Condividi tramite

Esaminare il modello di riferimento di rete di distribuzione dell'archiviazione a server singolo per Azure Stack HCI

  • Articolo

Si applica a: Azure Stack HCI, versioni 23H2 e 22H2

Questo articolo descrive il modello di riferimento di rete di archiviazione a server singolo che è possibile usare per distribuire la soluzione Azure Stack HCI. Le informazioni contenute in questo articolo consentono anche di determinare se questa configurazione è valida per le esigenze di pianificazione della distribuzione. Questo articolo è destinato agli amministratori IT che distribuiscono e gestiscono Azure Stack HCI nei data center.

Per informazioni su altri modelli di rete, vedere Modelli di distribuzione di rete di Azure Stack HCI.

Introduzione

Le distribuzioni a server singolo offrono vantaggi in termini di costi e spazio, consentendo al tempo stesso di modernizzare l'infrastruttura e portare il calcolo ibrido di Azure in posizioni che possono tollerare la resilienza di un singolo server. Azure Stack HCI in esecuzione in un server singolo si comporta in modo analogo ad Azure Stack HCI in un cluster multinodo: offre l'integrazione nativa di Azure Arc, la possibilità di aggiungere server per aumentare il numero di istanze del cluster e include gli stessi vantaggi di Azure.

Supporta anche gli stessi carichi di lavoro, ad esempio Desktop virtuale Azure (AVD) e servizio Azure Kubernetes in Azure Stack HCI ed è supportato e fatturato allo stesso modo.

Scenari

Usare il modello di archiviazione a server singolo negli scenari seguenti:

  • Strutture che possono tollerare un livello inferiore di resilienza. Prendere in considerazione l'implementazione di questo modello ogni volta che la posizione o il servizio fornito da questo modello può tollerare un livello di resilienza inferiore senza influire sull'azienda.

  • Cibo, sanità, finanza, vendita al dettaglio, strutture governative. Alcuni scenari alimentari, sanitari, finanziari e di vendita al dettaglio possono applicare questa opzione per ridurre al minimo i costi senza influire sulle operazioni principali e sulle transazioni aziendali.

Anche se i servizi SDN (Software Defined Networking) Layer 3 (L3) sono completamente supportati in questo modello, potrebbe essere necessario configurare servizi di routing come BGP (Border Gateway Protocol) per il dispositivo firewall nel commutatore TOR (Top-of-Rack).

Le funzionalità di sicurezza di rete, ad esempio la microsegmentazione e la qualità del servizio (QoS) non richiedono una configurazione aggiuntiva per il dispositivo firewall, perché vengono implementate a livello di scheda di rete virtuale. Per altre informazioni, vedere Microsegmentation con Azure Stack HCI.

Nota

I server singoli devono usare un solo tipo di unità: unità NVMe (Memory Express) non volatili o unità Solid-State (SSD).

Componenti di connettività fisica

Come illustrato nel diagramma seguente, questo modello include i componenti di rete fisica seguenti:

  • Per il traffico verso nord/sud, il cluster Azure Stack HCI viene implementato usando un singolo commutatore TOR L2 o L3.
  • Due porte di rete in team per gestire la gestione e il traffico di calcolo connessi al commutatore.
  • Due schede di interfaccia di rete RDMA disconnesse usate solo se si aggiunge un secondo server al cluster per la scalabilità orizzontale. Ciò significa che non sono aumentati i costi per il cablaggio o le porte del commutatore fisico.
  • (Facoltativo) È possibile usare una scheda BMC per abilitare la gestione remota dell'ambiente. Per motivi di sicurezza, alcune soluzioni potrebbero usare una configurazione headless senza la scheda BMC.

Diagramma che mostra il layout della connettività fisica a server singolo.

La tabella seguente elenca alcune linee guida per una distribuzione a server singolo:

Rete Calcolo & di gestione Archiviazione Baseboard Management Controller (BMC)
Velocità di collegamento Almeno 1 Gbps se RDMA è disabilitato, consigliato 10 Gbps. Almeno 10 Gbps. Rivolgersi al produttore dell'hardware.
Tipo interfaccia RJ45, SFP+o SFP28 SFP+ o SFP28 RJ45
Porte e aggregazioni Due porte in team Facoltativo per consentire l'aggiunta di un secondo server; porte disconnesse. Una porta
RDMA facoltativo. Dipende dai requisiti per il supporto della scheda di interfaccia di rete e RDMA guest. N/D N/D

Finalità atc di rete

Il modello a server singolo usa una sola finalità di Network ATC per la gestione e il traffico di calcolo. Le interfacce di rete RDMA sono facoltative e disconnesse.

