Compartilhar via

Examinar o padrão de referência de rede de implantação comutada e totalmente convergida de dois nós para o Azure Stack HCI

  • Artigo

Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2

Neste artigo, você aprenderá sobre o armazenamento de dois nós alternado, totalmente convergido com dois padrões de referência de rede de comutadores TOR que você pode usar para implantar sua solução do Azure Stack HCI. As informações neste artigo também ajudarão você a determinar se essa configuração é viável para suas necessidades de planejamento de implantação. Este artigo é direcionado aos administradores de TI que implantam e gerenciam o Azure Stack HCI em seus datacenters.

Para obter informações sobre outros padrões de rede, consulte Padrões de implantação de rede do Azure Stack HCI.

Cenários

Os cenários para esse padrão de rede incluem laboratórios, filiais e instalações de datacenter.

Considere esse padrão se você planeja adicionar nós adicionais e seus requisitos de largura de banda para o tráfego norte-sul não exigem adaptadores dedicados. Essa solução pode ser uma boa opção quando as portas de comutador físico são escassas e você está procurando reduções de custos para sua solução. Esse padrão requer custos operacionais adicionais para ajustar as políticas de QoS dos adaptadores de rede de host compartilhados para proteger o tráfego de armazenamento contra tráfego de carga de trabalho e gerenciamento. Os serviços L3 do SDN têm suporte total nesse padrão.

Serviços de roteamento, como BGP, podem ser configurados diretamente nas opções TOR se oferecerem suporte a serviços L3. Recursos de segurança de rede, como microssegmentação e QoS, não exigem configuração extra no dispositivo de firewall, pois são implementados na camada do adaptador de rede virtual.

Componentes de conectividade física

Conforme descrito no diagrama abaixo, esse padrão tem os seguintes componentes de rede física:

  • Para o tráfego de direção norte/sul, o cluster nesse padrão é implementado com dois comutadores TOR na configuração do MLAG.

  • Dois cartões de rede agrupados lidam com o gerenciamento, a computação e o tráfego de armazenamento RDMA conectados aos comutadores TOR. Cada NIC está conectada a um comutador TOR diferente. A funcionalidade multicanal SMB fornece agregação de caminho e tolerância a falhas.

  • Como opção, as implantações podem incluir um cartão do BMC para habilitar o gerenciamento remoto do ambiente. Algumas soluções podem usar uma configuração sem cabeça sem um cartão BMC para fins de segurança.

Diagrama mostrando o layout de conectividade física sem comutador de dois nós.

Redes Gerenciamento, computação, armazenamento BMC
Velocidade do link A 10 Gbps Verificar com o fabricante do hardware
Tipo de interface SFP+ ou SFP28 RJ45
Portas e agregação Duas portas agrupadas Uma porta

Intenções de ATC de rede

Diagrama mostrando intenções de ATC de rede sem alternância de dois nós

Intenção de gerenciamento, computação e armazenamento

  • Tipo de intenção: gerenciamento, computação e armazenamento
  • Modo de Intenção: modo de cluster
  • Agrupamento: Sim. pNIC01 e pNIC02 são agrupados
  • VLAN de Gerenciamento Padrão: A VLAN configurada para adaptadores de gerenciamento não é modificada
  • Armazenamento vNIC 1:
    • VLAN 711
    • Sub-rede 10.71.1.0/24 para rede de armazenamento 1
  • Armazenamento vNIC 2:
    • VLAN 712
    • Sub-rede 10.71.2.0/24 para rede de armazenamento 2
  • O armazenamento vNIC1 e o armazenamento vNIC2 usam o SMB Multichannel para fornecer resiliência e agregação de largura de banda
  • VLAN e vNICs de PA: a ATC de rede é transparente para vNICs de PA e VLAN
  • VLANs e vNICs de computação: a ATC de rede é transparente para calcular VNICs e VLANs de VM

Para obter mais informações, consulte Implantar rede de host.

