Esaminare il modello di riferimento di rete per la distribuzione a due nodi senza commutatori per Azure Stack HCI
Si applica a: Azure Stack HCI, versioni 23H2 e 22H2
Questo articolo descrive lo switchless di archiviazione a due nodi con il modello di riferimento di rete del commutatore TOR singolo che è possibile usare per distribuire la soluzione Azure Stack HCI. Le informazioni contenute in questo articolo consentono anche di determinare se questa configurazione è valida per le esigenze di pianificazione della distribuzione. Questo articolo è destinato agli amministratori IT che distribuiscono e gestiscono Azure Stack HCI nei data center.
Per informazioni su altri modelli di rete, vedere Modelli di distribuzione di rete di Azure Stack HCI.
Scenari
Gli scenari per questo modello di rete includono laboratori, fabbriche, negozi al dettaglio e strutture governative.
Si consideri questo modello per una soluzione conveniente che include la tolleranza di errore a livello di cluster, ma può tollerare interruzioni della connettività a nord se il singolo commutatore fisico ha esito negativo o richiede manutenzione.
È possibile aumentare il numero di istanze di questo modello, ma richiede tempi di inattività del carico di lavoro per riconfigurare la connettività fisica dell'archiviazione e la riconfigurazione della rete di archiviazione. Anche se i servizi SDN L3 sono completamente supportati per questo modello, i servizi di routing come BGP devono essere configurati nel dispositivo firewall sopra l'opzione TOR se non supporta i servizi L3. Le funzionalità di sicurezza di rete, ad esempio microsegmentazione e QoS, non richiedono una configurazione aggiuntiva nel dispositivo firewall, perché vengono implementate nel commutatore virtuale.
Componenti di connettività fisica
Come illustrato nel diagramma seguente, questo modello include i componenti di rete fisica seguenti:
Commutatore TOR singolo per la comunicazione del traffico nord-sud.
Due porte di rete in team per gestire la gestione e il traffico di calcolo, connessi al commutatore L2 in ogni host
Due schede di interfaccia di rete RDMA in una configurazione a mesh completa per il traffico est-ovest per l'archiviazione. Ogni nodo del cluster ha una connessione ridondante all'altro nodo del cluster.
Come opzione, alcune soluzioni potrebbero usare una configurazione headless senza una scheda BMC a scopo di sicurezza.
Reti | Gestione e calcolo | Archiviazione | Baseboard Management Controller (BMC) |
---|---|---|---|
Velocità di collegamento | Almeno 1 Gbps. Consigliato 10 Gbps | Almeno 10 Gbps | Rivolgersi al produttore dell'hardware |
Tipo interfaccia | RJ45, SFP+ o SFP28 | SFP+ o SFP28 | RJ45 |
Porte e aggregazioni | Due porte in team | Due porte autonome | Una porta |
Finalità atc di rete
Per i modelli senza commutatore di archiviazione a due nodi, vengono create due finalità atc di rete. Il primo per la gestione e il traffico di rete di calcolo e il secondo per il traffico di archiviazione.
Finalità di gestione e calcolo
- Tipo di finalità: gestione e calcolo
- Modalità finalità: modalità cluster
- Raggruppamento: Sì. pNIC01 e pNIC02 sono raggruppati
- VLAN di gestione predefinita: la VLAN configurata per le schede di gestione non viene modificata
- PA & VLAN di calcolo e vNIC: l'ATC di rete è trasparente per le vNIC e le VLAN pa o le VLAN di calcolo vNIC e VLAN
Finalità di archiviazione
- Tipo di finalità: Archiviazione
- Modalità finalità: modalità cluster
- Raggruppamento: pNIC03 e pNIC04 usano SMB multicanale per fornire resilienza e aggregazione della larghezza di banda
- VLAN predefinite:
- 711 per la rete di archiviazione 1
- 712 per la rete di archiviazione 2
- Subnet predefinite:
- 10.71.1.0/24 per la rete di archiviazione 1
- 10.71.2.0/24 per la rete di archiviazione 2
Per altre informazioni, vedere Distribuire la rete host.
Seguire questa procedura per creare finalità di rete per questo modello di riferimento:
Eseguire PowerShell come amministratore.
