Megosztás a következőn keresztül:

Tekintse át az Azure Local kétcsomópontos, teljesen konvergens üzembehelyezési hálózati referenciamintáját

A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók

Ebben a cikkben megismerkedhet a két csomópontból álló tárolóval, amely kettős TOR kapcsolóval teljesen összevont hálózati referenciamintát kínál, amellyel telepítheti az Azure Local instance-megoldását. A cikkben található információk segítenek annak megállapításában, hogy ez a konfiguráció működőképes-e az üzembehelyezési tervezési igényeknek megfelelően. Ez a cikk azoknak az informatikai rendszergazdáknak szól, akik azure-beli helyi példányokat helyeznek üzembe és kezelnek az adatközpontjaikban.

További információ az egyéb hálózati mintákról: Azure Local network deployment patterns.

Forgatókönyvek

A hálózati minta forgatókönyvei közé tartoznak a laboratóriumok, a fiókirodák és az adatközponti létesítmények.

Vegye figyelembe ezt a mintát, ha további csomópontokat szeretne hozzáadni, és az észak-déli forgalom sávszélesség-követelményei nem igényelnek dedikált adaptereket. Ez a megoldás akkor lehet jó megoldás, ha a fizikai kapcsolóportok szűkösek, és költségcsökkentést keres a megoldáshoz. Ez a minta további üzemeltetési költségeket igényel a megosztott gazdagép hálózati adaptereinek QoS-szabályzatainak finomhangolásához, hogy megvédje a tárforgalmat a számítási feladatoktól és a felügyeleti forgalomtól. Az SDN L3-szolgáltatások teljes mértékben támogatottak ebben a mintában.

A BGP-hez hasonló útválasztási szolgáltatások közvetlenül konfigurálhatók a TOR kapcsolókon, ha támogatják az L3-szolgáltatásokat. Az olyan hálózati biztonsági funkciók, mint a mikrosegmentáció és a QoS, nem igényelnek további konfigurációt a tűzfaleszközön, mivel a virtuális hálózati adapter rétegében implementálva vannak.

Fizikai kapcsolat összetevői

Az alábbi ábrán leírtak szerint ez a minta a következő fizikai hálózati összetevőkkel rendelkezik:

  • Az észak-/déli forgalom esetében az ebben a mintában szereplő rendszer két TOR-kapcsolóval van implementálva az MLAG-konfigurációban.

  • Két csoportosított hálózati kártya kezeli a TOR-kapcsolókhoz csatlakoztatott felügyeleti, számítási és RDMA-tárolási forgalmat. Minden hálózati adapter egy másik TOR-kapcsolóhoz csatlakozik. Az SMB többcsatornás képessége útvonal-összesítést és hibatűrést biztosít.

  • Lehetőségként a telepítések tartalmazhatnak BMC-kártyát, amely lehetővé teszi a környezet távoli kezelését. Egyes megoldások biztonsági okokból BMC-kártya nélküli fej nélküli konfigurációt használhatnak.

Kétcsomópontos kapcsoló nélküli fizikai kapcsolat elrendezését bemutató ábra.

Hálózatok Felügyelet, számítás, tárolás BMC
Csatolás sebessége 10 Gb/s-os Ellenőrizze a hardvergyártót
Interfész típusa SFP+ vagy SFP28 RJ45
Portok és összesítés Két egyesített port Egy port

