Planejamento de integração de rede para o Azure Stack Hub
Este artigo fornece informações de infraestrutura de rede do Azure Stack Hub para ajudá-lo a decidir como integrar melhor o Azure Stack Hub em seu ambiente de rede existente.
Observação
Para resolver nomes DNS externos do Azure Stack Hub (por exemplo, www.bing.com), você deve fornecer servidores DNS para os quais encaminhar solicitações DNS. Para obter mais informações sobre os requisitos de DNS do Azure Stack Hub, consulte integração do centro de dados do Azure Stack Hub - DNS.
Projeto de rede física
A solução Azure Stack Hub requer uma infraestrutura física resiliente e altamente disponível para dar suporte à sua operação e serviços. Para integrar o Azure Stack Hub à rede, ele requer uplinks dos switches Top-of-Rack (ToR) para o switch ou roteador mais próximo, que neste artigo é conhecido como Border. Os TdR podem ser uplinked a uma única ou a um par de Bordas. O ToR é pré-configurado pela nossa ferramenta de automação. Ele espera um mínimo de uma conexão entre ToR e Border ao usar o Roteamento BGP e um mínimo de duas conexões (uma por ToR) entre ToR e Border ao usar Roteamento Estático, com um máximo de quatro conexões em qualquer opção de roteamento. Essas conexões são limitadas a mídia SFP+ ou SFP28 e uma velocidade mínima de um GB. Consulte o fornecedor de hardware do fabricante original (OEM) para verificar a disponibilidade. O diagrama a seguir apresenta o design recomendado:
Alocação de largura de banda
O Azure Stack Hub foi criado usando as tecnologias Windows Server 2019 Failover Cluster e Spaces Direct. Para garantir que as comunicações de armazenamento do Spaces Direct possam atender ao desempenho e à escala exigidos da solução, uma parte da configuração de rede física do Azure Stack Hub é configurada para usar a separação de tráfego e as garantias de largura de banda. A configuração de rede usa classes de tráfego para separar as comunicações baseadas em RDMA do Spaces Direct da utilização da rede pela infraestrutura e/ou locatário do Azure Stack Hub. Para alinhar-se às práticas recomendadas atuais definidas para o Windows Server 2019, o Azure Stack Hub está a mudar para a utilização de uma classe ou prioridade de tráfego adicional para separar ainda mais a comunicação entre servidores para suportar a comunicação de controlo da Clusterização de Failover. Esta nova definição de classe de tráfego está configurada para reservar 2% da largura de banda física disponível. Essa classe de tráfego e configuração de reserva de largura de banda é realizada por uma alteração nos switches top-of-rack (ToR) da solução Azure Stack Hub e no host ou servidores do Azure Stack Hub. Observe que as alterações não são necessárias nos dispositivos de rede de bordo do cliente. Essas alterações fornecem melhor resiliência para a comunicação do Cluster de Failover e destinam-se a evitar situações em que a largura de banda da rede é totalmente consumida e, como resultado, as mensagens de controle do Cluster de Failover são interrompidas. Observe que a comunicação do Cluster de Failover é um componente crítico da infraestrutura do Azure Stack Hub e, se interrompida por longos períodos, pode levar à instabilidade nos serviços de armazenamento do Spaces Direct ou em outros serviços que eventualmente afetarão a estabilidade da carga de trabalho do locatário ou do usuário final.
Redes lógicas
As redes lógicas representam uma abstração da infraestrutura de rede física subjacente. Eles são usados para organizar e simplificar atribuições de rede para hosts, máquinas virtuais (VMs) e serviços. Como parte da criação de rede lógica, os sites de rede são criados para definir as redes locais virtuais (VLANs), sub-redes IP e pares de sub-rede/VLAN IP associados à rede lógica em cada local físico.
