Megosztás a következőn keresztül:


Tekintse át a kétcsomópontos tárolókapcsoló nélküli, két kapcsolós üzembehelyezési hálózati referenciamintát az Azure Local esetében

A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók

Ebben a cikkben megismerheti a kétcsomópontos tárolókapcsoló nélküli két TOR L3 kapcsoló hálózati referenciamintáját, amellyel üzembe helyezheti az Azure Local-megoldást. A cikkben található információk azt is segítenek megállapítani, hogy ez a konfiguráció működőképes-e az üzembehelyezési tervezési igényeknek megfelelően. Ez a cikk azokat az informatikai rendszergazdákat célozza meg, akik az Azure Local-t az adatközpontjaikban helyezik üzembe és kezelik.

További információ az egyéb hálózati mintákról: Azure Local network deployment patterns.

Forgatókönyvek

A hálózati minta forgatókönyvei közé tartoznak a laboratóriumok, a fiókirodák és az adatközponti létesítmények.

Fontolja meg ezt a mintát, ha olyan költséghatékony megoldást keres, amely hibatűréssel rendelkezik az összes hálózati összetevőben.

Megjegyzés:

Ne feledje, hogy a horizontális felskálázási műveletek nem támogatottak az Azure Local telepítéseken, amelyek kapcsolómentes tárolással rendelkeznek. További csomópont hozzáadásához állítsa újra üzembe a fürtöt, mivel újra kell konfigurálni a tároló fizikai kapcsolatait és a tárolóhálózatokat.

Fizikai kapcsolat összetevői

Az alábbi ábrán látható módon ez a minta a következő fizikai hálózati összetevőkkel rendelkezik:

  • Az északi/déli forgalomhoz a rendszer két TOR-kapcsolót igényel MLAG-konfigurációban.

  • Két összevonásos hálózati kártya a felügyelet és a számítási forgalom kezelésére, valamint a TOR-kapcsolókhoz való csatlakozásra. Minden hálózati adapter egy másik TOR-kapcsolóhoz csatlakozik.

  • Két RDMA hálózati adapter teljes hálós konfigurációban a kelet-nyugati tárolóforgalomhoz. A rendszer minden csomópontja redundáns kapcsolattal rendelkezik a rendszer másik csomópontja felé.

  • Bizonyos megoldások biztonsági okokból használhatnak fej nélküli konfigurációt BMC-kártya nélkül.

Hálózatok Felügyelet és számítás Tárolás BMC
Csatolás sebessége Legalább 1 GBps. 10 GBps ajánlott Legalább 10 GBps Ellenőrizze a hardvergyártót
Interfész típusa RJ45, SFP+ vagy SFP28 SFP+ vagy SFP28 RJ45
Portok és összesítés Két egyesített port Két különálló port Egy port

Kétcsomópontos kapcsoló nélküli fizikai kapcsolat elrendezését bemutató ábra.

Hálózati ATC-szándékok

A kétcsomópontos tárolási kapcsoló nélküli mintákhoz két hálózati ATC-szándék jön létre. Az első a felügyeleti és számítási hálózati forgalomhoz, a második pedig a tárolóforgalomhoz.

Kétcsomópontos kapcsolómentes ATC hálózati szándékokat bemutató diagram

Menedzsment és számítási célkitűzés

  • Szándék típusa: Felügyelet és számítás
  • Szándékos mód: Fürtözési mód
  • Csapatmunka: Igen. pNIC01 és pNIC02 csapat
  • Alapértelmezett felügyeleti VLAN: A felügyeleti adapterekhez konfigurált VLAN nincs módosítva
  • PA és Számítási VLAN-ok és virtuális hálózati adapterek: A hálózati ATC átlátszó a PA-beli virtuális hálózati adapterek és VLAN-ok, valamint a számítási VM-ek virtuális hálózati adapterei és VLAN-jai számára

Tárolási szándék

  • Szándék típusa: Tároló
  • Szándék mód: Fürt mód
  • Hálózati összefogás: a pNIC03 és a pNIC04 az SMB Multichannel használatával biztosítja a rugalmasságot és a sávszélesség-összesítést
  • Alapértelmezett VLAN-ok:
    • 711 az 1. tárolóhálózathoz
    • 712 a 2. tárolóhálózathoz
  • Alapértelmezett alhálózatok:
    • 10.71.1.0/24 az 1. tárolóhálózathoz
    • 10.71.2.0/24 a 2. tárolóhálózathoz

További információért lásd: gazdagépek hálózatának telepítése.

