適用於 Azure NetApp Files 網路方案的指導方針
網路架構規劃是設計任何應用程式基礎結構的要素。 本文可協助設計有效的網路架構,讓工作負載能夠利用 Azure NetApp Files 的豐富功能。
Azure NetApp Files 磁碟區設計成要包含在 Azure 虛擬網路內稱為委派子網路的特殊用途子網路中。 因此,您可以透過虛擬網路 (VNet) 對等互連,或透過 虛擬網絡 閘道從內部部署直接存取磁碟區(ExpressRoute 或 VPN 閘道)。 此子網路會專用於 Azure NetApp Files,且不會連線到網際網路。
所有已啟用 Azure NetApp Files 的區域都支援在新的磁碟區上設定標準網路功能,以及修改現有磁碟區的網路功能。
可設定的網路功能
您可以建立新的磁碟區或修改現有的磁碟區,以使用 標準 或 基本 網路功能。 如需詳細資訊,請參閱設定網路功能。
考量
在規劃 Azure NetApp Files 網路時,您應該了解一些考量。
限制
下表說明每個網路功能設定支援的項目:
| 功能 | 標準網路功能 | 基本網路功能 |
|---|---|---|
| 在 Azure NetApp Files 主機 VNet 中存取磁碟區的 IP 數目 (包括立即對等互連的 VNet) | 與虛擬機器相同的標準限制(VM) | 1000 |
| 每個 VNet 的 Azure NetApp Files 委派子網路 | 1 | 1 |
| Azure NetApp Files 委派子網路上的網路安全性群組 (NSG) | 是 | No |
| Azure NetApp Files 委派子網路上的使用者定義路由 (UDR) | 是 | No |
| 對私人端點的連線能力 | 是* | No |
| 服務端點的連線能力 | 是 | No |
| Azure NetApp Files 介面上的 Azure 原則 (例如,自訂命名原則) | No | No |
| Azure NetApp Files 流量的負載平衡器 | No | No |
| 雙重堆疊 (IPv4 和 IPv6) VNet | 否 (僅支援 IPv4) |
否 (僅支援 IPv4) |
| 從對等互連 VNet 透過 NVA 路由傳送的流量 | 是 | No |
* Azure NetApp Files 客戶自控金鑰不支援將私人連結子網路上的 Azure 網路安全性群組套用至 Azure Key Vault。 除非在子網路上啟用私人端點網路規則,否則網路安全性群組不會影響對 Private Link 的連線。 建議停用此選項。
支援的網路拓撲
下表描述 Azure NetApp Files 的各網路功能設定所支援的網路拓撲。
| 拓撲 | 標準網路功能 | 基本網路功能 |
|---|---|---|
| 連線到本機 VNet 的磁碟區 | Yes | Yes |
| 連線到對等互連 VNet (相同區域) 的磁碟區 | Yes | Yes |
| 連線到對等互連 VNet (跨區域或全域對等互連) 的磁碟區 | 是* | No |
| 透過 ExpressRoute 閘道,連線到磁碟區 | Yes | Yes |
| ExpressRoute (ER) FastPath | 是 | No |
| 透過 ExpressRoute 閘道和使用閘道傳輸的 VNet 對等互連,從內部部署連線到輪輻 VNet 的磁碟區 | Yes | Yes |
| 透過 VPN 閘道,從內部部署連線到輪輻 VNet 的磁碟區 | Yes | Yes |
| 透過 VPN 閘道和使用閘道傳輸的 VNet 對等互連,從內部部署連線到輪輻 VNet 的磁碟區 | Yes | Yes |
| 透過主動/被動 VPN 閘道連線的能力 | Yes | Yes |
| 透過主動/主動 VPN 閘道連線的能力 | 是 | No |
| 透過主動/主動區域備援閘道連線的能力 | 是 | No |