A tabela a seguir mostra as redes lógicas e os intervalos de sub-redes IPv4 associados que você deve planejar:
| Rede lógica | Descrição | Tamanho |
|---|---|---|
| VIP Público | O Azure Stack Hub usa um total de 31 endereços dessa rede e o restante é usado por VMs locatárias. Dos 31 endereços, 8 endereços IP públicos são usados para um pequeno conjunto de serviços do Azure Stack Hub. Se você planeja usar o Serviço de Aplicativo e os provedores de recursos SQL, mais 7 endereços serão usados. Os 16 IPs restantes estão reservados para futuros serviços do Azure. | /26 (62 anfitriões) - /22 (1022 anfitriões) Recomendado = /24 (254 anfitriões) |
| Infraestrutura de comutação | Endereços IP ponto a ponto para fins de roteamento, interfaces de gerenciamento de switch dedicadas e endereços de loopback atribuídos ao switch. | /26 |
| Infraestruturas | Usado para a comunicação entre os componentes internos do Azure Stack Hub. | /24 |
| Privado | Usado para a rede de armazenamento, VIPs privados, contêineres de infraestrutura e outras funções internas. Para obter mais detalhes, consulte a seção rede privada neste artigo. | /20 |
| BMC | Usado para se comunicar com os BMCs nos hosts físicos. | /26 |
Observação
Um alerta no portal lembra o operador de executar o cmdlet PEP Set-AzsPrivateNetwork para adicionar um novo espaço IP privado /20. Para obter mais informações e orientações sobre como selecionar o espaço IP privado /20, consulte a seção da rede privada neste artigo.
Infraestrutura de rede
A infraestrutura de rede para o Azure Stack Hub consiste em várias redes lógicas configuradas nos switches. O diagrama a seguir mostra estas redes lógicas e como elas se integram com os switches top-of-rack (TOR), o controlador de gestão de placa-mãe (BMC), e os switches de fronteira (rede do cliente).
Rede BMC
Esta rede é dedicada a conectar todos os controladores de gerenciamento da placa base (também conhecidos como BMC ou processadores de serviço) à rede de gerenciamento. Exemplos incluem: iDRAC, iLO, iBMC e assim por diante. Apenas uma conta BMC é utilizada para comunicar-se com qualquer nó BMC. Se presente, o Hardware Lifecycle Host (HLH) está localizado nesta rede e pode fornecer software específico do OEM para manutenção ou monitoramento de hardware.
O HLH também hospeda a VM de implantação (DVM). O DVM é usado durante a implantação do Azure Stack Hub e é removido quando a implantação é concluída. O DVM requer acesso à Internet em cenários de implantação conectados para testar, validar e acessar vários componentes. Esses componentes podem estar dentro e fora da sua rede corporativa (por exemplo: NTP, DNS e Azure). Para obter mais informações sobre os requisitos de conectividade, consulte a seção NAT em Integração de firewall do Azure Stack Hub.
Rede privada
Esta rede /20 (4096 IPs) é privada para a região do Azure Stack Hub (não encaminha além dos dispositivos de comutação de borda do sistema Azure Stack Hub) e está dividida em várias sub-redes, aqui estão alguns exemplos:
- Rede de armazenamento: Uma rede /25 (128 IPs) utilizada para suportar o uso do tráfego de armazenamento do Spaces Direct e Server Message Block (SMB), bem como a migração em tempo real de VM.
- Rede IP virtual interna: Uma rede /25 dedicada a VIPs internos apenas para o balanceador de carga de software.
- Rede de contentores: Uma rede /23 (512 IPs) dedicada ao tráfego apenas interno entre contentores que executam serviços de infraestrutura.
O sistema Azure Stack Hub requer um espaço IP interno privado /20 adicional. Essa rede é privada para o sistema Azure Stack Hub (não roteia além dos dispositivos de switch de borda do sistema Azure Stack Hub) e pode ser reutilizada em vários sistemas Azure Stack Hub em seu datacenter. Embora a rede seja privada para o Azure Stack, ela não deve se sobrepor a outras redes no datacenter. O espaço IP privado /20 é dividido em várias redes que permitem executar a infraestrutura do Azure Stack Hub em contêineres. Além disso, esse novo espaço IP privado permite esforços contínuos para reduzir o espaço IP roteável necessário antes da implantação. O objetivo de executar a infraestrutura do Azure Stack Hub em contêineres é otimizar a utilização e melhorar o desempenho. Além disso, o espaço IP privado /20 também é usado para permitir esforços contínuos que reduzirão o espaço IP roteável necessário antes da implantação. Para obter orientação sobre o espaço IP privado, consulte RFC 1918.
