Udostępnij za pośrednictwem


Zapoznaj się z bez przełącznikiem magazynu z dwoma węzłami— wzorcem dokumentacji sieci wdrożenia dla usługi Azure Stack HCI

Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2

Z tego artykułu dowiesz się więcej na temat przełącznika magazynu dwuwęźleowego z dwoma przełącznikami TOR L3 wzorzec odniesienia sieci, którego można użyć do wdrożenia rozwiązania Azure Stack HCI. Informacje przedstawione w tym artykule ułatwiają również określenie, czy ta konfiguracja jest odpowiednia dla potrzeb dotyczących planowania wdrożenia. Ten artykuł jest przeznaczony dla administratorów IT, którzy wdrażają rozwiązanie Azure Stack HCI i zarządzają nimi w swoich centrach danych.

Aby uzyskać informacje na temat innych wzorców sieci, zobacz Azure Stack HCI network deployment patterns (Wzorce wdrażania sieci rozwiązania Azure Stack HCI).

Scenariusze

Scenariusze dla tego wzorca sieci obejmują laboratoria, biura oddziałów i obiekty centrum danych.

Rozważ zaimplementowanie tego wzorca, gdy szukasz ekonomicznego rozwiązania, które ma odporność na uszkodzenia we wszystkich składnikach sieci. Istnieje możliwość skalowania wzorca w poziomie, ale wymaga przestoju obciążenia w celu ponownego skonfigurowania łączności fizycznej magazynu i ponownej konfiguracji sieci magazynu. Usługi SDN L3 są w pełni obsługiwane w tym wzorcu. Usługi routingu, takie jak BGP, można skonfigurować bezpośrednio na przełącznikach TOR, jeśli obsługują usługi L3. Funkcje zabezpieczeń sieci, takie jak mikrosegmentacja i QoS, nie wymagają dodatkowej konfiguracji dla urządzenia zapory, ponieważ są one implementowane w warstwie wirtualnej karty sieciowej.

Składniki łączności fizycznej

Jak pokazano na poniższym diagramie, ten wzorzec ma następujące składniki sieci fizycznej:

  • W przypadku ruchu przychodzącego na północ/południe klaster wymaga dwóch przełączników TOR w konfiguracji usługi MLAG.

  • Dwie zespołowe karty sieciowe do obsługi zarządzania i ruchu obliczeniowego oraz połączone z przełącznikami TOR. Każda karta sieciowa jest podłączona do innego przełącznika TOR.

  • Dwie karty sieciowe RDMA w konfiguracji pełnej siatki dla ruchu East-West magazynu. Każdy węzeł w klastrze ma nadmiarowe połączenie z innym węzłem w klastrze.

  • W ramach tej opcji niektóre rozwiązania mogą używać konfiguracji bez użycia głowy bez karty BMC do celów bezpieczeństwa.

Sieci Zarządzanie i obliczenia Storage Kontroler zarządzania płytą główną
Szybkość łącza Co najmniej 1 GB/s. Zalecane 10 GB/s Co najmniej 10 GB/s Sprawdź u producenta sprzętu
Typ interfejsu RJ45, SFP+ lub SFP28 SFP+ lub SFP28 RJ45
Porty i agregacja Dwa porty zespołowe Dwa porty autonomiczne Jeden port

Diagram przedstawiający układ łączności fizycznej z dwoma węzłami bez przełącznika.

Intencje usługi ATC sieci

W przypadku wzorców bez przełączników magazynu z dwoma węzłami tworzone są dwie intencje usługi ATC sieci. Pierwszy dla ruchu sieciowego zarządzania i obliczeń, a drugi dla ruchu magazynu.

