Projděte si referenční vzor sítě pro přepnulé a nekonvergované nasazení úložiště se dvěma uzly pro Azure Stack HCI.

  • Článek

Platí pro: Azure Stack HCI verze 23H2 a 22H2

V tomto článku se dozvíte o referenčním vzoru sítě se dvěma přepínači TOR úložiště se dvěma uzly, který můžete použít k nasazení řešení Azure Stack HCI. Informace v tomto článku vám také pomůžou určit, jestli je tato konfigurace schůdná pro vaše potřeby plánování nasazení. Tento článek je určený správcům IT, kteří nasazují a spravují Azure Stack HCI ve svých datacentrech.

Informace o dalších vzorech sítě najdete v tématu Vzory nasazení sítě Azure Stack HCI.

Scénáře

Scénáře pro tento síťový model zahrnují laboratoře, továrny, pobočky a zařízení datacenter.

Nasazením tohoto modelu zvýšíte výkon sítě vašeho systému a pokud plánujete přidat další uzly. East-West replikace provozu úložiště nebude narušovat provoz mezi severem a jihem vyhrazený pro správu a výpočetní prostředky ani s tím nebude soupeřit. Konfigurace logické sítě při přidávání dalších uzlů je připravená bez nutnosti výpadku úloh nebo změn fyzického připojení. V tomto modelu se plně podporují služby SDN L3.

Směrovací služby, jako je BGP, je možné nakonfigurovat přímo na přepínačích TOR, pokud podporují služby L3. Funkce zabezpečení sítě, jako je mikrosegmentace a QoS, nevyžadují na zařízení brány firewall další konfiguraci, protože jsou implementované ve vrstvě virtuálního síťového adaptéru.

Komponenty fyzického připojení

Jak je popsáno v následujícím diagramu, má tento model následující komponenty fyzické sítě:

  • V případě provozu směřujícího na sever/jih se cluster v tomto vzoru implementuje se dvěma přepínači TOR v konfiguraci MLAG.

  • Dvě seskupené síťové karty pro zpracování provozu správy a výpočetního provozu připojeného ke dvěma přepínačům TOR. Každá síťová karta je připojená k jinému přepínači TOR.

  • Dvě síťové karty RDMA v samostatné konfiguraci Každá síťová karta je připojená k jinému přepínači TOR. Funkce SMB Multichannel poskytuje agregaci cest a odolnost proti chybám.

  • Nasazení můžou obsahovat kartu řadiče pro správu základní desky, která umožňuje vzdálenou správu prostředí. Některá řešení můžou kvůli zabezpečení používat bezobrátovou konfiguraci bez karty řadiče pro správu základní desky.

Diagram znázorňující rozložení fyzického připojení se dvěma uzly bez přepínače

Sítě Správa a výpočetní prostředky Storage Řadič BMC
Rychlost propojení Alespoň 1 Gb/s. Doporučuje se 10 Gb/s. Minimálně 10 Gb/s Obraťte se na výrobce hardwaru.
Typ rozhraní RJ45, SFP+ nebo SFP28 SFP+ nebo SFP28 RJ45
Porty a agregace Dva seskupené porty Dva samostatné porty Jeden port

Záměry ATC sítě

Diagram znázorňující záměry síťového ATC se dvěma uzly bez přepínače

Záměr správy a výpočtů

  • Typ záměru: Správa a výpočetní prostředky
  • Režim záměru: Režim clusteru
  • Seskupování: Ano. pNIC01 a pNIC02 jsou seskupené
  • Výchozí síť VLAN pro správu: Nakonfigurovaná síť VLAN pro adaptéry pro správu se nezmění.
  • PA & výpočetních sítí VLAN a vNIC: Síťové ATC je transparentní pro virtuální síťové adaptéry a virtuální sítě VLAN nebo výpočetní virtuální počítače vNI a VLAN.

