Projděte si vzor referenčních informací o síťovém nasazení úložiště se dvěma uzly se dvěma uzly pro Azure Stack HCI.

  • Článek

Platí pro: Azure Stack HCI verze 23H2 a 22H2

V tomto článku se dozvíte o bezpínacím úložišti se dvěma přepínači TOR L3, které můžete použít k nasazení řešení Azure Stack HCI. Informace v tomto článku vám také pomohou určit, jestli je tato konfigurace schůdná pro vaše potřeby plánování nasazení. Tento článek je určený správcům IT, kteří nasazují a spravují Azure Stack HCI ve svých datacentrech.

Informace o dalších vzorech sítě najdete v tématu Vzory nasazení sítě Azure Stack HCI.

Scénáře

Scénáře pro tento model sítě zahrnují laboratoře, pobočky a zařízení datacenter.

Zvažte implementaci tohoto modelu při hledání nákladově efektivního řešení, které má odolnost proti chybám napříč všemi komponentami sítě. Model je možné škálovat na více instancí, ale vyžaduje výpadek úlohy, aby se překonfiguruje fyzické připojení úložiště a rekonfigurace sítě úložiště. V tomto modelu se plně podporují služby SDN L3. Směrovací služby, jako je BGP, je možné nakonfigurovat přímo na přepínačích TOR, pokud podporují služby L3. Funkce zabezpečení sítě, jako je mikrosegmentace a QoS, nevyžadují pro zařízení brány firewall další konfiguraci, protože jsou implementované ve vrstvě virtuálního síťového adaptéru.

Komponenty fyzického připojení

Jak je znázorněno v následujícím diagramu, má tento model následující součásti fyzické sítě:

  • Pro provoz směřující na sever/jih vyžaduje cluster v konfiguraci MLAG dva přepínače TOR.

  • Dvě seskupené síťové karty pro správu a výpočetní provoz a připojené k přepínačům TOR. Každá síťová karta je připojená k jinému přepínači TOR.

  • Dvě síťové karty RDMA v konfiguraci celé sítě pro East-West přenosy úložiště. Každý uzel v clusteru má redundantní připojení k druhému uzlu v clusteru.

  • Některá řešení můžou z bezpečnostních důvodů používat bezobrátovou konfiguraci bez karty řadiče pro správu základní desky.

Sítě Správa a výpočetní prostředky Storage Řadič BMC
Rychlost propojení Alespoň 1 GB/s. Doporučuje se 10 GB/s. Alespoň 10 GB/s Obraťte se na výrobce hardwaru.
Typ rozhraní RJ45, SFP+ nebo SFP28 SFP+ nebo SFP28 RJ45
Porty a agregace Dva seskupené porty Dva samostatné porty Jeden port

Diagram znázorňující rozložení fyzického připojení se dvěma uzly bez přepínače

Záměry ATC sítě

Pro bezpínací vzory úložiště se dvěma uzly se vytvoří dva záměry Síťové ATC. První pro správu a výpočetní síťový provoz a druhý pro provoz úložiště.

Diagram znázorňující záměry síťového ATC se dvěma uzly bez přepínače

Záměr správy a výpočtů

  • Typ záměru: Správa a výpočty
  • Režim záměru: Režim clusteru
  • Seskupování: Ano. Tým pNIC01 a pNIC02
  • Výchozí síť VLAN pro správu: Nakonfigurovaná síť VLAN pro adaptéry pro správu se nezmění.
  • PA & výpočetní virtuální místní sítě a síťové adaptéry: Síťové ATC je transparentní pro virtuální síťové adaptéry a virtuální sítě VLAN nebo výpočetní virtuální počítače

Záměr úložiště

  • Typ záměru: Úložiště
  • Režim záměru: Režim clusteru
  • Seskupování: PNIC03 a pNIC04 používají smb Multichannel k zajištění odolnosti a agregace šířky pásma
  • Výchozí sítě VLAN:
    • 711 pro síť úložiště 1
    • 712 pro síť úložiště 2
  • Výchozí podsítě:
    • 10.71.1.0/24 pro síť úložiště 1
    • 10.71.2.0/24 pro síť úložiště 2

Další informace najdete v tématu Nasazení sítě hostitele.