| 透過主動/被動區域備援閘道連線的能力 | Yes | Yes |
| 透過虛擬 WAN (VWAN) 連線的能力 | 是 | No |
* 此選項會對使用虛擬網路對等互連連線的輸入和輸出流量收取費用。 如需詳細資訊,請參閱虛擬網路價格。 如需更多一般資訊,請參閱虛擬網路對等互連。
Azure NetApp Files 磁碟區的虛擬網路
本節說明可協助進行虛擬網路規劃的概念。
Azure 虛擬網路
佈建 Azure NetApp Files 磁碟區之前,您需要建立 Azure 虛擬網路 (VNet),或使用已存在於相同訂用帳戶中的虛擬網路。 VNet 會定義磁碟區的網路界限。 如需建立虛擬網路的詳細資訊,請參閱 Azure 虛擬網路文件。
子網路
子網路會將虛擬網路分割成不同的位址空間,以供其中的 Azure 資源使用。 Azure NetApp Files 磁碟區包含在稱為委派子網路的特殊用途子網路中。
子網路委派提供明確的權限給 Azure NetApp Files 服務,以在子網路中建立服務特定資源。 其使用唯一識別碼來部署服務。 在此情況下,會建立網路介面來啟用與 Azure NetApp Files 的連線。
如果使用新的 VNet,則可遵循將子網路委派至 Azure NetApp Files 中的指示,以建立子網路並將子網路委派給 Azure NetApp Files。 您也可以委派並未委派給其他服務的現有空白子網路。
如果 VNet 與另一個 VNet 對等互連,會無法擴充 VNet 位址空間。 因此,必須在 VNet 位址空間內建立新的委派子網路。 如果需要擴充位址空間,則必須先刪除 VNet 對等互連,再擴充位址空間。
重要
確定 Azure NetApp Files VNet 的位址空間大小大於其委派子網路。
例如,如果委派子網路是 /24,則包含子網路的 VNet 位址空間必須是 /23 或更大。 不符合此指導方針可能會導致某些流量模式發生非預期的問題:周遊中樞和輪輻拓撲 (透過網路虛擬設備到達 Azure NetApp Files) 的流量無法正常運作。 此外,如果這些設定嘗試透過中樞和輪輻網路拓撲連線到 DNS,則建立 SMB 和 CIFS (Common Internet File System) 磁碟區時,可能會導致失敗。
針對 SAP 工作負載,也建議委派子網路的大小最少為 /25,而其他工作負載案例則為 /26。
使用者定義的路由 (UDR) 和網路安全組 (NSG)
如果子網路包含具有 [標準] 與 [基本] 網路功能的磁碟區組合,則委派子網路上套用的使用者定義路由 (UDR) 和網路安全性群組 (NSG) 只會套用至具有 [標準] 網路功能的磁碟區。
注意
Azure NetApp Files 網路介面不支援在網路介面層級建立 NSG 關聯。
在來源 VM 子網路上設定具有委派子網路位址首碼和下一個躍點的 UDR,因為具有 [基本] 網路功能的磁碟區不支援 NVA。 這類設定會導致連線問題。
注意
若要透過 VNet 閘道 (ExpressRoute 或 VPN) 和防火牆從內部部署網路存取 Azure NetApp Files 磁碟區,請將指派給 VNet 閘道的路由表設定為包含 /32 列出的 Azure NetApp Files 磁碟區 IPv4 位址,並指向防火牆作為下一個躍點。 使用包含 Azure NetApp Files 磁碟區 IP 位址的彙總位址空間,不會將 Azure NetApp Files 流量轉送至防火牆。
注意
若要在 VM VNet 中設定 UDR 路由,以控制目的地為區域 VNet 對等互連 Azure NetApp Files 標準磁碟區的封包路由,則 UDR 前置詞必須更為具體或等於 Azure NetApp Files 磁碟區的委派子網路大小。 如果 UDR 前置詞的大小大於委派子網路大小,則不會生效。
Azure 原生環境
