Virtuele netwerken van Azure Stack HCI-tenants beschrijven en implementeren

  • 8 minuten

Hoewel logische netwerken de flexibiliteit bieden van het integreren van de op VLAN gebaseerde benadering in uw Azure Stack HCI-netwerkmodel, is uw primaire doel om optimaal gebruik te maken van virtuele SDN-netwerken, waardoor afhankelijkheden van de bestaande VLAN's worden geëlimineerd. De resulterende flexibiliteit versnelt de onboarding van nieuwe klanten en vereenvoudigt het beheer van de onderliggende infrastructuur. Het helpt ook om ervoor te zorgen dat er voldoende isolatie is en dat er overlappende IP-adresbereiken voor meerdere tenants worden gebruikt.

Virtuele netwerken van Azure Stack HCI-tenant beschrijven

Virtuele netwerken van Azure Stack HCI-tenants zijn gebaseerd op programmeerbeleid voor overlay-virtuele netwerken. Elk virtueel netwerk vormt een isolatiegrens, waarbij VM's alleen met elkaar kunnen communiceren. Deze isolatie wordt traditioneel afgedwongen met behulp van VLAN's. Met virtuele netwerken wordt dit bereikt met behulp van Netwerkvirtualisatie met behulp van Generic Routing Encapsulation (NVGRE) of VXLAN-inkapseling (Virtual Extensible LAN). Beide inkapselingstechnologieën kunnen overlaynetwerken maken met ondersteuning voor overlappende IP-subnetten tussen tenants.

Elke virtuele netwerkinterface van een virtuele machine in een virtueel netwerk is gekoppeld aan twee IP-adressen:

  • Klantadres: een IP-adres dat is toegewezen aan elke VIRTUELE machine door klanten op basis van hun voorkeurs-IP-adresseringsschema. Hierdoor kunnen klanten hun bestaande netwerkconfiguratie behouden bij het implementeren van workloads in Azure Stack HCI. Het klantadres is zichtbaar voor het besturingssysteem binnen de bijbehorende VM.

  • Provideradres: een IP-adres dat is toegewezen aan Azure Stack HCI-clusterknooppunten op basis van hun fysieke netwerkinfrastructuur. Provideradressen worden weergegeven in netwerkpakketten die worden uitgewisseld tussen de clusterknooppunten die als host fungeren voor de VM's van klanten. Het adres van de provider is zichtbaar in het fysieke netwerk, maar niet op vm's van klanten.

Klantadressen maken deel uit van de netwerktopologie van de klant, die wordt gevirtualiseerd en losgekoppeld van de werkelijke onderliggende fysieke netwerktopologie en het adresseringsschema wordt geïmplementeerd door provideradressen.

Een virtueel netwerk bestaat uit een of meer virtuele subnetten. Een virtueel subnet emuleert de laag 3-IP-subnetfunctionaliteit (L3) voor de virtuele machines die ermee zijn verbonden. Het vormt een broadcast-domein (vergelijkbaar met een VLAN), met isolatie die u kunt afdwingen met behulp van NVGRE of VXLAN.

Virtuele netwerken voor Azure Stack HCI-tenants maken

De eenvoudigste methode voor het maken van een virtueel netwerk van een Azure Stack HCI-tenant is afhankelijk van Windows Beheer Center en omvat de volgende reeks stappen:

  1. Maak in Windows Beheer Center verbinding met het Azure Stack HCI-cluster.
  2. Selecteer virtuele netwerken in het deelvenster Extra in de sectie Netwerken.
  3. Selecteer op de pagina Virtuele netwerken het tabblad Inventaris en selecteer vervolgens Nieuw.
  4. Voer in het deelvenster Virtuele netwerken een naam in voor het virtuele netwerk.
  5. Selecteer Toevoegen in de sectie Adresvoorvoegsels en voer het adresvoorvoegsel in de CIDR-notatie in.
  6. Selecteer Toevoegen in de sectie Subnetten en voer het adresvoorvoegsel in de CIDR-notatie in.
  7. Selecteer Verzenden in het deelvenster Virtuele netwerken.

Screenshot of the virtual networks pane in Windows Admin Center depicting the creation of an Azure Stack H C I tenant virtual network.

Virtuele netwerken van Azure Stack HCI-tenant configureren

In de volgende schermopname ziet u enkele van de instellingen die u kunt gebruiken om algemene configuratietaken voor virtuele netwerken van Azure Stack HCI-tenants uit te voeren, zoals:

  • Adresvoorvoegsels van virtueel netwerk bijwerken
  • Peering van virtuele netwerken configureren
  • BGP-router (Border Gateway Protocol) en -peers configureren

Screenshot of the Virtual networks pane in Windows Admin Center depicting the settings for V NET 001.