Pokud chcete vytvořit záměry sítě pro tento referenční vzor, postupujte následovně:

  1. Spusťte PowerShell jako správce.

  2. Spusťte následující příkaz:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

Součásti logického připojení

Jak je znázorněno v následujícím diagramu, má tento model následující součásti logické sítě:

Diagram znázorňující rozložení fyzického připojení s jedním uzlem bez přepínače

Sítě VLAN sítě úložiště

Provoz založený na záměru úložiště se skládá ze dvou samostatných sítí podporujících provoz RDMA. Každé rozhraní je vyhrazené pro samostatnou síť úložiště a obě můžou sdílet stejnou značku sítě VLAN. Tento provoz je určen pouze pro přenos mezi těmito dvěma uzly. Provoz úložiště je privátní síť bez připojení k jiným prostředkům.

Adaptéry úložiště fungují v různých podsítích PROTOKOLU IP. Pokud chcete povolit konfiguraci bez přepínače, musí každý připojený uzel vytvořit odpovídající podsíť svého souseda. Každá síť úložiště ve výchozím nastavení používá předdefinované sítě VLAN síťového ATC (711 a 712). Tyto sítě VLAN je možné v případě potřeby přizpůsobit. Kromě toho platí, že pokud výchozí podsíť definovaná atc není použitelná, zodpovídáte za přiřazení všech IP adres úložiště v clusteru.

Další informace najdete v tématu Přehled síťového ATC.

Síť OOB

Síť OOB (Out of Band) je vyhrazená pro podporu rozhraní pro správu serverů se světly, označované také jako řadič pro správu základní desky (BMC). Každé rozhraní řadiče pro správu základní desky se připojuje k přepínači dodanému zákazníkem. Řadič pro správu základní desky se používá k automatizaci scénářů spouštění pomocí technologie PXE.

Síť pro správu vyžaduje přístup k rozhraní řadiče pro správu základní desky pomocí portu 623 protokolu UDP (Intelligent Platform Management Interface).

Síť OOB je izolovaná od výpočetních úloh a pro nasazení, která nejsou založená na řešení, je volitelná.

Správa sítě VLAN

Všichni hostitelé fyzických výpočetních prostředků vyžadují přístup k logické síti pro správu. Pro plánování IP adres musí mít každý fyzický hostitel výpočetních prostředků přiřazenou alespoň jednu IP adresu z logické sítě pro správu.

Server DHCP může automaticky přiřazovat IP adresy pro síť pro správu nebo můžete statické IP adresy přiřadit ručně. Pokud je upřednostňovanou metodou přiřazování IP adres DHCP, doporučujeme používat rezervace DHCP bez vypršení platnosti.

Síť pro správu podporuje následující konfigurace sítě VLAN:

  • Nativní síť VLAN – ID sítí VLAN nemusíte zadávat. To se vyžaduje u instalací založených na řešeních.

  • Označená síť VLAN – ID sítí VLAN zadáte v době nasazení.

Síť pro správu podporuje veškerý provoz používaný ke správě clusteru, včetně vzdálené plochy, Windows Admin Center a služby Active Directory.

Další informace najdete v tématu Plánování infrastruktury SDN: Správa a poskytovatel Virtualizace sítě Hyper-V.

Výpočetní sítě VLAN

V některých scénářích nemusíte používat virtuální sítě SDN s zapouzdřením virtuální rozšiřitelné sítě LAN (VXLAN). Místo toho můžete k izolaci úloh tenanta použít tradiční sítě VLAN. Tyto sítě VLAN jsou nakonfigurované na portu přepínače TOR v režimu trunk. Při připojování nových virtuálních počítačů k těmto sítím VLAN se na virtuálním síťovém adaptéru definuje odpovídající značka sítě VLAN.

Adresa poskytovatele sítě HNV (PA)

Síť s adresou zprostředkovatele virtualizace sítě Hyper-V (HNV) slouží jako základní fyzická síť pro provoz tenanta – východ/západ (interní interní), provoz tenanta sever/jih (externí-interní) a pro výměnu informací o partnerském vztahu protokolu BGP s fyzickou sítí. Tato síť se vyžaduje pouze v případě, že je potřeba nasadit virtuální sítě pomocí zapouzdření sítě VXLAN pro jinou vrstvu izolace a pro víceklientskou síť.

Další informace najdete v tématu Plánování infrastruktury SDN: Správa a poskytovatel HNV.

