Поделиться через

Ознакомьтесь с шаблоном ссылок на сеть развертывания с двумя узлами без переключения с одним коммутатором для локальной среды Azure

  • Статья

Область применения: локальная версия Azure, версии 23H2 и 22H2

В этой статье описывается бессерверный коммутатор хранилища двух узлов с одним шаблоном ссылки на сеть toR, который можно использовать для развертывания локального решения Azure. Сведения в этой статье также помогают определить, подходит ли эта конфигурация для планирования развертывания. В этой статье рассматриваются ИТ-администраторы, которые развертывают и управляют Azure Local в своих центрах обработки данных.

Дополнительные сведения о других шаблонах сети см . в шаблонах развертывания локальной сети Azure.

Сценарии

Сценарии этого сетевого шаблона включают лаборатории, фабрики, розничные магазины и государственные учреждения.

Рассмотрим этот шаблон для экономичного решения, которое включает отказоустойчивость на уровне системы, но может допускать прерывания подключения к северу, если один физический коммутатор завершается сбоем или требует обслуживания.

Этот шаблон можно масштабировать, но требуется время простоя рабочей нагрузки для перенастройки физического подключения к хранилищу и перенастройки сети хранилища. Хотя службы SDN L3 полностью поддерживаются для этого шаблона, службы маршрутизации, такие как BGP, должны быть настроены на устройстве брандмауэра на вершине коммутатора TOR, если он не поддерживает службы L3. Функции безопасности сети, такие как микросегментация и QoS, не требуют дополнительной настройки на устройстве брандмауэра, так как они реализованы на виртуальном коммутаторе.

Компоненты физического подключения

Как показано на следующей схеме, этот шаблон содержит следующие компоненты физической сети:

  • Один переключатель TOR для связи между севером и югом.

  • Два объединенных сетевых порта для обработки управления и вычислительного трафика, подключенного к коммутатору L2 на каждом узле

  • Два сетевых адаптера RDMA в полносетной конфигурации для трафика на востоке запада для хранения. Каждый узел в системе имеет избыточное подключение к другому узлу в системе.

  • В качестве варианта некоторые решения могут использовать бессерверную конфигурацию без карточки BMC в целях безопасности.

Схема, показывающая макет физического подключения без переключения между двумя узлами.

Сети Управление и вычисление Хранилище BMC
Скорость связи По крайней мере 1 Гбит/с. Рекомендуется 10 Гбит/с По крайней мере 10 Гбит/с Обратитесь к производителю оборудования
Тип интерфейса RJ45, SFP+ или SFP28 SFP+ или SFP28 RJ45
Порты и агрегаты Два командных порта Два автономных порта Один порт

Намерения ATC сети

Для двухузловых шаблонов без переключения хранилища создаются два намерения Сетевого ATC. Первый для управления и вычислительного сетевого трафика, а второй — для трафика хранилища.

Схема с намерениями ATC без переключения двух узлов

Управление и намерение вычислений

  • Тип намерения: управление и вычисление
  • Режим намерения: режим кластера
  • Командирование: Да. PNIC01 и pNIC02 объединяются
  • Виртуальная локальная сеть управления по умолчанию: настроенная виртуальная локальная сеть для адаптеров управления не изменяется
  • PA и вычислительные виртуальные локальные сети и виртуальные сетевые адаптеры: сетевая atC является прозрачной для виртуальных сетей PA и VLAN или виртуальных сетей виртуальных машин вычислений и виртуальных ЛС

Намерение хранилища

  • Тип намерения: хранилище
  • В режим палатки: режим кластера
  • Объединение: pNIC03 и pNIC04 используют SMB Multichannel для обеспечения устойчивости и агрегирования пропускной способности
  • Виртуальные локальные сети по умолчанию:
    • 711 для сети хранения 1
    • 712 для сети хранения 2
  • Подсети по умолчанию:
    • 10.71.1.0/24 для сети хранения 1
    • 10.71.2.0/24 для сети хранения 2

Дополнительные сведения см. в разделе "Развертывание сети узлов".

Выполните следующие действия, чтобы создать намерения сети для этого эталонного шаблона:

  1. Запустите оболочку PowerShell от имени администратора.

