Megosztás a következőn keresztül:

Tekintse át az Azure Stack HCI egykiszolgálós tároló üzembehelyezési hálózati referenciamintáját

  • Cikk

A következőkre vonatkozik: Azure Stack HCI, 23H2 és 22H2 verzió

Ez a cikk azt az egykiszolgálós tárolóhálózati referenciamintát ismerteti, amellyel üzembe helyezheti az Azure Stack HCI-megoldást. A cikkben található információk azt is segítenek meghatározni, hogy ez a konfiguráció megvalósítható-e az üzembe helyezés megtervezéséhez. Ez a cikk azoknak az informatikai rendszergazdáknak szól, akik az Azure Stack HCI-t az adatközpontjaikban helyezik üzembe és kezelik.

További információ az egyéb hálózati mintákról: Azure Stack HCI hálózati üzembehelyezési minták.

Bevezetés

Az egykiszolgálós üzemelő példányok költség- és helyelőnyt biztosítanak, miközben segítenek modernizálni az infrastruktúrát, és olyan helyekre juttatni az Azure hibrid számítástechnikát, amelyek képesek elviselni az egyetlen kiszolgáló rugalmasságát. Az egykiszolgálós Azure Stack HCI a többcsomópontos fürtökön futó Azure Stack HCI-hez hasonlóan viselkedik: natív Azure Arc-integrációt biztosít, kiszolgálók hozzáadását a fürt vertikális felskálázásához, és ugyanazokat az Azure-előnyöket tartalmazza.

Ugyanazokat a számítási feladatokat is támogatja, mint például az Azure Virtual Desktop (AVD) és az AKS az Azure Stack HCI-n, és ugyanúgy támogatott és számlázott.

Forgatókönyvek

Használja az egykiszolgálós tárolási mintát a következő forgatókönyvekben:

  • Alacsonyabb szintű rugalmasságot tűrő létesítmények. Érdemes lehet ezt a mintát alkalmazni, ha a minta által biztosított tartózkodási helye vagy szolgáltatása alacsonyabb szintű rugalmasságot képes elviselni anélkül, hogy ez hatással lenne az üzletmenetre.

  • Élelmiszer, egészségügy, pénzügy, kiskereskedelem, kormányzati létesítmények. Egyes élelmiszer-, egészségügyi, pénzügyi és kiskereskedelmi forgatókönyvek ezt a lehetőséget alkalmazhatják a költségek minimalizálására anélkül, hogy befolyásolják az alapvető műveleteket és az üzleti tranzakciókat.

Bár a szoftveralapú hálózatkezelés (SDN) 3. rétegbeli (L3) szolgáltatásai teljes mértékben támogatottak ebben a mintában, előfordulhat, hogy az útválasztási szolgáltatásokat, például a Border Gateway Protocolt (BGP) konfigurálni kell a tűzfaleszközhöz a top-of-rack (TOR) kapcsolón.

Az olyan hálózati biztonsági funkciók, mint a mikroszegmentáció és a szolgáltatásminőség (QoS) nem igényelnek további konfigurációt a tűzfaleszközhöz, mivel azok a virtuális hálózati adapter rétegében vannak implementálva. További információ: Mikroszegmentáció az Azure Stack HCI-vel.

Megjegyzés

Az önálló kiszolgálóknak csak egyetlen meghajtótípust kell használniuk: nem felejtő memória expressz (NVMe) vagy Solid-State (SSD) meghajtókat.

Fizikai kapcsolati összetevők

Az alábbi ábrán látható módon ez a minta a következő fizikai hálózati összetevőket tartalmazza:

  • Az északi/déli forgalom esetében az Azure Stack HCI-fürt egyetlen TOR L2 vagy L3 kapcsolóval van implementálva.
  • Két összevonásos hálózati port a kapcsolóhoz kapcsolódó felügyeleti és számítási forgalom kezelésére.
  • Két leválasztott RDMA hálózati adapter, amelyeket csak akkor használ a rendszer, ha egy második kiszolgálót ad hozzá a fürthöz a felskálázáshoz. Ez azt jelenti, hogy a kábelezés vagy a fizikai kapcsolóportok nem növelik a költségeket.
  • (Nem kötelező) A BMC-kártya lehetővé teszi a környezet távfelügyeletét. Biztonsági okokból egyes megoldások fej nélküli konfigurációt használhatnak a BMC-kártya nélkül.