Možnosti izolace sítě

Podporují se následující možnosti izolace sítě:

Sítě VLAN (IEEE 802.1Q)

Sítě VLAN umožňují zařízením, která musí být oddělená, aby sdílela kabeláž fyzické sítě, a přesto se jim brání v přímé interakci. Toto spravované sdílení přináší výhody v jednoduchosti, zabezpečení, řízení provozu a hospodárnosti. Síť VLAN je například možné použít k oddělení provozu v rámci firmy na základě jednotlivých uživatelů nebo skupin uživatelů nebo jejich rolí nebo na základě charakteristik provozu. Mnoho internetových hostingových služeb používá sítě VLAN k oddělení privátních zón od sebe, což umožňuje seskupit servery jednotlivých zákazníků do jednoho síťového segmentu bez ohledu na to, kde se jednotlivé servery v datacentru nacházejí. K tomu, aby se zabránilo úniku provozu z dané sítě VLAN, které se označuje jako skákání přes síť VLAN, jsou nutná určitá opatření.

Další informace najdete v tématu Vysvětlení použití virtuálních sítí a sítí VLAN.

Výchozí zásady přístupu k síti a mikrosegmentace

Výchozí zásady přístupu k síti zajišťují, že všechny virtuální počítače v clusteru Azure Stack HCI jsou ve výchozím nastavení zabezpečené před externími hrozbami. Pomocí těchto zásad ve výchozím nastavení zablokujeme příchozí přístup k virtuálnímu počítači a zároveň poskytneme možnost povolit selektivní příchozí porty a tím zabezpečit virtuální počítače před externími útoky. Toto vynucování je k dispozici prostřednictvím nástrojů pro správu, jako je Windows Admin Center.

Mikrosegmentace zahrnuje vytváření podrobných síťových zásad mezi aplikacemi a službami. Tím se v podstatě zmenšuje bezpečnostní perimetr kolem každé aplikace nebo virtuálního počítače. Toto ohraničení umožňuje pouze nezbytnou komunikaci mezi aplikačními vrstvami nebo jinými logickými hranicemi, což výrazně ztěžuje rozšíření kybernetických hrozb z jednoho systému do druhého. Mikrosegmentace od sebe bezpečně izoluje sítě a snižuje celkový prostor útoku incidentu zabezpečení sítě.

Výchozí zásady přístupu k síti a mikrosegmentace se v clusterech Azure Stack HCI realizují jako stavová pravidla brány firewall s pěti řazenými kolekcemi členů (předpona zdrojové adresy, zdrojový port, předpona cílové adresy, cílový port a protokol). Pravidla brány firewall se označují také jako skupiny zabezpečení sítě (NSG). Tyto zásady se vynucují na portu vSwitch každého virtuálního počítače. Zásady se předávají prostřednictvím vrstvy správy a síťový adaptér SDN je distribuuje všem příslušným hostitelům. Tyto zásady jsou k dispozici pro virtuální počítače v tradičních sítích VLAN a v překryvných sítích SDN.

Další informace najdete v tématu Co je brána firewall datacentra?.  

QoS pro síťové adaptéry virtuálních počítačů

Pro síťový adaptér virtuálního počítače můžete nakonfigurovat technologii QoS (Quality of Service), abyste omezili šířku pásma virtuálního rozhraní a zabránili tak virtuálnímu počítači s vysokým provozem v boji s jiným síťovým provozem virtuálních počítačů. QoS můžete také nakonfigurovat tak, aby si pro virtuální počítač rezervovali určitou šířku pásma a zajistili tak, že virtuální počítač může odesílat provoz bez ohledu na jiný provoz v síti. To se dá použít u virtuálních počítačů připojených k tradičním sítím VLAN i virtuálních počítačů připojených k překryvné síti SDN.

Další informace najdete v tématu Konfigurace technologie QoS pro síťový adaptér virtuálního počítače.

Virtuální sítě

Virtualizace sítě poskytuje virtuální sítě virtuálním počítačům podobně jako virtualizace serveru (hypervisor) poskytuje virtuální počítače operačnímu systému. Virtualizace sítě odděluje virtuální sítě od fyzické síťové infrastruktury a odstraňuje omezení sítě VLAN a hierarchického přiřazování IP adres při zřizování virtuálních počítačů. Tato flexibilita usnadňuje přechod do cloudů IaaS (infrastruktura jako služba) a je efektivní pro hostitele a správce datacenter při správě infrastruktury a udržování nezbytné izolace více tenantů, požadavků na zabezpečení a překrývajících se IP adres virtuálních počítačů.