Az alábbi lépéseket követve hozzon létre hálózati szándékokat ehhez a referenciamintához:

  1. Futtassa a PowerShellt rendszergazdaként.

  2. Futtassa az alábbi parancsot:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
    Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
    

Logikai kapcsolat összetevői

Az alábbi ábrán látható módon ez a minta a következő logikai hálózati összetevőkkel rendelkezik:

Egycsomópontos kapcsoló nélküli fizikai kapcsolat elrendezését bemutató ábra.

Tárolóhálózati VLAN-k

A tárolási szándékalapú forgalom két különálló hálózatból áll, amelyek támogatják az RDMA-forgalmat. Minden interfész külön tárolóhálózathoz van dedikáltan, és mindkettő ugyanazt a VLAN-címkét tartalmazhatja. Ez a forgalom csak a két csomópont közötti közlekedésre szolgál. A tárolóforgalom egy privát hálózat, amely nem kapcsolódik más erőforrásokhoz.

A tárolóadapterek különböző IP-alhálózatokban működnek. A kapcsoló nélküli konfiguráció engedélyezéséhez minden csatlakoztatott csomópont a szomszédjának megfelelő alhálózattal rendelkezik. Minden tárolóhálózat alapértelmezés szerint a hálózati ATC előre definiált VLAN-jait használja (711 és 712). Ezek a VLAN-k szükség esetén testre szabhatók. Emellett, ha az ATC által definiált alapértelmezett alhálózat nem használható, ön felelős a rendszer összes tárolási IP-címének hozzárendeléséért.

További információ: Network ATC – áttekintés.

OOB-hálózat

A sávon kívüli (OOB) hálózat a "felügyelet nélküli" kiszolgálófelügyeleti felület, más néven az alaplapi vezérlőegység (BMC) támogatását szolgálja. Minden BMC-felület egy ügyfél által megadott kapcsolóhoz csatlakozik. A BMC a PXE rendszerindítási forgatókönyveinek automatizálására szolgál.

A felügyeleti hálózatnak hozzá kell férnie a BMC-adapterhez az Intelligent Platform Management Interface (IPMI) User Datagram Protocol (UDP) 623-at használó port használatával.

Az OOB-hálózat elkülönítve van a számítási feladatoktól, és nem kötelező azoknál az üzembe helyezéseknél, amelyek nem alapulnak megoldáson.

Felügyeleti VLAN

Minden fizikai számítási gazdagépnek hozzá kell férnie a felügyeleti logikai hálózathoz. Az IP-címek tervezéséhez minden fizikai számítási gazdagépnek rendelkeznie kell legalább egy, a felügyeleti logikai hálózatból hozzárendelt IP-címmel.

A DHCP-kiszolgáló automatikusan hozzárendelhet IP-címeket a felügyeleti hálózathoz, vagy manuálisan is hozzárendelhet statikus IP-címeket. Ha a DHCP az előnyben részesített IP-hozzárendelési módszer, javasoljuk, hogy lejárat nélkül használja a DHCP-foglalásokat.

A felügyeleti hálózat a következő VLAN-konfigurációkat támogatja:

  • Natív VLAN – nem szükséges VLAN-azonosítókat megadnia. Ez a megoldásalapú telepítésekhez szükséges.

  • Címkézett VLAN – A VLAN-azonosítókat az üzembe helyezéskor adja meg.