Diagram przedstawiający intencje usługi ATC z dwoma węzłami bez przełącznika

Intencja zarządzania i obliczeń

  • Typ intencji: zarządzanie i obliczenia
  • Tryb intencji: tryb klastra
  • Tworzenie zespołu: Tak. pNIC01 i pNIC02 Team
  • Domyślna sieć VLAN zarządzania: skonfigurowana sieć VLAN dla kart zarządzania nie jest modyfikowana
  • Pa & compute VLAN i vNICs: Sieć ATC jest niewidoczna dla wirtualnych kart sieciowych pa i sieci VLAN lub obliczeniowych wirtualnych sieci VNIC i sieci VLAN maszyn wirtualnych

Intencja magazynu

  • Typ intencji: Magazyn
  • Tryb intencji: tryb klastra
  • Tworzenie zespołu: pNIC03 i pNIC04 używają funkcji SMB Multichannel w celu zapewnienia odporności i agregacji przepustowości
  • Domyślne sieci VLAN:
    • 711 dla sieci magazynu 1
    • 712 dla sieci magazynu 2
  • Domyślne podsieci:
    • 10.71.1.0/24 dla sieci magazynu 1
    • 10.71.2.0/24 dla sieci magazynu 2

Aby uzyskać więcej informacji, zobacz Wdrażanie sieci hosta.

Wykonaj następujące kroki, aby utworzyć intencje sieciowe dla tego wzorca referencyjnego:

  1. Uruchom program PowerShell jako administrator.

  2. Uruchom następujące polecenie:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
    Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
    

Składniki łączności logicznej

Jak pokazano na poniższym diagramie, ten wzorzec ma następujące składniki sieci logicznej:

Diagram przedstawiający układ łączności fizycznej bez przełącznika z jednym węzłem.

Sieci VLAN sieci magazynowania

Ruch oparty na intencjach magazynu składa się z dwóch pojedynczych sieci obsługujących ruch RDMA. Każdy interfejs jest przeznaczony dla oddzielnej sieci magazynu, a oba mogą współużytkować ten sam tag sieci VLAN. Ten ruch jest przeznaczony tylko do podróży między dwoma węzłami. Ruch magazynu jest siecią prywatną bez łączności z innymi zasobami.

Karty magazynujące działają w różnych podsieciach IP. Aby włączyć konfigurację bez przełącznika, każdy połączony węzeł jest pasującą podsiecią sąsiada. Każda sieć magazynowa domyślnie używa wstępnie zdefiniowanych sieci VLAN usługi Network ATC (711 i 712). Te sieci VLAN można dostosować w razie potrzeby. Ponadto, jeśli domyślna podsieć zdefiniowana przez usługę ATC nie jest użyteczna, odpowiadasz za przypisywanie wszystkich adresów IP magazynu w klastrze.

Aby uzyskać więcej informacji, zobacz Network ATC overview (Omówienie usługi Network ATC).

Sieć OOB

Sieć poza pasmem (OOB) jest przeznaczona do obsługi interfejsu zarządzania serwerem "lights-out" znanego również jako kontroler zarządzania płytą główną (BMC). Każdy interfejs BMC łączy się z przełącznikiem dostarczonym przez klienta. Kontroler BMC służy do automatyzowania scenariuszy rozruchu środowiska PXE.

Sieć zarządzania wymaga dostępu do interfejsu BMC przy użyciu portu 623 protokołu UDP (Intelligent Platform Management Interface).

Sieć OOB jest odizolowana od obciążeń obliczeniowych i jest opcjonalna w przypadku wdrożeń nienależących do rozwiązań.

Zarządzanie siecią VLAN

Wszystkie fizyczne hosty obliczeniowe wymagają dostępu do sieci logicznej zarządzania. W przypadku planowania adresów IP każdy fizyczny host obliczeniowy musi mieć co najmniej jeden adres IP przypisany z sieci logicznej zarządzania.

Serwer DHCP może automatycznie przypisywać adresy IP dla sieci zarządzania lub ręcznie przypisywać statyczne adresy IP. Jeśli protokół DHCP jest preferowaną metodą przypisywania adresów IP, zalecamy używanie rezerwacji DHCP bez wygaśnięcia.

