Freigeben über

Überprüfen des geschalteten, nicht konvergierten Bereitstellungs-Netzwerkreferenzmusters mit Zwei-Knoten-Speicher für Azure Local

Anwendbar für: Azure Local 2311.2 und spätere Versionen

In diesem Artikel erfahren Sie mehr über das geschaltete, nicht konvergierte Netzwerkreferenzmuster mit Zwei-Knoten-Speicher und zwei ToR-Switches, mit dem Sie Ihre Azure Local-Lösung bereitstellen können. Die Informationen in diesem Artikel werden Ihnen auch dabei helfen, festzustellen, ob diese Konfiguration für Ihre Einsatzplanung geeignet ist. Dieser Artikel richtet sich an die IT-Administratoren, die Azure Local in ihren Rechenzentren einsetzen und verwalten.

Informationen zu anderen Netzwerkmustern finden Sie unter Azure Local Netzwerkeinsatzmuster.

Szenarien

Zu den Szenarien für dieses Netzwerkmuster gehören Labors, Fabriken, Zweigstellen und Rechenzentren.

Setzen Sie dieses Muster ein, um die Netzwerkleistung Ihres Systems zu verbessern und wenn Sie weitere Knotenpunkte hinzufügen möchten. Die Replikation des Ost-West-Speicherdatenverkehrs beeinträchtigt den Nord-Süd-Datenverkehr für Verwaltung und Computevorgänge nicht und konkurriert nicht mit diesem. Eine logische Netzwerkkonfiguration beim Hinzufügen zusätzlicher Knoten ist bereit, ohne dass Downtime von Workloads und Änderungen der physischen Verbindung erforderlich sind. SDN L3-Dienste werden bei diesem Muster vollständig unterstützt.

Routing-Dienste wie BGP können direkt auf den TOR-Switches konfiguriert werden, wenn diese L3-Dienste unterstützen. Netzwerksicherheitsfunktionen wie Mikrosegmentierung und QoS erfordern keine zusätzliche Konfiguration auf dem Firewall-Gerät, da sie auf der Ebene der virtuellen Netzwerkadapter implementiert sind.

Physikalische Konnektivitätskomponenten

Wie im folgenden Diagramm beschrieben, besteht dieses Muster aus den folgenden physischen Netzwerkkomponenten:

  • Für nördlich und südlich ausgerichteten Datenverkehr wird das System in diesem Muster mit zwei ToR-Switches in einer MLAG-Konfiguration implementiert.

  • Zwei gepaarte Netzwerkkarten für die Verwaltung und den Rechenverkehr, die mit zwei TOR-Switches verbunden sind. Jede NIC ist mit einem anderen TOR-Switch verbunden.

  • Zwei RDMA-NICs in eigenständiger Konfiguration. Jede NIC ist mit einem anderen TOR-Switch verbunden. Die SMB-Multikanalfähigkeit bietet Pfadaggregation und Fehlertoleranz.

  • Optional können Sie eine BMC-Karte einsetzen, um die Umgebung per Fernzugriff zu verwalten. Einige Lösungen verwenden aus Sicherheitsgründen eine Headless-Konfiguration ohne BMC-Karte.

Diagramm: Layout der physischen Verbindung mit zwei Knoten ohne Switch

Netzwerke Verwaltung und Rechenleistung Lagerung BMC
Verbindungsgeschwindigkeit Mindestens 1 Gbps. 10 Gbps empfohlen Mindestens 10 Gbps Wenden Sie sich an den Hersteller der Hardware
Schnittstellentyp RJ45, SFP+ oder SFP28 SFP+ oder SFP28 RJ45
Ports und Aggregation Zwei Ports im Team Zwei Standalone-Anschlüsse Ein Anschluss

Networking ATC-Intents

Diagramm: Networking ATC-Intents mit zwei Knoten ohne Switch

Management- und Compute-Intent

  • Intent-Typ: Management und Rechenleistung
  • Intent-Modus: Cluster-Modus
  • Teamarbeit: Ja. pNIC01 und pNIC02 werden im Team verbunden.
  • Standard-Management-VLAN: Konfiguriertes VLAN für Management-Adapter wird nicht geändert
  • PA- & Compute-VLANs und vNICs: Network ATC ist transparent für PA-vNICs und VLANs oder Compute-VM-vNICs und -VLANs.

