Поделиться через

Ознакомьтесь с переключаемой двухузловой системой хранения, полностью конвергентным образцом ссылочной сети для локальной Azure.

  • Статья

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье вы узнаете о двухузловом коммутируемом хранилище, полностью конвергированном с эталонной топологией сети, содержащей два TOR переключателя, которое можно использовать для внедрения решения локального экземпляра Azure. Сведения в этой статье также помогут определить, подходит ли эта конфигурация для потребностей планирования развертывания. Эта статья ориентирована на ИТ-администраторов, которые развертывают локальные экземпляры Azure и управляют ими в своих центрах обработки данных.

Для получения информации о других шаблонах сети, см. Шаблоны развертывания локальной сети Azure.

Сценарии

Сценарии этого сетевого шаблона включают лаборатории, филиалы и центры обработки данных.

Рассмотрим этот шаблон, если вы планируете добавить дополнительные узлы и требования к пропускной способности для трафика на северо-юге не требуют выделенных адаптеров. Это решение может быть хорошим вариантом, если физические порты коммутатора в дефиците, и вы ищете способы сокращения затрат на ваше решение. Этот шаблон требует дополнительных эксплуатационных расходов для точной настройки политик QoS (качества обслуживания) сетевых адаптеров общего узла для защиты трафика хранилища от рабочей нагрузки и трафика управления. Службы SDN L3 полностью поддерживаются в этом шаблоне.

Службы маршрутизации, такие как BGP, можно настроить непосредственно на коммутаторах TOR, если они поддерживают службы L3. Такие функции безопасности сети, как микросегментация и QoS, не требуют дополнительной настройки на устройстве брандмауэра, так как они реализованы на уровне виртуального сетевого адаптера.

Компоненты физического подключения

Как описано на схеме ниже, этот шаблон содержит следующие компоненты физической сети:

  • Для трафика на север или юг, система в этом шаблоне реализуется с двумя коммутаторами TOR в конфигурации MLAG.

  • Две объединенные сетевые карты обрабатывают трафик управления, вычислений и хранилища RDMA, подключенный к коммутаторам TOR. Каждый сетевой адаптер подключен к другому коммутатору TOR. Возможности SMB с несколькими каналами обеспечивают агрегирование путей и отказоустойчивость.

  • В качестве варианта развертывания можно включить карточку BMC для обеспечения удаленного управления средой. Некоторые решения могут использовать безголовую конфигурацию без BMC-карты для обеспечения безопасности.

Схема, показывающая макет физического подключения без переключения между двумя узлами.

Сети Управление, вычисления, хранилище BMC
Скорость связи На 10 Гбит/с Обратитесь к производителю оборудования
Тип интерфейса SFP+ или SFP28 RJ45
Порты и агрегация Два объединённых порта Один порт

Намерения ATC сети

Схема, показывающая намерения Network ATC для сети без переключателя с двумя узлами

Управление, вычисление и намерение хранилища

  • Тип намерения: управление, вычисление и хранилище
  • Режим намерения: режим кластера
  • Работа в команде: Да. pNIC01 и pNIC02 объединены в группу
  • Виртуальная локальная сеть управления по умолчанию: настроенная виртуальная локальная сеть для адаптеров управления не изменяется
  • Виртуальный сетевой адаптер хранилища 1:
    • VLAN 711
    • Подсеть 10.71.1.0/24 для сети хранения 1
  • Хранилище vNIC 2:
    • VLAN 712
    • Подсеть 10.71.2.0/24 для сети хранения 2
  • VNIC1 и хранилище vNIC2 используют SMB Multichannel для обеспечения устойчивости и агрегирования пропускной способности.
  • Виртуальные локальные сети PA и виртуальные сетевые адаптеры (vNICs): сетевой ATC прозрачен для vNIC PA и VLAN.
  • Виртуальные ЛС и виртуальные сетевые адаптеры для вычислений: сетевой ATC является прозрачным для vNIC и VLAN виртуальных машин.

Для получения дополнительной информации см. Развертывание сетевых хостов.