Hálózati ATC-célok

Kétcsomópontos kapcsolat nélküli hálózati ATC-szándékokat bemutató diagram

Felügyeleti, számítási és tárolási szándék

  • Szándék típusa: Felügyelet, számítás és tárolás
  • Szándék mód: Klaszter mód
  • Csapatmunka: Igen. A pNIC01 és a pNIC02 összevonása
  • Alapértelmezett felügyeleti VLAN: A felügyeleti adapterekhez konfigurált VLAN nincs módosítva
  • Tárolás vNIC 1:
    • VLAN 711
    • 10.71.1.0/24 alhálózat az 1. tárolóhálózathoz
  • Storage vNIC 2:
    • VLAN 712
    • 10.71.2.0/24 alhálózat a 2. tárolóhálózathoz
  • A storage vNIC1 és a storage vNIC2 az SMB Multichannel használatával biztosítja a rugalmasságot és a sávszélesség-összesítést
  • PA VLAN és vNIC-ek: A hálózati ATC transzparens a PA vNIC-ek és a VLAN számára.
  • Számítási VLAN-ok és virtuális hálózati adapterek: A Network ATC átlátható a számítási virtuális gépek vNIC-jei és VLAN-jai számára.

További információért lásd: Gazdagép-hálózat üzembe helyezése.

Az alábbi lépéseket követve hozzon létre hálózati szándékokat ehhez a referenciamintához:

  1. Futtassa a PowerShellt rendszergazdaként.

  2. Futtassa az alábbi parancsot:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -Storage -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>

Logikai kapcsolat összetevői

Az alábbi ábrán látható módon ez a minta a következő logikai hálózati összetevőkkel rendelkezik:

Egycsomópontos kapcsoló nélküli fizikai kapcsolat elrendezését bemutató ábra.

Tárolóhálózati VLAN-k

Az ebben a koncepcióban szereplő tárolási célvezérelt forgalom megosztja a fizikai hálózati adaptereket a menedzsmenttel és számítási feladatokkal.

A tárolóhálózat különböző IP-alhálózatokban működik. Minden tárolóhálózat alapértelmezés szerint az ATC előre definiált VLAN-jait használja (711 és 712). Ezek a VLAN-k azonban szükség esetén testre szabhatók. Emellett, ha az ATC által definiált alapértelmezett alhálózat nem használható, ön felelős a rendszer összes tárolási IP-címének hozzárendeléséért.

További információ: Network ATC – áttekintés.

OOB-hálózat

A sávon kívüli (OOB) hálózat a "zéró bekapcsolású" szerverfelügyeleti felület, más néven az alaplapi felügyeleti vezérlő (BMC) támogatására szolgál. Minden BMC-felület egy ügyfél által megadott kapcsolóhoz csatlakozik. A BMC a PXE rendszerindítási forgatókönyveinek automatizálására szolgál.

A felügyeleti hálózatnak hozzá kell férnie a BMC-adapterhez az Intelligent Platform Management Interface (IPMI) User Datagram Protocol (UDP) 623-at használó port használatával.

Az OOB-hálózat elkülönítve van a számítási feladatoktól, és a nem megoldásalapú üzemelő példányok esetében opcionális.

Felügyeleti VLAN

Minden fizikai számítási gazdagépnek hozzá kell férnie a felügyeleti logikai hálózathoz. Az IP-címek tervezéséhez minden fizikai számítási gazdagépnek rendelkeznie kell legalább egy, a felügyeleti logikai hálózatból hozzárendelt IP-címmel.

A DHCP-kiszolgáló automatikusan hozzárendelhet IP-címeket a felügyeleti hálózathoz, vagy manuálisan is hozzárendelhet statikus IP-címeket. Ha a DHCP az előnyben részesített IP-hozzárendelési módszer, javasoljuk, hogy lejárat nélkül használja a DHCP-foglalásokat.

A felügyeleti hálózat a következő VLAN-konfigurációkat támogatja:

  • Natív VLAN – nem szükséges VLAN-azonosítókat megadnia. Ez a megoldásalapú telepítésekhez szükséges.

  • Címkézett VLAN – A VLAN-azonosítókat az üzembe helyezéskor adja meg.

A felügyeleti hálózat támogatja a fürt kezeléséhez szükséges összes forgalmat, beleértve a Távoli asztalt, a Windows Admin Centert és az Active Directory-t.

További információ: SDN-infrastruktúra tervezése: Felügyelet és HNV-szolgáltató.

