Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók
Ebben a cikkben megismerheti a kétcsomópontos tárolókapcsoló nélküli két TOR L3 kapcsoló hálózati referenciamintáját, amellyel üzembe helyezheti az Azure Local-megoldást. A cikkben található információk azt is segítenek megállapítani, hogy ez a konfiguráció működőképes-e az üzembehelyezési tervezési igényeknek megfelelően. Ez a cikk azokat az informatikai rendszergazdákat célozza meg, akik az Azure Local-t az adatközpontjaikban helyezik üzembe és kezelik.
További információ az egyéb hálózati mintákról: Azure Local network deployment patterns.
Forgatókönyvek
A hálózati minta forgatókönyvei közé tartoznak a laboratóriumok, a fiókirodák és az adatközponti létesítmények.
Fontolja meg ezt a mintát, ha olyan költséghatékony megoldást keres, amely hibatűréssel rendelkezik az összes hálózati összetevőben.
Megjegyzés:
Ne feledje, hogy a horizontális felskálázási műveletek nem támogatottak az Azure Local telepítéseken, amelyek kapcsolómentes tárolással rendelkeznek. További csomópont hozzáadásához állítsa újra üzembe a fürtöt, mivel újra kell konfigurálni a tároló fizikai kapcsolatait és a tárolóhálózatokat.
Fizikai kapcsolat összetevői
Az alábbi ábrán látható módon ez a minta a következő fizikai hálózati összetevőkkel rendelkezik:
Az északi/déli forgalomhoz a rendszer két TOR-kapcsolót igényel MLAG-konfigurációban.
Két összevonásos hálózati kártya a felügyelet és a számítási forgalom kezelésére, valamint a TOR-kapcsolókhoz való csatlakozásra. Minden hálózati adapter egy másik TOR-kapcsolóhoz csatlakozik.
Két RDMA hálózati adapter teljes hálós konfigurációban a kelet-nyugati tárolóforgalomhoz. A rendszer minden csomópontja redundáns kapcsolattal rendelkezik a rendszer másik csomópontja felé.
Bizonyos megoldások biztonsági okokból használhatnak fej nélküli konfigurációt BMC-kártya nélkül.
Hálózatok | Felügyelet és számítás | Tárolás | BMC |
---|---|---|---|
Csatolás sebessége | Legalább 1 GBps. 10 GBps ajánlott | Legalább 10 GBps | Ellenőrizze a hardvergyártót |
Interfész típusa | RJ45, SFP+ vagy SFP28 | SFP+ vagy SFP28 | RJ45 |
Portok és összesítés | Két egyesített port | Két különálló port | Egy port |
Hálózati ATC-szándékok
A kétcsomópontos tárolási kapcsoló nélküli mintákhoz két hálózati ATC-szándék jön létre. Az első a felügyeleti és számítási hálózati forgalomhoz, a második pedig a tárolóforgalomhoz.
Menedzsment és számítási célkitűzés
- Szándék típusa: Felügyelet és számítás
- Szándékos mód: Fürtözési mód
- Csapatmunka: Igen. pNIC01 és pNIC02 csapat
- Alapértelmezett felügyeleti VLAN: A felügyeleti adapterekhez konfigurált VLAN nincs módosítva
- PA és Számítási VLAN-ok és virtuális hálózati adapterek: A hálózati ATC átlátszó a PA-beli virtuális hálózati adapterek és VLAN-ok, valamint a számítási VM-ek virtuális hálózati adapterei és VLAN-jai számára
Tárolási szándék
- Szándék típusa: Tároló
- Szándék mód: Fürt mód
- Hálózati összefogás: a pNIC03 és a pNIC04 az SMB Multichannel használatával biztosítja a rugalmasságot és a sávszélesség-összesítést
- Alapértelmezett VLAN-ok:
- 711 az 1. tárolóhálózathoz
- 712 a 2. tárolóhálózathoz
- Alapértelmezett alhálózatok:
- 10.71.1.0/24 az 1. tárolóhálózathoz
- 10.71.2.0/24 a 2. tárolóhálózathoz
További információért lásd: gazdagépek hálózatának telepítése.
Az alábbi lépéseket követve hozzon létre hálózati szándékokat ehhez a referenciamintához:
Futtassa a PowerShellt rendszergazdaként.
Futtassa az alábbi parancsot:
Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02> Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
Logikai kapcsolat összetevői
Az alábbi ábrán látható módon ez a minta a következő logikai hálózati összetevőkkel rendelkezik:
Tárolóhálózati VLAN-k
A tárolási szándékalapú forgalom két különálló hálózatból áll, amelyek támogatják az RDMA-forgalmat. Minden interfész külön tárolóhálózathoz van dedikáltan, és mindkettő ugyanazt a VLAN-címkét tartalmazhatja. Ez a forgalom csak a két csomópont közötti közlekedésre szolgál. A tárolóforgalom egy privát hálózat, amely nem kapcsolódik más erőforrásokhoz.