  2. Выполните следующую команду:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

Компоненты логического подключения

Как показано на схеме ниже, этот шаблон содержит следующие компоненты логической сети:

Схема, показывающая макет физического подключения без переключения с одним узлом.

Виртуальные локальные сети хранилища

Трафик на основе намерений хранилища состоит из двух отдельных сетей, поддерживающих трафик RDMA. Каждый интерфейс будет выделен отдельной сети хранения, и оба могут использовать один и тот же тег виртуальной локальной сети. Этот трафик предназначен только для перемещения между двумя узлами. Трафик хранилища — это частная сеть без подключения к другим ресурсам.

Адаптеры хранилища работают с различными IP-подсетями. Чтобы включить конфигурацию без переключения, каждый подключенный узел поддерживает соответствующую подсеть своего соседа. Каждая сеть хранения использует предопределенные виртуальные локальные сети по умолчанию (711 и 712). Однако при необходимости эти виртуальные локальные сети можно настроить. Кроме того, если подсети по умолчанию, определенные Сетевым ATC (10.71.1.0/24 и 10.71.2.0/24), вы несете ответственность за назначение всех IP-адресов хранилища в системе.

Дополнительные сведения см. в обзоре Network ATC.

Сеть OOB

Сеть out of Band (OOB) предназначена для поддержки интерфейса управления серверным интерфейсом", также известным как контроллер управления базовой платой (BMC). Каждый интерфейс BMC подключается к предоставленному клиентом коммутатору. BMC используется для автоматизации сценариев загрузки PXE.

Для сети управления требуется доступ к интерфейсу BMC с помощью порта 623 протокола пользовательской диаграммы (IPMI).

Сеть OOB изолирована от вычислительных рабочих нагрузок и является необязательной для развертываний, отличных от решений.

Виртуальная локальная сеть управления

Для всех физических вычислительных узлов требуется доступ к логической сети управления. Для планирования IP-адресов каждый физический вычислительный узел должен иметь по крайней мере один IP-адрес, назначенный из логической сети управления.

DHCP-сервер может автоматически назначать IP-адреса для сети управления или вручную назначать статические IP-адреса. Если DHCP является предпочтительным методом назначения IP-адресов, рекомендуется использовать резервирования DHCP без истечения срока действия.

Сеть управления поддерживает следующие конфигурации виртуальной локальной сети:

  • Собственная виртуальная локальная локальная сеть — вам не требуется предоставлять идентификаторы виртуальной ЛС . Это необходимо для установки на основе решения.

  • Помеченная виртуальная локальная сеть — вы предоставляете идентификаторы виртуальной ЛС во время развертывания.

Сеть управления поддерживает весь трафик, используемый для управления кластером, включая удаленный рабочий стол, Центр администрирования Windows и Active Directory.

Дополнительные сведения см. в разделе "Планирование инфраструктуры SDN: управление и поставщик HNV".

Виртуальные локальные сети вычислений

В некоторых сценариях не требуется использовать виртуальная сеть SDN с инкапсуляцией виртуальной расширяемой локальной сети (VXLAN). Вместо этого можно использовать традиционные виртуальные локальные сети для изоляции рабочих нагрузок клиента. Эти виртуальные локальные сети настраиваются на порту коммутатора TOR в режиме магистрали. При подключении новых виртуальных машин к этим виртуальным сетям соответствующий тег виртуальной локальной сети определяется на виртуальном сетевом адаптере.

Сеть поставщика HNV (PA)

Сеть виртуализации сети Hyper-V (HNV) Address (PA) служит базовой физической сетью для трафика клиента East/West (internal-internal), трафика клиента North/South (external-internal) и обмена данными пиринга BGP с физической сетью. Эта сеть требуется только в том случае, если требуется развернуть виртуальные сети с помощью инкапсуляции VXLAN для другого уровня изоляции и многотенантности сети.

Дополнительные сведения см. в разделе "Планирование инфраструктуры SDN: управление и поставщик HNV".

