Azure Stack HCI の 2 ノード ストレージ スイッチレス、2 つのスイッチのデプロイ ネットワーク参照パターンを確認する

  • [アーティクル]

適用対象: Azure Stack HCI バージョン 23H2 および 22H2

この記事では、Azure Stack HCI ソリューションのデプロイに使用できる 2 つの TOR L3 スイッチネットワーク参照パターンを備えた 2 ノード ストレージ スイッチレスについて説明します。 この記事の情報は、この構成が展開計画のニーズに対して実行可能かどうかを判断するのにも役立ちます。 この記事は、データセンターに Azure Stack HCI をデプロイおよび管理する IT 管理者を対象としています。

その他のネットワーク パターンについては、「 Azure Stack HCI ネットワーク デプロイ パターン」を参照してください。

シナリオ

このネットワーク パターンのシナリオには、ラボ、ブランチ オフィス、データセンター施設が含まれます。

すべてのネットワーク コンポーネントでフォールト トレランスを備えたコスト効率の高いソリューションを探す場合は、このパターンを実装することを検討してください。 パターンをスケールアウトすることはできますが、ストレージの物理接続とストレージ ネットワークの再構成を再構成するにはワークロードのダウンタイムが必要です。 このパターンでは、SDN L3 サービスが完全にサポートされています。 BGP などのルーティング サービスは、L3 サービスをサポートしている場合、TOR スイッチで直接構成できます。 マイクロセグメント化や QoS などのネットワーク セキュリティ機能では、仮想ネットワーク アダプターレイヤーに実装されているため、ファイアウォール デバイスに追加の構成は必要ありません。

物理接続コンポーネント

次の図に示すように、このパターンには次の物理ネットワーク コンポーネントがあります。

  • northbound/southbound トラフィックの場合、クラスターには MLAG 構成で 2 つの TOR スイッチが必要です。

  • 管理トラフィックとコンピューティング トラフィックを処理し、TOR スイッチに接続する 2 つのチーム化されたネットワーク カード。 各 NIC は、異なる TOR スイッチに接続されます。

  • East-West ストレージ トラフィック用のフルメッシュ構成の 2 つの RDMA NIC。 クラスター内の各ノードは、クラスター内の他のノードへの冗長接続を持っています。

  • オプションとして、一部のソリューションでは、セキュリティ目的で BMC カードを使用せずにヘッドレス構成を使用する場合があります。

ネットワーク 管理とコンピューティング ストレージ BMC
リンク速度 少なくとも 1 GBps。 推奨される 10 GBps 少なくとも 10 GBps ハードウェアの製造元に問い合わせてください
インターフェイスの型 RJ45、SFP+ または SFP28 SFP+ または SFP28 RJ45
ポートと集計 2 つのチーム化されたポート 2 つのスタンドアロン ポート 1 つのポート

2 ノードスイッチレス物理接続レイアウトを示す図。

ネットワーク ATC 意図

2 ノード ストレージスイッチレス パターンの場合、2 つのネットワーク ATC 意図が作成されます。 管理およびコンピューティング ネットワーク トラフィックの場合は 1 つ目、ストレージ トラフィックの場合は 2 つ目。

2 ノードのスイッチレス ネットワーク ATC 意図を示す図

管理インテントとコンピューティング インテント

  • 意図の種類: 管理とコンピューティング
  • インテント モード: クラスター モード
  • チーミング: はい。 pNIC01 および pNIC02 チーム
  • 既定の管理 VLAN: 管理アダプター用に構成された VLAN は変更されません
  • PA & コンピューティング VLAN と vNIC: ネットワーク ATC は、PA vNIC と VLAN、またはコンピューティング VM vNIC と VLAN に対して透過的です

ストレージインテント

  • 意図の種類: ストレージ
  • インテント モード: クラスター モード
  • チーミング: pNIC03 と pNIC04 は SMB マルチチャネルを使用して回復性と帯域幅の集計を提供します
  • 既定の VLAN:
    • 記憶域ネットワーク用 711 1
    • 記憶域ネットワーク用 712 2
  • 既定のサブネット:
    • 10.71.1.0/24 for storage network 1
    • 10.71.2.0/24 for storage network 2