Záměr úložiště

  • Typ záměru: Úložiště
  • Režim záměru: Režim clusteru
  • Seskupování: PNIC03 a pNIC04 používají smb Multichannel k zajištění odolnosti a agregace šířky pásma
  • Výchozí sítě VLAN:
    • 711 pro síť úložiště 1
    • 712 pro síť úložiště 2
  • Výchozí podsítě:
    • 10.71.1.0/24 pro síť úložiště 1
    • 10.71.2.0/24 pro síť úložiště 2

Pokud chcete vytvořit záměry sítě pro tento referenční vzor, postupujte následovně:

  1. Spusťte PowerShell jako správce.

  2. Spusťte následující příkazy:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

Součásti logického připojení

Jak je znázorněno v následujícím diagramu, má tento model následující součásti logické sítě:

Diagram znázorňující rozložení fyzického připojení se dvěma uzly

Sítě VLAN sítě úložiště

Provoz založený na záměru úložiště se skládá ze dvou samostatných sítí podporujících provoz RDMA. Každé rozhraní je vyhrazené pro samostatnou síť úložiště a obě můžou používat stejnou značku sítě VLAN.

Adaptéry úložiště fungují v různých podsítích PROTOKOLU IP. Každá síť úložiště ve výchozím nastavení používá předdefinované sítě VLAN ATC (711 a 712). Tyto sítě VLAN je však možné v případě potřeby přizpůsobit. Kromě toho platí, že pokud výchozí podsíť definovaná atc není použitelná, zodpovídáte za přiřazení všech IP adres úložiště v clusteru.

Další informace najdete v tématu Přehled síťového ATC.

Síť OOB

Síť OOB (Out of Band) je vyhrazená pro podporu rozhraní pro správu serverů se světly, označované také jako řadič pro správu základní desky (BMC). Každé rozhraní řadiče pro správu základní desky se připojuje k přepínači dodanému zákazníkem. Řadič pro správu základní desky se používá k automatizaci scénářů spouštění pomocí technologie PXE.

Síť pro správu vyžaduje přístup k rozhraní řadiče pro správu základní desky pomocí portu 623 protokolu UDP (Intelligent Platform Management Interface).

Síť OOB je izolovaná od výpočetních úloh a pro nasazení, která nejsou založená na řešení, je volitelná.

Správa sítě VLAN

Všichni hostitelé fyzických výpočetních prostředků vyžadují přístup k logické síti pro správu. Pro plánování IP adres musí mít každý fyzický hostitel výpočetních prostředků přiřazenou alespoň jednu IP adresu z logické sítě pro správu.

Server DHCP může automaticky přiřazovat IP adresy pro síť pro správu nebo můžete statické IP adresy přiřadit ručně. Pokud je upřednostňovanou metodou přiřazování IP adres DHCP, doporučujeme používat rezervace DHCP bez vypršení platnosti.

Síť pro správu podporuje následující konfigurace sítě VLAN:

  • Nativní síť VLAN – ID sítí VLAN nemusíte zadávat. To se vyžaduje u instalací založených na řešeních.

  • Označená síť VLAN – ID sítí VLAN zadáte v době nasazení.

Síť pro správu podporuje veškerý provoz používaný ke správě clusteru, včetně vzdálené plochy, Windows Admin Center a služby Active Directory.

Další informace najdete v tématu Plánování infrastruktury SDN: Správa a poskytovatel Virtualizace sítě Hyper-V.

Výpočetní sítě VLAN

V některých scénářích nemusíte používat virtuální sítě SDN s zapouzdřením virtuální rozšiřitelné sítě LAN (VXLAN). Místo toho můžete k izolaci úloh tenanta použít tradiční sítě VLAN. Tyto sítě VLAN jsou nakonfigurované na portu přepínače TOR v režimu trunk. Při připojování nových virtuálních počítačů k těmto sítím VLAN se na virtuálním síťovém adaptéru definuje odpovídající značka sítě VLAN.

Síť adresy poskytovatele HNV (PA)

Síť poskytovatele (PA) virtualizace sítě Hyper-V (HNV) slouží jako základní fyzická síť pro přenosy tenantů z východu a západu (interních) klientů, přenosy klientů ze severu a jihu (externě–interní) a k výměně informací o partnerském vztahu protokolu BGP s fyzickou sítí. Tato síť se vyžaduje pouze v případě, že je potřeba nasadit virtuální sítě pomocí zapouzdření VXLAN pro jinou vrstvu izolace a pro víceklientskou architekturu sítě.

Další informace najdete v tématu Plánování infrastruktury SDN: Správa a poskytovatel Virtualizace sítě Hyper-V.