Eseguire il comando seguente:
Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02> Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
Componenti di connettività logica
Come illustrato nel diagramma seguente, questo modello include i componenti di rete logica seguenti:
VLAN di rete di archiviazione
Il traffico basato sulle finalità di archiviazione è costituito da due singole reti che supportano il traffico RDMA. Ogni interfaccia sarà dedicata a una rete di archiviazione separata e entrambi possono usare lo stesso tag VLAN. Questo traffico è destinato solo a spostarsi tra i due nodi. Il traffico di archiviazione è una rete privata senza connettività ad altre risorse.
Le schede di archiviazione operano su subnet IP diverse. Per abilitare una configurazione senza commutatore, ogni nodo connesso supporta una subnet corrispondente del relativo adiacente. Ogni rete di archiviazione usa le VLAN predefinite di Network ATC (711 e 712). Tuttavia, queste VLAN possono essere personalizzate, se necessario. Inoltre, se le subnet predefinite definite da Network ATC (10.71.1.0/24 e 10.71.2.0/24) non sono utilizzabili, l'utente è responsabile dell'assegnazione di tutti gli indirizzi IP di archiviazione nel cluster.
Per altre informazioni, vedere Panoramica di Network ATC.
Rete OOB
La rete Fuori banda (OOB) è dedicata al supporto dell'interfaccia di gestione del server "lights-out", nota anche come controller di gestione della scheda base( BMC). Ogni interfaccia BMC si connette a un commutatore fornito dal cliente. BMC viene usato per automatizzare gli scenari di avvio PXE.
La rete di gestione richiede l'accesso all'interfaccia BMC tramite la porta 623 (Intelligent Platform Management Interface) User Datagram Protocol (UDP).
La rete OOB è isolata dai carichi di lavoro di calcolo ed è facoltativa per le distribuzioni non basate su soluzioni.
VLAN di gestione
Tutti gli host di calcolo fisici richiedono l'accesso alla rete logica di gestione. Per la pianificazione degli indirizzi IP, ogni host di calcolo fisico deve avere almeno un indirizzo IP assegnato dalla rete logica di gestione.
Un server DHCP può assegnare automaticamente indirizzi IP per la rete di gestione oppure assegnare manualmente indirizzi IP statici. Quando DHCP è il metodo di assegnazione IP preferito, è consigliabile usare prenotazioni DHCP senza scadenza.
La rete di gestione supporta le configurazioni VLAN seguenti:
VLAN nativa : non è necessario fornire ID VLAN. Questa operazione è necessaria per le installazioni basate su soluzioni.
VLAN contrassegnata : è possibile specificare gli ID VLAN al momento della distribuzione.
La rete di gestione supporta tutto il traffico usato per la gestione del cluster, tra cui Desktop remoto, Windows Admin Center e Active Directory.
Per altre informazioni, vedere Pianificare un'infrastruttura SDN: Gestione e provider HNV.
VLAN di calcolo
In alcuni scenari non è necessario usare reti virtuali SDN con incapsulamento VXLAN (Virtual Extensible LAN). È invece possibile usare le VLAN tradizionali per isolare i carichi di lavoro del tenant. Tali VLAN sono configurate sulla porta del commutatore TOR in modalità trunk. Quando si connettono nuove macchine virtuali a queste VLAN, il tag VLAN corrispondente viene definito nella scheda di rete virtuale.
Rete di indirizzi provider HNV (PA)
La rete ip-V Network Virtualization (HNV) Provider Address (PA) funge da rete fisica sottostante per il traffico del tenant east/west (internal-internal), il traffico del tenant north/sud (external-internal) e lo scambio di informazioni di peering BGP con la rete fisica. Questa rete è necessaria solo quando è necessaria la distribuzione di reti virtuali usando l'incapsulamento VXLAN per un altro livello di isolamento e per la multitenancy di rete.
Per altre informazioni, vedere Pianificare un'infrastruttura SDN: Gestione e provider HNV.
