Beschreiben von SDN in Azure Stack HCI

  • 10 Minuten

Bevor Sie mit der Bewertung der Funktionen von SDN in Azure Stack HCI beginnen, müssen Sie sich mit den grundlegenden SDN-Konzepten vertraut machen. Sie erkennen, dass diese Konzepte das Grundwissen bilden, das Ihnen dabei hilft, komplexere Aspekte der Netzwerkvirtualisierung und virtualisierungsbasierter Dienste zu verstehen. Das gilt insbesondere für softwarebasierte Lastenausgleichsmodule, für verteilte Firewalls und für Remotezugriffsgateways.

Was ist Netzwerkvirtualisierung?

Um den Zweck der Netzwerkvirtualisierung zu verstehen, ist möglicherweise ein Vergleich mit der Servervirtualisierung hilfreich. Sie ermöglicht es, mehrere Betriebssysteminstanzen (virtuelle Computer) gleichzeitig auf einem einzigen physischen Host auszuführen, wobei jede Instanz unabhängig von den anderen funktioniert. Netzwerkvirtualisierung bietet eine ähnliche Möglichkeit für virtuelle Netzwerke, indem deren Isolierung innerhalb derselben physischen Netzwerkinfrastruktur erleichtert wird, ohne dass VLANs oder dedizierte Lösungen für die Verwaltung von IP-Adressen erforderlich sind. Diese Flexibilität erleichtert Kunden die Umstellung ihrer Workloads auf private und öffentliche Clouds. Außerdem können Hostinganbieter und Administratoren von Rechenzentren ihre Netzwerkinfrastruktur besser verwalten. Darüber hinaus spielen diese Vorteile eine wichtige Rolle bei Initiativen zur Konsolidierung von Rechenzentren. Mit Azure Stack HCI können Kunden physische Ressourcen gemeinsam nutzen, während sie in ihren eigenen, isolierten Umgebungen arbeiten. DevOps-Teams haben die Möglichkeit, ihre Anwendungen ohne Dienstunterbrechungen bereitzustellen, die sich aus Änderungen von IP-Adresszuweisungen ergeben. Für Infrastrukturbesitzer vereinfacht die zusätzliche Flexibilität die dynamische Ressourcenzuordnung, indem die Korrelation zwischen Compute-, Speicher- und Netzwerkressourcen abstrahiert wird.

Was ist Software-Defined Networking (SDN)?

SDN bietet in Ihrem Rechenzentrum eine Methode zum zentralen Konfigurieren und Verwalten von Netzwerken und Netzwerkdiensten wie Switching, Routing und Lastenausgleich. SDN nutzt die Virtualisierung von Netzwerkfunktionen, um virtualisierte Softwarefunktionen zu implementieren. Dadurch werden Funktionen ersetzt, die üblicherweise an hardwarebasierte Netzwerkgeräte delegiert werden.

Was bedeutet Virtualisierung von Netzwerkfunktionen?

In softwaredefinierten Rechenzentren übernehmen virtuelle Geräte die Bereitstellung von Netzwerkfunktionen, die üblicherweise von Hardwaregeräten implementiert werden. Diese virtualisierten Funktionen können in mehreren Kategorien gruppiert werden, z. B. Sicherheits- und Edgedienste. Sicherheitsappliances umfassen Firewalls, während zu Edgegeräten Gateways, Router, Switches und Lastenausgleichsmodule zählen.

Virtuelle Appliances bieten im Vergleich zu ihren physischen Pendants mehrere Vorteile, von denen die Folgenden die wichtigsten sind:

  • Nahtlose Kapazitätserweiterung und Mobilität von Workloads
  • Minimierte Betriebskomplexität
  • Vereinfachte Bereitstellung und Verwaltung
  • Verbesserte Mobilität
  • Unterstützung der vertikalen und horizontalen Skalierung

SDN in Azure Stack HCI

Azure Stack HCI-Lösungen bieten eine integrierte Virtualisierung von Compute- und Speicherressourcen. Darüber hinaus unterstützt Azure Stack HCI die Virtualisierung seiner Netzwerkressourcen durch Implementieren von SDN. Diese Funktionalität ermöglicht die Umsetzung verschiedener Netzwerkszenarien – von der Integration in eine vorhandene VLAN-basierte Infrastruktur bis zur vollständigen Isolation von Azure Stack HCI-Workloads.

SDN in Azure Stack HCI hilft, Herausforderungen im Zusammenhang mit herkömmlichen Netzwerkinfrastrukturen zu bewältigen, indem die Agilität erhöht, die Sicherheit verbessert und die Effizienz optimiert wird. Die folgenden Funktionen sind verfügbar:

  • Abstrahieren von Netzwerkdiensten. Sie können softwaredefinierte Netzwerkdienste bereitstellen und verwalten, die vom zugrunde liegenden physischen Netzwerk abstrahiert sind.
  • Zentralisieren von Netzwerkrichtlinien. Mithilfe von Netzwerkrichtlinien können Sie die Regeln für den Datenverkehrsfluss innerhalb und zwischen virtuellen und physischen Netzwerken zentral konfigurieren und steuern. Die Implementierung von Netzwerkrichtlinien verbessert Konsistenz und Skalierbarkeit, wenn die Anzahl der Dienste im Netzwerk zunimmt.
  • Zentralisieren der Netzwerkverwaltung. Sie können die virtualisierte Netzwerkinfrastruktur mithilfe von PowerShell, Windows Admin Center und Microsoft System Center Virtual Machine Manager (VMM) verwalten.