Možnosti izolace sítě

Podporují se následující možnosti izolace sítě:

Sítě VLAN (IEEE 802.1Q)

Sítě VLAN umožňují zařízením, která musí být oddělená, aby sdílela kabeláž fyzické sítě, a přesto jim není zabráněno v přímé interakci. Toto spravované sdílení přináší výhody v oblasti jednoduchosti, zabezpečení, řízení provozu a úspory. Síť VLAN je například možné použít k oddělení provozu v rámci firmy na základě jednotlivých uživatelů nebo skupin uživatelů nebo jejich rolí nebo na základě charakteristik provozu. Mnoho služeb pro hostování internetu používá sítě VLAN k oddělení privátních zón mezi sebou, což umožňuje seskupit servery jednotlivých zákazníků do jednoho segmentu sítě bez ohledu na to, kde se jednotlivé servery v datacentru nacházejí. Aby se zabránilo "úniku" provozu z dané sítě VLAN, je potřeba provést určitá opatření. Jde o zneužití známé jako přeskakování v síti VLAN.

Další informace najdete v tématu Vysvětlení využití virtuálních sítí a sítí VLAN.

Výchozí zásady přístupu k síti a mikrosegmentace

Výchozí zásady přístupu k síti zajišťují, že všechny virtuální počítače v clusteru Azure Stack HCI jsou ve výchozím nastavení zabezpečené před externími hrozbami. Pomocí těchto zásad ve výchozím nastavení zablokujeme příchozí přístup k virtuálnímu počítači a zároveň poskytneme možnost povolit selektivní příchozí porty a tím zabezpečit virtuální počítače před externími útoky. Toto vynucování je k dispozici prostřednictvím nástrojů pro správu, jako je Windows Admin Center.

Mikrosegmentace zahrnuje vytváření podrobných zásad sítě mezi aplikacemi a službami. Tím se v podstatě zmenšuje bezpečnostní perimetr na plot kolem každé aplikace nebo virtuálního počítače. Tento plot umožňuje pouze nezbytnou komunikaci mezi aplikačními vrstvami nebo jinými logickými hranicemi, a proto je mimořádně obtížné pro kybernetické hrozby laterálně rozšířit jeden systém do druhého. Mikrosegmentace bezpečně izoluje sítě od sebe navzájem a snižuje prostor pro útoky incidentu zabezpečení sítě.

Výchozí zásady přístupu k síti a mikrosegmentace se v clusterech Azure Stack HCI realizují jako stavová pravidla brány firewall s pěti řazenými kolekcemi členů (předpona zdrojové adresy, zdrojový port, předpona cílové adresy, cílový port a protokol). Pravidla brány firewall se označují také jako skupiny zabezpečení sítě (NSG). Tyto zásady se vynucují na portu vSwitch každého virtuálního počítače. Zásady se prosadí přes vrstvu správy a síťový adaptér SDN je distribuuje všem příslušným hostitelům. Tyto zásady jsou dostupné pro virtuální počítače v tradičních sítích VLAN a v překryvných sítích SDN.

Další informace najdete v tématu Co je brána firewall datacentra?.  

QoS pro síťové adaptéry virtuálních počítačů

Pro síťový adaptér virtuálního počítače můžete nakonfigurovat technologii QoS (Quality of Service), abyste omezili šířku pásma virtuálního rozhraní a zabránili tak virtuálnímu počítači, který má velký provoz, aby se potýkal s jiným síťovým provozem virtuálních počítačů. QoS můžete také nakonfigurovat tak, aby si vyhraily určitou šířku pásma pro virtuální počítač, aby se zajistilo, že virtuální počítač bude moct odesílat provoz bez ohledu na jiný provoz v síti. To se dá použít pro virtuální počítače připojené k tradičním sítím VLAN i virtuální počítače připojené k překryvovým sítím SDN.

Další informace najdete v tématu Konfigurace QoS pro síťový adaptér virtuálního počítače.

Virtuální sítě

Virtualizace sítě poskytuje virtuální sítě virtuálním počítačům podobně jako virtualizace serverů (hypervisor) poskytuje virtuální počítače operačnímu systému. Virtualizace sítě odděluje virtuální sítě od fyzické síťové infrastruktury a odstraňuje omezení sítě VLAN a hierarchického přiřazování IP adres při zřizování virtuálních počítačů. Tato flexibilita usnadňuje přechod do cloudů IaaS (infrastruktura jako služba) a je efektivní pro hostitele a správce datacenter při správě infrastruktury a udržování nezbytné izolace více tenantů, požadavků na zabezpečení a překrývajících se IP adres virtuálních počítačů.