Выполните следующие действия, чтобы создать намерения сети для этого эталонного шаблона:

  1. Запустите PowerShell с правами администратора.

  2. Выполните следующую команду:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -Storage -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>

Компоненты логического подключения

Как показано на схеме ниже, этот шаблон содержит следующие компоненты логической сети:

Схема, показывающая одновузловое физическое подключение без использования коммутатора.

Виртуальные локальные сети хранилища

Трафик, основанный на намерениях хранилища, в этом шаблоне использует физические сетевые адаптеры вместе с трафиком управления и вычислений.

Сеть хранения работает в разных IP-подсетях. Каждая сеть хранения использует предопределенные виртуальные локальные сети ATC по умолчанию (711 и 712). Однако при необходимости эти виртуальные локальные сети можно настроить. Кроме того, если подсеть по умолчанию, определенная ATC, недоступна, вы несете ответственность за назначение всех IP-адресов хранилища в системе.

Для получения дополнительной информации см. обзор Network ATC.

Сеть OOB

Сеть "out of Band" (OOB) предназначена для поддержки интерфейса управления серверами, также известного как контроллер управления базовой платой (BMC). Каждый интерфейс BMC подключается к предоставленному клиентом коммутатору. BMC используется для автоматизации сценариев загрузки PXE.

Для сети управления требуется доступ к интерфейсу BMC с использованием порта 623 протокола IPMI UDP (User Datagram Protocol).

Сеть OOB изолирована от вычислительных рабочих нагрузок и является необязательной для развертываний, не связанных с решениями.

Виртуальная локальная сеть управления

Для всех физических вычислительных узлов требуется доступ к логической сети управления. Для планирования IP-адресов каждый физический вычислительный узел должен иметь по крайней мере один IP-адрес, назначенный из логической сети управления.

DHCP-сервер может автоматически назначать IP-адреса для сети управления или вручную назначать статические IP-адреса. Если DHCP является предпочтительным методом назначения IP-адресов, рекомендуется использовать резервирования DHCP без истечения срока действия.

Сеть управления поддерживает следующие конфигурации виртуальной локальной сети:

  • Собственная виртуальная локальная локальная сеть — вам не требуется предоставлять идентификаторы виртуальной ЛС . Это необходимо для установок, основанных на решениях.

  • VLAN с тегами — вы указываете идентификаторы VLAN во время развертывания.

Сеть управления поддерживает весь трафик, используемый для управления кластером, включая удаленный рабочий стол, Центр администрирования Windows и Active Directory.

Дополнительные сведения см. в разделе «Планирование инфраструктуры SDN: управление и провайдер HNV».

Вычислительные виртуальные локальные сети

В некоторых сценариях вам не требуется использовать виртуальные сети SDN с инкапсуляцией виртуальной расширяемой локальной сети (VXLAN). Вместо этого можно использовать традиционные виртуальные локальные сети для изоляции рабочих нагрузок клиента. Эти виртуальные локальные сети настраиваются на порту коммутатора TOR в режиме магистрали. При подключении новых виртуальных машин к этим виртуальным сетям соответствующий тег виртуальной локальной сети определяется на виртуальном сетевом адаптере.

Сеть поставщиков адресов (PA) HNV

Сеть виртуализации сети Hyper-V (HNV) Address (PA) служит базовой физической сетью для трафика клиента East/West (internal-internal), трафика клиента North/South (external-internal) и обмена данными пиринга BGP с физической сетью. Эта сеть требуется только в том случае, если требуется развернуть виртуальные сети с помощью инкапсуляции VXLAN для другого уровня изоляции и многотенантности сети.

Дополнительные сведения см. в разделе Планирование инфраструктуры SDN: управление и поставщик HNV.