Egykiszolgálós fizikai kapcsolat elrendezését bemutató ábra.

Az alábbi táblázat az egykiszolgálós üzembe helyezés néhány irányelvét sorolja fel:

Network (Hálózat) Felügyeleti & számítás Tárolás BMC
Kapcsolat sebessége Ha az RDMA le van tiltva, legalább 1 Gb/s, 10 Gb/s ajánlott. Legalább 10 Gb/s. Kérdezze meg a hardver gyártójától.
Interfész típusa RJ45, SFP+, vagy SFP28 SFP+ vagy SFP28 RJ45
Portok és összesítés Két összevonási port Nem kötelező egy második kiszolgáló hozzáadásának engedélyezése; leválasztott portok. Egy port
RDMA Választható. A vendég RDMA és a hálózati adapter támogatásának követelményeitől függ. N/A N.A.

Hálózati ATC-szándékok

Az egykiszolgálós minta csak egy hálózati ATC-szándékot használ a felügyelethez és a számítási forgalomhoz. Az RDMA hálózati adapterek nem kötelezőek, és nincsenek leválasztva.

Az egykiszolgálós kapcsoló nélküli minta hálózati ATC-szándékait bemutató ábra.

Felügyeleti és számítási szándék

A felügyeleti és számítási szándék a következő jellemzőkkel rendelkezik:

  • Szándék típusa: Felügyelet és számítás
  • Szándék mód: Fürt mód
  • Összevonás: Igen – a pNIC01 és a pNIC02 össze van állítva
  • Alapértelmezett felügyeleti VLAN: A felügyeleti adapterekhez konfigurált VLAN ummodified
  • PA VLAN és vNIC: A hálózati ATC transzparens a pa vNI-k és vLAN-k számára
  • Számítási VLAN-k és virtuális hálózati adapterek: A hálózati ATC transzparens a számítási virtuális gépek virtuális hálózati adapterei és VLAN-jai számára

Tárolási szándék

A tárolási szándék jellemzői a következők:

  • Szándék típusa: Nincs
  • Szándék mód: Nincs
  • Összevonás: a pNIC03 és a pNIC04 kapcsolat megszakadt
  • Alapértelmezett VLAN-k: Nincs
  • Alapértelmezett alhálózatok: Nincs

Az alábbi lépéseket követve hozzon létre egy hálózati szándékot ehhez a referenciamintához:

  1. Futtassa a PowerShellt rendszergazdaként.

  2. Futtassa az alábbi parancsot:

    Add-NetIntent -Name <management_compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>

További információ: Gazdagép-hálózat üzembe helyezése: Számítási és felügyeleti szándék.

Logikai hálózati összetevők

Az alábbi ábrán látható módon ez a minta a következő logikai hálózati összetevőket tartalmazza:

Egykiszolgálós logikai kapcsolat elrendezését bemutató ábra.

Tárolóhálózati VLAN-k

Nem kötelező – ehhez a mintához nincs szükség tárolóhálózatra.

OOB-hálózat

A sávon kívüli (OOB) hálózat a "lights-out" kiszolgálófelügyeleti felület, más néven az alaplapi felügyeleti vezérlő (BMC) támogatására szolgál. Minden BMC-felület egy ügyfél által biztosított kapcsolóhoz csatlakozik. A BMC a PXE rendszerindítási forgatókönyveinek automatizálására szolgál.

A felügyeleti hálózatnak hozzá kell férnie a BMC-felülethez az Intelligent Platform Management Interface (IPMI) User Datagram Protocol (UDP) 623-at használó portján keresztül.

Az OOB-hálózat el van különítve a számítási feladatoktól, és nem megoldásalapú üzemelő példányok esetén nem kötelező.

Felügyeleti VLAN

Minden fizikai számítási gazdagépnek hozzá kell férnie a felügyeleti logikai hálózathoz. Az IP-címek tervezéséhez minden fizikai számítási gazdagépnek rendelkeznie kell legalább egy, a felügyeleti logikai hálózatból hozzárendelt IP-címmel.