A felügyeleti hálózat támogatja a fürt felügyeletéhez használt összes forgalmat, beleértve a Távoli Asztalt, a Windows Felügyeleti Központot és az Active Directoryt.

További információ: SDN-infrastruktúra tervezése: Felügyelet és HNV-szolgáltató.

Számítási VLAN-k

Bizonyos esetekben nincs szükség SDN virtuális hálózatok használatára a virtuálisan bővíthető LAN-ok (VXLAN) beágyazásával. Ehelyett hagyományos VLAN-okkal elkülönítheti a bérlői számítási feladatokat. Ezek a VLAN-ok a TOR-kapcsoló portján vannak konfigurálva trönk módban. Amikor új virtuális gépeket csatlakoztat ezekhez a virtuális hálózatokhoz, a megfelelő VLAN-címke a virtuális hálózati adapteren van definiálva.

HNV Szolgáltatói Címhálózat (PA)

A Hyper-V hálózatvirtualizálási (HNV) Szolgáltatói Cím (PA) hálózat szolgál a kelet-nyugati (belső-belső) bérlői forgalom, az észak-déli (külső-belső) bérlői forgalom mögöttes fizikai hálózataként, valamint a BGP peering információk cseréjére a fizikai hálózattal. Ez a hálózat csak akkor szükséges, ha virtuális hálózatok VXLAN-beágyazással történő üzembe helyezésére van szükség egy másik elkülönítési réteghez és a hálózat több-bérlősségéhez.

További információ: SDN-infrastruktúra tervezése: Felügyelet és HNV-szolgáltató.

Hálózatelkülönítési lehetőségek

A következő hálózati elkülönítési lehetőségek támogatottak:

VLAN-ok (IEEE 802.1Q)

A VLAN-k lehetővé teszik azokat az eszközöket, amelyeket külön kell tartani egy fizikai hálózat kábelezésének megosztásához, és amelyek azonban nem kommunikálhatnak közvetlenül egymással. Ez a felügyelt megosztás egyszerűséget, biztonságot, forgalomkezelést és gazdaságosságot eredményez. A VLAN használatával például elkülönítheti a vállalaton belüli forgalmat egyéni felhasználók vagy felhasználói csoportok vagy szerepkörök alapján, vagy a forgalom jellemzői alapján. Számos internetes üzemeltetési szolgáltatás VLAN-okkal választja el a privát zónákat egymástól, így az egyes ügyfelek kiszolgálói egyetlen hálózati szegmensbe csoportosíthatók, függetlenül attól, hogy az egyes kiszolgálók hol találhatók az adatközpontban. Bizonyos óvintézkedésekre van szükség ahhoz, hogy megakadályozzuk a forgalom "kiszökését" egy adott VLAN-ból, ami egy VLAN hopping néven ismert kihasználás.

További információ: A virtuális hálózatok és a VLAN-k használatának ismertetése.

Alapértelmezett hálózati hozzáférési szabályzatok és mikrosegmentáció

Az alapértelmezett hálózati hozzáférési irányelvek biztosítják, hogy az Azure Stack HCI-fürt összes virtuális gépe alapértelmezés szerint biztonságban legyen a külső fenyegetésektől. Ezekkel a szabályzatokkal alapértelmezés szerint letiltjuk a virtuális gépek bejövő hozzáférését, miközben lehetővé tesszük a szelektív bejövő portok engedélyezését, és ezáltal a virtuális gépek külső támadásoktól való védelmét. Ez a kényszerítés olyan felügyeleti eszközökkel érhető el, mint a Windows Felügyeleti központ.

A mikroszegmentálás magában foglalja az alkalmazások és szolgáltatások közötti részletes hálózati szabályzatok létrehozását. Ez lényegében az egyes alkalmazások vagy virtuális gépek körüli kerítésre csökkenti a biztonsági szegélyt. Ez a kerítés csak az alkalmazásszintek vagy más logikai határok közötti szükséges kommunikációt teszi lehetővé, ami rendkívül megnehezíti a kibertámadások oldalirányú elosztását az egyik rendszerről a másikra. A mikrosegmentáció biztonságosan elkülöníti a hálózatokat egymástól, és csökkenti a hálózati biztonsági incidensek teljes támadási felületét.