Sieć zarządzania obsługuje następujące konfiguracje sieci VLAN:

  • Natywna sieć VLAN — nie jest wymagana do dostarczania identyfikatorów sieci VLAN. Jest to wymagane w przypadku instalacji opartych na rozwiązaniach.

  • Oznakowana sieć VLAN — identyfikatory sieci VLAN są dostarczane w momencie wdrażania.

Sieć zarządzania obsługuje cały ruch używany do zarządzania klastrem, w tym pulpitu zdalnego, Windows Admin Center i usługi Active Directory.

Aby uzyskać więcej informacji, zobacz Planowanie infrastruktury SDN: zarządzanie i dostawca HNV.

Obliczenia sieci VLAN

W niektórych scenariuszach nie trzeba używać sieci wirtualnych SDN z hermetyzacją wirtualnej sieci LAN (VXLAN). Zamiast tego można użyć tradycyjnych sieci VLAN do izolowania obciążeń dzierżawy. Te sieci VLAN są konfigurowane na porcie przełącznika TOR w trybie magistrali. Podczas łączenia nowych maszyn wirtualnych z tymi sieciami VLAN odpowiedni tag sieci VLAN jest definiowany na wirtualnej karcie sieciowej.

Sieć dostawcy HNV (PA)

Sieć dostawcy wirtualizacji sieci funkcji Hyper-V (HNV) służy jako podstawowa sieć fizyczna dla ruchu dzierżawy Wschodnie/Zachodnie (wewnętrzne), Ruch dzierżawy Północ/Południe (zewnętrzny) oraz wymiana informacji komunikacji równorzędnej BGP z siecią fizyczną. Ta sieć jest wymagana tylko wtedy, gdy istnieje potrzeba wdrożenia sieci wirtualnych przy użyciu hermetyzacji sieci VXLAN na potrzeby innej warstwy izolacji i wielodostępności sieci.

Aby uzyskać więcej informacji, zobacz Planowanie infrastruktury SDN: zarządzanie i dostawca HNV.

Opcje izolacji sieciowej

Obsługiwane są następujące opcje izolacji sieciowej:

Sieci VLAN (IEEE 802.1Q)

Sieci VLAN umożliwiają urządzeniom, które muszą być oddzielone, aby współużytkować okablowanie sieci fizycznej, ale nie mogą bezpośrednio współdziałać ze sobą. Dzięki temu zarządzane udostępnianie zapewnia prostotę, bezpieczeństwo, zarządzanie ruchem i gospodarkę. Na przykład sieć VLAN może służyć do oddzielania ruchu w firmie na podstawie poszczególnych użytkowników lub grup użytkowników lub ich ról albo na podstawie cech ruchu. Wiele usług hostingu internetowego używa sieci VLAN do oddzielania stref prywatnych od siebie, umożliwiając grupowanie serwerów każdego klienta w jednym segmencie sieci niezależnie od tego, gdzie poszczególne serwery znajdują się w centrum danych. Niektóre środki ostrożności są potrzebne, aby zapobiec "ucieczki" ruchu z danej sieci VLAN, luki znanej jako przeskok sieci VLAN.

Aby uzyskać więcej informacji, zobacz Omówienie użycia sieci wirtualnych i sieci VLAN.

Domyślne zasady dostępu do sieci i mikrosegmentacja

Domyślne zasady dostępu do sieci zapewniają, że wszystkie maszyny wirtualne w klastrze usługi Azure Stack HCI są domyślnie zabezpieczone przed zagrożeniami zewnętrznymi. Dzięki tym zasadom domyślnie zablokujemy dostęp przychodzący do maszyny wirtualnej, zapewniając jednocześnie opcję włączania selektywnych portów przychodzących i zabezpieczania maszyn wirtualnych przed atakami zewnętrznymi. To wymuszanie jest dostępne za pośrednictwem narzędzi do zarządzania, takich jak Windows Admin Center.