Számítási VLAN-k

Bizonyos esetekben, nem szükséges SDN alapú virtuális hálózatokat használnia virtuális, kiterjeszthető LAN (VXLAN) beágyazással. Ehelyett hagyományos VLAN-okkal elkülönítheti a bérlői számítási feladatokat. Ezek a VLAN-ok a TOR switch portján vannak konfigurálva trunk módban. Amikor új virtuális gépeket csatlakoztat ezekhez a virtuális hálózatokhoz, a megfelelő VLAN-címke a virtuális hálózati adapteren van definiálva.

HNV szolgáltatói címhálózat (PA)

A Hyper-V hálózatvirtualizáció (HNV) szolgáltatói cím (PA) alhálózat szolgál a kelet-nyugati (belső-belső) bérlői forgalom, az észak-déli (külső-belső) bérlői forgalom mögöttes fizikai hálózataként, valamint a BGP társviszony-létesítési információinak cseréjére a fizikai hálózattal. Ez a hálózat csak akkor szükséges, ha virtuális hálózatok VXLAN-beágyazással történő üzembe helyezésére van szükség egy másik elkülönítési réteghez és a hálózat több-bérlősségéhez.

További információ: SDN-infrastruktúra tervezése: Felügyelet és HNV-szolgáltató.

Hálózatelkülönítési lehetőségek

A következő hálózati elkülönítési lehetőségek támogatottak:

VLAN-ok (IEEE 802.1Q)

A VLAN-k lehetővé teszik azokat az eszközöket, amelyeket külön kell tartani egy fizikai hálózat kábelezésének megosztásához, és amelyek azonban nem kommunikálhatnak közvetlenül egymással. Ez a felügyelt megosztás egyszerűséget, biztonságot, forgalomkezelést és gazdaságosságot eredményez. A VLAN használatával például elkülönítheti a vállalaton belüli forgalmat egyéni felhasználók vagy felhasználói csoportok vagy szerepkörök alapján, vagy a forgalom jellemzői alapján. Számos internetes üzemeltetési szolgáltatás VLAN-okkal választja el a privát zónákat egymástól, így az egyes ügyfelek kiszolgálói egyetlen hálózati szegmensbe csoportosíthatók, függetlenül attól, hogy az egyes kiszolgálók hol találhatók az adatközpontban. Bizonyos óvintézkedésekre van szükség ahhoz, hogy megakadályozzuk a forgalom kijutását egy adott VLAN-ból, ami egy VLAN hopping nevű támadás.

További információ: A virtuális hálózatok és a VLAN-k használatának ismertetése.

Alapértelmezett hálózati hozzáférési szabályzatok és mikrosegmentáció

Az alapértelmezett hálózati hozzáférési szabályzatok biztosítják, hogy az Azure Stack HCI-fürt összes virtuális gépe biztonságos legyen a külső fenyegetésekkel szemben. Ezekkel a szabályzatokkal alapértelmezés szerint letiltjuk a virtuális gépek bejövő hozzáférését, miközben lehetővé tesszük a szelektív bejövő portok engedélyezését, és ezáltal a virtuális gépek külső támadásoktól való védelmét. Ez a kényszerítés olyan felügyeleti eszközökkel érhető el, mint a Windows Felügyeleti központ.

A mikroszegmentálás magában foglalja az alkalmazások és szolgáltatások közötti részletes hálózati szabályzatok létrehozását. Ez lényegében az egyes alkalmazások vagy virtuális gépek körüli kerítésre csökkenti a biztonsági szegélyt. Ez a kerítés csak az alkalmazásszintek vagy más logikai határok közötti szükséges kommunikációt teszi lehetővé, ami rendkívül megnehezíti a kibertámadások oldalirányú elosztását az egyik rendszerről a másikra. A mikrosegmentáció biztonságosan elkülöníti a hálózatokat egymástól, és csökkenti a hálózati biztonsági incidensek teljes támadási felületét.