Gebruik de volgende procedure in Windows Beheer Center om de instellingen van een subnet te wijzigen in een logisch tenantnetwerk:

  1. Maak in Windows Beheer Center verbinding met het Azure Stack HCI-cluster.
  2. Selecteer virtuele netwerken in het deelvenster Extra in de sectie Netwerken.
  3. Selecteer vervolgens op de pagina Virtuele netwerken het tabblad Inventaris . Selecteer het virtuele netwerk dat u wilt wijzigen en selecteer vervolgens Instellingen.
  4. Gebruik in het deelvenster Instellingen van het virtuele netwerk de sectie-instellingen Algemeen om een van de volgende taken uit te voeren:
    • Adresvoorvoegsels verwijderen of toevoegen.
    • Peering configureren met een ander virtueel netwerk.
    • Voeg een BGP-router toe aan het virtuele netwerk. Hiervoor moet u de BGP-routernaam en het asn-nummer (autonome systeemnummer) opgeven.
    • Voeg een of meer BGP-peers toe voor de BGP-router. Hiervoor moet u de naam, het adres en het ASN-nummer opgeven voor elke BGP-peer.
  5. Selecteer Verzenden in het deelvenster Instellingen van het deelvenster Virtueel netwerk.

Peering van virtuele netwerken configureren

Elk afzonderlijk virtueel netwerk is geïsoleerd van andere virtuele netwerken en vormt een standaardbeveiligingsgrens voor VM's die in dat virtuele netwerk zijn geïmplementeerd. Soms moet u mogelijk het isolatiebereik uitbreiden door virtuele netwerken met elkaar te verbinden. Dit kan het geval zijn als u één workload in het ene virtuele netwerk hebt geïmplementeerd, maar u wilt dat andere workloads die in verschillende virtuele netwerken zijn geïmplementeerd, toegang hebben tot deze werkbelasting via het privé-IP-adres. Peering van virtuele netwerken biedt deze functionaliteit door de virtuele routers in de twee virtuele netwerken te combineren, zodat ze rechtstreeks met elkaar kunnen communiceren zonder dat ze een gateway hoeven te doorlopen. Naast eenvoud biedt peering prestatievoordelen met communicatie met hoge doorvoer en lage latentie tussen de virtuele netwerken.

Enkele voordelen van peering van virtuele netwerken zijn:

  • Verkeer tussen VIRTUELE machines in de gekoppelde virtuele netwerken wordt gerouteerd via privé-IP-adressen. Voor de communicatie tussen de virtuele netwerken zijn geen virtuele gateways vereist.
  • Er bestaat een verbinding met een lage latentie met hoge bandbreedte tussen resources in verschillende virtuele netwerken.
  • Er is geen negatieve invloed op workloads in beide virtuele netwerken bij het tot stand brengen van peering.

Peering introduceert de volgende aanvullende vereisten en beperkingen:

  • Gekoppelde virtuele netwerken moeten niet-overlappende IP-adresruimten hebben.
  • Nadat u een virtueel netwerk hebt gekoppeld aan een ander virtueel netwerk, kunt u geen adresbereiken toevoegen of verwijderen in de adresruimte.

Peering heeft de volgende kenmerken:

  • Een peering is unidirectioneel. Voor peering om connectiviteit tussen twee virtuele netwerken te bieden, is het nodig om twee peerings te maken: één in elke richting.
  • Nadat u virtuele netwerken hebt gekoppeld, kunnen de resources in beide virtuele netwerken rechtstreeks verbinding maken met resources in het gekoppelde virtuele netwerk.
  • Netwerklatentie tussen VM's in gekoppelde virtuele netwerken is hetzelfde als de latentie binnen één virtueel netwerk.
  • Netwerkdoorvoer is gebaseerd op de bandbreedte die is toegestaan voor de VIRTUELE machine. Er zijn geen extra beperkingen voor bandbreedte die door de peering worden opgelegd.
  • U kunt ACL's in een virtueel netwerk toepassen om de toegang tot of van andere virtuele netwerken of subnetten te blokkeren.
  • Peering is niet transitief. Als u bijvoorbeeld een virtueel netwerk A koppelt aan een virtueel netwerk B en virtueel netwerk B met een virtueel netwerk C, biedt dit niet automatisch directe connectiviteit tussen virtuele netwerken A en C.

Windows Beheer Center biedt een intuïtieve interface voor het maken en configureren van peerings voor virtuele netwerken. De configuratie-instellingen bevatten opties voor:

  • Toegang vanuit het lokale virtuele netwerk tot het gekoppelde virtuele netwerk toestaan.
  • Toestaan dat verkeer wordt doorgestuurd (bijvoorbeeld verkeer dat afkomstig is van een ander virtueel netwerk) naar het gekoppelde virtuele netwerk.
  • Hiermee staat u het gebruik van een externe gateway toe op het lokale of externe virtuele netwerk.

Screenshot of using the Windows Admin Center New Peering pane to create a new peering.

Virtuele netwerken van Azure Stack HCI-tenant verwijderen

Windows Beheer Center vereenvoudigt ook de taak van het verwijderen van virtuele netwerken van azure Stack HCI-tenants. Een virtueel tenantnetwerk verwijderen:

  1. Maak in Windows Beheer Center verbinding met het Azure Stack HCI-cluster.
  2. Selecteer virtuele netwerken in het deelvenster Extra in de sectie Netwerken.
  3. Selecteer op de pagina Virtuele netwerken het tabblad Inventaris , selecteer het virtuele netwerk dat u wilt verwijderen en selecteer vervolgens Verwijderen.
  4. Wanneer u om bevestiging wordt gevraagd, selecteert u Ja.

The virtual networks pane in Windows Admin Center presents a dialog box requesting confirmation prior to deleting a virtual network.