A tárolóadapterek különböző IP-alhálózatokban működnek. A kapcsoló nélküli konfiguráció engedélyezéséhez minden csatlakoztatott csomópont a szomszédjának megfelelő alhálózattal rendelkezik. Minden tárolóhálózat alapértelmezés szerint a hálózati ATC előre definiált VLAN-jait használja (711 és 712). Ezek a VLAN-k szükség esetén testre szabhatók. Emellett, ha az ATC által definiált alapértelmezett alhálózat nem használható, ön felelős a rendszer összes tárolási IP-címének hozzárendeléséért.
További információ: Network ATC – áttekintés.
OOB-hálózat
A sávon kívüli (OOB) hálózat a "felügyelet nélküli" kiszolgálófelügyeleti felület, más néven az alaplapi vezérlőegység (BMC) támogatását szolgálja. Minden BMC-felület egy ügyfél által megadott kapcsolóhoz csatlakozik. A BMC a PXE rendszerindítási forgatókönyveinek automatizálására szolgál.
A felügyeleti hálózatnak hozzá kell férnie a BMC-adapterhez az Intelligent Platform Management Interface (IPMI) User Datagram Protocol (UDP) 623-at használó port használatával.
Az OOB-hálózat elkülönítve van a számítási feladatoktól, és nem kötelező azoknál az üzembe helyezéseknél, amelyek nem alapulnak megoldáson.
Felügyeleti VLAN
Minden fizikai számítási gazdagépnek hozzá kell férnie a felügyeleti logikai hálózathoz. Az IP-címek tervezéséhez minden fizikai számítási gazdagépnek rendelkeznie kell legalább egy, a felügyeleti logikai hálózatból hozzárendelt IP-címmel.
A DHCP-kiszolgáló automatikusan hozzárendelhet IP-címeket a felügyeleti hálózathoz, vagy manuálisan is hozzárendelhet statikus IP-címeket. Ha a DHCP az előnyben részesített IP-hozzárendelési módszer, javasoljuk, hogy lejárat nélkül használja a DHCP-foglalásokat.
A felügyeleti hálózat a következő VLAN-konfigurációkat támogatja:
Natív VLAN – nem szükséges VLAN-azonosítókat megadnia. Ez a megoldásalapú telepítésekhez szükséges.
Címkézett VLAN – A VLAN-azonosítókat az üzembe helyezéskor adja meg.
A felügyeleti hálózat támogatja a fürt felügyeletéhez használt összes forgalmat, beleértve a Távoli Asztalt, a Windows Felügyeleti Központot és az Active Directoryt.
További információ: SDN-infrastruktúra tervezése: Felügyelet és HNV-szolgáltató.
Számítási VLAN-k
Bizonyos esetekben nincs szükség SDN virtuális hálózatok használatára a virtuálisan bővíthető LAN-ok (VXLAN) beágyazásával. Ehelyett hagyományos VLAN-okkal elkülönítheti a bérlői számítási feladatokat. Ezek a VLAN-ok a TOR-kapcsoló portján vannak konfigurálva trönk módban. Amikor új virtuális gépeket csatlakoztat ezekhez a virtuális hálózatokhoz, a megfelelő VLAN-címke a virtuális hálózati adapteren van definiálva.
HNV Szolgáltatói Címhálózat (PA)
A Hyper-V hálózatvirtualizálási (HNV) Szolgáltatói Cím (PA) hálózat szolgál a kelet-nyugati (belső-belső) bérlői forgalom, az észak-déli (külső-belső) bérlői forgalom mögöttes fizikai hálózataként, valamint a BGP peering információk cseréjére a fizikai hálózattal. Ez a hálózat csak akkor szükséges, ha virtuális hálózatok VXLAN-beágyazással történő üzembe helyezésére van szükség egy másik elkülönítési réteghez és a hálózat több-bérlősségéhez.
További információ: SDN-infrastruktúra tervezése: Felügyelet és HNV-szolgáltató.
Hálózatelkülönítési lehetőségek
A következő hálózati elkülönítési lehetőségek támogatottak:
VLAN-ok (IEEE 802.1Q)
A VLAN-k lehetővé teszik azokat az eszközöket, amelyeket külön kell tartani egy fizikai hálózat kábelezésének megosztásához, és amelyek azonban nem kommunikálhatnak közvetlenül egymással. Ez a felügyelt megosztás egyszerűséget, biztonságot, forgalomkezelést és gazdaságosságot eredményez. A VLAN használatával például elkülönítheti a vállalaton belüli forgalmat egyéni felhasználók vagy felhasználói csoportok vagy szerepkörök alapján, vagy a forgalom jellemzői alapján. Számos internetes üzemeltetési szolgáltatás VLAN-okkal választja el a privát zónákat egymástól, így az egyes ügyfelek kiszolgálói egyetlen hálózati szegmensbe csoportosíthatók, függetlenül attól, hogy az egyes kiszolgálók hol találhatók az adatközpontban. Bizonyos óvintézkedésekre van szükség ahhoz, hogy megakadályozzuk a forgalom "kiszökését" egy adott VLAN-ból, ami egy VLAN hopping néven ismert kihasználás.
