Plánování integrace sítě pro Azure Stack Hub

Tento článek obsahuje informace o síťové infrastruktuře služby Azure Stack Hub, které vám pomůžou rozhodnout, jak nejlépe integrovat službu Azure Stack Hub do stávajícího síťového prostředí.

Poznámka

Pokud chcete přeložit externí názvy DNS ze služby Azure Stack Hub (například www.bing.com), musíte zadat servery DNS pro předávání požadavků DNS. Další informace o požadavcích DNS služby Azure Stack Hub najdete v tématu Integrace datacentra služby Azure Stack Hub – DNS.

Návrh fyzické sítě

Řešení Azure Stack Hub vyžaduje odolnou a vysoce dostupnou fyzickou infrastrukturu, která podporuje její provoz a služby. K integraci služby Azure Stack Hub do sítě vyžaduje odesílání z přepínačů Top-of-Rack (ToR) na nejbližší přepínač nebo směrovač, který se v této dokumentaci označuje jako Border. Tors je možné propojit s jedním nebo párem ohraničení. ToR je předkonfigurovaný naším automatizačním nástrojem, při použití směrování protokolu BGP a minimálně dvou připojení (jeden na toR) mezi toR a ohraničením při použití statického směrování očekává minimálně jedno připojení mezi toR a ohraničením s maximálním počtem čtyř připojení na obou možnostech směrování. Tato připojení jsou omezená na média SFP+ nebo SFP28 a minimálně jednu GB rychlost. Obraťte se na výrobce hardwaru výrobce OEM (Original Equipment Manufacturer) a požádejte ho o dostupnost. Následující diagram znázorňuje doporučený návrh:

Recommended Azure Stack network design

Přidělení šířky pásma

Azure Stack Hub je sestavený pomocí technologií s podporou převzetí služeb při selhání Windows Serveru 2019 s podporou převzetí služeb při selhání a Prostorů s přímým přístupem. Část konfigurace fyzické sítě služby Azure Stack Hub se provádí s využitím oddělení provozu a záruk šířky pásma, aby komunikace úložiště s Prostory s přímým přístupem splňovala výkon a škálování požadovaného řešení. Konfigurace sítě používá třídy provozu k oddělení komunikace s Prostory s přímým přístupem, RDMA od využití sítě infrastrukturou služby Azure Stack Hub a/nebo tenantem. V souladu s aktuálními osvědčenými postupy definovanými pro Windows Server 2019 se azure Stack Hub mění tak, aby používala další třídu provozu nebo prioritu k dalšímu oddělení komunikace mezi servery v podpoře komunikace řízení clusteringu s podporou převzetí služeb při selhání. Tato nová definice třídy provozu se nakonfiguruje tak, aby si rezervovala 2 % dostupné fyzické šířky pásma. Tato třída provozu a konfigurace rezervace šířky pásma se provádí změnou přepínačů řešení Azure Stack Hub (Top-of-Rack) a na hostitelích nebo serverech služby Azure Stack Hub. Upozorňujeme, že na hraničních síťových zařízeních zákazníka se nevyžadují změny. Tyto změny poskytují lepší odolnost komunikace clusteru s podporou převzetí služeb při selhání a jsou určeny k tomu, aby se zabránilo situacím, kdy je šířka pásma sítě plně využitá a v důsledku toho dojde k narušení řídicích zpráv clusteru s podporou převzetí služeb při selhání. Mějte na paměti, že komunikace s clusterem s podporou převzetí služeb při selhání je důležitou součástí infrastruktury služby Azure Stack Hub a v případě přerušení po dlouhou dobu může vést k nestabilitě služeb úložiště Spaces s přímým přístupem nebo jiných služeb, které nakonec ovlivní stabilitu úloh tenanta nebo koncového uživatele.

Poznámka

Popsané změny se přidají na úrovni hostitele systému Azure Stack Hub ve verzi 2008. Obraťte se na OEM a uspořádejte požadované změny v síťových přepínačích ToR. Tuto změnu toR je možné provést před aktualizací na verzi 2008 nebo po aktualizaci na verzi 2008. Změna konfigurace přepínačů ToR je nutná ke zlepšení komunikace clusteru s podporou převzetí služeb při selhání.