Další informace najdete v tématu Virtualizace sítě Hyper-V.

Možnosti síťových služeb L3

K dispozici jsou následující možnosti síťové služby L3:

Peering virtuálních sítí

Partnerský vztah virtuálních sítí umožňuje bezproblémově propojit dvě virtuální sítě. Po navázání partnerského vztahu se virtuální sítě pro účely připojení zobrazí jako jedna. Mezi výhody použití partnerských vztahů virtuálních sítí patří:

  • Provoz mezi virtuálními počítači v partnerských virtuálních sítích se směruje přes páteřní infrastrukturu pouze přes privátní IP adresy. Komunikace mezi virtuálními sítěmi nevyžaduje veřejný internet ani brány.
  • Nízká latence a velká šířka pásma při propojení prostředků v různých virtuálních sítích.
  • Schopnost prostředků v jedné virtuální síti komunikovat s prostředky v jiné virtuální síti.
  • Při vytváření partnerského vztahu nedojde k výpadku prostředků v žádné virtuální síti.

Další informace najdete v tématu Partnerský vztah virtuálních sítí.

Nástroj pro vyrovnávání zatížení softwaru SDN

Poskytovatelé cloudových služeb (CSP) a podniky, které nasazují softwarově definované sítě (SDN), můžou používat software Load Balancer (SLB) k rovnoměrné distribuci síťového provozu zákazníků mezi prostředky virtuální sítě. SLB umožňuje více serverům hostovat stejnou úlohu a poskytuje vysokou dostupnost a škálovatelnost. Používá se také k poskytování příchozích služeb překladu adres (NAT) pro příchozí přístup k virtuálním počítačům a odchozích služeb NAT pro odchozí připojení.

Pomocí SLB můžete škálovat možnosti vyrovnávání zatížení pomocí virtuálních počítačů SLB na stejných výpočetních serverech Hyper-V, které používáte pro jiné úlohy virtuálních počítačů. SLB podporuje rychlé vytváření a odstraňování koncových bodů vyrovnávání zatížení podle potřeby pro operace CSP. Kromě toho SLB podporuje desítky gigabajtů na cluster, poskytuje jednoduchý model zřizování a snadno se škáluje na více a více instancí. Nástroj SLB používá k inzerování virtuálních IP adres do fyzické sítě protokol Border Gateway Protocol .

Další informace najdete v tématu Co je SLB pro SDN?

Brány VPN SDN

SDN Gateway je softwarový směrovač podporující protokol BGP (Border Gateway Protocol) určený pro poskytovatele CSP a podniky, které hostují virtuální sítě s více tenanty pomocí virtualizace sítě Hyper-V (HNV). Pomocí brány RAS můžete směrovat síťový provoz mezi virtuální sítí a jinou sítí, místní nebo vzdálenou.

Bránu SDN můžete použít k:

  • Vytvořte zabezpečená připojení site-to-site IPsec mezi virtuálními sítěmi SDN a sítěmi externích zákazníků přes internet.

  • Vytvořte připojení GRE (Generic Routing Encapsulation) mezi virtuálními sítěmi SDN a externími sítěmi. Rozdíl mezi připojeními site-to-site a připojením GRE spočívá v tom, že toto připojení není šifrované připojení.

    Další informace o scénářích připojení GRE najdete v tématu Tunelování GRE ve Windows Serveru.

  • Vytvořte připojení vrstvy 3 (L3) mezi virtuálními sítěmi SDN a externími sítěmi. V tomto případě brána SDN jednoduše funguje jako směrovač mezi virtuální sítí a externí sítí.

Brána SDN vyžaduje síťový adaptér SDN. Síťový adaptér provádí nasazení fondů bran, konfiguruje připojení tenantů na každé bráně a v případě selhání brány přepne toky síťového provozu na pohotovostní bránu.

Brány používají protokol Border Gateway Protocol k inzerování koncových bodů GRE a navazování připojení typu point-to-point. Nasazení SDN vytvoří výchozí fond bran, který podporuje všechny typy připojení. V tomto fondu můžete určit, kolik bran je rezervovaných v pohotovostním režimu v případě selhání aktivní brány.

Další informace najdete v tématu Co je brána RAS pro SDN?

Další kroky

Seznamte se se vzorem bezpínacího úložiště se dvěma uzly a jedním přepínačem.