Diagramma che mostra le finalità di Network ATC per il modello senza commutatore a server singolo.

Finalità di gestione e calcolo

La finalità di gestione e calcolo presenta le caratteristiche seguenti:

  • Tipo di finalità: gestione e calcolo
  • Modalità finalità: modalità cluster
  • Raggruppamento: Sì - pNIC01 e pNIC02 sono raggruppati
  • VLAN di gestione predefinita: la VLAN configurata per le schede di gestione è modificata
  • VLAN e vNIC PA: l'ATC di rete è trasparente per le VNIC e le VLAN PA
  • VLAN di calcolo e vNIC: ATC di rete è trasparente per calcolare vNIC e VLAN delle macchine virtuali

Finalità di archiviazione

La finalità di archiviazione presenta le caratteristiche seguenti:

  • Tipo di finalità: Nessuno
  • Modalità finalità: Nessuna
  • Raggruppamento: pNIC03 e pNIC04 sono disconnessi
  • VLAN predefinite: Nessuna
  • Subnet predefinite: Nessuna

Seguire questa procedura per creare una finalità di rete per questo modello di riferimento:

  1. Eseguire PowerShell come amministratore.

  2. Eseguire il comando seguente:

    Add-NetIntent -Name <management_compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>

Per altre informazioni, vedere Distribuire la rete host: Finalità di calcolo e gestione.

Componenti di rete logica

Come illustrato nel diagramma seguente, questo modello include i componenti di rete logica seguenti:

Diagramma che mostra il layout della connettività logica a server singolo.

VLAN di rete di archiviazione

Facoltativo: questo modello non richiede una rete di archiviazione.

Rete OOB

La rete Fuori banda (OOB) è dedicata al supporto dell'interfaccia di gestione del server "lights-out", nota anche come controller di gestione della scheda base( BMC). Ogni interfaccia BMC si connette a un commutatore fornito dal cliente. BMC viene usato per automatizzare gli scenari di avvio PXE.

La rete di gestione richiede l'accesso all'interfaccia BMC tramite la porta 623 (Intelligent Platform Management Interface) User Datagram Protocol (UDP).

La rete OOB è isolata dai carichi di lavoro di calcolo ed è facoltativa per le distribuzioni non basate su soluzioni.

VLAN di gestione

Tutti gli host di calcolo fisici richiedono l'accesso alla rete logica di gestione. Per la pianificazione degli indirizzi IP, ogni host di calcolo fisico deve avere almeno un indirizzo IP assegnato dalla rete logica di gestione.

Un server DHCP può assegnare automaticamente indirizzi IP per la rete di gestione oppure assegnare manualmente indirizzi IP statici. Quando DHCP è il metodo di assegnazione IP preferito, è consigliabile usare prenotazioni DHCP senza scadenza.

La rete di gestione supporta le configurazioni VLAN seguenti:

  • VLAN nativa : non è necessario fornire ID VLAN. Questa operazione è necessaria per le installazioni basate su soluzioni.

  • VLAN contrassegnata : è possibile specificare gli ID VLAN al momento della distribuzione. connessioni tenant in ogni gateway e passa il traffico di rete a un gateway di standby in caso di errore di un gateway.

I gateway usano Border Gateway Protocol per annunciare gli endpoint GRE e stabilire connessioni da punto a punto. La distribuzione SDN crea un pool di gateway predefinito che supporta tutti i tipi di connessione. All'interno di questo pool è possibile specificare il numero di gateway riservati in standby in caso di errore di un gateway attivo.

Per altre informazioni, vedere Che cos'è il gateway RAS per SDN?

La rete di gestione supporta tutto il traffico usato per la gestione del cluster, tra cui Desktop remoto, Windows Admin Center e Active Directory.

Per altre informazioni, vedere Pianificare un'infrastruttura SDN: Gestione e provider HNV.

VLAN di calcolo

In alcuni scenari non è necessario usare reti virtuali SDN con incapsulamento VXLAN (Virtual Extensible LAN). È invece possibile usare le VLAN tradizionali per isolare i carichi di lavoro del tenant. Tali VLAN sono configurate sulla porta del commutatore TOR in modalità trunk. Quando si connettono nuove macchine virtuali a queste VLAN, il tag VLAN corrispondente viene definito nella scheda di rete virtuale.