Opzioni di isolamento della rete
Sono supportate le opzioni di isolamento di rete seguenti:
VLAN (IEEE 802.1Q)
Le reti virtuali consentono ai dispositivi che devono essere mantenuti separati per condividere il cablazione di una rete fisica e tuttavia non possono interagire direttamente tra loro. Questa condivisione gestita restituisce guadagni in semplicità, sicurezza, gestione del traffico ed economia. Ad esempio, una VLAN può essere usata per separare il traffico all'interno di un'azienda in base a singoli utenti o gruppi di utenti o ruoli o in base alle caratteristiche del traffico. Molti servizi di hosting Internet usano VLAN per separare le zone private tra loro, consentendo che i server di ogni cliente vengano raggruppati in un singolo segmento di rete indipendentemente dalla posizione in cui si trovano i singoli server nel data center. Alcune precauzioni sono necessarie per evitare che il traffico "escaping" da una determinata VLAN, un exploit noto come vLAN hopping.
Per altre informazioni, vedere Informazioni sull'utilizzo delle reti virtuali e delle reti virtuali.
Criteri di accesso alla rete predefiniti e microsegmentazione
I criteri di accesso alla rete predefiniti garantiscono che tutte le macchine virtuali (VM) nel cluster Azure Stack HCI siano sicure per impostazione predefinita da minacce esterne. Con questi criteri, si blocca l'accesso in ingresso a una macchina virtuale per impostazione predefinita, offrendo l'opzione per abilitare porte in ingresso selettive e quindi proteggere le macchine virtuali da attacchi esterni. Questa imposizione è disponibile tramite strumenti di gestione come Windows Admin Center.
La microsegmentazione prevede la creazione di criteri di rete granulari tra applicazioni e servizi. Ciò riduce essenzialmente il perimetro di sicurezza a un recinto intorno a ogni applicazione o macchina virtuale. Questa recinzione consente solo la comunicazione necessaria tra livelli di applicazione o altri limiti logici, rendendo così estremamente difficile la diffusione in seguito da un sistema a un altro. Microsegmentation isola in modo sicuro le reti tra loro e riduce la superficie totale di attacco di un evento imprevisto di sicurezza di rete.
I criteri di accesso di rete predefiniti e la microsegmentazione vengono realizzati come cinque tuple con stato (prefisso indirizzo di origine, porta di origine, prefisso dell'indirizzo di destinazione, porta di destinazione e protocollo) regole del firewall nei cluster HCI di Azure Stack. Le regole del firewall sono note anche come sicurezza di rete Gruppi (NSG). Questi criteri vengono applicati alla porta vSwitch di ogni macchina virtuale. I criteri vengono sottoposti a push tramite il livello di gestione e il controller di rete SDN li distribuisce a tutti gli host applicabili. Questi criteri sono disponibili per le macchine virtuali nelle reti VLAN tradizionali e nelle reti di sovrapposizione SDN.
Per altre informazioni, vedere What is Datacenter Firewall?.
QoS per schede di rete delle macchine virtuali
È possibile configurare Quality of Service (QoS) per una scheda di rete vm per limitare la larghezza di banda in un'interfaccia virtuale per impedire a una macchina virtuale di traffico elevato di affrontare altri traffico di rete della macchina virtuale. È anche possibile configurare QoS per riservare una quantità specifica di larghezza di banda per una macchina virtuale per garantire che la macchina virtuale possa inviare traffico indipendentemente da altro traffico nella rete. Questa operazione può essere applicata alle macchine virtuali associate alle reti VLAN tradizionali, nonché alle macchine virtuali associate alle reti di sovrapposizione SDN.
Per altre informazioni, vedere Configurare QoS per una scheda di rete vm.
Reti virtuali
La virtualizzazione di rete fornisce reti virtuali a macchine virtuali simili al modo in cui la virtualizzazione del server (hypervisor) fornisce macchine virtuali al sistema operativo. La virtualizzazione di rete separa le reti virtuali dall'infrastruttura di rete fisica e rimuove i vincoli dell'assegnazione di indirizzi IP VLAN e gerarchici dal provisioning delle macchine virtuali. Tale flessibilità semplifica lo spostamento nei cloud IaaS (Infrastruttura come servizio) ed è efficiente per gli host e gli amministratori del data center per gestire l'infrastruttura e mantenere l'isolamento multi-tenant necessario, i requisiti di sicurezza e la sovrapposizione degli indirizzi IP della macchina virtuale.