Absicht der Speicherung

  • Intent-Typ: Speicher
  • Intent-Modus: Clustermodus
  • Teaming: pNIC03 und pNIC04 verwenden SMB Multichannel, um Ausfallsicherheit und Bandbreitenaggregation zu gewährleisten
  • Standard-VLANs:
    • 711 für Speichernetzwerk 1
    • 712 für Speichernetzwerk 2
  • Standard-Subnetze:
    • 10.71.1.0/24 für Speichernetzwerk 1
    • 10.71.2.0/24 für Speichernetzwerk 2

Gehen Sie folgendermaßen vor, um Netzwerkintents für dieses Referenzmuster zu erstellen:

  1. Führen Sie PowerShell als Administrator aus.

  2. Führen Sie die folgenden Befehle aus:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

Logische Konnektivitätskomponenten

Wie im folgenden Diagramm dargestellt, besteht dieses Muster aus den folgenden logischen Netzwerkkomponenten:

Das Diagramm zeigt das Layout der physischen Konnektivität von zwei Knoten.

Speichernetzwerk VLANs

Der Storage Intent-basierte Verkehr besteht aus zwei einzelnen Netzwerken, die RDMA-Verkehr unterstützen. Jede Schnittstelle ist für ein separates Speichernetzwerk bestimmt, und beide können dasselbe VLAN-Tag verwenden.

Die Speicheradapter arbeiten in verschiedenen IP-Subnetzen. Jedes Speichernetzwerk verwendet standardmäßig die von ATC vordefinierten VLANs (711 und 712). Diese VLANs können jedoch bei Bedarf angepasst werden. Wenn das von ATC definierte Standard-Subnetz nicht verwendbar ist, sind Sie außerdem für die Zuweisung aller Speicher-IP-Adressen im System verantwortlich.

Weitere Informationen finden Sie unter Netzwerk-ATC-Übersicht.

OOB-Netzwerk

Das Out-of-Band (OOB)-Netzwerk dient zur Unterstützung der „Lights-Out”-Serververwaltungsschnittstelle, die auch als Baseboard-Verwaltungscontroller (Baseboard Management Controller, BMC) bezeichnet wird. Jede BMC-Schnittstelle ist mit einem vom Kunden bereitgestellten Switch verbunden. Der BMC wird für die Automatisierung von PXE-Boot-Szenarien verwendet.

Das Verwaltungsnetzwerk benötigt Zugriff auf die BMC-Schnittstelle über das Intelligent Platform Management Interface (IPMI) User Datagram Protocol (UDP) Port 623.

Das OOB-Netzwerk ist von den Computer-Workloads isoliert und ist optional für nicht lösungsbasierte Implementierungen.

Verwaltungs-VLAN

Alle physischen Compute-Hosts benötigen Zugriff auf das logische Verwaltungsnetzwerk. Für die IP-Adressplanung muss jedem physischen Compute-Host mindestens eine IP-Adresse aus dem logischen Verwaltungsnetzwerk zugewiesen werden.

Ein DHCP-Server kann automatisch IP-Adressen für das Verwaltungsnetzwerk zuweisen, oder Sie können statische IP-Adressen manuell zuweisen. Wenn DHCP die bevorzugte IP-Zuweisungsmethode ist, empfehlen wir Ihnen, DHCP-Reservierungen ohne Ablaufdatum zu verwenden.

Das Verwaltungsnetzwerk unterstützt die folgenden VLAN-Konfigurationen:

  • Natives VLAN – Sie müssen keine VLAN-IDs angeben. Dies ist für lösungsbasierte Installationen erforderlich.

  • Tagged-VLAN – Sie liefern die VLAN-IDs zum Zeitpunkt der Bereitstellung.

Das Verwaltungsnetzwerk unterstützt den gesamten Datenverkehr, der für die Verwaltung des Clusters verwendet wird, einschließlich Remote Desktop, Windows Admin Center und Active Directory.