Rete PA (HNV Provider Address)

La rete PA (Network Virtualization) Hyper-V funge da rete fisica sottostante per il traffico tenant orientale/occidentale (interno interno), il traffico del tenant nord/sud (interno esterno) e lo scambio di informazioni di peering BGP con la rete fisica. Questa rete è necessaria solo quando è necessaria la distribuzione di reti virtuali usando l'incapsulamento VXLAN per un altro livello di isolamento e per la multi-tenancy di rete.

Per altre informazioni, vedere Pianificare un'infrastruttura SDN: Gestione e provider HNV.

Opzioni di isolamento della rete

Sono supportate le opzioni di isolamento di rete seguenti:

VLAN (IEEE 802.1Q)

Le VLAN consentono ai dispositivi che devono essere mantenuti separati per condividere il cablaggio di una rete fisica e tuttavia non possono interagire direttamente tra loro. Questa condivisione gestita produce miglioramenti in termini di semplicità, sicurezza, gestione del traffico ed economia. Ad esempio, una VLAN può essere usata per separare il traffico all'interno di un'azienda in base a singoli utenti o gruppi di utenti o ruoli o in base alle caratteristiche del traffico. Molti servizi di hosting Internet usano VLAN per separare le zone private l'una dall'altra, consentendo di raggruppare i server di ogni cliente in un singolo segmento di rete, indipendentemente dalla posizione in cui si trovano i singoli server nel data center. Alcune precauzioni sono necessarie per impedire l'escape del traffico da una determinata VLAN, un exploit noto come salto VLAN.

Per altre informazioni, vedere Informazioni sull'utilizzo di reti virtuali e VLAN.

Criteri di accesso alla rete predefiniti e microsegmentazione

I criteri di accesso alla rete predefiniti assicurano che tutte le macchine virtuali nel cluster Azure Stack HCI siano protette per impostazione predefinita dalle minacce esterne. Con questi criteri, l'accesso in ingresso a una macchina virtuale verrà bloccato per impostazione predefinita, offrendo al tempo stesso l'opzione per abilitare le porte in ingresso selettive e quindi proteggere le macchine virtuali da attacchi esterni. Questa applicazione è disponibile tramite strumenti di gestione come Windows Admin Center.

La microsegmentazione comporta la creazione di criteri di rete granulari tra applicazioni e servizi. Questo riduce essenzialmente il perimetro di sicurezza a un recinto intorno a ogni applicazione o macchina virtuale. Questo recinto consente solo la comunicazione necessaria tra i livelli applicazione o altri limiti logici, rendendo quindi estremamente difficile la diffusione delle minacce informatiche in un secondo momento da un sistema a un altro. La microsegmentazione isola in modo sicuro le reti l'una dall'altra e riduce la superficie di attacco totale di un evento imprevisto della sicurezza di rete.

I criteri di accesso alla rete predefiniti e la microsegmentazione vengono realizzati come regole del firewall con cinque tuple (prefisso dell'indirizzo di origine, porta di origine, prefisso dell'indirizzo di destinazione, porta di destinazione e protocollo) nei cluster Azure Stack HCI. Le regole del firewall sono note anche come NSG (Network Security Gruppi). Questi criteri vengono applicati alla porta vSwitch di ogni macchina virtuale. I criteri vengono inseriti nel livello di gestione e il controller di rete SDN li distribuisce a tutti gli host applicabili. Questi criteri sono disponibili per le macchine virtuali nelle reti VLAN tradizionali e nelle reti di sovrapposizione SDN.

Per altre informazioni, vedere Che cos'è il firewall del data center?.  

QoS per le schede di rete delle macchine virtuali

È possibile configurare qualità del servizio (QoS) per una scheda di rete della macchina virtuale per limitare la larghezza di banda in un'interfaccia virtuale per impedire a una macchina virtuale con traffico elevato di confrontarsi con altro traffico di rete della macchina virtuale. È anche possibile configurare QoS per riservare una quantità specifica di larghezza di banda per una macchina virtuale per assicurarsi che la macchina virtuale possa inviare traffico indipendentemente da altro traffico nella rete. Questa operazione può essere applicata alle macchine virtuali collegate alle reti VLAN tradizionali e alle macchine virtuali collegate alle reti di sovrapposizione SDN.