Další informace najdete v tématu Virtualizace sítě Hyper-V.

Možnosti síťových služeb L3

K dispozici jsou následující možnosti síťové služby L3:

Peering virtuálních sítí

Peering virtuálních sítí umožňuje bezproblémové propojení dvou virtuálních sítí. Po navázání partnerského vztahu se virtuální sítě pro účely připojení zobrazují jako jedna síť. Mezi výhody použití partnerských vztahů virtuálních sítí patří:

  • Provoz mezi virtuálními počítači v partnerských virtuálních sítích se směruje přes páteřní infrastrukturu pouze přes privátní IP adresy. Komunikace mezi virtuálními sítěmi nevyžaduje veřejný internet ani brány.
  • Nízká latence a velká šířka pásma při propojení prostředků v různých virtuálních sítích.
  • Schopnost prostředků v jedné virtuální síti komunikovat s prostředky v jiné virtuální síti.
  • Při vytváření partnerského vztahu nedojde k výpadku prostředků v žádné virtuální síti.

Další informace najdete v tématu Partnerský vztah virtuálních sítí.

Nástroj pro vyrovnávání zatížení softwaru SDN

Poskytovatelé cloudových služeb (CSP) a podniky, které nasazují softwarově definované sítě (SDN), můžou používat software Load Balancer (SLB) k rovnoměrné distribuci síťového provozu zákazníků mezi prostředky virtuální sítě. SLB umožňuje více serverům hostovat stejnou úlohu a poskytuje vysokou dostupnost a škálovatelnost. Používá se také k poskytování příchozích služeb překladu adres (NAT) pro příchozí přístup k virtuálním počítačům a odchozích služeb NAT pro odchozí připojení.

S nástrojem SLB můžete škálovat možnosti vyrovnávání zatížení pomocí virtuálních počítačů SLB na stejných výpočetních serverech Hyper-V, které používáte pro jiné úlohy virtuálních počítačů. Nástroj pro vyrovnávání zatížení podporuje rychlé vytváření a odstraňování koncových bodů vyrovnávání zatížení podle potřeby pro operace CSP. Kromě toho nástroj SLB podporuje desítky gigabajtů na cluster, poskytuje jednoduchý model zřizování a dá se snadno škálovat na více a více instancí. SLB používá k inzerování virtuálních IP adres do fyzické sítě protokol Border Gateway Protocol .

Další informace najdete v tématu Co je SLB pro SDN?

Brány VPN SDN

SDN Gateway je softwarový směrovač podporující protokol BGP (Border Gateway Protocol) určený pro poskytovatele cloudových služeb a podniky hostující virtuální sítě s více tenanty pomocí virtualizace sítě Hyper-V (HNV). Pomocí brány RAS můžete směrovat síťový provoz mezi virtuální sítí a jinou sítí, ať už místní, nebo vzdálenou.

SDN Gateway se dá použít k:

  • Vytvořte zabezpečená připojení site-to-site IPsec mezi virtuálními sítěmi SDN a sítěmi externích zákazníků přes internet.

  • Vytvořte připojení GRE (Generic Routing Encapsulation) mezi virtuálními sítěmi SDN a externími sítěmi. Rozdíl mezi připojeními site-to-site a připojením GRE spočívá v tom, že druhé připojení není šifrované připojení.

    Další informace o scénářích připojení GRE najdete v tématu Tunelování GRE ve Windows Serveru.

  • Vytvoření připojení vrstvy 3 (L3) mezi virtuálními sítěmi SDN a externími sítěmi V takovém případě brána SDN jednoduše funguje jako směrovač mezi vaší virtuální sítí a externí sítí.

Brána SDN vyžaduje síťový adaptér SDN. Síťový adaptér provádí nasazení fondů bran, konfiguruje připojení klientů na každé bráně a přepíná toky síťového provozu na pohotovostní bránu, pokud brána selže.

Brány používají protokol Border Gateway Protocol k inzerování koncových bodů GRE a navazování připojení typu point-to-point. Nasazení SDN vytvoří výchozí fond bran, který podporuje všechny typy připojení. V rámci tohoto fondu můžete určit, kolik bran je rezervovaných v pohotovostním režimu pro případ, že dojde k selhání aktivní brány.

Další informace najdete v tématu Co je brána RAS pro SDN?

Další kroky

Seznamte se se vzorem plně konvergované sítě úložiště se dvěma uzly.