Rede de infraestrutura do Azure Stack Hub
Esta rede /24 é dedicada aos componentes internos do Azure Stack Hub para que possam comunicar e trocar dados entre si. Essa sub-rede pode ser roteável externamente da solução Azure Stack Hub para seu datacenter. Não recomendamos o uso de endereços IP públicos ou roteáveis pela Internet nesta sub-rede. Esta rede é anunciada até à fronteira, mas a maioria dos seus IPs estão protegidos por Listas de Controlo de Acesso (ACLs). Os IPs permitidos para acesso estão dentro de um pequeno intervalo, equivalente em tamanho a uma rede /27, e hospedam serviços como o ponto de extremidade privilegiado (PEP) e o backup do Azure Stack Hub .
Rede VIP pública
A rede VIP pública é atribuída ao controlador de rede no Azure Stack. Não há uma rede lógica no switch. O SLB utiliza o conjunto de endereços e atribui redes /32 para cargas de trabalho de locatários. Na tabela de roteamento do switch, esses IPs /32 são anunciados como uma rota disponível via BGP. Esta rede contém os endereços IP públicos ou acessíveis externamente. A infraestrutura do Azure Stack Hub reserva os primeiros 31 endereços dessa rede VIP pública, enquanto o restante é usado por VMs locatárias. O tamanho da rede nesta sub-rede pode variar de um mínimo de /26 (64 hosts) a um máximo de /22 (1022 hosts). Recomendamos que você planeje uma rede /24.
Conectando-se a redes locais
O Azure Stack Hub usa redes virtuais para recursos do cliente, como máquinas virtuais, balanceadores de carga e outros.
Há várias opções diferentes para se conectar de recursos dentro da rede virtual a recursos locais/corporativos:
- Use endereços IP públicos da rede VIP pública.
- Use o Virtual Network Gateway ou o Network Virtual Appliance (NVA).
Quando um túnel VPN S2S é usado para conectar recursos de ou para redes locais, você pode encontrar um cenário no qual um recurso também tem um endereço IP público atribuído e não é mais acessível por meio desse endereço IP público. Se as tentativas de origem de acessar o IP público estiverem dentro do mesmo intervalo de sub-rede definido nas Rotas do Gateway de Rede Local (Gateway de Rede Virtual) ou na rota definida pelo usuário para soluções NVA, o Hub de Pilha do Azure tentará rotear o tráfego de saída de volta para a origem por meio do túnel S2S, com base nas regras de roteamento configuradas. O tráfego de retorno usa o endereço IP privado da VM, em vez de realizar NAT de origem para o endereço IP público.
Existem duas soluções para este problema:
- Encaminhe para a internet o tráfego direcionado à rede VIP pública.
- Adicione um dispositivo NAT para NAT qualquer IP de sub-rede definido no gateway de rede local direcionado para a rede pública VIP.
Rede de infraestrutura de comutação
Esta rede /26 é a sub-rede que contém as sub-redes IP /30 (dois IPs de host) roteáveis ponto a ponto e os loopbacks, que são sub-redes dedicadas /32 para gerenciamento de switch em banda e ID de roteador BGP. Esse intervalo de endereços IP deve ser roteável fora da solução Azure Stack Hub para seu datacenter. Podem ser IPs privados ou públicos.
Rede de gestão de comutadores
Esta rede /29 (seis IPs de host) é dedicada a conectar as portas de gerenciamento dos switches. Ele permite acesso fora da banda para implantação, gerenciamento e solução de problemas. É calculado a partir da rede de infraestrutura de switch mencionada anteriormente.
Redes permitidas
A planilha de implantação tem um campo que permite ao operador alterar algumas listas de controle de acesso para permitir o acesso à rede, interfaces de gerenciamento de dispositivos e ao host do ciclo de vida do hardware (HLH) a partir de um intervalo de rede de datacenter confiável. Com a alteração da lista de controlo de acesso, o operador poderá autorizar que as suas VMs de jumpbox de gestão dentro de um intervalo de rede específico acedam à interface de gestão do switch e ao SO HLH. O operador pode fornecer uma ou várias sub-redes para esta lista; se deixado em branco, o padrão é negar acesso. Esta nova funcionalidade elimina a necessidade de intervenção manual pós-implantação, tal como era anteriormente descrita em Modificar configurações específicas na configuração do switch do Azure Stack Hub.
Próximos passos
- Roteamento de tráfego de rede virtual
- Saiba mais sobre planeamento de rede: conectividade de fronteira