詳細については、「 ホスト ネットワークのデプロイ」を参照してください。

この参照パターンのネットワーク インテントを作成するには、次の手順に従います。

  1. PowerShell を管理者として実行します。

  2. 次のコマンドを実行します。

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

論理接続コンポーネント

次の図に示すように、このパターンには次の論理ネットワーク コンポーネントがあります。

単一ノードスイッチレス物理接続レイアウトを示す図。

記憶域ネットワーク VLAN

ストレージインテントベースのトラフィックは、RDMA トラフィックをサポートする 2 つの個々のネットワークで構成されます。 各インターフェイスは個別のストレージ ネットワーク専用であり、両方とも同じ VLAN タグを共有できます。 このトラフィックは、2 つのノード間の移動のみを目的としています。 ストレージ トラフィックは、他のリソースに接続されていないプライベート ネットワークです。

ストレージ アダプターは、異なる IP サブネットで動作します。 スイッチレス構成を有効にするには、接続されている各ノードが近隣ノードの一致するサブネットです。 各ストレージ ネットワークでは、既定でネットワーク ATC 定義済みの VLAN (711 と 712) が使用されます。 これらの VLAN は、必要に応じてカスタマイズできます。 また、ATC によって定義された既定のサブネットが使用できない場合は、クラスター内のすべてのストレージ IP アドレスを割り当てる必要があります。

詳細については、「 ネットワーク ATC の概要」を参照してください。

OOB ネットワーク

帯域外 (OOB) ネットワークは、ベースボード管理コントローラー (BMC) とも呼ばれる "ライトアウト" サーバー管理インターフェイスのサポート専用です。 各 BMC インターフェイスは、顧客が指定したスイッチに接続します。 BMC は、PXE ブート シナリオを自動化するために使用されます。

管理ネットワークでは、インテリジェント プラットフォーム管理インターフェイス (IPMI) ユーザー データグラム プロトコル (UDP) ポート 623 を使用して BMC インターフェイスにアクセスする必要があります。

OOB ネットワークはコンピューティング ワークロードから分離されており、ソリューションベース以外のデプロイでは省略可能です。

管理 VLAN

すべての物理コンピューティング ホストには、管理論理ネットワークへのアクセスが必要です。 IP アドレス計画の場合、各物理コンピューティング ホストには、管理論理ネットワークから少なくとも 1 つの IP アドレスが割り当てられている必要があります。

DHCP サーバーでは管理ネットワークの IP アドレスを自動的に割り当てることができます。または、静的 IP アドレスを手動で割り当てることもできます。 DHCP が推奨される IP 割り当て方法である場合は、有効期限なしで DHCP 予約を使用することをお勧めします。

管理ネットワークでは、次の VLAN 構成がサポートされています。

  • ネイティブ VLAN - VLAN ID を指定する必要はありません。 これは、ソリューション ベースのインストールに必要です。

  • タグ付き VLAN - 展開時に VLAN ID を指定します。

管理ネットワークは、リモート デスクトップ、Windows Admin Center、Active Directory など、クラスターの管理に使用されるすべてのトラフィックをサポートします。

詳細については、「 SDN インフラストラクチャの計画: 管理と HNV プロバイダー」を参照してください。

コンピューティング VLAN

一部のシナリオでは、仮想拡張可能 LAN (VXLAN) カプセル化で SDN 仮想ネットワークを使用する必要はありません。 代わりに、従来の VLAN を使用してテナント ワークロードを分離できます。 これらの VLAN は、TOR スイッチのポートでトランク モードで設定されます。 これらの VLAN に新しい VM を接続する場合、対応する VLAN タグは仮想ネットワーク アダプターで定義されます。

HNV プロバイダー アドレス (PA) ネットワーク

Hyper-V ネットワーク仮想化 (HNV) プロバイダー アドレス (PA) ネットワークは、East/West (内部内部) テナント トラフィック、南北 (外部内部) テナント トラフィックの基になる物理ネットワークとして機能し、BGP ピアリング情報を物理ネットワークと交換します。 このネットワークは、別の分離レイヤーとネットワーク マルチテナント機能のために VXLAN カプセル化を使用して仮想ネットワークをデプロイする必要がある場合にのみ必要です。

詳細については、「 SDN インフラストラクチャの計画: 管理と HNV プロバイダー」を参照してください。

ネットワークの分離のオプション

次のネットワーク分離オプションがサポートされています。

VLAN (IEEE 802.1Q)