Mikrosegmentacja obejmuje tworzenie szczegółowych zasad sieciowych między aplikacjami i usługami. Zasadniczo zmniejsza to obwód zabezpieczeń do ogrodzenia wokół każdej aplikacji lub maszyny wirtualnej. To ogrodzenie umożliwia tylko niezbędną komunikację między warstwami aplikacji lub innymi granicami logicznymi, co sprawia, że niezwykle trudne dla cyberataków rozprzestrzenianie się później z jednego systemu do innego. Mikrosegmentacja bezpiecznie izoluje sieci od siebie i zmniejsza całkowitą powierzchnię ataków na zdarzenie zabezpieczeń sieci.

Domyślne zasady dostępu do sieci i mikrosegmentacja są realizowane jako stanowe pięciokropek (prefiks adresu źródłowego, port źródłowy, prefiks adresu docelowego, port docelowy i protokół) reguły zapory w klastrach usługi Azure Stack HCI. Reguły zapory są również nazywane sieciowymi grupami zabezpieczeń. Te zasady są wymuszane na porcie przełącznika wirtualnego każdej maszyny wirtualnej. Zasady są wypychane przez warstwę zarządzania, a kontroler sieci SDN dystrybuuje je do wszystkich odpowiednich hostów. Te zasady są dostępne dla maszyn wirtualnych w tradycyjnych sieciach sieci VLAN i w sieciach nakładek SDN.

Aby uzyskać więcej informacji, zobacz Co to jest zapora centrum danych?.  

QoS dla kart sieciowych maszyn wirtualnych

Możesz skonfigurować jakość usługi (QoS) dla karty sieciowej maszyny wirtualnej, aby ograniczyć przepustowość interfejsu wirtualnego, aby zapobiec zmaganiu się z innym ruchem sieciowym maszyny wirtualnej. Można również skonfigurować usługę QoS, aby zarezerwować określoną przepustowość dla maszyny wirtualnej, aby upewnić się, że maszyna wirtualna może wysyłać ruch niezależnie od innego ruchu w sieci. Można to zastosować do maszyn wirtualnych dołączonych do tradycyjnych sieci VLAN, a także maszyn wirtualnych dołączonych do sieci nakładek SDN.

Aby uzyskać więcej informacji, zobacz Konfigurowanie QoS dla karty sieciowej maszyny wirtualnej.

Sieci wirtualne

Wirtualizacja sieci udostępnia sieci wirtualne maszynom wirtualnym podobne do sposobu, w jaki wirtualizacja serwera (hypervisor) udostępnia maszyny wirtualne do systemu operacyjnego. Wirtualizacja sieci oddziela sieci wirtualne z infrastruktury sieci fizycznej i usuwa ograniczenia przypisania sieci VLAN i hierarchicznego adresu IP z aprowizacji maszyn wirtualnych. Taka elastyczność ułatwia przejście do chmur IaaS infrastruktury jako usługi i wydajne zarządzanie infrastrukturą oraz zarządzanie infrastrukturą, wymaganiami dotyczącymi zabezpieczeń i nakładającymi się adresami IP maszyn wirtualnych przez administratorów hostów i centrów danych.

Aby uzyskać więcej informacji, zobacz Wirtualizacja sieci funkcji Hyper-V.

Opcje usług sieciowych L3

Dostępne są następujące opcje usługi sieci L3:

Komunikacja równorzędna sieci wirtualnej

Komunikacja równorzędna sieci wirtualnych umożliwia bezproblemowe łączenie dwóch sieci wirtualnych. Po połączeniu równorzędnym sieci wirtualne są wyświetlane jako jedno. Korzystanie z wirtualnych sieci równorzędnych zapewnia m.in. następujące korzyści:

  • Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych jest kierowany przez infrastrukturę szkieletową tylko za pośrednictwem prywatnych adresów IP. Komunikacja między sieciami wirtualnymi nie wymaga publicznego Internetu ani bram.
  • Połączenie o małych opóźnieniach i dużej przepustowości między zasobami w różnych sieciach wirtualnych.
  • Możliwość komunikacji zasobów w jednej sieci wirtualnej z zasobami w innej sieci wirtualnej.
  • Brak przestojów dla zasobów w żadnej sieci wirtualnej podczas tworzenia komunikacji równorzędnej.