A DHCP-kiszolgáló automatikusan hozzárendelhet IP-címeket a felügyeleti hálózathoz, vagy manuálisan is hozzárendelhet statikus IP-címeket. Ha a DHCP az előnyben részesített IP-hozzárendelési módszer, javasoljuk, hogy lejárat nélküli DHCP-foglalásokat használjon.

A felügyeleti hálózat a következő VLAN-konfigurációkat támogatja:

  • Natív VLAN – nem szükséges VLAN-azonosítókat megadnia. Ez a megoldásalapú telepítések esetében szükséges.

  • Címkézett VLAN – A VLAN-azonosítókat az üzembe helyezés időpontjában adja meg. bérlői kapcsolatok az egyes átjárókon, és ha egy átjáró meghibásodik, a hálózati forgalom készenléti átjáróra vált.

Az átjárók a Border Gateway Protocol használatával hirdetik a GRE-végpontokat, és pont–pont kapcsolatokat hoznak létre. Az SDN üzembe helyezése létrehoz egy alapértelmezett átjárókészletet, amely minden kapcsolattípust támogat. Ebben a készletben megadhatja, hogy hány átjáró van lefoglalva készenléti állapotban, ha egy aktív átjáró meghibásodik.

További információ: Mi az a RAS-átjáró az SDN-hez?

A felügyeleti hálózat támogatja a fürt felügyeletéhez használt összes forgalmat, beleértve a távoli asztalt, a Windows Admin Center és az Active Directoryt.

További információ: SDN-infrastruktúra megtervezése: Felügyelet és HNV-szolgáltató.

Számítási VLAN-k

Bizonyos esetekben nem kell SDN virtuális hálózatokat használnia virtuális bővíthető LAN (VXLAN) beágyazással. Ehelyett hagyományos VLAN-okkal elkülönítheti a bérlői számítási feladatokat. Ezek a VLAN-ok a TOR-kapcsoló portján vannak konfigurálva törzs módban. Amikor új virtuális gépeket csatlakoztat ezekhez a VLAN-okhoz, a megfelelő VLAN-címke van definiálva a virtuális hálózati adapteren.

HNV-szolgáltatói cím (PA) hálózat

A Hyper-V hálózatvirtualizálási (HNV) szolgáltatói cím (PA) hálózat szolgál a kelet-nyugati (belső-belső) bérlői forgalom, az észak/déli (külső-belső) bérlői forgalom mögöttes fizikai hálózataként, valamint a BGP társviszony-létesítési információk fizikai hálózattal való cseréjéhez. Ez a hálózat csak akkor szükséges, ha virtuális hálózatok VXLAN-beágyazással történő üzembe helyezésére van szükség egy másik elkülönítési réteghez és a hálózati több-bérlősséghez.

További információ: SDN-infrastruktúra megtervezése: Felügyelet és HNV-szolgáltató.

Hálózatelkülönítési lehetőségek

A következő hálózatelkülönítési lehetőségek támogatottak:

VLAN-ok (IEEE 802.1Q)

A VLAN-ok lehetővé teszik azokat az eszközöket, amelyeket külön kell tartani ahhoz, hogy megosszák egy fizikai hálózat kábelezését, és mégis megakadályozzák, hogy közvetlenül kommunikáljanak egymással. Ez a felügyelt megosztás egyszerűséget, biztonságot, forgalomkezelést és gazdaságosságot eredményez. A VLAN használatával például elkülöníthető a vállalaton belüli forgalom az egyes felhasználók vagy felhasználói csoportok vagy szerepkörök alapján, vagy a forgalom jellemzői alapján. Számos internetes üzemeltetési szolgáltatás VLAN-okkal választja el a privát zónákat egymástól, így az egyes ügyfelek kiszolgálói egyetlen hálózati szegmensbe csoportosíthatók, függetlenül attól, hogy az egyes kiszolgálók az adatközpontban találhatók-e. Bizonyos óvintézkedésekre van szükség annak megakadályozásához, hogy a forgalom "elszabaduljon" egy adott VLAN-ból, amely egy VLAN-beli kiugró biztonsági rés.

További információ: A virtuális hálózatok és a VLAN-k használatának ismertetése.