VLAN を使用すると、物理ネットワークのケーブル接続を共有するために分離する必要があり、相互に直接やり取りできないようにする必要があるデバイスが許可されます。 このマネージド共有により、シンプルさ、セキュリティ、トラフィック管理、および経済が向上します。 たとえば、VLAN を使用して、個々のユーザーまたはユーザー のグループまたはそのロールに基づいて、またはトラフィック特性に基づいて、ビジネス内のトラフィックを分離できます。 多くのインターネット ホスティング サービスでは、VLAN を使用してプライベート ゾーンを相互に分離し、個々のサーバーがデータ センター内のどこにあるかにかかわらず、各顧客のサーバーを 1 つのネットワーク セグメントにグループ化できます。 特定の VLAN からのトラフィックの "エスケープ" (VLAN ホッピングと呼ばれる悪用) を防ぐために、いくつかの予防措置が必要です。

詳細については、「 仮想ネットワークと VLAN の使用状況を理解する」を参照してください。

既定のネットワーク アクセス ポリシーとマイクロセグメント化

既定のネットワーク アクセス ポリシーにより、Azure Stack HCI クラスター内のすべての仮想マシン (VM) が外部の脅威から既定でセキュリティで保護されます。 これらのポリシーでは、既定で VM への受信アクセスをブロックしますが、選択的な受信ポートを有効にして、外部攻撃から VM をセキュリティで保護するオプションを提供します。 この適用は、Windows Admin Centerなどの管理ツールを使用して使用できます。

マイクロセグメント化には、アプリケーションとサービスの間に詳細なネットワーク ポリシーを作成する必要があります。 これにより、基本的に、セキュリティ境界が各アプリケーションまたは VM の周囲のフェンスに減ります。 このフェンスは、アプリケーション層またはその他の論理境界間の必要な通信のみを許可するため、サイバー脅威がシステム間で横方向に広がることは非常に困難になります。 マイクロセグメント化により、ネットワークが互いに安全に分離され、ネットワーク セキュリティ インシデントの攻撃対象領域全体が減少します。

既定のネットワーク アクセス ポリシーとマイクロセグメント化は、Azure Stack HCI クラスター上の 5 組のステートフル (ソース アドレス プレフィックス、送信元ポート、宛先アドレス プレフィックス、宛先ポート、プロトコル) ファイアウォール規則として実現されます。 ファイアウォール規則は、ネットワーク セキュリティ グループ (NSG) とも呼ばれます。 これらのポリシーは、各 VM の vSwitch ポートで適用されます。 ポリシーは管理層を介してプッシュされ、SDN ネットワーク コントローラーは、該当するすべてのホストにポリシーを配布します。 これらのポリシーは、従来の VLAN ネットワークと SDN オーバーレイ ネットワーク上の VM で使用できます。

詳細については、「 Datacenter Firewall とは」を参照してください。  

VM ネットワーク アダプターの QoS

VM ネットワーク アダプターのサービス品質 (QoS) を構成して、仮想インターフェイスの帯域幅を制限して、トラフィックの多い VM が他の VM ネットワーク トラフィックと競合しないようにすることができます。 また、ネットワーク上の他のトラフィックに関係なく VM がトラフィックを送信できるように、VM の特定の量の帯域幅を予約するように QoS を構成することもできます。 これは、従来の VLAN ネットワークにアタッチされた VM と、SDN オーバーレイ ネットワークにアタッチされた VM に適用できます。

詳細については、「 VM ネットワーク アダプターの QoS の構成」を参照してください。

仮想ネットワーク

ネットワーク仮想化は、サーバー仮想化 (ハイパーバイザー) がオペレーティング システムに VM を提供する方法と同様に、VM に仮想ネットワークを提供します。 ネットワーク仮想化は、仮想ネットワークを物理ネットワーク インフラストラクチャから切り離し、VM プロビジョニングから VLAN と階層 IP アドレスの割り当ての制約を取り除きます。 このような柔軟性により、(サービスとしてのインフラストラクチャ) IaaS クラウドに簡単に移行でき、ホストとデータセンターの管理者がインフラストラクチャを管理し、必要なマルチテナント分離、セキュリティ要件、重複する VM IP アドレスを維持するのに効率的です。

詳細については、「 Hyper-V ネットワーク仮想化」を参照してください。

L3 ネットワーク サービスのオプション

次の L3 ネットワーク サービス オプションを使用できます。

仮想ネットワーク ピアリング

仮想ネットワーク ピアリングを使用すると、2 つの仮想ネットワークをシームレスに接続できます。 ピアリングが完了すると、接続の目的で、それらの仮想ネットワークが 1 つに見えるようになります。 仮想ネットワーク ピアリングを使う利点をいくつか挙げます。