Per altre informazioni, vedere Configurare QoS per una scheda di rete della macchina virtuale.

Reti virtuali

La virtualizzazione di rete fornisce reti virtuali a macchine virtuali simili a come la virtualizzazione server (hypervisor) fornisce macchine virtuali al sistema operativo. La virtualizzazione di rete separa le reti virtuali dall'infrastruttura di rete fisica e rimuove i vincoli di VLAN e l'assegnazione di indirizzi IP gerarchici dal provisioning delle macchine virtuali. Tale flessibilità semplifica il passaggio ai cloud IaaS (Infrastructure-as-a-Service) ed è efficiente per gli host e gli amministratori del data center per gestire l'infrastruttura e mantenere l'isolamento multi-tenant, i requisiti di sicurezza e la sovrapposizione degli indirizzi IP delle macchine virtuali.

Per altre informazioni, vedere Virtualizzazione rete Hyper-V.

Opzioni dei servizi di rete L3

Sono disponibili le opzioni del servizio di rete L3 seguenti:

Peering di rete virtuale

Il peering di rete virtuale consente di connettere facilmente due reti virtuali. Dopo il peering, ai fini della connettività, le reti virtuali vengono visualizzate come una. Il peering reti virtuali include i vantaggi seguenti:

  • Il traffico tra macchine virtuali nelle reti virtuali con peering viene instradato attraverso l'infrastruttura backbone solo tramite indirizzi IP privati. La comunicazione tra le reti virtuali non richiede internet o gateway pubblici.
  • Connessione a bassa latenza e larghezza di banda elevata tra le risorse in reti virtuali diverse.
  • Possibilità per le risorse in una rete virtuale di comunicare con le risorse in una rete virtuale diversa.
  • Nessun tempo di inattività per le risorse in una rete virtuale durante la creazione del peering.

Per altre informazioni, vedere Peering di rete virtuale.

Servizio di bilanciamento del carico software SDN

I provider di servizi cloud e le aziende che distribuiscono SDN (Software Defined Networking) possono usare Software Load Balancer (SLB) per distribuire uniformemente il traffico di rete dei clienti tra le risorse di rete virtuale. SLB consente di abilitare più server per l'hosting dello stesso carico di lavoro, offrendo disponibilità e scalabilità elevate. Viene usato anche per fornire servizi NAT (Network Address Translation) in ingresso per l'accesso in ingresso alle macchine virtuali e servizi NAT in uscita per la connettività in uscita.

Con SLB è possibile aumentare le capacità di bilanciamento del carico usando macchine virtuali SLB negli stessi server di calcolo Hyper-V usati per gli altri carichi di lavoro delle macchine virtuali. SLB supporta la creazione e l'eliminazione rapida degli endpoint di bilanciamento del carico in base alle esigenze per le operazioni CSP. Inoltre, SLB supporta decine di gigabyte per cluster, fornisce un modello di provisioning semplice ed è facile da aumentare e ridurre. SLB usa Border Gateway Protocol per annunciare gli indirizzi IP virtuali alla rete fisica.

Per altre informazioni, vedere Che cos'è SLB per SDN?

Gateway VPN SDN

Il gateway SDN è un router con funzionalità BGP (Border Gateway Protocol) basato su software progettato per CSP e aziende che ospitano reti virtuali multi-tenant tramite Hyper-V Network Virtualization (HNV). È possibile usare il gateway RAS per instradare il traffico di rete tra una rete virtuale e un'altra rete, locale o remota.

Il gateway SDN può essere usato per:

  • Create connessioni IPsec sicure da sito a sito tra reti virtuali SDN e reti dei clienti esterne tramite Internet.

  • Create connessioni GRE (Generic Routing Encapsulation) tra reti virtuali SDN e reti esterne. La differenza tra connessioni da sito a sito e connessioni GRE è che quest'ultima non è una connessione crittografata.

    Per altre informazioni sugli scenari di connettività GRE, vedere Gre Tunneling in Windows Server.

  • Create connessioni di livello 3 (L3) tra reti virtuali SDN e reti esterne. In questo caso, il gateway SDN funge semplicemente da router tra la rete virtuale e la rete esterna.

Il gateway SDN richiede il controller di rete SDN. Controller di rete esegue la distribuzione dei pool di gateway, configura

Passaggi successivi

Informazioni sui modelli a due nodi: modelli di distribuzione di rete di Azure Stack HCI.