Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anwendbar für: Azure Local 2311.2 und spätere Versionen
In diesem Artikel wird das Netzwerkreferenzmuster mit Zwei-Knoten-Speicher ohne Switch mit einem einzelnen ToR-Switch beschrieben, das Sie zum Bereitstellen Ihrer Azure Local-Lösung verwenden können. Die Informationen in diesem Artikel helfen Ihnen auch dabei, zu bestimmen, ob diese Konfiguration für Ihre Bereitstellungsplanungsbedürfnisse geeignet ist. Dieser Artikel richtet sich an die IT-Administratoren, die Azure Local in ihren Rechenzentren bereitstellen und verwalten.
Informationen zu anderen Netzwerkmustern finden Sie unter Azure Local network deployment patterns.
Szenarien
Szenarien für dieses Netzwerkmuster umfassen Labore, Zuordnungsinstanzen, Retail Stores und Verwaltungseinrichtungen.
Betrachten Sie dieses Muster für eine kostengünstige Lösung, die Fehlertoleranz auf Systemebene beinhaltet, aber Unterbrechungen der Nord-Süd-Konnektivität tolerieren kann, wenn der einzelne physische Switch ausfällt oder gewartet werden muss.
Hinweis
Denken Sie daran, dass Skalierungsvorgänge für lokale Azure-Bereitstellungen mit switchlosem Speicher nicht unterstützt werden. Um einen zusätzlichen Knoten hinzuzufügen, stellen Sie den Cluster erneut bereit, da Sie die physische Speicherkonnektivität und die Speichernetzwerke neu konfigurieren müssen.
Physikalische Konnektivitätskomponenten
Wie in dem folgenden Diagramm gezeigt, umfasst dieses Muster die folgenden physischen Netzwerkkomponenten:
Einzelner TOR-Schalter für die Kommunikation des Nord-Süd-Verkehrs.
Zwei verbundene Netzwerkanschlüsse zur Handhabung von Verwaltungs- und Compute-Datenverkehr, verbunden mit dem L2-Switch auf jedem Host
Zwei RDMA-NICs in einer Full-Mesh-Konfiguration für Ost-West-Datenverkehr für den Speicher. Jeder Knoten im System hat eine redundante Verbindung zu dem anderen Knoten im System.
Optional können einige Lösungen aus Sicherheitsgründen eine monitorlose Konfiguration ohne BMC-Karte verwenden.
| Netzwerke | Verwaltung und Berechnung | Lagerung | BMC |
|---|---|---|---|
| Verbindungsgeschwindigkeit | Mindestens 1 Gbps. 10 Gbps empfohlen | Mindestens 10 Gbps | Wenden Sie sich an den Hersteller der Hardware |
| Schnittstellentyp | RJ45, SFP+ oder SFP28 | SFP+ oder SFP28 | RJ45 |
| Ports und Aggregation | Zwei Ports im Team | Zwei Standalone-Anschlüsse | Ein Anschluss |
Network ATC-Absichten
Für zweiknotige Speichermuster ohne Switches werden zwei Network ATC-Absichten erstellt. Der erste für die Verwaltung und den Compute-Netzwerkdatenverkehr und der zweite für den Speicher-Datenverkehr.
Verwaltungs- und Berechnungsabsicht
- Intent-Typ: Verwaltung und Compute
- Absichtsmodus: Clustermodus
- Teaming: Ja. pNIC01 und pNIC02 sind teamiert
- Default Management VLAN: Konfiguriertes VLAN für Verwaltungsadapter wird nicht geändert
- PA- & Compute-VLANs und vNICs: Network ATC ist transparent für PA-vNICs und VLANs oder Compute-VM-vNICs und -VLANs.
Absicht der Speicherung
- Absichtstyp: Speicher
- Absichtsmodus: Clustermodus
- Teaming: pNIC03 und pNIC04 verwenden SMB Multichannel, um Ausfallsicherheit und Bandbreitenaggregation zu gewährleisten
- Standard-VLANs:
- 711 für Speichernetzwerk 1
- 712 für Speichernetzwerk 2
- Standard-Subnetze:
- 10.71.1.0/24 für Speichernetzwerk 1
- 10.71.2.0/24 für Speichernetzwerk 2
Weitere Informationen finden Sie unter Bereitstellen von Hostnetzwerken.