Az alapértelmezett hálózati hozzáférési szabályzatok és mikroszegmentációk ötrendű állapotalapú (forráscímelőtag, forrásport, célcímelőtag, célport és protokoll) tűzfalszabályokként valósulnak meg az Azure Stack HCI-fürtökön. A tűzfalszabályok hálózati biztonsági csoportoknak (NSG-k) is ismertek. Ezek a szabályzatok az egyes virtuális gépek vSwitch portján lesznek érvényesítve. A szabályzatok átvitele a menedzsment rétegen keresztül történik, és az SDN hálózati vezérlő elosztja őket az összes alkalmazható kiszolgálón. Ezek a szabályzatok a hagyományos VLAN-hálózatokon és az SDN-átfedéses hálózatokon futó virtuális gépekhez érhetők el.

További információ: Mi az adatközponti tűzfal?

QoS virtuálisgép-hálózati adapterekhez

A szolgáltatásminőséget (QoS) konfigurálhatja egy virtuálisgép-hálózati adapterhez, hogy korlátozza a sávszélességet egy virtuális adapteren, hogy megakadályozza, hogy a nagy forgalmú virtuális gépek más virtuálisgép-hálózati forgalommal versengjenek. A QoS-t úgy is konfigurálhatja, hogy egy virtuális gép számára meghatározott sávszélességet foglaljon le, hogy a virtuális gép a hálózat többi forgalmától függetlenül is képes legyen forgalmat küldeni. Ez alkalmazható a hagyományos VLAN-hálózatokhoz csatlakoztatott virtuális gépekre, valamint az SDN-átfedéses hálózatokhoz csatlakoztatott virtuális gépekre.

További információ: QoS konfigurálása virtuálisgép-hálózati adapterhez.

Virtuális hálózatok

A hálózatvirtualizálás virtuális hálózatokat biztosít a virtuális gépek számára, hasonlóan ahhoz, ahogyan a kiszolgálóvirtualizálás (hipervizor) virtuális gépeket biztosít az operációs rendszer számára. A hálózatvirtualizálás leválasztja a virtuális hálózatokat a fizikai hálózati infrastruktúráról, és eltávolítja a VLAN és a hierarchikus IP-cím hozzárendelésének korlátait a virtuális gép kiépítéséből. Ez a rugalmasság megkönnyíti a (szolgáltatásként nyújtott infrastruktúra) IaaS-felhőkre való áttérést, és hatékony a szolgáltatók és adatközpont-rendszergazdák számára az infrastruktúra kezelésében, miközben fenntartják a szükséges több-bérlős elkülönítést, a biztonsági követelményeket és az átfedő virtuálisgép-IP-címeket.

További információ: Hyper-V Hálózatvirtualizálás.

L3 hálózatkezelési szolgáltatások beállításai

A következő L3 hálózati szolgáltatási lehetőségek érhetők el:

Virtuális hálózati társviszony

A virtuális hálózatok közötti társviszony-létesítés lehetővé teszi két virtuális hálózat zökkenőmentes csatlakoztatását. A peering után, az összeköttetés céljából, a virtuális hálózatok egyként jelennek meg. A virtuális társhálózatok használatának előnyei:

  • A társviszonyban lévő virtuális hálózatok virtuális gépei közötti forgalmat a rendszer csak privát IP-címeken keresztül irányítja át a gerincinfrastruktúra felé. A virtuális hálózatok közötti kommunikációhoz nincs szükség nyilvános internetre vagy átjárókra.
  • Kis késésű, nagy sávszélességű kapcsolat jön létre eltérő virtuális hálózatokba tartozó erőforrások között.
  • Az a képesség, hogy egy virtuális hálózat erőforrásai kommunikáljanak egy másik virtuális hálózat erőforrásaival.
  • A társviszony létrehozásakor egyik virtuális hálózat erőforrásai sem tapasztalnak leállást.