Weitere Informationen finden Sie unter Planen einer SDN-Infrastruktur: Verwaltung und HNV-Anbieter.

VLANs berechnen

In einigen Szenarien müssen Sie keine SDN Virtual Networks mit Virtual Extensible LAN (VXLAN)-Kapselung verwenden. Stattdessen können Sie herkömmliche VLANs verwenden, um Ihre Mandanten-Workloads zu isolieren. Diese VLANs werden auf dem Port des TOR-Switches im Trunk-Modus konfiguriert. Wenn Sie neue VMs mit diesen VLANs verbinden, wird das entsprechende VLAN-Tag auf dem virtuellen Netzwerkadapter definiert.

HNV Provider Address (PA) Netzwerk

Das HNV PA-Netzwerk (Hyper-V Network Virtualization Provider Address) dient als zugrunde liegendes physisches Netzwerk für den Ost-West-Datenverkehr (intern) der Mandanten, den Nord-Süd-Datenverkehr (extern) der Mandanten und für den Austausch von BGP-Peeringinformationen mit dem physischen Netzwerk. Dieses Netzwerk ist nur dann erforderlich, wenn virtuelle Netzwerke mit VXLAN-Kapselung bereitgestellt werden müssen, um für eine weitere Schicht der Isolierung und Mehrinstanzenfähigkeit des Netzwerks zu sorgen.

Weitere Informationen finden Sie unter Planen einer SDN-Infrastruktur: Verwaltung und HNV-Anbieter.

Optionen für die Netzwerkisolation

Die folgenden Optionen zur Netzwerkisolierung werden unterstützt:

VLANs (IEEE 802.1Q)

VLANs ermöglichen es, dass Geräte, die getrennt gehalten werden müssen, die Verkabelung eines physischen Netzwerks gemeinsam nutzen können und dennoch daran gehindert werden, direkt miteinander zu interagieren. Diese verwaltete gemeinsame Nutzung führt zu einer Vereinfachung, mehr Sicherheit, einfacherer Datenverkehrserwaltung und mehr Wirtschaftlichkeit. Ein VLAN kann zum Beispiel verwendet werden, um den Datenverkehr innerhalb eines Unternehmens auf der Grundlage einzelner Benutzer oder Benutzergruppen oder ihrer Rollen oder auf der Grundlage von Datenverkehrseigenschaften zu trennen. Viele Internet-Hosting-Dienste verwenden VLANs, um private Zonen voneinander zu trennen, so dass die Server eines jeden Kunden in einem einzigen Netzwerksegment zusammengefasst werden können, unabhängig davon, wo sich die einzelnen Server im Rechenzentrum befinden. Es sind einige Vorsichtsmaßnahmen erforderlich, um zu verhindern, dass der Datenverkehr aus einem bestimmten VLAN "entweicht", was auch als VLAN-Hopping bekannt ist.

Weitere Informationen finden Sie unter Verstehen Sie die Verwendung von virtuellen Netzwerken und VLANs.

Standard-Netzwerkzugangsrichtlinien und Mikrosegmentierung

Standard-Netzwerkzugriffsrichtlinien sorgen dafür, dass alle virtuellen Rechner (VMs) in Ihrem Azure Stack HCI-Cluster standardmäßig vor externen Bedrohungen geschützt sind. Mit diesen Richtlinien blockieren wir standardmäßig den eingehenden Zugriff auf eine VM und bieten gleichzeitig die Möglichkeit, selektiv eingehende Ports zu aktivieren und so die VMs vor externen Angriffen zu schützen. Diese Durchsetzung ist über Verwaltungstools wie Windows Admin Center möglich.

Bei der Mikrosegmentierung werden granulare Netzwerkrichtlinien zwischen Anwendungen und Diensten erstellt. Dadurch wird der Sicherheitsumfang im Wesentlichen auf einen Zaun um jede Anwendung oder VM reduziert. Dieser Zaun lässt nur die notwendige Kommunikation zwischen Anwendungsebenen oder anderen logischen Grenzen zu. Dadurch wird es für Cyber-Bedrohungen äußerst schwierig, sich seitlich von einem System auf ein anderes auszubreiten. Mikrosegmentierung isoliert Netzwerke sicher voneinander und reduziert die gesamte Angriffsfläche eines Netzwerksicherheitsvorfalls.