Gehen Sie folgendermaßen vor, um Netzwerkintents für dieses Referenzmuster zu erstellen:
Führen Sie PowerShell als Administrator aus.
Führen Sie den folgenden Befehl aus:
Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02> Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
Logische Konnektivitätskomponenten
Wie im folgenden Diagramm dargestellt, besteht dieses Muster aus den folgenden logischen Netzwerkkomponenten:
Speichernetzwerk VLANs
Der Storage Intent-basierte Verkehr besteht aus zwei einzelnen Netzwerken, die RDMA-Verkehr unterstützen. Jede Schnittstelle wird einem separaten Speichernetzwerk zugewiesen, und beide können dasselbe VLAN-Tag verwenden. Dieser Datenverkehr ist nur dazu bestimmt, zwischen den beiden Knoten zu reisen. Speicherverkehr ist ein privates Netzwerk ohne Verbindung zu anderen Ressourcen.
Die Speicheradapter arbeiten in verschiedenen IP-Subnetzen. Um eine switchlose Konfiguration zu ermöglichen, unterstützt jeder verbundene Knoten ein passendes Subnetz seines Nachbarn. Jedes Speichernetzwerk verwendet standardmäßig die vordefinierten VLANs des Network ATC (711 und 712). Diese VLANs können jedoch bei Bedarf angepasst werden. Zusätzlich, wenn die von Network ATC definierten Standardsubnetze (10.71.1.0/24 und 10.71.2.0/24) nicht nutzbar sind, sind Sie dafür verantwortlich, alle Speicher-IP-Adressen im System zuzuweisen.
Weitere Informationen finden Sie unter Network ATC overview.
OOB-Netzwerk
Das Out-of-Band (OOB)-Netzwerk dient zur Unterstützung der „Lights-Out”-Serververwaltungsschnittstelle, die auch als Baseboard-Verwaltungscontroller (Baseboard Management Controller, BMC) bezeichnet wird. Jede BMC-Schnittstelle ist mit einem vom Kunden bereitgestellten Switch verbunden. Der BMC wird für die Automatisierung von PXE-Boot-Szenarien verwendet.
Das Verwaltungsnetzwerk benötigt Zugriff auf die BMC-Schnittstelle über das Intelligent Platform Management Interface (IPMI) User Datagram Protocol (UDP) Port 623.
Das OOB-Netzwerk ist von den Computer-Workloads isoliert und ist optional für nicht lösungsbasierte Implementierungen.
Verwaltungs-VLAN
Alle physischen Compute-Hosts benötigen Zugriff auf das logische Verwaltungsnetzwerk. Für die IP-Adressplanung muss jedem physischen Compute-Host mindestens eine IP-Adresse aus dem logischen Verwaltungsnetzwerk zugewiesen werden.
Ein DHCP-Server kann automatisch IP-Adressen für das Verwaltungsnetzwerk zuweisen, oder Sie können statische IP-Adressen manuell zuweisen. Wenn DHCP die bevorzugte IP-Zuweisungsmethode ist, empfehlen wir Ihnen, DHCP-Reservierungen ohne Ablaufdatum zu verwenden.
Das Verwaltungsnetzwerk unterstützt die folgenden VLAN-Konfigurationen:
Natives VLAN – Sie müssen keine VLAN-IDs bereitstellen. Dies ist für lösungsbasierte Installationen erforderlich.
Tagged VLAN – Sie geben VLAN-IDs zum Zeitpunkt der Bereitstellung an.
Das Verwaltungsnetzwerk unterstützt den gesamten Datenverkehr, der für die Verwaltung des Clusters verwendet wird, einschließlich Remote Desktop, Windows Admin Center und Active Directory.
Weitere Informationen finden Sie unter Planen einer SDN-Infrastruktur: Verwaltung und HNV-Anbieter.