Per altre informazioni, vedere Virtualizzazione rete Hyper-V.
Opzioni dei servizi di rete L3
Sono disponibili le seguenti opzioni di servizio di rete L3:
Peering di rete virtuale
Il peering di rete virtuale consente di connettere due reti virtuali senza problemi. Dopo aver eseguito il peering, a scopo di connettività, le reti virtuali vengono visualizzate come una. Il peering reti virtuali include i vantaggi seguenti:
- Il traffico tra macchine virtuali nelle reti virtuali con peering viene instradato tramite l'infrastruttura backbone solo tramite indirizzi IP privati. La comunicazione tra le reti virtuali non richiede Internet o gateway pubblici.
- Connessione a bassa latenza e larghezza di banda elevata tra le risorse in reti virtuali diverse.
- Possibilità di risorse in una rete virtuale di comunicare con le risorse in una rete virtuale diversa.
- Nessun tempo di inattività per le risorse in una rete virtuale durante la creazione del peering.
Per altre informazioni, vedere Peering di rete virtuale.
Servizio di bilanciamento del carico software SDN
Provider di servizi cloud (CSP) e aziende che distribuiscono Software Defined Networking (SDN) possono usare Software Load Balancer (SLB) per distribuire in modo uniforme il traffico di rete dei clienti tra le risorse di rete virtuale. SLB consente di abilitare più server per l'hosting dello stesso carico di lavoro, offrendo disponibilità e scalabilità elevate. Viene usato anche per fornire servizi NAT (Network Address Translation) in ingresso per l'accesso in ingresso alle macchine virtuali e servizi NAT in uscita per la connettività in uscita.
Usando SLB, è possibile ridimensionare le funzionalità di bilanciamento del carico usando macchine virtuali SLB negli stessi server di calcolo Hyper-V usati per gli altri carichi di lavoro delle macchine virtuali. SLB supporta la creazione e l'eliminazione rapida degli endpoint di bilanciamento del carico in base alle esigenze per le operazioni CSP. Inoltre, SLB supporta decine di gigabyte per cluster, fornisce un semplice modello di provisioning ed è facile da ridimensionare e in. SLB usa il protocollo gateway di bordo per annunciare gli indirizzi IP virtuali alla rete fisica.
Per altre informazioni, vedere Informazioni su SLB per SDN?
Gateway VPN SDN
Il gateway SDN è un router BGP (Border Gateway Protocol) basato su software progettato per i provider di servizi di rete e le aziende che ospitano reti virtuali multi-tenant usando Hyper-V Network Virtualization (HNV). È possibile usare il gateway RAS per instradare il traffico di rete tra una rete virtuale e un'altra rete, locale o remota.
Il gateway SDN può essere usato per:
Create connessioni IPsec sicure da sito a sito tra reti virtuali SDN e reti clienti esterne tramite Internet.
Create connessioni di incapsulamento generico tra reti virtuali SDN e reti esterne. La differenza tra connessioni da sito a sito e connessioni GRE è che quest'ultimo non è una connessione crittografata.
Per altre informazioni sugli scenari di connettività GRE, vedere Tunneling GRE in Windows Server.
Create connessioni di livello 3 (L3) tra reti virtuali SDN e reti esterne. In questo caso, il gateway SDN funge semplicemente da router tra la rete virtuale e la rete esterna.
Il gateway SDN richiede il controller di rete SDN. Il controller di rete esegue la distribuzione dei pool di gateway, configura le connessioni tenant in ogni gateway e passa il traffico di rete a un gateway di standby se un gateway ha esito negativo.
I gateway usano il protocollo gateway di bordo per annunciare gli endpoint GRE e stabilire connessioni da punto a punto. La distribuzione SDN crea un pool di gateway predefinito che supporta tutti i tipi di connessione. All'interno di questo pool è possibile specificare il numero di gateway riservati in standby in caso di errore di un gateway attivo.
Per altre informazioni, vedere Informazioni sul gateway RAS per SDN?
Passaggi successivi
Informazioni sul modello di rete senza commutatori di archiviazione a due nodi