Logické sítě

Logické sítě představují abstrakci základní fyzické síťové infrastruktury. Používají se k uspořádání a zjednodušení přiřazování sítě pro hostitele, virtuální počítače a služby. V rámci vytváření logické sítě se vytvoří síťové lokality, které definují virtuální místní sítě (VLAN), podsítě IP a páry podsítě IP nebo sítě VLAN přidružené k logické síti v jednotlivých fyzických umístěních.

Následující tabulka uvádí logické sítě a přidružené rozsahy podsítí IPv4, pro které je potřeba naplánovat:

Logická síť Description Velikost
Veřejná VIRTUÁLNÍ IP adresa Azure Stack Hub používá celkem 31 adres z této sítě a zbytek používají virtuální počítače tenanta. Z 31 adres se pro malou sadu služeb Azure Stack Hub používá 8 veřejných IP adres. Pokud plánujete používat App Service a poskytovatele prostředků SQL, použije se 7 dalších adres. Zbývajících 16 IP adres je rezervováno pro budoucí služby Azure. /26 (62 hostitelů) – /22 (1022 hostitelů)

Doporučeno = /24 (254 hostitelů)
Přepnout infrastrukturu IP adresy typu point-to-point pro účely směrování, vyhrazená rozhraní pro správu přepínačů a adresy zpětné smyčky přiřazené k přepínači. /26
Infrastruktura Používá se ke komunikaci interních komponent služby Azure Stack Hub. /24
Privátní Používá se pro síť úložiště, privátní IP adresy, kontejnery infrastruktury a další interní funkce. Další podrobnosti najdete v části Privátní síť v tomto článku. /20
Řadič BMC Používá se ke komunikaci s řadiči pro správu základní desky na fyzických hostitelích. /26

Poznámka

Upozornění na portálu operátorovi připomene, aby spustil rutinu PEP Set-AzsPrivateNetwork a přidal nový prostor privátní IP adresy /20. Další informace a pokyny k výběru prostoru privátních IP adres /20 najdete v části Privátní síť v tomto článku.

Síťová infrastruktura

Síťová infrastruktura služby Azure Stack Hub se skládá z několika logických sítí, které jsou nakonfigurované na přepínačích. Následující diagram znázorňuje tyto logické sítě a způsob jejich integrace s přepínači to-top-of-rack (TOR), řadiče pro správu základní desky (BMC) a hraničních přepínačů (síť zákazníka).

Logical network diagram and switch connections

Síť řadiče pro správu základní desky

Tato síť je vyhrazená pro připojení všech řadičů pro správu základní desky (označovaných také jako řadiče pro správu základní desky nebo procesory služeb) k síti pro správu. Mezi příklady patří: iDRAC, iLO, iBMC atd. Ke komunikaci s libovolným uzlem řadiče pro správu základní desky se používá jenom jeden účet řadiče pro správu základní desky. V případě přítomnosti se hostitel životního cyklu hardwaru (HLH) nachází v této síti a může poskytovat software specifický pro OEM pro údržbu hardwaru nebo monitorování.

HLH také hostuje virtuální počítač pro nasazení (DVM). DVM se používá během nasazování služby Azure Stack Hub a po dokončení nasazení se odebere. DVM vyžaduje přístup k internetu ve scénářích připojeného nasazení k testování, ověřování a přístupu k více komponentám. Tyto komponenty můžou být uvnitř a mimo vaši podnikovou síť (například NTP, DNS a Azure). Další informace o požadavcích na připojení najdete v části NAT v integraci brány firewall služby Azure Stack Hub.

