你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure NetApp 文件网络规划指南
网络体系结构规划是设计任何应用程序基础结构的关键要素。 本文可帮助你设计有效的网络体系结构,使你的工作负荷能够受益于 Azure NetApp 文件丰富的功能。
Azure NetApp 文件卷设计为包含在 Azure 虚拟网络中名为委派子网这一特殊用途的子网内。 因此,可以通过虚拟网络 (VNet) 对等互连直接从 Azure 内部访问这些卷,或者在本地通过虚拟网络网关(ExpressRoute 或 VPN 网关)访问这些卷。 此子网专用于 Azure NetApp 文件,并且没有与 Internet 建立连接。
所有启用 Azure NetApp 文件的区域都支持在新卷上设置标准网络功能以及修改现有卷的网络功能的选项。
可配置的网络功能
在受支持的区域中,可以创建新卷或修改现有卷以使用“标准”或“基本”网络功能。 在不支持标准网络功能的区域中,卷默认使用基本网络功能。 有关详细信息,请参阅配置网络功能。
注意事项
在规划 Azure NetApp 文件网络时应了解一些注意事项。
约束
下表描述了每项网络功能配置支持的内容:
功能 | 标准网络功能 | 基本网络功能 |
---|---|---|
VNet 中(包括立即对等互联的 VNet)访问 Azure NetApp 文件托管 VNet 的卷的 IP 的数量 | 与虚拟机 (VM) 相同的标准限制 | 1000 |
每个 VNet 的 Azure NetApp 文件委派子网 | 1 | 1 |
在 Azure NetApp 文件委托子网中的网络安全组 (NSG) | 是 | 否 |
在 Azure NetApp 文件委托子网中的用户定义路由 (UDR) | 是 | 否 |
连接到专用终结点 | 是* | 否 |
连接到服务终结点 | 是 | 否 |
针对 Azure NetApp 文件接口的 Azure 策略(例如自定义命名策略) | 否 | 否 |
Azure NetApp 文件流量的负载均衡器 | 否 | 否 |
双堆栈(IPv4 和 IPv6)VNet | 无 (仅支持 IPv4) |
无 (仅支持 IPv4) |
通过 NVA 从对等 VNet 路由的流量 | 是 | 否 |
* Azure NetApp 文件客户管理的密钥不支持将专用链接子网上的 Azure 网络安全组应用于 Azure Key Vault。 除非在子网上启用了专用终结点网络策略,否则网络安全组不会影响到专用链接的连接。 建议禁用此选项。
支持的网络拓扑
下表描述了 Azure NetApp 文件的每项网络功能配置支持的网络拓扑。
拓扑 | 标准网络功能 | 基本网络功能 |
---|---|---|
连接至本地 VNet 中的卷 | 是 | 是 |
连接至对等互连 VNet 中的卷(同一区域) | 是 | 是 |
连接到对等互连 VNet 中的卷(跨区域或全球对等互连) | 是* | 否 |
通过 ExpressRoute 网关连接至卷 | 是 | 是 |
ExpressRoute (ER) FastPath | 是 | 否 |
通过 ExpressRoute 网关和带有网关传输的 VNet 对等互连从本地连接到辐射 VNet 中的卷 | 是 | 是 |
通过 VPN 网关从本地连接到分支 VNet 中的卷 | 是 | 是 |
通过 VPN 网关和带有网关传输的 VNet 对等互连从本地连接到分支 VNet 中的卷 | 是 | 是 |
通过主动/被动 VPN 网关进行连接 | 是 | 是 |
通过主动/主动 VPN 网关进行连接 | 是 | 否 |
通过主动/主动区域冗余网关进行连接 | 是 | 否 |
通过主动/被动区域冗余网关进行连接 | 是 | 是 |
通过虚拟 WAN (VWAN) 进行连接 | 是 | 否 |
* 此选项会因使用虚拟网络对等互连连接的入口和出口流量产生费用。 有关详细信息,请参阅虚拟网络定价。 有关一般性详细信息,请参阅虚拟网络对等互联。
Azure NetApp 文件卷的虚拟网络
本部分介绍可帮助你进行虚拟网络规划的概念。
Azure 虚拟网络
在预配 Azure NetApp 文件卷之前,需要先创建 Azure 虚拟网络 (VNet) 或使用同一订阅中已存在的虚拟网络。 VNet 定义卷的网络边界。 有关创建虚拟网络的详细信息,请参阅 Azure 虚拟网络文档。
子网
子网将虚拟网络分段成独立的地址空间,这些地址空间可供里面的 Azure 资源使用。 Azure NetApp 文件卷包含在名为委派子网这一特殊用途的子网内。
子网委派为 Azure NetApp 文件服务提供了显式权限,以便在子网中创建服务特定的资源。 它在部署服务时会使用唯一标识符。 在这种情况下,将创建一个网络接口以实现到 Azure NetApp 文件的连接。
如果使用新的 VNet,可以按照将子网委派给 Azure NetApp 文件中的说明创建子网并将其委派给 Azure NetApp 文件。 还可以将未委派的现有的空子网委派给其他服务。
如果此 VNet 与其他 VNet 对等互连,你则不能扩展此 VNet 地址空间。 因此,需要在此 VNet 地址空间内创建新的委派子网。 如果需要扩展地址空间,则必须在扩展地址空间之前删除 VNet 对等互连。
重要
请确保 Azure NetApp 文件 VNet 的地址空间大小大于其委托的子网。