További információ: A virtuális hálózatok és a VLAN-k használatának ismertetése.
Alapértelmezett hálózati hozzáférési szabályzatok és mikrosegmentáció
Az alapértelmezett hálózati hozzáférési irányelvek biztosítják, hogy az Azure Stack HCI-fürt összes virtuális gépe alapértelmezés szerint biztonságban legyen a külső fenyegetésektől. Ezekkel a szabályzatokkal alapértelmezés szerint letiltjuk a virtuális gépek bejövő hozzáférését, miközben lehetővé tesszük a szelektív bejövő portok engedélyezését, és ezáltal a virtuális gépek külső támadásoktól való védelmét. Ez a kényszerítés olyan felügyeleti eszközökkel érhető el, mint a Windows Felügyeleti központ.
A mikroszegmentálás magában foglalja az alkalmazások és szolgáltatások közötti részletes hálózati szabályzatok létrehozását. Ez lényegében az egyes alkalmazások vagy virtuális gépek körüli kerítésre csökkenti a biztonsági szegélyt. Ez a kerítés csak az alkalmazásszintek vagy más logikai határok közötti szükséges kommunikációt teszi lehetővé, ami rendkívül megnehezíti a kibertámadások oldalirányú elosztását az egyik rendszerről a másikra. A mikrosegmentáció biztonságosan elkülöníti a hálózatokat egymástól, és csökkenti a hálózati biztonsági incidensek teljes támadási felületét.
Az alapértelmezett hálózati hozzáférési szabályzatok és mikroszegmentációk ötrendű állapotalapú (forráscímelőtag, forrásport, célcímelőtag, célport és protokoll) tűzfalszabályokként valósulnak meg az Azure Stack HCI-fürtökön. A tűzfalszabályok hálózati biztonsági csoportoknak (NSG-k) is ismertek. Ezek a szabályzatok az egyes virtuális gépek vSwitch portján lesznek érvényesítve. A szabályzatok átvitele a menedzsment rétegen keresztül történik, és az SDN hálózati vezérlő elosztja őket az összes alkalmazható kiszolgálón. Ezek a szabályzatok a hagyományos VLAN-hálózatokon és az SDN-átfedéses hálózatokon futó virtuális gépekhez érhetők el.
További információ: Mi az adatközponti tűzfal?
QoS virtuálisgép-hálózati adapterekhez
A szolgáltatásminőséget (QoS) konfigurálhatja egy virtuálisgép-hálózati adapterhez, hogy korlátozza a sávszélességet egy virtuális adapteren, hogy megakadályozza, hogy a nagy forgalmú virtuális gépek más virtuálisgép-hálózati forgalommal versengjenek. A QoS-t úgy is konfigurálhatja, hogy egy virtuális gép számára meghatározott sávszélességet foglaljon le, hogy a virtuális gép a hálózat többi forgalmától függetlenül is képes legyen forgalmat küldeni. Ez alkalmazható a hagyományos VLAN-hálózatokhoz csatlakoztatott virtuális gépekre, valamint az SDN-átfedéses hálózatokhoz csatlakoztatott virtuális gépekre.
További információ: QoS konfigurálása virtuálisgép-hálózati adapterhez.
Virtuális hálózatok
A hálózatvirtualizálás virtuális hálózatokat biztosít a virtuális gépek számára, hasonlóan ahhoz, ahogyan a kiszolgálóvirtualizálás (hipervizor) virtuális gépeket biztosít az operációs rendszer számára. A hálózatvirtualizálás leválasztja a virtuális hálózatokat a fizikai hálózati infrastruktúráról, és eltávolítja a VLAN és a hierarchikus IP-cím hozzárendelésének korlátait a virtuális gép kiépítéséből. Ez a rugalmasság megkönnyíti a (szolgáltatásként nyújtott infrastruktúra) IaaS-felhőkre való áttérést, és hatékony a szolgáltatók és adatközpont-rendszergazdák számára az infrastruktúra kezelésében, miközben fenntartják a szükséges több-bérlős elkülönítést, a biztonsági követelményeket és az átfedő virtuálisgép-IP-címeket.
További információ: Hyper-V Hálózatvirtualizálás.