VLANs berechnen
In einigen Szenarien müssen Sie keine SDN Virtual Networks mit Virtual Extensible LAN (VXLAN)-Kapselung verwenden. Stattdessen können Sie herkömmliche VLANs verwenden, um Ihre Mandanten-Workloads zu isolieren. Diese VLANs werden auf dem Port des TOR-Switches im Trunk-Modus konfiguriert. Wenn Sie neue VMs mit diesen VLANs verbinden, wird das entsprechende VLAN-Tag auf dem virtuellen Netzwerkadapter definiert.
HNV Provider Address (PA) Netzwerk
Das Hyper-V Network Virtualization (HNV)-Anbieteradresse (PA)-Netzwerk dient als zugrunde liegendes physisches Netzwerk für ost-/westinternen Mandantendatenverkehr, Nord-/Süd-Mandantendatenverkehr (extern-intern) und zum Austauschen von BGP-Peeringinformationen mit dem physischen Netzwerk. Dieses Netzwerk ist nur erforderlich, wenn virtuelle Netzwerke mithilfe der VXLAN-Kapselung für eine zusätzliche Isolationsebene und für Netzwerk-Mandantenfähigkeit bereitgestellt werden müssen.
Weitere Informationen finden Sie unter Planen einer SDN-Infrastruktur: Verwaltung und HNV-Anbieter.
Optionen für die Netzwerkisolation
Die folgenden Optionen zur Netzwerkisolierung werden unterstützt:
VLANs (IEEE 802.1Q)
VLANs ermöglichen es, dass Geräte, die getrennt gehalten werden müssen, die Verkabelung eines physischen Netzwerks gemeinsam nutzen können und dennoch daran gehindert werden, direkt miteinander zu interagieren. Diese verwaltete gemeinsame Nutzung führt zu einer Vereinfachung, mehr Sicherheit, einfacherer Datenverkehrserwaltung und mehr Wirtschaftlichkeit. Ein VLAN kann zum Beispiel verwendet werden, um den Datenverkehr innerhalb eines Unternehmens auf der Grundlage einzelner Benutzer oder Benutzergruppen oder ihrer Rollen oder auf der Grundlage von Datenverkehrseigenschaften zu trennen. Viele Internet-Hosting-Dienste verwenden VLANs, um private Zonen voneinander zu trennen, so dass die Server eines jeden Kunden in einem einzigen Netzwerksegment zusammengefasst werden können, unabhängig davon, wo sich die einzelnen Server im Rechenzentrum befinden. Einige Vorsichtsmaßnahmen sind erforderlich, um den Datenverkehr von einem bestimmten VLAN zu verhindern, einem Exploit, der als VLAN-Hopping bezeichnet wird.
Weitere Informationen finden Sie unter "Grundlegendes zur Verwendung virtueller Netzwerke und VLANs".
Standard-Netzwerkzugangsrichtlinien und Mikrosegmentierung
Standard-Netzwerkzugriffsrichtlinien sorgen dafür, dass alle virtuellen Rechner (VMs) in Ihrem Azure Stack HCI-Cluster standardmäßig vor externen Bedrohungen geschützt sind. Mit diesen Richtlinien blockieren wir standardmäßig den eingehenden Zugriff auf eine VM und bieten gleichzeitig die Möglichkeit, selektiv eingehende Ports zu aktivieren und so die VMs vor externen Angriffen zu schützen. Diese Durchsetzung ist über Verwaltungstools wie Windows Admin Center möglich.
Bei der Mikrosegmentierung werden granulare Netzwerkrichtlinien zwischen Anwendungen und Diensten erstellt. Dadurch wird der Sicherheitsumfang im Wesentlichen auf einen Zaun um jede Anwendung oder VM reduziert. Dieser Zaun lässt nur die notwendige Kommunikation zwischen Anwendungsebenen oder anderen logischen Grenzen zu. Dadurch wird es für Cyber-Bedrohungen äußerst schwierig, sich seitlich von einem System auf ein anderes auszubreiten. Mikrosegmentierung isoliert Netzwerke sicher voneinander und reduziert die gesamte Angriffsfläche eines Netzwerksicherheitsvorfalls.