Варианты сетевой изоляции

Поддерживаются следующие параметры сетевой изоляции:

Виртуальные локальные сети (IEEE 802.1Q)

Виртуальные локальные сети позволяют устройствам, которые должны быть разделены, разделять кабельную инфраструктуру физической сети, но при этом они не могут напрямую взаимодействовать друг с другом. Этот управляемый общий доступ обеспечивает простоту, безопасность, управление трафиком и экономику. Например, виртуальная локальная сеть может использоваться для разделения трафика в бизнесе на основе отдельных пользователей или групп пользователей или их ролей или на основе характеристик трафика. Многие службы размещения интернета используют виртуальные сети для разделения частных зон друг от друга, что позволяет каждому клиенту группировать серверы в одном сегменте сети независимо от того, где находятся отдельные серверы в центре обработки данных. Некоторые меры предосторожности необходимы, чтобы предотвратить уход трафика из заданной виртуальной локальной сети, эксплойт, известный как VLAN хоппинг.

Дополнительные сведения см. в статье об использовании виртуальных сетей и виртуальных ЛС.

Политики доступа к сети по умолчанию и микросегментация по умолчанию

Политики доступа к сети по умолчанию гарантируют, что все виртуальные машины в кластере Azure Stack HCI защищены по умолчанию от внешних угроз. С помощью этих политик мы блокируем входящий доступ к виртуальной машине по умолчанию, предоставляя возможность включить выборочные входящий порт и таким образом защитить виртуальные машины от внешних атак. Это внедрение доступно с помощью таких средств управления, как Windows Admin Center.

Микросегментация включает создание детализированных политик сети между приложениями и службами. Это существенно сокращает периметр безопасности до ограждения вокруг каждого приложения или виртуальной машины. Это ограждение разрешает только необходимую связь между уровнями приложения или другими логическими границами, что делает крайне затруднительным боковое распространение киберугроз от одной системы к другой. Микросегментация безопасно изолирует сети друг от друга и уменьшает общую поверхность атаки инцидента безопасности сети.

Политики доступа к сети по умолчанию и микросегментация реализуются как правила брандмауэра с пятью кортежами (префикс исходного адреса, исходный порт, префикс адреса назначения, порт назначения и протокол) в кластерах Azure Stack HCI. Правила брандмауэра также называются группами безопасности сети (NSG). Эти политики применяются на порту vSwitch каждой виртуальной машины. Политики отправляются через уровень управления, а сетевой контроллер SDN распределяет их ко всем применимым узлам. Эти политики доступны для виртуальных машин в традиционных сетях VLAN и в наложенных сетях SDN.

Дополнительные сведения см. в разделе "Что такое брандмауэр центра обработки данных?".  

QoS для сетевых адаптеров виртуальных машин

Вы можете настроить качество обслуживания (QoS) для сетевого адаптера виртуальной машины, чтобы ограничить пропускную способность виртуального интерфейса, чтобы предотвратить подключение виртуальной машины с высоким трафиком к другому сетевому трафику виртуальной машины. Вы также можете настроить QoS, чтобы зарезервировать определенный объем пропускной способности виртуальной машины, чтобы убедиться, что виртуальная машина может отправлять трафик независимо от другого трафика в сети. Это можно применить к виртуальным машинам, подключенным к традиционным сетям виртуальной локальной сети, а также к виртуальным машинам, подключенным к сетям наложения SDN.

Дополнительные сведения см. в разделе "Настройка качества обслуживания" для сетевого адаптера виртуальной машины.

Виртуальные сети

Виртуализация сети предоставляет виртуальные сети виртуальным машинам, аналогичным тому, как виртуализация сервера (гипервизор) предоставляет виртуальные машины операционной системе. Виртуализация сети отделяет виртуальные сети от инфраструктуры физической сети и удаляет ограничения VLAN и иерархического назначения IP-адресов из подготовки виртуальной машины. Такая гибкость позволяет легко перейти в облака IaaS и эффективно управлять инфраструктурой для хостеров и администраторов центров обработки данных, а также поддерживать необходимую многопользовательскую изоляцию, требования к безопасности и перекрывающиеся IP-адреса виртуальных машин.

Дополнительные сведения см. в статье "Виртуализация сети Hyper-V".