  • ピアリングされた仮想ネットワーク内の VM 間のトラフィックは、プライベート IP アドレス経由でのみバックボーン インフラストラクチャ経由でルーティングされます。 仮想ネットワーク間の通信には、パブリック インターネットまたはゲートウェイは必要ありません。
  • 異なる仮想ネットワーク内のリソース間で、待ち時間の短い広帯域幅の接続が可能である。
  • ある仮想ネットワーク内のリソースは別の仮想ネットワーク内のリソースとの通信できる。
  • ピアリングを作成するときに、どちらの仮想ネットワークでもリソースのダウンタイムは発生しない。

詳細については、「[仮想ネットワーク ピアリング](../virtual-network/virtual-network-peering-overview.md)」をご覧ください。

SDN ソフトウェア ロード バランサー

ソフトウェア定義ネットワーク (SDN) をデプロイするクラウド サービス プロバイダー (CSP) と企業は、ソフトウェア Load Balancer (SLB) を使用して、仮想ネットワーク リソース間で顧客のネットワーク トラフィックを均等に分散できます。 SLB により、複数のサーバーで同じワークロードをホストすることができ、高可用性とスケーラビリティを提供できます。 また、VM への受信アクセス用の受信ネットワーク アドレス変換 (NAT) サービスと、送信接続用の送信 NAT サービスを提供するためにも使用されます。

SLB を使用すると、他の VM ワークロードに使用するのと同じ Hyper-V コンピューティング サーバー上の SLB VM を使用して負荷分散機能をスケールアウトできます。 SLB では、CSP 操作に必要な負荷分散エンドポイントの迅速な作成と削除がサポートされます。 さらに、SLB はクラスターあたり数十ギガバイトをサポートし、簡単なプロビジョニング モデルを提供し、スケールアウトとスケールインが簡単です。 SLB は、Border Gateway Protocol を使用して、仮想 IP アドレスを物理ネットワークにアドバタイズします。

詳細については、「SDN の SLB とは」を参照してください。

SDN VPN ゲートウェイ

SDN ゲートウェイは、Hyper-V ネットワーク仮想化 (HNV) を使用してマルチテナント仮想ネットワークをホストする CSP および企業向けに設計された、ソフトウェアベースの Border Gateway Protocol (BGP) 対応ルーターです。 RAS ゲートウェイを使用すると、仮想ネットワークと別のネットワーク (ローカルまたはリモート) の間で、ネットワーク トラフィックをルーティングすることができます。

SDN ゲートウェイを使用すると、次のことができます。

  • SDN 仮想ネットワークと外部のカスタマー ネットワークの間に、インターネットを介した安全なサイト間 IPsec 接続を作成する。

  • SDN 仮想ネットワークと外部ネットワークの間で Generic Routing Encapsulation (GRE) 接続を作成する。 サイト間接続と GRE 接続の違いは、後者が暗号化された接続ではないということです。

    GRE 接続シナリオの詳細については、Windows Server における GRE トンネリングに関するページを参照してください。

  • SDN 仮想ネットワークと外部ネットワークの間にレイヤー 3 (L3) 接続を作成します。 この場合、SDN ゲートウェイは単に、仮想ネットワークと外部ネットワークの間のルーターとして機能します。

SDN ゲートウェイには SDN ネットワーク コントローラーが必要です。 ネットワーク コントローラーは、ゲートウェイ プールのデプロイを実行し、各ゲートウェイでテナント接続を構成し、ゲートウェイが失敗した場合にネットワーク トラフィック フローをスタンバイ ゲートウェイに切り替えます。

ゲートウェイでは、Border Gateway Protocol を使用して GRE エンドポイントをアドバタイズし、ポイントツーポイント接続を確立します。 SDN のデプロイでは、あらゆる種類の接続をサポートするデフォルト ゲートウェイ プールが作成されます。 このプール内には、アクティブなゲートウェイで障害が発生した場合に備え、スタンバイとして予約されるゲートウェイの数を指定できます。

詳細については、「SDN 用 RAS ゲートウェイとは」を参照してください。

次の手順

2 ノード ストレージ スイッチレス、1 つのスイッチ ネットワーク パターンについて説明します。