Standardmäßige Netzwerkzugriffsrichtlinien und Mikrosegmentierung werden als zustandsbehaftete (Quelladresspräfix, Quellport, Zieladresspräfix, Zielport und Protokoll) Firewallregeln mit fünf Tupeln in Azure Stack HCI-Clustern realisiert. Firewall-Regeln werden auch als Netzwerksicherheitsgruppen (NSGs) bezeichnet. Diese Richtlinien werden am vSwitch-Port der einzelnen VMs durchgesetzt. Die Richtlinien werden durch die Verwaltungsebene gepusht, und der SDN Network Controller verteilt sie an alle entsprechenden Hosts. Diese Richtlinien sind für VMs in herkömmlichen VLAN-Netzwerken und in SDN-Overlay-Netzwerken verfügbar.

Weitere Informationen finden Sie unter Was ist eine Datacenter Firewall?.  

QoS für VM-Netzwerkadapter

Sie können Quality of Service (QoS) für einen VM-Netzwerkadapter konfigurieren, um die Bandbreite auf einer virtuellen Schnittstelle zu begrenzen und so zu verhindern, dass eine VM mit hohem Datenverkehr mit anderen VM-Netzwerken in Konflikt gerät. Sie können QoS auch so konfigurieren, dass eine bestimmte Bandbreitenmenge für eine VM reserviert wird, um sicherzustellen, dass die VM unabhängig von anderem Datenverkehr im Netzwerk Daten senden kann. Diese Konfiguration kann sowohl auf an herkömmliche VLANs angeschlossene VMs als auch auf an SDN-Überlagerungsnetzwerke angeschlossene VMs angewendet werden.

Weitere Informationen finden Sie unter Konfigurieren Sie QoS für einen VM-Netzwerkadapter.

Virtuelle Netzwerke

Die Netzwerkvirtualisierung stellt virtuelle Netzwerke für VMs bereit, ähnlich wie die Servervirtualisierung (Hypervisor) VMs für das Betriebssystem bereitstellt. Die Netzwerkvirtualisierung entkoppelt virtuelle Netzwerke von der physischen Netzwerkinfrastruktur und beseitigt die Beschränkungen der VLAN- und hierarchischen IP-Adresszuweisung bei der Bereitstellung von VMs. Diese Flexibilität erleichtert Ihnen den Wechsel zu (Infrastructure-as-a-Service) IaaS-Clouds und ist für Hoster und Rechenzentrumsadministratoren effizient bei der Verwaltung ihrer Infrastruktur und der Aufrechterhaltung der erforderlichen mandantenübergreifenden Isolierung, der Sicherheitsanforderungen und der überlappenden VM-IP-Adressen.

Weitere Informationen finden Sie unter Hyper-V Netzwerkvirtualisierung.

Optionen für L3-Netzwerkdienste

Die folgenden L3-Netzwerkdienstoptionen sind verfügbar:

Peering in virtuellen Netzwerken

Mit dem Peering virtueller Netzwerke können Sie zwei virtuelle Netzwerke nahtlos verbinden. Nach dem Peering werden die virtuellen Netzwerke zu Konnektivitätszwecken als ein Netzwerk angezeigt. Die Verwendung von VNET-Peering bietet unter anderem folgende Vorteile:

  • Der Datenverkehr zwischen VMs in den virtuellen Netzwerken mit Peer-Rechten wird über die Backbone-Infrastruktur nur über private IP-Adressen geleitet. Die Kommunikation zwischen den virtuellen Netzwerken erfordert kein öffentliches Internet oder Gateways.
  • Niedrige Latenz, Verbindung mit hoher Bandbreite zwischen Ressourcen in unterschiedlichen virtuellen Netzwerken
  • Die Möglichkeit zur Kommunikation für Ressourcen in einem virtuellen Netzwerk mit Ressourcen in einem anderen virtuellen Netzwerk.
  • Keine Downtime für Ressourcen in beiden virtuellen Netzwerken beim Erstellen des Peerings

Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.