Варианты сетевой изоляции

Поддерживаются следующие параметры сетевой изоляции:

Виртуальные локальные сети (IEEE 802.1Q)

Виртуальные локальные сети позволяют устройствам, которые должны быть разделены для совместного использования кабелей физической сети, и тем не менее не могут напрямую взаимодействовать друг с другом. Этот управляемый общий доступ обеспечивает простоту, безопасность, управление трафиком и экономику. Например, виртуальная локальная сеть может использоваться для разделения трафика в бизнесе на основе отдельных пользователей или групп пользователей или их ролей или на основе характеристик трафика. Многие службы размещения интернета используют виртуальные сети для разделения частных зон друг от друга, что позволяет каждому клиенту группировать серверы в одном сегменте сети независимо от того, где находятся отдельные серверы в центре обработки данных. Некоторые меры предосторожности необходимы, чтобы предотвратить переход трафика из заданной виртуальной локальной сети, эксплойт, известный как переход на виртуальную локальную сеть.

Дополнительные сведения см. в статье об использовании виртуальных сетей и виртуальных ЛС.

Политики доступа к сети по умолчанию и микросегментация по умолчанию

Политики доступа к сети по умолчанию гарантируют, что все виртуальные машины в кластере Azure Stack HCI защищены по умолчанию от внешних угроз. С помощью этих политик мы блокируем входящий доступ к виртуальной машине по умолчанию, предоставляя возможность включить выборочные входящий порт и таким образом защитить виртуальные машины от внешних атак. Это применение доступно с помощью таких средств управления, как Windows Admin Center.

Микросегментация включает создание детализированных политик сети между приложениями и службами. Это существенно сокращает периметр безопасности до ограждения вокруг каждого приложения или виртуальной машины. Это ограждение разрешает только необходимую связь между уровнями приложений или другими логическими границами, что делает ее чрезвычайно трудной для киберугроз для распространения боковой связи между одной системой в другую. Микросегментация безопасно изолирует сети друг от друга и уменьшает общую поверхность атаки инцидента безопасности сети.

Политики доступа к сети по умолчанию и микросегментация реализуются как правила брандмауэра с пятью кортежами (префикс исходного адреса, исходный порт, префикс адреса назначения, порт назначения и протокол) в кластерах Azure Stack HCI. Правила брандмауэра также называются группами безопасности сети (NSG). Эти политики применяются на порту vSwitch каждой виртуальной машины. Политики отправляются через уровень управления, а сетевой контроллер SDN распределяет их ко всем применимым узлам. Эти политики доступны для виртуальных машин в традиционных сетях виртуальной локальной сети и в сетях наложения SDN.

Дополнительные сведения см. в разделе "Что такое брандмауэр центра обработки данных?".  

QoS для сетевых адаптеров виртуальных машин

Вы можете настроить качество обслуживания (QoS) для сетевого адаптера виртуальной машины, чтобы ограничить пропускную способность виртуального интерфейса, чтобы предотвратить подключение виртуальной машины с высоким трафиком к другому сетевому трафику виртуальной машины. Вы также можете настроить QoS, чтобы зарезервировать определенный объем пропускной способности виртуальной машины, чтобы убедиться, что виртуальная машина может отправлять трафик независимо от другого трафика в сети. Это можно применить к виртуальным машинам, подключенным к традиционным сетям виртуальной локальной сети, а также к виртуальным машинам, подключенным к сетям наложения SDN.

Дополнительные сведения см. в разделе "Настройка качества обслуживания" для сетевого адаптера виртуальной машины.

Виртуальные сети

Виртуализация сети предоставляет виртуальные сети виртуальным машинам, аналогичным тому, как виртуализация сервера (гипервизор) предоставляет виртуальные машины операционной системе. Виртуализация сети отделяет виртуальные сети от инфраструктуры физической сети и удаляет ограничения VLAN и иерархического назначения IP-адресов из подготовки виртуальной машины. Такая гибкость позволяет легко перейти в облака IaaS инфраструктуры как услуга и эффективно управлять инфраструктурой и центрами обработки данных, а также поддерживать необходимую изоляцию, требования к безопасности и перекрывающиеся IP-адреса виртуальных машин.

Дополнительные сведения см. в статье "Виртуализация сети Hyper-V".