Diese Funktionen von Azure Stack HCI mit SDN werden mithilfe des Netzwerkcontrollers implementiert. Der Netzwerkcontroller ist eine Serverrolle, die eine Verwaltungsschnittstelle bietet, auf die über die REST-API (Representational State Transfer; Application Programming Interface) zugegriffen werden kann. Die Schnittstelle wird für die Bereitstellung, Verwaltung, Konfiguration, Überwachung und Problembehandlung im Zusammenhang mit der SDN-Infrastruktur und den auf der Virtualisierung von Netzwerkfunktionen basierenden Diensten verwendet.

Zu den auf der Virtualisierung von Netzwerkfunktionen basierenden Diensten gehören u. a.:

  • Software Load Balancer (SLB), wodurch die Entwicklung hochverfügbarer und skalierbarer Lösungen durch Verteilung des Netzwerkdatenverkehrs auf virtuelle Netzwerkressourcen erleichtert wird. Darüber hinaus bietet SLB durch Netzwerkadressübersetzung (NAT) ein- und ausgehenden Internetzugriff auf virtualisierte Workloads. SLB-Richtlinien können für virtualisierte Überlagerungsnetzwerke und herkömmliche VLAN-Netzwerke gelten.

  • RAS-Gateways (Remote Access Service, RAS-Dienst) für SDN, die dazu beitragen, Netzwerkkonnektivität über Site-to-Site-IPsec-VPNs (virtuelle private Netzwerke), GRE-Tunnel (Site-to-Site Generic Routing Encapsulation) und Layer 3-Weiterleitung auf externe Netzwerke auszudehnen.

  • Datacenter Firewall, womit virtuelle Netzwerke und ihre Workloads vor nicht autorisiertem Datenverkehr aus dem Internet und Intranets geschützt werden können. Diese Funktion ermöglicht eine zustandsbehaftete Filterung basierend auf einer Kombination von bis zu fünf Parametern von Netzwerkpaketen. Hierzu zählen das Protokoll, die Quell- und Zielportnummer und die Quell- und Ziel-IP-Adresse des Pakets. Diese Richtlinien können auf virtualisierte Überlagerungsnetzwerke und auf herkömmliche VLANs angewendet werden.

    Hinweis

    Datacenter Firewall dient als Ergänzung vorhandener physischer Geräte.

  • QoS-Richtlinien (Quality of Service), mit denen verhindert werden kann, dass eine Anwendungs- oder Workload-VM die gesamte Bandbreite der Knoten des HCI-Clusters beansprucht. Diese Richtlinien können auf virtualisierte Netzwerke und auf herkömmliche VLANs angewendet werden.

  • Applicances von Drittanbietern, bei denen Kunden ihre eigenen virtuellen Applicances wie Firewalls, Geräte zur Erkennung von Eindringversuchen und Lastenausgleichsgeräte verwenden und diese für erweiterte Dienste an virtuelle SDN-Netzwerke anfügen können.

Virtuelle Netzwerke und Subnetze

Um die Isolation virtualisierter Workloads zu implementieren, verwendet SDN virtuelle Netzwerke, die auf Hyper-V-Netzwerkvirtualisierung (HNV) basieren. Diese Netzwerke bestehen aus mindestens einem virtuellen Subnetz und werden unabhängig als Überlagerung des zugrunde liegenden physischen Netzwerks definiert. Ein virtuelles Subnetz emuliert die Layer-3-IP-Subnetzfunktionalität für die virtuellen Computer (VMs), die damit verbunden sind. Jedes virtuelle Netzwerk bildet eine Isolationsgrenze, innerhalb derer VMs nur miteinander kommunizieren können. Um Kommunikation zwischen virtuellen Netzwerken zuzulassen, lässt sich ein Peering virtueller Netzwerke implementieren.

Jede Netzwerkschnittstelle einer VM, die mit einem Subnetz eines virtuellen Netzwerks verbunden ist, ist zwei IP-Adressen zugeordnet:

  • Kundenadresse. Eine IP-Adresse, die jeder VM von Kunden basierend auf dem bevorzugten IP-Adressierungsschema zugewiesen wird. So können Kunden ihre bereits vorhandene Netzwerkkonfiguration beibehalten, wenn sie Workloads auf eine SDN-Umgebung umstellen. Die Kundenadresse ist für das Betriebssystem innerhalb der entsprechenden VM zugänglich.
  • Anbieteradresse. Eine IP-Adresse, die Hyper-V-Hosts von Azure Stack HCI-Administratoren basierend auf der jeweiligen physischen Netzwerkinfrastruktur zugewiesen wird. Die Anbieteradresse ist im physischen Netzwerk erkennbar, aber nicht für Kunden-VMs.

Logische Netzwerke und Subnetze

Um die Virtualisierung von Netzwerkfunktionen zu implementieren und eine VLAN-basierte Segmentierung zu ermöglichen, greift SDN auf das Konzept logischer Netzwerke zurück. Jedes logische Netzwerk stellt eine logische Partition eines physischen Netzwerks dar. Ein logisches Netzwerk besteht aus einer Sammlung logischer Subnetze, die Kunden-VLANs zugeordnet sind. Diese VLANs können Kundenworkloads hosten, aber es gibt auch verschiedene logische Netzwerke, die wichtige SDN-Infrastrukturkomponenten hosten. Eine Azure Stack HCI-Implementierung mit SDN umfasst beispielsweise die logischen Netzwerke „Verwaltung“ und „HNV-Anbieter“, wobei letzteres als Netzwerk mit Anbieteradressen für alle virtuellen Netzwerke dient. Alle Hyper-V-Hosts, die Teil dieser Implementierung sind, müssen mit dem logischen Netzwerken „Verwaltung“ und „HNV-Anbieter“ verbunden sein.