Privátní síť

Tato síť /20 (4096 IP adres) je soukromá pro oblast Služby Azure Stack Hub (nesměruje se mimo hraniční přepínače zařízení systému Azure Stack Hub) a je rozdělená do několika podsítí, tady je několik příkladů:

  • Storage síť: Síť /25 (128 IP adres) používaná k podpoře používání provozu úložiště Spaces Direct a Server Message Block (SMB) a migrace virtuálních počítačů za provozu.
  • Interní virtuální IP síť: Síť /25 vyhrazená interním virtuálním IP adresám pro nástroj pro vyrovnávání zatížení softwaru.
  • Kontejnerová síť: Síť /23 (512 IP adres) vyhrazená pro interní provoz mezi kontejnery, na kterých běží služby infrastruktury.

Systém Služby Azure Stack Hub vyžaduje další privátní interní prostor IP adres /20. Tato síť bude privátní pro systém Azure Stack Hub (nesměruje se mimo hraniční přepínače zařízení systému Azure Stack Hub) a je možné ji znovu použít v několika systémech Služby Azure Stack Hub v rámci vašeho datacentra. I když je síť privátní pro Azure Stack, nesmí se překrývat s jinými sítěmi v datacentru. Prostor privátníCH IP adres /20 je rozdělený do několika sítí, které umožňují spouštění infrastruktury služby Azure Stack Hub v kontejnerech. Kromě toho tento nový prostor privátních IP adres umožňuje průběžné úsilí snížit požadovaný směrovatelný prostor IP adres před nasazením. Cílem spuštění infrastruktury služby Azure Stack Hub v kontejnerech je optimalizovat využití a zvýšit výkon. Kromě toho se prostor privátníCH IP adres /20 používá také k zajištění průběžného úsilí, které sníží požadovaný směrovatelný prostor IP adres před nasazením. Pokyny k prostoru privátních IP adres doporučujeme postupovat podle dokumentu RFC 1918.

Pro systémy nasazené před 1910 bude tato podsíť /20 další sítí, kterou bude možné zadat do systémů po aktualizaci na verzi 1910. Další síť bude potřeba poskytnout systému prostřednictvím rutiny Set-AzsPrivateNetwork PEP.

Poznámka

Vstup /20 slouží jako předpoklad pro další aktualizaci služby Azure Stack Hub po roce 1910. Pokud se další aktualizace služby Azure Stack Hub po vydání verze 1910 a pokusíte se ji nainstalovat, aktualizace se nezdaří, pokud jste nedokončili vstup /20, jak je popsáno v následujících krocích nápravy. Na portálu pro správu se zobrazí upozornění, dokud se nedokončí výše uvedené kroky nápravy. V článku integrace sítě datacenter se dozvíte, jak bude tento nový privátní prostor spotřebovávat.

Nápravné kroky: Nápravu opravíte podle pokynů a otevřete relaci PEP. Připravte privátní interní rozsah IP adres /20 a spusťte následující rutinu v relaci PEP pomocí následujícího příkladu: Set-AzsPrivateNetwork -UserSubnet 10.87.0.0/20. Pokud se operace úspěšně provede, zobrazí se zpráva Azs Internal Network range added to the config. Pokud se úspěšně dokončilo, výstraha se zavře na portálu pro správu. Systém Azure Stack Hub se teď může aktualizovat na další verzi.

Síť infrastruktury služby Azure Stack Hub

Tato síť /24 je vyhrazená pro interní komponenty služby Azure Stack Hub, aby mohly komunikovat a vyměňovat si data mezi sebou. Tuto podsíť lze směrovat externě z řešení Služby Azure Stack Hub do vašeho datacentra. Nedoporučujeme používat veřejné nebo internetové směrovatelné IP adresy v této podsíti. Tato síť se inzeruje na ohraničení, ale většina IP adres je chráněna seznamy Access Control (ACL). IP adresy povolené pro přístup jsou v malém rozsahu ekvivalentní síti /27 a hostitelským službám, jako je privilegovaný koncový bod (PEP) a Azure Stack Hub Backup.