下圖說明 Azure 原生環境:
本機 VNet
基本案例是從相同 VNet 中的 VM 建立或連線到 Azure NetApp Files 磁碟區。 針對圖表中的 VNet 2,磁碟區 1 是在委派子網路中建立,且可掛接在預設子網路的 VM 1 上。
VNet 對等互連
如果在相同區域中有其他的 VNet 需要存取彼此資源,則可使用 VNet 對等互連連線到 VNet,以啟用透過 Azure 基礎結構的安全連線。
請考慮上圖中的 VNet 2 和 VNet 3。 如果 VM 1 需要連線到 VM 2 或磁碟區 2,或 VM 2 需要連線到 VM 1 或磁碟區 1,則需要啟用 VNet 2 與 VNet 3 之間的 VNet 對等互連。
此外,請考量一個案例: VNet 1 與 VNet 2 對等互連,而 VNet 2 與相同區域中的 VNet 3 對等互連。 VNet 1 中資源可連線到 VNet 2 中的資源,但無法連線到 VNet 3 中的資源,除非 VNet 1 與 VNet 3 對等互連。
在上圖中,雖然 VM 3 可連線到磁碟區 1,但 VM 4 無法連線到磁碟區 2。 這是因為輪輻 VNet 未對等互連,因此「不支援透過 VNet 對等互連進行傳輸路由」。
全域或跨區域 VNet 對等互連
下圖說明具有跨區域 VNet 對等互連的 Azure 原生環境。
透過標準網路功能,VM 可透過全域或跨區域 VNet 對等互連,連線到另一個區域中的磁碟區。 上圖將第二個區域新增本機 VNet 對等互連區段中的設定。 在此圖表中,VNet 4 會在委派子網路中建立 Azure NetApp Files 磁碟區,而且可以在應用程式子網路的 VM5 上掛接。
在圖表中,區域 1 中的 VM2 可以連線到區域 2 中的磁碟區 3。 區域 2 中的 VM5 可以透過區域 1 與區域 2 之間的 VNet 對等互連,連線到區域 1 中的磁碟區 2。
混合式環境
下圖說明混合式環境:
在混合式案例中,來自內部部署資料中心的應用程式需要存取 Azure 中資源。 無論您想要將資料中心延伸至 Azure,或想要使用 Azure 原生服務或進行災害復原,都是如此。 如需如何透過站對站 VPN 或 ExpressRoute 將多個內部部署資源連線到 Azure 中資源的資訊,請參閱 VPN 閘道規劃選項。
在混合式中樞輪輻拓撲內,Azure 的中樞 VNet 會作為內部部署網路的連線中心點。 輪輻是與中樞對等互連的 VNet,且其可用於隔離工作負載。
視設定而定,您可將內部部署資源連線到中樞和輪輻內的資源。
在上述拓撲中,內部部署網路已連線到 Azure 的中樞 VNet,且相同區域中有 2 個輪輻 VNet 與中樞 VNet 對等互連。 在此案例中,Azure NetApp Files 磁碟區支援的連線選項如下所示:
- 內部部署資源 VM 1 和 VM 2 可透過站對站 VPN 或 ExpressRoute 線路來連線到中樞的磁碟區 1。
- 內部部署資源 VM 1 和 VM 2 可透過站對站 VPN 和區域 VNet 對等互連來連線到磁碟區 2 或磁碟區 3。
- 中樞 VNet 中 VM 3 可連線到輪輻 VNet 1 的磁碟區 2,以及輪輻 VNet 2 的磁碟區 3。
- 輪輻 VNet 1 中 VM 4 和輪輻 VNet 2 中 VM 5 可連線到中樞 VNet 的磁碟區 1。
- 輪輻 VNet 1 中 VM 4 無法連線到輪輻 VNet 2 的磁碟區 3。 此外,輪輻 VNet2 中 VM 5 無法連線到輪輻 VNet 1 的磁碟區 2。 這是因為輪輻 VNet 未對等互連,因此「不支援透過 VNet 對等互連進行傳輸路由」。
- 在上述架構中,如果輪輻 VNet 中也有閘道,則從透過中樞內閘道連線的內部部署到 ANF 磁碟區連線將會遺失。 根據設計,會偏好使用輪輻 VNet 的閘道,因此只有透過該閘道連線的電腦才能連線到 ANF 磁碟區。