Alapértelmezett hálózati hozzáférési szabályzatok és mikroszegmentáció

Az alapértelmezett hálózati hozzáférési szabályzatok biztosítják, hogy az Azure Stack HCI-fürt összes virtuális gépe (VM) alapértelmezés szerint biztonságos legyen a külső fenyegetések ellen. Ezekkel a szabályzatokkal alapértelmezés szerint letiltjuk a virtuális gépek bejövő hozzáférését, ugyanakkor lehetővé tesszük a szelektív bejövő portok engedélyezését, és ezáltal a virtuális gépek védelmét a külső támadások ellen. Ez a kényszerítés olyan felügyeleti eszközökkel érhető el, mint a Windows Admin Center.

A mikroszegmentáció részletes hálózati szabályzatok létrehozását foglalja magában az alkalmazások és szolgáltatások között. Ez lényegében az egyes alkalmazások vagy virtuális gépek körüli kerítésre csökkenti a biztonsági szegélyt. Ez a kerítés csak az alkalmazásszintek vagy más logikai határok közötti szükséges kommunikációt teszi lehetővé, ami rendkívül megnehezíti a kibertámadások oldalirányú terjesztését az egyik rendszerről a másikra. A mikroszegmentáció biztonságosan elkülöníti egymástól a hálózatokat, és csökkenti a hálózati biztonsági incidensek teljes támadási felületét.

Az alapértelmezett hálózati hozzáférési szabályzatok és mikroszegmentáció ötrekordos állapotalapú (forráscímelőtag, forrásport, célcímelőtag, célport és protokoll) tűzfalszabályokként valósul meg az Azure Stack HCI-fürtökön. A tűzfalszabályok hálózati biztonsági Csoportok (NSG-k) néven is ismertek. Ezek a szabályzatok az egyes virtuális gépek vSwitch portján lesznek kikényszeríthetők. A szabályzatok leküldése a felügyeleti rétegen keresztül történik, és az SDN hálózati vezérlő az összes megfelelő gazdagépre osztja őket. Ezek a szabályzatok a hagyományos VLAN-hálózatokon és az SDN-átfedő hálózatokon futó virtuális gépekhez érhetők el.

További információ: Mi az az adatközponti tűzfal?.  

QoS virtuálisgép-hálózati adapterekhez

Konfigurálhatja a szolgáltatásminőséget (QoS) egy virtuálisgép-hálózati adapterhez, hogy korlátozza a sávszélességet a virtuális adapteren, hogy a nagy forgalmú virtuális gépek ne vehessenek részt más virtuális gépek hálózati forgalmával. A QoS-t úgy is konfigurálhatja, hogy egy adott sávszélességet lefoglaljon egy virtuális gép számára, hogy a virtuális gép a hálózaton lévő többi forgalomtól függetlenül képes legyen forgalmat küldeni. Ez alkalmazható a hagyományos VLAN-hálózatokhoz csatlakoztatott virtuális gépekre, valamint az SDN-átfedő hálózatokhoz csatlakoztatott virtuális gépekre.

További információ: QoS konfigurálása virtuálisgép-hálózati adapterhez.

Virtuális hálózatok

A hálózatvirtualizálás virtuális hálózatokat biztosít a virtuális gépek számára, hasonlóan ahhoz, ahogyan a kiszolgálóvirtualizálás (hipervizor) biztosítja a virtuális gépeket az operációs rendszer számára. A hálózatvirtualizálás leválasztja a virtuális hálózatokat a fizikai hálózati infrastruktúráról, és eltávolítja a VLAN és a hierarchikus IP-cím-hozzárendelés korlátait a virtuális gépek kiépítéséből. Az ilyen rugalmasság megkönnyíti az IaaS-felhőkre való áttérést, és hatékony a gazdagépek és adatközpontok rendszergazdái számára az infrastruktúra kezeléséhez, valamint a szükséges több-bérlős elkülönítés, biztonsági követelmények és átfedésben lévő virtuálisgép-IP-címek fenntartásához.

További információ: Hyper-V hálózatvirtualizálás.

