Поделиться через

Рекомендации по работе с сетями для рабочих нагрузок решения Azure VMware

  • Статья

В этой статье рассматривается область проектирования сети рабочей нагрузки решения Azure VMware. Хорошо спроектированные сети важны для включения подключения, оптимизации времени отклика, распределения трафика и обеспечения непрерывной доступности рабочих нагрузок в решении Azure VMware.

Распределение нагрузки для обеспечения высокой доступности

влияние : надежность, эффективность производительности

Чтобы добиться масштабируемости и оптимизации производительности, необходимо распределить трафик между местами назначения в инфраструктуре решения Azure VMware. При балансировке нагрузки трафика решения Azure VMware его можно распределять по различным алгоритмам, таким как алгоритмы, которые учитывают производительность и вес. Распределение входящего трафика повышает масштаб и надежность приложений рабочей нагрузки. Если приложение охватывает несколько программно-определенных центров обработки данных (SDDCs), подсистема балансировки нагрузки Azure может распределять трафик во всех средах.

Рекомендации

  • Используйте подсистему балансировки нагрузки, например VMware NSX Advanced Load Balancer для равномерного распределения трафика. Поддержка внутренних и внешних шлюзов приложений. Используйте подсистему балансировки нагрузки для маршрутизации, доставки приложений и завершения TLS.
  • Для рабочих нагрузок, которые расширяются в Azure, используйте шлюз приложений Azure. Этот подсистема балансировки нагрузки распределяет трафик для повышения производительности приложения. Шлюз приложений также предлагает возможности системы обнаружения и предотвращения вторжений (IDPS) и брандмауэра веб-приложений Azure. Azure Load Balancer может распределять трафик между зонами, чтобы обеспечить высокий уровень доступности и отказоустойчивость рабочих нагрузок, охватывающих несколько зон доступности Azure.

Минимизация расстояния в глобальном распределении

влияние: надежность, эффективность производительности, оптимизация затрат

Для приложений с глобальным присутствием важно свести к минимуму расстояние между экземплярами и пользователями. Вы можете достичь этой цели путем маршрутизации трафика в ближайший SDDC решения Azure VMware. Если вы используете диспетчер трафика, вы также можете снизить затраты на передачу исходящих данных. В частности, можно отправить пользователей в ближайшее развертывание решения Azure VMware или пограничный узел. Уменьшение расстояния, на которое перемещается данные, помогает избежать длительной передачи данных.

Рекомендации

  • Для приложений, охватывающих несколько регионов, рассмотрите возможность развертывания глобального решения балансировки нагрузки трафика на основе системы доменных имен, например диспетчера трафика Azure.
  • Создание профилей маршрутизации трафика. Настройте различные методы маршрутизации, такие как маршрутизация по приоритетам, взвешенная круговая маршрутизация, производительная маршрутизация или географическая маршрутизация.

Доставка содержимого

влияние: производительность, оптимизация затрат

Приложения с высоким трафиком требуют оптимального извлечения содержимого. Такие методы оптимизации, как сжатие и акселераторы HTTP, могут повысить производительность ресурсов в среде решения Azure VMware. Перед передачей файлов можно использовать методы сжатия. Эта практика позволяет сократить затраты, уменьшая объем передаваемых данных. Сеть доставки контента кэширует часто запрашиваемый контент. В результате использование сети доставки содержимого с помощью решения Azure VMware поможет оптимизировать извлечение и распространение. Сети доставки содержимого также могут помочь вам сэкономить на затратах другими способами. Данные кэшируются в пограничных расположениях, близких к пользователям, что сокращает расстояние, по которому они перемещаются.

Рекомендации

  • Используйте сеть доставки содержимого Azure, чтобы повысить скорость реагирования и уменьшить задержку для пользователей, обращающихся к приложениям и веб-сайтам.
  • Используйте сжатие, чтобы минимизировать объём данных статических ресурсов.
  • Используйте решения для кэширования, такие как Redis или Azure Cache для Redis, чтобы хранить в кэше часто запрашиваемые данные.

Использование брандмауэра для рабочих нагрузок, подключенных к Интернету

влияние : безопасность

Интерфейсные рабочие нагрузки в решении Azure VMware сопоставляются с общедоступным IP-адресом. В результате они могут быть доступны в Интернете, и они принимают входящие подключения из внешних источников. Эта связь с виртуальной машиной или подсистемой балансировки нагрузки создает риски для рабочих нагрузок.