További információ: Virtuális hálózatok közötti társviszony-létesítés.

SDN szoftveres terheléselosztó

A felhőszolgáltatók (CSP-k) és a szoftveralapú hálózatkezelést (SDN) üzembe helyező vállalatok a Szoftver load Balancer (SLB) használatával egyenletesen eloszthatják az ügyfélhálózati forgalmat a virtuális hálózati erőforrások között. Az SLB lehetővé teszi, hogy több kiszolgáló üzemeltetje ugyanazt a számítási feladatot, magas rendelkezésre állást és méretezhetőséget biztosítva. Arra is szolgál, hogy bejövő hálózati címfordítási (NAT) szolgáltatásokat biztosítson a virtuális gépekhez való bejövő hozzáféréshez, valamint kimenő NAT-szolgáltatásokat a kimenő kapcsolatokhoz.

Az SLB használatával skálázhatja a terheléselosztási képességeket ugyanazon Hyper-V számítási kiszolgálókon található SLB virtuális gépek használatával, amelyeket a többi virtuálisgép-számítási feladathoz használ. Az SLB támogatja a terheléselosztási végpontok gyors létrehozását és törlését a CSP-műveletekhez szükséges módon. Az SLB emellett fürtönként több tíz gigabájtot is támogat, egyszerű kiépítési modellt biztosít, és könnyen bővíthető és csökkenthető a kapacitása. Az SLB a Border Gateway Protocol használatával hirdeti meg a virtuális IP-címeket a fizikai hálózaton.

További információ: Mi az SLB az SDN-hez?

SDN VPN-átjárók

Az SDN Gateway egy szoftveralapú Border Gateway Protocol (BGP) képes útválasztó, amelyet olyan CSP-k és nagyvállalatok számára terveztek, amelyek hyper-V hálózatvirtualizálást (HNV) használó több-bérlős virtuális hálózatokat üzemeltetnek. A RAS-átjáróval irányíthatja a hálózati forgalmat egy virtuális hálózat és egy másik hálózat között, helyi vagy távoli hálózat között.

Az SDN-átjáró a következőre használható:

  • Biztonságos helyek közötti IPsec-kapcsolatok létrehozása SDN virtuális hálózatok és külső ügyfélhálózatok között az interneten keresztül.

  • Általános útválasztási beágyazási (GRE) kapcsolatok létrehozása SDN virtuális hálózatok és külső hálózatok között. A helyek közötti kapcsolatok és a GRE-kapcsolatok közötti különbség az, hogy az utóbbi nem titkosított kapcsolat.

    További információ a GRE-kapcsolati forgatókönyvekről: GRE Tunneling in Windows Server.

  • 3. rétegbeli (L3) kapcsolatok létrehozása SDN virtuális hálózatok és külső hálózatok között. Ebben az esetben az SDN-átjáró egyszerűen útválasztóként működik a virtuális hálózat és a külső hálózat között.

Az SDN-átjáróhoz SDN hálózati vezérlő szükséges. A Hálózati vezérlő végrehajtja az átjárókészletek üzembe helyezését, konfigurálja a bérlői kapcsolatokat az egyes átjárókon, és a hálózati forgalom egy készenléti átjáróra vált, ha egy átjáró meghibásodik.

Az átjárók a Border Gateway Protocol használatával hirdetik a GRE-végpontokat, és pont–pont kapcsolatokat hoznak létre. Az SDN üzembe helyezése létrehoz egy alapértelmezett átjárókészletet, amely minden kapcsolattípust támogat. Ebben a készletben megadhatja, hogy hány átjáró van készenléti állapotban, ha egy aktív átjáró meghibásodik.

További információ: Mi az SDN-hez készült RAS-átjáró?

Következő lépések

Ismerje meg a kétcsomópontos, kapcsoló nélküli, egykapcsolós hálózati mintát.