L3 hálózatkezelési szolgáltatások beállításai

A következő L3 hálózatkezelési szolgáltatási lehetőségek érhetők el:

Társviszony létesítése virtuális hálózatok között

A virtuális hálózatok közötti társviszony-létesítés lehetővé teszi két virtuális hálózat zökkenőmentes összekapcsolását. A társviszony létesítése után kapcsolati okokból a virtuális hálózatok egyként jelennek meg. A virtuális társhálózatok használatának előnyei:

  • A társviszonyban lévő virtuális hálózatok virtuális gépei közötti forgalmat a rendszer csak magánhálózati IP-címeken keresztül irányítja át a gerincinfrastruktúrán. A virtuális hálózatok közötti kommunikációhoz nincs szükség nyilvános internetre vagy átjárókra.
  • Kis késésű, nagy sávszélességű kapcsolat jön létre eltérő virtuális hálózatokba tartozó erőforrások között.
  • Az a képesség, hogy egy virtuális hálózat erőforrásai kommunikáljanak egy másik virtuális hálózat erőforrásaival.
  • A társviszony létrehozásakor egyik virtuális hálózatban sem áll le az erőforrások állásideje.

További információ: Virtuális hálózatok közötti társviszony-létesítés.

SDN szoftveres terheléselosztó

A felhőszolgáltatók (CSP-k) és a szoftveralapú hálózatkezelést (SDN) üzembe helyező vállalatok a Szoftver Load Balancer (SLB) használatával egyenletesen eloszthatják az ügyfelek hálózati forgalmát a virtuális hálózati erőforrások között. Az SLB lehetővé teszi, hogy több kiszolgáló is üzemeltethesse ugyanazt a számítási feladatot, ami magas rendelkezésre állást és méretezhetőséget biztosít. Emellett bejövő hálózati címfordítási (NAT) szolgáltatásokat is biztosít a virtuális gépekhez való bejövő hozzáféréshez, valamint kimenő NAT-szolgáltatásokat a kimenő kapcsolatokhoz.

Az SLB használatával vertikálisan felskálázhatja a terheléselosztási képességeket ugyanazon a Hyper-V számítási kiszolgálón található SLB virtuális gépek használatával, amelyeket a többi virtuális gép számítási feladataihoz is használ. Az SLB támogatja a terheléselosztási végpontok gyors létrehozását és törlését a CSP-műveletekhez szükséges módon. Az SLB emellett fürtönként több tíz gigabájtot is támogat, egyszerű kiépítési modellt biztosít, és könnyen fel- és leskálázható. Az SLB a Border Gateway Protocol használatával hirdeti meg a virtuális IP-címeket a fizikai hálózaton.

További információ: Mi az SLB az SDN-hez?

SDN VPN-átjárók

Az SDN-átjáró egy szoftveralapú Border Gateway Protocol (BGP) kompatibilis útválasztó, amelyet a Hyper-V hálózatvirtualizálást (HNV) használó több-bérlős virtuális hálózatokat üzemeltető csp-k és nagyvállalatok számára terveztek. A RAS-átjáróval irányíthatja a hálózati forgalmat egy virtuális hálózat és egy másik, helyi vagy távoli hálózat között.

Az SDN-átjáró a következő célokra használható:

  • Létrehozás biztonságos helyek közötti IPsec-kapcsolatokat az SDN virtuális hálózatok és a külső ügyfélhálózatok között az interneten keresztül.

  • Létrehozás általános útválasztási beágyazási (GRE) kapcsolatokat SDN virtuális hálózatok és külső hálózatok között. A helyek közötti kapcsolatok és a GRE-kapcsolatok közötti különbség az, hogy az utóbbi nem titkosított kapcsolat.

    További információ a GRE-kapcsolati forgatókönyvekről: GRE-bújtatás Windows Serveren.

  • Létrehozás 3. rétegbeli (L3) kapcsolatok SDN virtuális hálózatok és külső hálózatok között. Ebben az esetben az SDN-átjáró egyszerűen útválasztóként működik a virtuális hálózat és a külső hálózat között.

Az SDN-átjáróhoz SDN hálózati vezérlő szükséges. A hálózati vezérlő elvégzi az átjárókészletek üzembe helyezését, konfigurálja

Következő lépések

Ismerje meg a kétcsomópontos mintákat – Az Azure Stack HCI hálózati üzembehelyezési mintáit.