L3 hálózatkezelési szolgáltatások beállításai
A következő L3 hálózati szolgáltatási lehetőségek érhetők el:
Virtuális hálózati társviszony
A virtuális hálózatok közötti társviszony-létesítés lehetővé teszi két virtuális hálózat zökkenőmentes csatlakoztatását. A peering után, az összeköttetés céljából, a virtuális hálózatok egyként jelennek meg. A virtuális társhálózatok használatának előnyei:
- A társviszonyban lévő virtuális hálózatok virtuális gépei közötti forgalmat a rendszer csak privát IP-címeken keresztül irányítja át a gerincinfrastruktúra felé. A virtuális hálózatok közötti kommunikációhoz nincs szükség nyilvános internetre vagy átjárókra.
- Kis késésű, nagy sávszélességű kapcsolat jön létre eltérő virtuális hálózatokba tartozó erőforrások között.
- Az a képesség, hogy egy virtuális hálózat erőforrásai kommunikáljanak egy másik virtuális hálózat erőforrásaival.
- A társviszony létrehozásakor egyik virtuális hálózat erőforrásai sem tapasztalnak leállást.
További információ: Virtuális hálózatok közötti társviszony-létesítés.
SDN szoftveres terheléselosztó
A felhőszolgáltatók (CSP-k) és a szoftveralapú hálózatkezelést (SDN) üzembe helyező vállalatok a Szoftver load Balancer (SLB) használatával egyenletesen eloszthatják az ügyfélhálózati forgalmat a virtuális hálózati erőforrások között. Az SLB lehetővé teszi, hogy több kiszolgáló üzemeltetje ugyanazt a számítási feladatot, magas rendelkezésre állást és méretezhetőséget biztosítva. Arra is szolgál, hogy bejövő hálózati címfordítási (NAT) szolgáltatásokat biztosítson a virtuális gépekhez való bejövő hozzáféréshez, valamint kimenő NAT-szolgáltatásokat a kimenő kapcsolatokhoz.
Az SLB használatával skálázhatja a terheléselosztási képességeket ugyanazon Hyper-V számítási kiszolgálókon található SLB virtuális gépek használatával, amelyeket a többi virtuálisgép-számítási feladathoz használ. Az SLB támogatja a terheléselosztási végpontok gyors létrehozását és törlését a CSP-műveletekhez szükséges módon. Az SLB emellett fürtönként több tíz gigabájtot is támogat, egyszerű kiépítési modellt biztosít, és könnyen bővíthető és csökkenthető a kapacitása. Az SLB a Border Gateway Protocol használatával hirdeti meg a virtuális IP-címeket a fizikai hálózaton.
További információ: Mi az SLB az SDN-hez?
SDN VPN-átjárók
Az SDN Gateway egy szoftveralapú Border Gateway Protocol (BGP) képes útválasztó, amelyet olyan CSP-k és nagyvállalatok számára terveztek, amelyek hyper-V hálózatvirtualizálást (HNV) használó több-bérlős virtuális hálózatokat üzemeltetnek. A RAS-átjáróval irányíthatja a hálózati forgalmat egy virtuális hálózat és egy másik hálózat között, helyi vagy távoli hálózat között.
Az SDN-átjáró a következőre használható:
Biztonságos helyek közötti IPsec-kapcsolatok létrehozása SDN virtuális hálózatok és külső ügyfélhálózatok között az interneten keresztül.
Általános útválasztási beágyazási (GRE) kapcsolatok létrehozása SDN virtuális hálózatok és külső hálózatok között. A helyek közötti kapcsolatok és a GRE-kapcsolatok közötti különbség az, hogy az utóbbi nem titkosított kapcsolat.
További információ a GRE-kapcsolati forgatókönyvekről: GRE Tunneling in Windows Server.
3. rétegbeli (L3) kapcsolatok létrehozása SDN virtuális hálózatok és külső hálózatok között. Ebben az esetben az SDN-átjáró egyszerűen útválasztóként működik a virtuális hálózat és a külső hálózat között.
Az SDN-átjáróhoz SDN hálózati vezérlő szükséges. A Hálózati vezérlő végrehajtja az átjárókészletek üzembe helyezését, konfigurálja a bérlői kapcsolatokat az egyes átjárókon, és a hálózati forgalom egy készenléti átjáróra vált, ha egy átjáró meghibásodik.
Az átjárók a Border Gateway Protocol használatával hirdetik a GRE-végpontokat, és pont–pont kapcsolatokat hoznak létre. Az SDN üzembe helyezése létrehoz egy alapértelmezett átjárókészletet, amely minden kapcsolattípust támogat. Ebben a készletben megadhatja, hogy hány átjáró van készenléti állapotban, ha egy aktív átjáró meghibásodik.
További információ: Mi az SDN-hez készült RAS-átjáró?
Következő lépések
Ismerje meg a kétcsomópontos, kapcsoló nélküli, egykapcsolós hálózati mintát.