Standardmäßige Netzwerkzugriffsrichtlinien und Mikrosegmentierung werden als zustandsbehaftete (Quelladresspräfix, Quellport, Zieladresspräfix, Zielport und Protokoll) Firewallregeln mit fünf Tupeln in Azure Stack HCI-Clustern realisiert. Firewall-Regeln werden auch als Netzwerksicherheitsgruppen (NSGs) bezeichnet. Diese Richtlinien werden am vSwitch-Port der einzelnen VMs durchgesetzt. Die Richtlinien werden durch die Verwaltungsebene gepusht, und der SDN Network Controller verteilt sie an alle entsprechenden Hosts. Diese Richtlinien sind für VMs in herkömmlichen VLAN-Netzwerken und in SDN-Overlay-Netzwerken verfügbar.
Weitere Informationen finden Sie unter Was ist die Rechenzentrumsfirewall?.
QoS für VM-Netzwerkadapter
Sie können Quality of Service (QoS) für einen VM-Netzwerkadapter konfigurieren, um die Bandbreite auf einer virtuellen Schnittstelle zu begrenzen und so zu verhindern, dass eine VM mit hohem Datenverkehr mit anderen VM-Netzwerken in Konflikt gerät. Sie können QoS auch so konfigurieren, dass eine bestimmte Bandbreitenmenge für eine VM reserviert wird, um sicherzustellen, dass die VM unabhängig von anderem Datenverkehr im Netzwerk Daten senden kann. Diese Konfiguration kann sowohl auf an herkömmliche VLANs angeschlossene VMs als auch auf an SDN-Überlagerungsnetzwerke angeschlossene VMs angewendet werden.
Weitere Informationen finden Sie unter Konfigurieren von QoS für einen VM-Netzwerkadapter.
Virtuelle Netzwerke
Die Netzwerkvirtualisierung stellt virtuelle Netzwerke für VMs bereit, ähnlich wie die Servervirtualisierung (Hypervisor) VMs für das Betriebssystem bereitstellt. Die Netzwerkvirtualisierung entkoppelt virtuelle Netzwerke von der physischen Netzwerkinfrastruktur und beseitigt die Beschränkungen der VLAN- und hierarchischen IP-Adresszuweisung bei der Bereitstellung von VMs. Diese Flexibilität erleichtert Ihnen den Wechsel zu (Infrastructure-as-a-Service) IaaS-Clouds und ist für Hoster und Rechenzentrumsadministratoren effizient bei der Verwaltung ihrer Infrastruktur und der Aufrechterhaltung der erforderlichen mandantenübergreifenden Isolierung, der Sicherheitsanforderungen und der überlappenden VM-IP-Adressen.
Weitere Informationen finden Sie unter Hyper-V Netzwerkvirtualisierung.
Optionen für L3-Netzwerkdienste
Die folgenden L3-Netzwerkdienstoptionen sind verfügbar:
Peering in virtuellen Netzwerken
Mit dem Peering virtueller Netzwerke können Sie zwei virtuelle Netzwerke nahtlos verbinden. Nach dem Peering werden die virtuellen Netzwerke zu Konnektivitätszwecken als ein Netzwerk angezeigt. Die Verwendung von VNET-Peering bietet unter anderem folgende Vorteile:
- Der Datenverkehr zwischen VMs in den virtuellen Netzwerken mit Peer-Rechten wird über die Backbone-Infrastruktur nur über private IP-Adressen geleitet. Die Kommunikation zwischen den virtuellen Netzwerken erfordert kein öffentliches Internet oder Gateways.
- Niedrige Latenz, Verbindung mit hoher Bandbreite zwischen Ressourcen in unterschiedlichen virtuellen Netzwerken
- Die Möglichkeit zur Kommunikation für Ressourcen in einem virtuellen Netzwerk mit Ressourcen in einem anderen virtuellen Netzwerk.