SDN-Software-Lastausgleicher

Cloud Service Provider (CSPs) und Unternehmen, die Software Defined Networking (SDN) einsetzen, können Software Load Balancer (SLB) verwenden, um den Netzwerkverkehr ihrer Kunden gleichmäßig auf die virtuellen Netzwerkressourcen zu verteilen. SLB ermöglicht es Ihnen, mehrere Server zum Hosten derselben Workload zu aktivieren, um hohe Verfügbarkeit und Skalierbarkeit bereitzustellen. Es wird auch verwendet, um eingehende NAT-Dienste (Network Address Translation) für den eingehenden Zugriff auf VMs und ausgehende NAT-Dienste für die ausgehende Konnektivität bereitzustellen.

Mit SLB können Sie Ihre Load-Balancing-Fähigkeiten skalieren, indem Sie SLB-VMs auf denselben Hyper-V-Compute-Servern einsetzen, die Sie auch für Ihre anderen VM-Workloads verwenden. SLB unterstützt die bedarfsgesteuerte schnelle Erstellung und Löschung von Lastenausgleichsendpunkten für CSP-Vorgänge. Darüber hinaus unterstützt SLB Zehntausende Gigabyte pro Cluster, bietet ein einfaches Modell für den Bereitstellungsprozess und kann einfach auf- und abskaliert werden. Beim SLB wird das Border Gateway Protocol verwendet, um dem physischen Netzwerk virtuelle IP-Adressen anzukündigen.

Weitere Informationen finden Sie unter Was ist SLB für SDN?

SDN-VPN-Gateways

SDN Gateway ist ein softwarebasierter Border Gateway Protocol (BGP)-fähiger Router, der für CSPs und Unternehmen entwickelt wurde, die mandantenfähige virtuelle Netzwerke mit Hyper-V Network Virtualization (HNV) hosten. Sie können RAS-Gateways verwenden, um Netzwerkdatenverkehr zwischen einem virtuellen Netzwerk und einem anderen Netzwerk (lokal oder remote) weiterzuleiten.

SDN Gateway kann verwendet werden, um:

  • Erstellen sicherer Site-to-Site-IPsec-Verbindungen zwischen virtuellen SDN-Netzwerken und externen Kundennetzwerken über das Internet

  • Erstellen von GRE-Verbindungen (Generic Routing Encapsulation) zwischen virtuellen SDN-Netzwerken und externen Netzwerken. Der Unterschied zwischen Site-to-Site-Verbindungen und GRE-Verbindungen besteht darin, dass es sich bei letzteren nicht um eine verschlüsselte Verbindung handelt.

    Weitere Informationen zu GRE-Konnektivitätsszenarien finden Sie unter GRE-Tunneling in Windows Server 2016.

  • Erstellen Sie Layer 3 (L3) Verbindungen zwischen virtuellen SDN-Netzwerken und externen Netzwerken. In diesem Fall fungiert das SDN-Gateway einfach als Router zwischen Ihrem virtuellen Netzwerk und dem externen Netzwerk.

SDN Gateway erfordert SDN Network Controller. Network Controller führt die Einrichtung von Gateway-Pools durch, konfiguriert die Verbindungen der Mandanten auf jedem Gateway und leitet den Netzwerkverkehr auf ein Standby-Gateway um, wenn ein Gateway ausfällt.

Von Gateways wird das Border Gateway Protocol verwendet, um GRE-Endpunkte anzukündigen und Point-to-Point-Verbindungen herzustellen. Bei der SDN-Bereitstellung wird ein Standardgatewaypool erstellt, der alle Verbindungstypen unterstützt. Innerhalb dieses Pools können Sie angeben, wie viele Gateways im Standby für den Fall vorgehalten werden sollen, dass ein aktives Gateway ausfällt.

Weitere Informationen finden Sie unter Was ist RAS Gateway for SDN?

Nächste Schritte

Erfahren Sie mehr über das Zweiknoten-Speicher-Switching, vollständig konvergierte Netzwerkmuster.