Che cos'è SDN Multisite?
Si applica a: Azure Stack HCI, versione 23H2
Questo articolo offre una panoramica del sito multisito SDN, inclusi i vantaggi e le limitazioni correnti. È possibile usarlo come guida per progettare la topologia di rete e il piano di ripristino di emergenza.
SDN Multisito consente di espandere le funzionalità di SDN tradizionale nei cluster Azure Stack HCI distribuiti in posizioni fisiche diverse. Il multisito SDN consente la connettività nativa di livello 2 e livello 3 in posizioni fisiche diverse per carichi di lavoro virtualizzati. In questo articolo tutti i riferimenti ai siti indicano posizioni fisiche.
Per informazioni su come gestire il multisito SDN, vedere Gestire multisito SDN per Azure Stack HCI.
Vantaggi
Ecco i vantaggi dell'uso di SDN Multisito:
- Sistema di gestione dei criteri unificato. Con le reti virtuali condivise e le configurazioni dei criteri, è possibile gestire e configurare le reti multisito da qualsiasi sito.
- Migrazione senza problemi del carico di lavoro. Eseguire facilmente la migrazione dei carichi di lavoro tra siti fisici senza dover riconfigurare gli indirizzi IP o i gruppi di sicurezza di rete preesistenti.
- Raggiungibilità automatica alle nuove macchine virtuali. Ottenere la raggiungibilità automatica alle macchine virtuali appena create nelle reti virtuali, insieme alla gestibilità automatica a qualsiasi gruppo di sicurezza di rete associato nelle posizioni fisiche.
Limitazioni
La funzionalità multisito SDN presenta attualmente alcune limitazioni:
- Supportato solo tra due siti.
- I siti devono essere connessi tramite una rete privata, perché non viene fornito il supporto della crittografia per i siti connessi tramite Internet.
- Il bilanciamento del carico interno non è supportato tra siti.
Peering multisito
Il multisito richiede il peering tra siti, che viene avviato come il peering di rete virtuale. Una connessione viene avviata automaticamente in entrambi i siti tramite Windows Admin Center. Una volta stabilita una connessione, il peering viene completato. Per istruzioni su come stabilire il peering, vedere Stabilire il peering.
Le sezioni seguenti descrivono i ruoli di ogni sito all'interno di un ambiente multisito e il modo in cui le risorse vengono gestite e sincronizzate tra siti.
Ruoli del sito primario e secondario
In un ambiente SDN multisito, un sito viene designato come primario e l'altro come secondario. Il sito primario gestisce la sincronizzazione delle risorse. Durante il peering multisito, il sito primario viene selezionato automaticamente, che sarà possibile modificare in un secondo momento usando Windows Admin Center.
Gestione delle risorse
Se il sito primario non è raggiungibile, le risorse globali e le risorse che richiedono la convalida globale o le allocazioni di indirizzi dei clienti globali (CA) non possono essere aggiornate tramite il sito secondario. Tuttavia, è possibile aggiornare altre risorse locali tramite il sito secondario.
Esempi di risorse che richiedono la convalida globale includono:
- Pool MAC.
- Pool di rete/IP logico.
Esempi di allocazioni di CA globali includono:
- Bilanciamento del carico interno per la subnet virtuale. Attualmente, questo non è supportato tramite multisito.
- Connessioni gateway per la subnet virtuale.
Se il sito secondario non è raggiungibile, le risorse possono essere aggiornate tramite il sito primario. Tuttavia, il sito secondario potrebbe avere risorse non aggiornate fino a quando non viene ripristinata la connettività. Una volta ripristinata la connettività, la sincronizzazione riprende.
Se il sito primario diventa inattivo, è possibile designare il sito secondario come nuovo sito primario per eseguire aggiornamenti ai gruppi di sicurezza di rete e alle reti virtuali. Tuttavia, qualsiasi sincronizzazione dei dati in sospeso dal sito primario precedente andrà persa. Per risolvere questo problema, applicare le stesse modifiche nel nuovo sito primario dopo che il sito primario precedente è tornato online. Tuttavia, può anche causare conflitti di allocazione CA globali.
Sincronizzazione delle risorse
Quando si abilita SDN Multisito, non tutte le risorse di ogni sito vengono sincronizzate in tutti i siti. Ecco gli elenchi di risorse sincronizzate e che rimangono non sincronizzate.