- Keine Downtime für Ressourcen in beiden virtuellen Netzwerken beim Erstellen des Peerings
Weitere Informationen finden Sie unter Virtual Network Peering.
SDN-Software-Lastausgleicher
Cloud Service Provider (CSPs) und Unternehmen, die Software Defined Networking (SDN) einsetzen, können Software Load Balancer (SLB) verwenden, um den Netzwerkverkehr ihrer Kunden gleichmäßig auf die virtuellen Netzwerkressourcen zu verteilen. SLB ermöglicht es Ihnen, mehrere Server zum Hosten derselben Workload zu aktivieren, um hohe Verfügbarkeit und Skalierbarkeit bereitzustellen. Es wird auch verwendet, um eingehende NAT-Dienste (Network Address Translation) für den eingehenden Zugriff auf VMs und ausgehende NAT-Dienste für die ausgehende Konnektivität bereitzustellen.
Mit SLB können Sie Ihre Load-Balancing-Fähigkeiten skalieren, indem Sie SLB-VMs auf denselben Hyper-V-Compute-Servern einsetzen, die Sie auch für Ihre anderen VM-Workloads verwenden. SLB unterstützt die bedarfsgesteuerte schnelle Erstellung und Löschung von Lastenausgleichsendpunkten für CSP-Vorgänge. Darüber hinaus unterstützt SLB zehn Gigabyte pro Cluster, bietet ein einfaches Bereitstellungsmodell und ist einfach zu skalieren und ein. SLB verwendet das Border Gateway Protocol , um virtuelle IP-Adressen für das physische Netzwerk anzukündigen.
Weitere Informationen finden Sie unter Was ist SLB für SDN?
SDN-VPN-Gateways
SDN Gateway ist ein softwarebasierter Border Gateway Protocol (BGP)-fähiger Router, der für CSPs und Unternehmen entwickelt wurde, die mandantenfähige virtuelle Netzwerke mit Hyper-V Network Virtualization (HNV) hosten. Sie können RAS-Gateways verwenden, um Netzwerkdatenverkehr zwischen einem virtuellen Netzwerk und einem anderen Netzwerk (lokal oder remote) weiterzuleiten.
SDN Gateway kann verwendet werden, um:
Erstellen sicherer Site-to-Site-IPsec-Verbindungen zwischen virtuellen SDN-Netzwerken und externen Kundennetzwerken über das Internet
Erstellen von GRE-Verbindungen (Generic Routing Encapsulation) zwischen virtuellen SDN-Netzwerken und externen Netzwerken. Der Unterschied zwischen Site-to-Site-Verbindungen und GRE-Verbindungen besteht darin, dass es sich bei letzteren nicht um eine verschlüsselte Verbindung handelt.
Weitere Informationen zu GRE-Konnektivitätsszenarien finden Sie unter GRE Tunneling in Windows Server.
Erstellen Sie Layer 3 (L3) Verbindungen zwischen virtuellen SDN-Netzwerken und externen Netzwerken. In diesem Fall fungiert das SDN-Gateway einfach als Router zwischen Ihrem virtuellen Netzwerk und dem externen Netzwerk.
SDN Gateway erfordert SDN Network Controller. Network Controller führt die Einrichtung von Gateway-Pools durch, konfiguriert die Verbindungen der Mandanten auf jedem Gateway und leitet den Netzwerkverkehr auf ein Standby-Gateway um, wenn ein Gateway ausfällt.
Gateways verwenden das Border Gateway-Protokoll , um GRE-Endpunkte anzukündigen und Punkt-zu-Punkt-Verbindungen einzurichten. Bei der SDN-Bereitstellung wird ein Standardgatewaypool erstellt, der alle Verbindungstypen unterstützt. Innerhalb dieses Pools können Sie angeben, wie viele Gateways im Standby für den Fall vorgehalten werden sollen, dass ein aktives Gateway ausfällt.
Weitere Informationen finden Sie unter Was ist RAS-Gateway für SDN?
Nächste Schritte
Erfahren Sie mehr über das zweiknotige, wechsellose Speichernetzwerkmuster mit zwei Switches