Az alapértelmezett hálózati hozzáférési szabályzatok és mikroszegmentáció ötszintű állapotalapú (forráscímelőtag, forrásport, célcímelőtag, célport és protokoll) tűzfalszabályokként valósul meg az Azure Stack HCI-fürtökön. A tűzfalszabályok hálózati biztonsági csoportoknak (NSG-k) is ismertek. Ezek a szabályzatok az egyes virtuális gépek vSwitch portján lesznek érvényesítve. A szabályzatokat az irányítási rétegen keresztül küldik le, és az SDN hálózati vezérlő elosztja azokat az összes alkalmazható gazdagépen. Ezek a szabályzatok a hagyományos VLAN-hálózatokon és az SDN-átfedéses hálózatokon futó virtuális gépekhez érhetők el.

További információ: Mi az adatközponti tűzfal?

QoS virtuálisgép-hálózati adapterekhez

A szolgáltatásminőséget (QoS) konfigurálhatja egy virtuálisgép-hálózati adapterhez, hogy korlátozza a sávszélességet egy virtuális adapteren, hogy megakadályozza, hogy a nagy forgalmú virtuális gépek más virtuálisgép-hálózati forgalommal versengjenek. A QoS-t úgy is konfigurálhatja, hogy egy virtuális gép számára meghatározott sávszélességet foglaljon le, hogy a virtuális gép a hálózat többi forgalmától függetlenül is képes legyen forgalmat küldeni. Ez alkalmazható a hagyományos VLAN-hálózatokhoz csatlakoztatott virtuális gépekre, valamint az SDN-átfedéses hálózatokhoz csatlakoztatott virtuális gépekre.

További információ: QoS konfigurálása virtuálisgép-hálózati adapterhez.

Virtuális hálózatok

A hálózatvirtualizálás virtuális hálózatokat biztosít a virtuális gépek számára, hasonlóan ahhoz, ahogyan a kiszolgálóvirtualizálás (hipervizor) virtuális gépeket biztosít az operációs rendszer számára. A hálózatvirtualizálás leválasztja a virtuális hálózatokat a fizikai hálózati infrastruktúráról, és eltávolítja a VLAN és a hierarchikus IP-cím hozzárendelésének korlátait a virtuális gép kiépítéséből. Ez a rugalmasság megkönnyíti a (szolgáltatásként nyújtott infrastruktúra) IaaS-felhőkre való áttérést, és hatékonyabbá teszi az infrastruktúra kezelését az üzemeltetők és adatközpont-rendszergazdák számára a szükséges több-bérlős elkülönítés, a biztonsági követelmények és az átfedésben lévő virtuális gép IP-címek fenntartása érdekében.

További információ: Hyper-V hálózatvirtualizálás.

L3 hálózatkezelési szolgáltatások beállításai

A következő L3 hálózati szolgáltatási lehetőségek érhetők el:

Virtuális hálózati összekötés

A virtuális hálózatok közötti társviszony-létesítés lehetővé teszi két virtuális hálózat zökkenőmentes csatlakoztatását. Az összekapcsolás után a virtuális hálózatok egy hálózatként jelennek meg. A virtuális társhálózatok használatának előnyei:

  • A társviszonyban lévő virtuális hálózatok virtuális gépei közötti forgalmat a rendszer csak privát IP-címeken keresztül irányítja át a gerincinfrastruktúra felé. A virtuális hálózatok közötti kommunikációhoz nincs szükség nyilvános internetre vagy átjárókra.
  • Kis késésű, nagy sávszélességű kapcsolat jön létre eltérő virtuális hálózatokba tartozó erőforrások között.
  • Az a képesség, hogy egy virtuális hálózat erőforrásai kommunikáljanak egy másik virtuális hálózat erőforrásaival.
  • A kapcsolat létrehozásakor egyik virtuális hálózatban sem lesz kiesés az erőforrásoknál.