Risorse sincronizzate
Queste risorse vengono sincronizzate in tutti i siti dopo la creazione del peering. È possibile aggiornare queste risorse da qualsiasi sito, ad esempio primario o secondario. Tuttavia, il sito primario è responsabile di garantire che queste risorse vengano applicate e sincronizzate tra siti. Le linee guida e le istruzioni per la gestione di queste risorse rimangono invariate in un ambiente SDN a sito singolo.
- Reti virtuali. Per istruzioni su come gestire le reti virtuali, vedere Gestire le reti virtuali tenant. Si noti che le reti logiche non vengono sincronizzate tra i siti. Tuttavia, se le reti virtuali fanno riferimento a una rete logica, la rete logica con lo stesso nome deve esistere in entrambi i siti.
- Gruppi di sicurezza di rete (NSG). Per istruzioni su come configurare il gruppo di sicurezza di rete con Windows Admin Center e PowerShell, vedere Configurare i gruppi di sicurezza di rete con Windows Admin Center e Configurare i gruppi di sicurezza di rete con PowerShell.
- Routing definito dall'utente. Per istruzioni su come usare il routing definito dall'utente, vedere Usare appliance virtuali di rete in una rete virtuale.
Risorse non sincronizzate
Queste risorse non vengono sincronizzate dopo aver stabilito il peering:
- Criteri di bilanciamento del carico.
- Indirizzi IP virtuali (VIP).
- Criteri del gateway.
- Reti logiche. Anche se le reti logiche non sono sincronizzate tra siti, i pool IP vengono controllati per la sovrapposizione e tale sovrapposizione non è consentita.
Questi criteri vengono creati nel sito locale e, se si desiderano gli stessi criteri nell'altro sito, è necessario crearli manualmente. Se le macchine virtuali back-end per i criteri di bilanciamento del carico si trovano in un singolo sito, la connettività tramite SLB funzionerà correttamente senza alcuna configurazione aggiuntiva. Tuttavia, se si prevede che le macchine virtuali back-end vengano spostate da un sito all'altro, per impostazione predefinita, la connettività funziona solo se sono presenti macchine virtuali back-end dietro un indirizzo VIP nel sito locale. Se tutte le macchine virtuali back-end vengono spostate in un altro sito, la connettività su tale indirizzo VIP ha esito negativo.
Flusso del traffico est-ovest e condivisione di subnet
Multisito consente alle macchine virtuali in siti diversi con SDN distribuito di comunicare tramite la stessa subnet senza dover configurare le connessioni gateway SDN. Ciò semplifica la topologia di rete e riduce la necessità di vm e subnet aggiuntive. Il percorso dei dati tra macchine virtuali in siti diversi si basa sull'infrastruttura fisica sottostante.
Gli scenari seguenti confrontano il modo in cui viene stabilita la comunicazione tra due siti fisici in una configurazione SDN tradizionale rispetto a una configurazione multisito SDN.
Comunicazione da macchina virtuale a macchina virtuale senza sito multisito SDN
In una configurazione tradizionale con SDN distribuito in due siti fisici, è necessario stabilire la connessione gateway L3 o GRE per la comunicazione tra siti. È anche necessario fornire subnet aggiuntive per le applicazioni. Ad esempio, se ogni sito ospita applicazioni front-end, è necessario allocare intervalli di subnet separati come 10.1/16 e 10.6/16. Inoltre, quando si configura una connessione gateway, è necessario allocare macchine virtuali aggiuntive per le macchine virtuali del gateway e gestirle in seguito.
Comunicazione da macchina virtuale a macchina virtuale con sito multisito SDN
Con il multisito SDN in due posizioni fisiche, è possibile avere connettività nativa di livello 2 per la comunicazione tra siti. In questo modo è possibile avere un singolo intervallo di subnet per le applicazioni che si estendono in entrambe le posizioni, eliminando la necessità di configurare la connessione gateway SDN. Ad esempio, come illustrato nel diagramma seguente, le applicazioni front-end in entrambe le posizioni possono usare la stessa subnet, ad esempio 10.1/16, anziché mantenere due separate. Con questa configurazione, il flusso di dati da una macchina virtuale a un'altra si basa esclusivamente sull'infrastruttura fisica sottostante, evitando la necessità di attraversare una macchina virtuale gateway SDN aggiuntiva.