Параметры сетевых служб L3

Доступны следующие параметры сетевой службы L3:

Пиринг между виртуальными сетями

Пиринг между виртуальными сетями позволяет легко подключать две виртуальные сети. После однорангового подключения виртуальные сети выглядят как единая сеть. Преимущества пиринговой связи между виртуальными сетями:

  • Трафик между виртуальными машинами в одноранговых виртуальных сетях направляется через магистральную инфраструктуру только через частные IP-адреса. Для обмена данными между виртуальными сетями не требуется общедоступный Интернет или шлюзы.
  • подключение между ресурсами в разных виртуальных сетях, характеризующееся низкой задержкой и высокой пропускной способностью;
  • Возможность взаимодействия ресурсов в одной виртуальной сети с ресурсами в другой виртуальной сети.
  • Во время создания пиринга в любой из виртуальных сетей время простоя ресурсов отсутствует.

Дополнительные сведения см. в статье Пиринг между виртуальными сетями.

Подсистема балансировки нагрузки программного обеспечения SDN

Поставщики облачных служб (ПОСТАВЩИКИ облачных служб) и предприятия, которые развертывают программное обеспечение определяемой сетью (SDN), могут использовать Software Load Balancer (SLB) для равномерного распределения сетевого трафика клиентов между ресурсами виртуальной сети. SLB позволяет размещать одну и ту же рабочую нагрузку на нескольких серверах, что обеспечивает высокий уровень доступности и масштабирования. Он также используется для предоставления служб преобразования входящих сетевых адресов (NAT) для входящего доступа к виртуальным машинам и исходящих служб NAT для исходящего подключения.

С помощью SLB можно масштабировать возможности балансировки нагрузки с помощью виртуальных машин SLB на одних вычислительных серверах Hyper-V, используемых для других рабочих нагрузок виртуальных машин. SLB поддерживает быстрое создание и удаление конечных точек балансировки нагрузки, необходимых для операций CSP. Кроме того, SLB поддерживает десятки гигабайт для каждого кластера, предоставляет простую модель предоставления ресурсов и легко масштабируется в обоих направлениях. SLB использует протокол пограничного шлюза для объявления виртуальных IP-адресов в физической сети.

Дополнительные сведения см. в статье О том, что такое SLB для SDN?

VPN-шлюзы SDN

Шлюз SDN — это программный маршрутизатор пограничного шлюза (BGP), предназначенный для поставщиков услуг безопасности и предприятий, на которых размещаются мультитенантные виртуальные сети с помощью виртуализации сети Hyper-V (HNV). Шлюз RAS можно использовать для маршрутизации сетевого трафика между виртуальной сетью и другой сетью либо локальной, либо удаленной.

Шлюз SDN можно использовать для:

  • Создайте безопасные подключения IPsec типа "сеть — сеть" между виртуальными сетями SDN и внешними клиентскими сетями через Интернет.

  • Создайте подключения Generic Routing Encapsulation (GRE) между виртуальными сетями SDN и внешними сетями. Разница между подключениями типа "сеть — сеть" и подключениями GRE заключается в том, что последний не является зашифрованным подключением.

    Дополнительные сведения о сценариях подключения GRE см. в разделе "Туннелирование GRE" в Windows Server.

  • Создание подключений уровня 3 (L3) между виртуальными сетями SDN и внешними сетями. В этом случае шлюз SDN просто выступает в качестве маршрутизатора между виртуальной сетью и внешней сетью.

Шлюз SDN требует сетевого контроллера SDN. Сетевой контроллер выполняет развертывание пулов шлюзов, настраивает подключения клиентов на каждом шлюзе и переключает потоки сетевого трафика в резервный шлюз, если шлюз завершается сбоем.

Шлюзы используют протокол пограничного шлюза для объявления конечных точек GRE и установления подключений типа "точка — точка". Развертывание SDN создает пул шлюзов по умолчанию, поддерживающий все типы подключений. В этом пуле можно указать, сколько шлюзов зарезервировано в режиме ожидания в случае сбоя активного шлюза.

Дополнительные сведения см. в статье о том, что такое шлюз RAS для SDN?

Следующие шаги

Узнайте о шаблоне сети с переключаемым двухузловым хранилищем, неконвергентным режимом.