További információ: Virtuális hálózatok közötti társviszony-létesítés.

SDN szoftveres terheléselosztó

A felhőszolgáltatók (CSP-k) és a szoftveralapú hálózatkezelést (SDN) üzembe helyező vállalatok a Szoftver load Balancer (SLB) használatával egyenletesen eloszthatják az ügyfélhálózati forgalmat a virtuális hálózati erőforrások között. Az SLB lehetővé teszi, hogy több kiszolgáló üzemeltetje ugyanazt a számítási feladatot, magas rendelkezésre állást és méretezhetőséget biztosítva. Arra is szolgál, hogy bejövő hálózati címfordítási (NAT) szolgáltatásokat biztosítson a virtuális gépekhez való bejövő hozzáféréshez, valamint kimenő NAT-szolgáltatásokat a kimenő kapcsolatokhoz.

Az SLB használatával skálázhatja a terheléselosztási képességeket ugyanazon Hyper-V számítási kiszolgálókon található SLB virtuális gépek használatával, amelyeket a többi virtuálisgép-számítási feladathoz használ. Az SLB támogatja a terheléselosztási végpontok gyors létrehozását és törlését a CSP-műveletekhez szükséges módon. Az SLB emellett fürtönként több tíz gigabájtot is támogat, egyszerű kiépítési modellt biztosít, és könnyen bővíthető és csökkenthető. Az SLB a Border Gateway Protocol használatával hirdeti meg a virtuális IP-címeket a fizikai hálózaton.

További információért olvassa el: Mi az SLB az SDN-hez?

SDN VPN-átjárók

Az SDN Gateway egy szoftveralapú Border Gateway Protocol (BGP) képes útválasztó, amelyet olyan CSP-k és nagyvállalatok számára terveztek, amelyek hyper-V hálózatvirtualizálást (HNV) használó több-bérlős virtuális hálózatokat üzemeltetnek. A RAS-átjáróval irányíthatja a hálózati forgalmat egy virtuális hálózat és egy másik hálózat között, helyi vagy távoli hálózat között.

Az SDN-átjáró a következőre használható:

  • Biztonságos helyek közötti IPsec-kapcsolatok létrehozása SDN virtuális hálózatok és külső ügyfélhálózatok között az interneten keresztül.

  • Általános útválasztási beágyazási (GRE) kapcsolatok létrehozása SDN virtuális hálózatok és külső hálózatok között. A helyek közötti kapcsolatok és a GRE-kapcsolatok közötti különbség az, hogy az utóbbi nem titkosított kapcsolat.

    További információ a GRE-kapcsolati forgatókönyvekről: GRE Tunneling in Windows Server.

  • 3. rétegbeli (L3) kapcsolatok létrehozása SDN virtuális hálózatok és külső hálózatok között. Ebben az esetben az SDN-átjáró egyszerűen útválasztóként működik a virtuális hálózat és a külső hálózat között.

Az SDN-átjáróhoz SDN hálózati vezérlő szükséges. A Hálózati vezérlő végrehajtja az átjárókészletek üzembe helyezését, konfigurálja a bérlői kapcsolatokat az egyes átjárókon, és a hálózati forgalom egy készenléti átjáróra vált, ha egy átjáró meghibásodik.

Az átjárók a Border Gateway Protocol használatával hirdetik a GRE-végpontokat, és pont–pont kapcsolatokat hoznak létre. Az SDN üzembe helyezése létrehoz egy alapértelmezett átjárókészletet, amely minden kapcsolattípust támogat. Ebben a készletben megadhatja, hogy hány átjáró van készenléti állapotban, ha egy aktív átjáró meghibásodik.

További információ: Mi az SDN-hez készült RAS-átjáró?

Következő lépések

Ismerje meg a kétcsomópontos tárolókapcsolós, nem konvergens hálózati mintát.