrolera sieci SDN. Kontroler sieci przeprowadza wdrażanie grup bram, konfiguruje połączenia najemców dla każdej bramy i przełącza przepływy ruchu sieciowego na bramę zapasową, jeśli któraś z bram ulegnie awarii.

Bramy używają protokołu Border Gateway Protocol do anonsowania punktów końcowych GRE i ustanawiania połączeń punkt-punkt. Wdrożenie SDN tworzy pulę domyślnej bramy, która obsługuje wszystkie typy połączeń. W tej puli można określić, ile bram jest zarezerwowanych na wypadek, gdyby aktywna brama uległa awarii.

Aby uzyskać więcej informacji, zobacz Co to jest brama RAS dla sieci SDN?

Następne kroki

Dowiedz się więcej na temat dwuwęzłowego, bezprzełącznikowego wzorca sieciowego z jednym przełącznikiem.