Рекомендации

  • Для приложений, подключенных к Интернету, используйте брандмауэр, например Брандмауэр Azure или сертифицированный сторонний NVA, чтобы проверить трафик решения Azure VMware в Интернет и Azure.
  • Убедитесь, что брандмауэр содержит правила и списки управления доступом для ограничения и фильтрации входящего трафика.

Безопасный трафик между внутренними рабочими нагрузками

Влияние на безопасность

Сеть является критически важным периметром в среде решения Azure VMware. Сети помогают управлять доступом, защищать данные и устранять угрозы. Надежные меры безопасности сети помогают обеспечить доступность и устойчивость рабочих нагрузок решения Azure VMware. Например, реализация сетевой изоляции через сегментацию и использование виртуальных локальных сетей может помочь предотвратить несанкционированный доступ между компонентами среды решения Azure VMware. Группы безопасности сети можно использовать для изоляции и защиты трафика в виртуальных сетях рабочей нагрузки.

Рекомендации

  • Создайте сегменты сети для рабочих нагрузок решения Azure VMware.
  • Создайте правила брандмауэра в VMware NSX-T Data Center.
  • Включите расширение HCX с высоким уровнем доступности. По умолчанию устройства сетевого расширения HCX развертываются как отдельные экземпляры. Сбой экземпляра, работающего в исходном или целевом расположении, приведет к неработоспособности всей растянутой виртуальной локальной сети. С помощью расширения сети HA HCX обеспечивает, что операции HCX, такие как vMotion, могут выдержать сбой одного экземпляра.

Разработка схем IP-адресации для роста

влияние : безопасность, эффективность работы

Вы можете использовать преднамеренную стратегию безопасности подсети для проектирования решения Azure VMware Solution и облачных виртуальных сетей с учетом роста. Эта конструкция включает в себя стратегическое упорядочение распределения IP-адресов. Кроме того, необходимо использовать средство IP-адресации и обеспечить распределение.

Помимо диапазона адресов /22 RFC-1918, сегменты рабочих нагрузок имеют отдельные, неконфликтующие диапазоны маршрутизации безклассовой адресации между доменами (CIDR). Планирование достаточного количества IP-адресов для виртуальных машин, общедоступных IP-адресов и подсистем балансировки нагрузки.

Рекомендации

  • Убедитесь, что диапазон IP-адресов достаточно велик, чтобы разместить все текущие и будущие рабочие нагрузки решения Azure VMware.
  • Используйте средство управления электронными таблицами или IP-адресами (IPAM) для эффективной организации доступных IP-адресов, отслеживания использования IP-адресов и предотвращения конфликтов IP-адресов.
  • Планирование потенциального увеличения числа устройств, сегментов или подсетей. Используйте схему IP-адресации, которая может обрабатывать увеличение спроса.
  • Определите повторяющиеся маршруты в маршрутизаторах NSX-T Data Center T0. Повторяющиеся маршруты — это возможное указание асимметричных маршрутов. Подключение к локальным средам может перестать работать, если асимметрия не обнаружена.
  • Используйте несколько DNS-серверов для каждой частной зоны полного доменного имени. SDDC решения Azure VMware может поддерживать до трех DNS-серверов, для одного полного доменного имени. Использование одного DNS-сервера для разрешения DNS создаёт единую точку отказа. Убедитесь, что для разрешения имен полного доменного имени (FQDN) внутренней инфраструктуры в решении Azure VMware SDDC используются несколько DNS-серверов.
  • Используйте протокол конфигурации динамического узла (DHCP) для динамического назначения IP-адресов.

Дополнительные ресурсы

  • Превышение ограничений конфигурации может оставить SDDC решения Azure VMware в неподдерживаемом состоянии и повлиять на его доступность для любых операций поддержки и обновления. Используйте несколько сегментов NSX, чтобы помочь убедиться, что вы не превышаете ограничения конфигурации VMware .

Дальнейшие действия

Теперь, когда вы изучили сети в решении Azure VMware, изучите рекомендации по мониторингу инфраструктуры и приложений.

Мониторинг

Используйте средство оценки для оценки вариантов проектирования.

Оценка