Servizi di bilanciamento del carico software e le relative limitazioni
Attualmente, i servizi di bilanciamento del carico software sono risorse locali per ognuno dei siti fisici. Ciò significa che i criteri di bilanciamento del carico e le configurazioni non vengono sincronizzati tra siti tramite multisito. Tenere presente questo aspetto quando si esegue la migrazione di macchine virtuali da una posizione a un'altra in una configurazione multisito SDN.
Bilanciamento del carico in sito multisito SDN: scenario di esempio
Le sezioni seguenti illustrano il bilanciamento del carico in Multisito tramite uno scenario di esempio, che illustra sia senza che con la migrazione delle macchine virtuali del carico di lavoro. Si supponga di avere due cluster Azure Stack HCI con SDN Multisito abilitato, ognuno con la propria infrastruttura SDN distribuita e configurata. In questo scenario, un client vuole raggiungere VM1 con indirizzo IP 10.0.0.5 e INDIRIZZO VIP 11.0.0.5.
Bilanciamento del carico nel multisito SDN senza eseguire la migrazione delle macchine virtuali del carico di lavoro
In SDN Multisito, se non è presente alcuna migrazione di macchine virtuali tra posizioni, i pacchetti di dati vengono inoltrati come di consueto, analogamente alla configurazione SDN tradizionale. L'animazione seguente illustra il percorso dei dati dal computer client a VM1 tramite SLB MUX1 nel cluster 2.
Bilanciamento del carico nel multisito SDN con la migrazione delle macchine virtuali del carico di lavoro
Se si decide di eseguire la migrazione di una macchina virtuale o di tutte le macchine virtuali dietro l'indirizzo VIP all'altro sito, è possibile che si verifichino situazioni in cui la macchina virtuale che si sta tentando di raggiungere diventi non raggiungibile tramite l'indirizzo VIP, a seconda della posizione. Ciò si verifica perché le risorse del servizio di bilanciamento del carico sono locali in ogni cluster Azure Stack HCI. Quando le macchine virtuali del carico di lavoro vengono spostate, le configurazioni nei MUX non sono globali, lasciando l'altro sito non a conoscenza delle migrazioni. L'animazione seguente illustra la migrazione delle macchine virtuali dal cluster 2 al cluster 1 e il modo in cui il percorso del pacchetto di dati ha esito negativo dopo la migrazione.
Per ovviare a questa limitazione, è possibile usare il servizio di bilanciamento del carico esterno che controlla la disponibilità delle macchine virtuali back-end in ogni sito e instrada il traffico di conseguenza. Vedere Usare il servizio di bilanciamento del carico esterno in multisito con la migrazione delle macchine virtuali del carico di lavoro.
Usare il servizio di bilanciamento del carico esterno in multisito con la migrazione delle macchine virtuali del carico di lavoro
È possibile abilitare un servizio di bilanciamento del carico esterno per verificare se sono presenti macchine virtuali back-end dietro un servizio di bilanciamento del carico in uno dei siti. Se non sono presenti macchine virtuali back-end dietro un servizio di bilanciamento del carico, l'indirizzo VIP per MUX non verrà annunciato fino al servizio di bilanciamento del carico esterno e successivamente qualsiasi probe di integrità inviato avrà esito negativo. Questo servizio di bilanciamento del carico esterno garantisce la connettività ai carichi di lavoro anche quando le macchine virtuali passano da un sito a un altro.
Tuttavia, se la distribuzione di un servizio di bilanciamento del carico esterno non è fattibile, usare la soluzione di bilanciamento del carico software come descritto in Bilanciamento del carico in sito multisito SDN senza eseguire la migrazione delle macchine virtuali del carico di lavoro purché non siano presenti macchine virtuali del carico di lavoro di migrazione.
Gateway e relative limitazioni
Le connessioni gateway SDN sono anche risorse locali che non vengono sincronizzate tra siti da multisito. Ogni sito ha le proprie macchine virtuali gateway e le connessioni gateway. Quando una macchina virtuale del carico di lavoro viene creata o migrata in un sito, ottiene la configurazione del gateway locale, ad esempio le route del gateway. Se si crea una connessione gateway per una determinata rete virtuale in un sito, le macchine virtuali di tale sito perdono la connettività del gateway al momento della migrazione all'altro sito. Affinché le macchine virtuali mantengano la connettività del gateway durante la migrazione, è necessario configurare una connessione gateway separata per la stessa rete virtuale nell'altro sito.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per