Параметры сетевых служб L3

Доступны следующие параметры сетевой службы L3:

Пиринг между виртуальными сетями

Пиринг между виртуальными сетями позволяет легко подключать две виртуальные сети. После однорангового подключения виртуальные сети отображаются в качестве одного. Преимущества пиринговой связи между виртуальными сетями:

  • Трафик между виртуальными машинами в одноранговых виртуальных сетях направляется через магистральную инфраструктуру только через частные IP-адреса. Для обмена данными между виртуальными сетями не требуется общедоступный Интернет или шлюзы.
  • подключение между ресурсами в разных виртуальных сетях, характеризующееся низкой задержкой и высокой пропускной способностью;
  • Возможность взаимодействия ресурсов в одной виртуальной сети с ресурсами в другой виртуальной сети.
  • Время простоя ресурсов в любой виртуальной сети при создании пиринга не выполняется.

Дополнительные сведения см. в статье Пиринг между виртуальными сетями.

Подсистема балансировки нагрузки программного обеспечения SDN

Поставщики облачных служб (ПОСТАВЩИКИ облачных служб) и предприятия, которые развертывают программное обеспечение определяемой сетью (SDN), могут использовать Software Load Balancer (SLB) для равномерного распределения сетевого трафика клиентов между ресурсами виртуальной сети. SLB позволяет размещать одну и ту же рабочую нагрузку на нескольких серверах, что обеспечивает высокий уровень доступности и масштабирования. Он также используется для предоставления служб преобразования входящих сетевых адресов (NAT) для входящего доступа к виртуальным машинам и исходящих служб NAT для исходящего подключения.

С помощью SLB можно масштабировать возможности балансировки нагрузки с помощью виртуальных машин SLB на одних вычислительных серверах Hyper-V, используемых для других рабочих нагрузок виртуальных машин. SLB поддерживает быстрое создание и удаление конечных точек балансировки нагрузки, необходимых для операций CSP. Кроме того, SLB поддерживает десятки гигабайт на кластер, предоставляет простую модель подготовки и легко масштабируется и в ней. SLB использует протокол пограничного шлюза для объявления виртуальных IP-адресов в физической сети.

Дополнительные сведения см. в статье О том, что такое SLB для SDN?

VPN-шлюзы SDN

Шлюз SDN — это программный маршрутизатор пограничного шлюза (BGP), предназначенный для поставщиков услуг безопасности и предприятий, на которых размещаются мультитенантные виртуальные сети с помощью виртуализации сети Hyper-V (HNV). Шлюз RAS можно использовать для маршрутизации сетевого трафика между виртуальной сетью и другой сетью либо локальной, либо удаленной.

Шлюз SDN можно использовать для:

  • Создайте безопасные подключения IPsec типа "сеть — сеть" между виртуальными сетями SDN и внешними клиентскими сетями через Интернет.

  • Создание подключений универсальной маршрутизации инкапсуляции между виртуальными сетями SDN и внешними сетями. Разница между подключениями типа "сеть — сеть" и подключениями GRE заключается в том, что последний не является зашифрованным подключением.

    Дополнительные сведения о сценариях подключения GRE см. в разделе "Туннелирование GRE" в Windows Server.

  • Создание подключений уровня 3 (L3) между виртуальными сетями SDN и внешними сетями. В этом случае шлюз SDN просто выступает в качестве маршрутизатора между виртуальной сетью и внешней сетью.

Шлюз SDN требует сетевого контроллера SDN. Сетевой контроллер выполняет развертывание пулов шлюзов, настраивает подключения клиентов на каждом шлюзе и переключает потоки сетевого трафика в резервный шлюз, если шлюз завершается сбоем.

Шлюзы используют протокол пограничного шлюза для объявления конечных точек GRE и установления подключений типа "точка — точка". Развертывание SDN создает пул шлюзов по умолчанию, поддерживающий все типы подключений. В этом пуле можно указать, сколько шлюзов зарезервировано в режиме ожидания в случае сбоя активного шлюза.

Дополнительные сведения см. в статье о том, что такое шлюз RAS для SDN?

Следующие шаги

Узнайте о бессерверном переключении хранилища двух узлов, двух коммутаторов сетевого шаблона