Aby uzyskać więcej informacji, zobacz Komunikacja równorzędna sieci wirtualnych.

Programowy moduł równoważenia obciążenia SDN

Dostawcy usług w chmurze (CSP) i przedsiębiorstwa wdrażające sieć zdefiniowaną przez oprogramowanie (SDN) mogą używać oprogramowania Load Balancer (SLB), aby równomiernie dystrybuować ruch sieciowy klientów między zasobami sieci wirtualnej. SLB umożliwia wielu serwerom hostowanie tego samego obciążenia, zapewniając wysoką dostępność i skalowalność. Jest ona również używana do zapewniania usług translatora adresów sieciowych dla ruchu przychodzącego do maszyn wirtualnych i wychodzących usług NAT na potrzeby łączności wychodzącej.

Za pomocą usługi SLB można skalować możliwości równoważenia obciążenia przy użyciu maszyn wirtualnych SLB na tych samych serwerach obliczeniowych funkcji Hyper-V, które są używane dla innych obciążeń maszyn wirtualnych. Usługa SLB obsługuje szybkie tworzenie i usuwanie punktów końcowych równoważenia obciążenia zgodnie z wymaganiami dotyczącymi operacji dostawcy usług kryptograficznych. Ponadto SLB obsługuje dziesiątki gigabajtów na klaster, zapewnia prosty model aprowizacji i jest łatwy do skalowania w poziomie i w poziomie. SLB używa protokołu Border Gateway Protocol do anonsowania wirtualnych adresów IP do sieci fizycznej.

Aby uzyskać więcej informacji, zobacz Co to jest SLB dla SDN?

Bramy sieci VPN sieci SDN

Brama SDN to oparty na oprogramowaniu router obsługujący protokół BGP (Border Gateway Protocol) przeznaczony dla dostawców usług w chmurze i przedsiębiorstw hostujących wielodostępne sieci wirtualne przy użyciu wirtualizacji sieci funkcji Hyper-V (HNV). Brama RAS umożliwia kierowanie ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną.

Brama SDN może służyć do:

  • Utwórz bezpieczne połączenia IPsec typu lokacja-lokacja między sieciami wirtualnymi SDN i zewnętrznymi sieciami klientów za pośrednictwem Internetu.

  • Utwórz połączenia hermetyzacji routingu ogólnego (GRE) między sieciami wirtualnymi SDN i sieciami zewnętrznymi. Różnica między połączeniami typu lokacja-lokacja i połączeniami GRE polega na tym, że ten ostatni nie jest szyfrowanym połączeniem.

    Aby uzyskać więcej informacji na temat scenariuszy łączności GRE, zobacz Tunelowanie GRE w systemie Windows Server.

  • Tworzenie połączeń warstwy 3 (L3) między sieciami wirtualnymi SDN i sieciami zewnętrznymi. W takim przypadku brama SDN po prostu działa jako router między siecią wirtualną a siecią zewnętrzną.

Brama SDN wymaga kontrolera sieci SDN. Kontroler sieci wykonuje wdrażanie pul bram, konfiguruje połączenia dzierżawy w każdej bramie i przełącza przepływy ruchu sieciowego do bramy rezerwowej, jeśli brama ulegnie awarii.

Bramy używają protokołu Border Gateway Protocol do anonsowania punktów końcowych GRE i ustanawiania połączeń punkt-punkt. Wdrożenie SDN tworzy domyślną pulę bramy, która obsługuje wszystkie typy połączeń. W tej puli można określić liczbę bram zarezerwowanych w trybie wstrzymania w przypadku niepowodzenia aktywnej bramy.

Aby uzyskać więcej informacji, zobacz Co to jest brama RAS dla sieci SDN?

Następne kroki

Dowiedz się więcej o przełączniku bez przełącznika magazynu z dwoma węzłami— jednym wzorcem sieciowym przełącznika.