例如,如果委托子网为 /24,则包含该子网的 VNet 地址空间必须为 /23 或更大。 不遵守此准则可能会导致某些流量模式出现意外问题:经过中心辐射型拓扑的流量(通过网络虚拟设备到达 Azure NetApp 文件)无法正常工作。 此外,如果流量尝试通过中心辐射型网络拓扑到达 DNS,则此配置可能会导致创建 SMB 和 CIFS(通用 Internet 文件系统)卷失败。
此外,建议委派子网的大小至少为 /25(对于 SAP 工作负载)或 /26(对于其他工作负载方案)。
用户定义的路由 (UDR) 和网络安全组 (NSG)
如果子网包含具有标准网络功能的卷和具有基本网络功能的卷的组合,则应用于委托子网的用户定义路由 (UDR) 和网络安全组 (NSG) 仅适用于具有标准网络功能的卷。
注意
Azure NetApp 文件网络接口不支持在网络接口级别关联 NSG。
具有基本网络功能的卷不支持在带有委托子网地址前缀且下一个跃点为 NVA 的源 VM 子网上配置 UDR。 这样设置将导致连接问题。
注意
若要通过 VNet 网关(ExpressRoute 或 VPN)和防火墙从本地网络访问 Azure NetApp 文件卷,请将分配给 VNet 网关的路由表配置为包含所列 Azure NetApp 文件卷的 /32
IPv4 地址,并指向作为下一个跃点的防火墙。 使用包含 Azure NetApp 文件卷 IP 地址的聚合地址空间不会将 Azure NetApp 文件流量转发到防火墙。
注意
如果要在 VM VNet 中配置 UDR 路由,以控制发往区域性 VNet 对等 Azure NetApp 文件标准卷的数据包的路由,那么 UDR 前缀必须更具体或等于 Azure NetApp 文件卷的委托子网大小。 如果 UDR 前缀的大小大于委托子网大小,则将无效。
Azure 原生环境
下图展现了 Azure 本机环境:
本地 VNet
基本方案是从同一 VNet 中的 VM 创建或连接到 Azure NetApp 文件卷。 对于此图中的 VNet 2 而言,卷 1 是在委派子网中创建的,并且可以装入到默认子网中的 VM 1 上。
VNet 对等互连
如果同一区域中有需要访问彼此资源的其他 VNet,可以使用 VNet 对等互连来连接这些 VNet,从而通过 Azure 基础结构实现安全连接。
请考虑上图中的 VNet 2 和 VNet 3。 如果 VM 1 需要连接到 VM 2 或卷 2,或者 VM 2 需要连接到 VM 1 或卷 1,则需要在 VNet 2 和 VNet 3 之间启用 VNet 对等互连。
此外,请考虑一种方案,其中 VNet 1 与 VNet 2 对等互连,而 VNet 2 在同一区域中与 VNet 3 对等互连。 VNet 1 中的资源可以连接到 VNet 2 中的资源,但无法连接到 VNet 3 中的资源,除非 VNet 1 和 VNet 3 是对等互连的。
在上图中,尽管 VM 3 可以连接到卷 1,但 VM 4 无法连接到卷 2。 导致出现这种情况是因为辐射 VNet 不是对等互连的,并且不支持通过 VNet 对等互连实现传输路由。
全球或跨区域 VNet 对等互连
下图说明了具有跨区域 VNet 对等互连的 Azure 原生环境。
借助标准网络功能,VM 能够通过全球或跨区域 VNet 对等互连连接到另一个区域中的卷。 上图在本地 VNet 对等互连部分的配置中添加了第二个区域。 对于此示意图中的 VNet 4,Azure NetApp 文件卷是在委托子网中创建的,并且可以装载在应用程序子网中的 VM5 上。
在示意图中,区域 1 中的 VM2 可以连接到区域 2 中的卷 3。 区域 2 中的 VM5 可以通过区域 1 和区域 2 之间的 VNet 对等互连连接到区域 1 中的卷 2。
混合环境
下图展现了混合环境:
在混合方案中,本地数据中心内的应用程序需要访问 Azure 中的资源。 无论是要将数据中心扩展到 Azure,还是要使用 Azure 原生服务或进行灾难恢复,都是如此。 有关如何通过站点到站点 VPN 或 ExpressRoute 将多个资源本地连接到 Azure 中的资源的信息,请参阅 VPN 网关规划选项。
在混合中心辐射型拓扑中,Azure 中的中心 VNet 充当到本地网络的连接的中心点。 辐射是与中心对等互连的 VNet,可用于隔离工作负荷。
根据配置,可以将本地资源连接到中心和辐射中的资源。
在上面所示的拓扑中,本地网络连接到 Azure 中的中心 VNet,同一区域中有 2 个辐射 VNet 与此中心 VNet 对等互连。 在此方案中,Azure NetApp 文件卷支持的连接选项如下所示:
- 本地资源 VM 1 和 VM 2 可以通过站点到站点 VPN 或 ExpressRoute 线路连接到中心中的卷 1。
- 本地资源 VM 1 和 VM 2 可以通过站点到站点 VPN 和区域 VNet 对等互连连接到卷 2或卷 3。
- 中心 VNet 中的 VM 3 可以连接到辐射 VNet 1 中的卷 2 以及辐射 VNet 2 中的卷 3。
- 辐射 VNet 1 中的 VM 4 和辐射 VNet 2 中的 VM 5 可以连接到中心 VNet 中的卷 1。
- 辐射 VNet 1 中的 VM 4 无法连接到辐射 VNet 2 中的卷 3。 此外,辐射 VNet2 中的 VM 5 无法连接到辐射 VNet 1 中的卷 2。 这是因为辐射 VNet 不是对等互连的,并且不支持通过 VNet 对等互连实现传输路由。
- 在上述体系结构中,如果辐射 VNet 中还存在一个网关,那么此中心中通过网关从本地到 ANF 卷的连接将丢失。 按照设计,首选连接将提供给辐射 VNet 中的网关,因此只有通过该网关连接的计算机才能连接到 ANF 卷。