Veřejná virtuální IP síť

Veřejná virtuální ip adresa je přiřazená k síťovému adaptéru ve službě Azure Stack. Není to logická síť na přepínači. SLB používá fond adres a přiřazuje sítě /32 pro úlohy tenanta. Ve směrovací tabulce přepínače se tyto IP adresy /32 inzerují jako dostupná trasa prostřednictvím protokolu BGP. Tato síť obsahuje externí nebo veřejné IP adresy. Infrastruktura služby Azure Stack Hub si vyhrazuje prvních 31 adres z této veřejné virtuální ip sítě, zatímco zbytek používá virtuální počítače tenanta. Velikost sítě v této podsíti může být v rozsahu od minimálně /26 (64 hostitelů) až po maximálně /22 (1022 hostitelů). Doporučujeme naplánovat síť /24.

Připojení k místním sítím

Azure Stack Hub používá virtuální sítě pro prostředky zákazníků, jako jsou virtuální počítače, nástroje pro vyrovnávání zatížení a další.

Existuje několik různých možností připojení z prostředků uvnitř virtuální sítě k místním nebo podnikovým prostředkům:

  • Použijte veřejné IP adresy z veřejné virtuální IP sítě.
  • Použijte bránu Virtual Network nebo síťové virtuální zařízení (NVA).

Když se tunel VPN S2S používá k připojení prostředků k místním sítím nebo z místních sítí, můžete narazit na scénář, ve kterém má prostředek přiřazenou také veřejnou IP adresu a už není dostupný přes tuto veřejnou IP adresu. Pokud se zdroj pokusí o přístup k veřejné IP adrese, spadá do stejného rozsahu podsítě, který je definovaný v trasách brány místní sítě (Virtual Network Brána) nebo trasy definované uživatelem pro řešení síťového virtuálního zařízení, azure Stack Hub se pokusí směrovat odchozí provoz zpět ke zdroji prostřednictvím tunelu S2S na základě nakonfigurovaných pravidel směrování. Návratový provoz používá privátní IP adresu virtuálního počítače místo zdrojového překladu adres (NAT) jako veřejnou IP adresu:

Route traffic

Existují dvě řešení tohoto problému:

  • Směrujte provoz směrovaný do veřejné virtuální ip adresy na internet.
  • Přidejte zařízení NAT do překladu adres (NAT) jakékoli IP adresy podsítě definované v bráně místní sítě, která je směrovaná do veřejné virtuální sítě.

Route traffic solution

Přepnout síť infrastruktury

Tato síť /26 je podsíť, která obsahuje směrovatelné IP adresy typu point-to-point /30 (dvě IP adresy hostitele) a zpětné smyčky, které jsou vyhrazené podsítě /32 pro správu přepínačů v pásmu a ID směrovače protokolu BGP. Tento rozsah IP adres musí být směrovatelný mimo řešení Služby Azure Stack Hub do vašeho datacentra. Můžou to být soukromé nebo veřejné IP adresy.

Síť pro správu přepínačů

Tato síť /29 (šest IP adres hostitele) je vyhrazená pro připojení portů pro správu přepínačů. Umožňuje vzdálený přístup k nasazení, správě a řešení potíží. Počítá se ze sítě infrastruktury přepínače uvedené výše.

Povolené sítě

List nasazení obsahuje pole, které operátorovi umožňuje změnit seznam řízení přístupu (ACL), aby umožnil přístup k rozhraním pro správu síťových zařízení a hostiteli životního cyklu hardwaru (HLH) z důvěryhodného rozsahu sítě datacentra. Díky změně seznamu řízení přístupu může operátor povolit virtuálním počítačům jumpbox pro správu v rámci konkrétního rozsahu sítě přístup k rozhraní pro správu přepínačů, operačnímu systému HLH a řadiči pro správu HLH. Operátor může do tohoto seznamu zadat jednu nebo více podsítí, pokud ponecháte prázdné, ve výchozím nastavení odepře přístup. Tato nová funkce nahrazuje potřebu ručního zásahu po nasazení, protože se používá k popisu v části Upravit konkrétní nastavení v konfiguraci přepínače služby Azure Stack Hub.

Další kroky