Siga estas etapas para criar intenções de rede para este padrão de referência:

  1. Execute o PowerShell como administrador.

  2. Execute o comando a seguir:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -Storage -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>

Componentes de conectividade lógica

Conforme ilustrado no diagrama abaixo, esse padrão tem os seguintes componentes de rede lógica:

Diagrama mostrando o layout de conectividade física sem alternância de nó único.

VLANs de Rede de Armazenamento

O tráfego baseado em intenção de armazenamento nesse padrão compartilha os adaptadores de rede física com gerenciamento e computação.

A rede de armazenamento opera em diferentes sub-redes IP. Cada rede de armazenamento usa os VLANs predefinidos da ATC por padrão (711 e 712). No entanto, esses VLANs podem ser personalizados, se necessário. Além disso, se a sub-rede padrão definida pela ATC não for utilizável, você será responsável por atribuir todos os endereços IP de armazenamento no cluster.

Para obter mais informações, consulte Visão geral da ATC de rede.

Rede OOB

A rede OOB (Out of Band) é dedicada a dar suporte à interface de gerenciamento de servidor "apagar luzes" também conhecida como BMC (controlador de gerenciamento de placa base). Cada interface do BMC se conecta a um comutador fornecido pelo cliente. O BMC é usado para automatizar cenários de inicialização PXE.

A rede de gerenciamento requer acesso à interface do BMC usando a porta 623 do Protocolo de Datagrama do Usuário (IPMI) do Intelligent Platform Management Interface.

A rede OOB é isolada das cargas de trabalho de computação e é opcional para implantações não baseadas em solução.

VLAN de gerenciamento

Todos os hosts de computação física exigem acesso à rede lógica de gerenciamento. Para planejamento de endereço IP, cada host de computação física deve ter pelo menos um endereço IP atribuído da rede lógica de gerenciamento.

Um servidor DHCP pode atribuir automaticamente endereços IP para a rede de gerenciamento ou você pode atribuir manualmente endereços IP estáticos. Quando DHCP é o método de atribuição de IP preferencial, recomendamos que você use reservas DHCP sem expiração.

A rede de gerenciamento dá suporte às seguintes configurações de VLAN:

  • VLAN nativa – você não precisa fornecer IDs de VLAN. Isso é necessário para instalações baseadas em solução.

  • VLAN marcada – você fornece IDs de VLAN no momento da implantação.

A rede de gerenciamento dá suporte a todo o tráfego usado para o gerenciamento do cluster, incluindo Área de Trabalho Remota, Windows Admin Center e Active Directory.

Para obter mais informações, consulte Planejar uma infraestrutura de SDN: gerenciamento e provedor de HNV.

VLANs de computação

Em alguns cenários, você não precisa usar redes virtuais SDN com encapsulamento VXLAN (VIRTUAL Extensible LAN). Em vez disso, você pode usar VLANs tradicionais para isolar suas cargas de trabalho de locatário. Esses VLANs são configurados na porta do comutador TOR no modo de tronco. Ao conectar novas VMs a esses VLANs, a marca VLAN correspondente é definida no adaptador de rede virtual.

Rede de PA (Endereço do Provedor HNV)

A rede de PA (Endereço do Provedor) de Virtualização de Rede (HNV) do Hyper-V serve como a rede física subjacente para o tráfego de locatário leste/oeste (interno), tráfego de locatário norte/sul (externo-interno) e para trocar informações de emparelhamento BGP com a rede física. Essa rede só é necessária quando há a necessidade de implantar redes virtuais usando o encapsulamento VXLAN para outra camada de isolamento e para multilocatário de rede.

Para obter mais informações, consulte Planejar uma infraestrutura de SDN: gerenciamento e provedor de HNV.

Opções de isolamento de rede

Há suporte para as seguintes opções de isolamento de rede:

VLANs (IEEE 802.1Q)

Os VLANs permitem que os dispositivos que devem ser mantidos separados compartilhem o cabeamento de uma rede física e ainda sejam impedidos de interagir diretamente uns com os outros. Esse compartilhamento gerenciado gera ganhos em simplicidade, segurança, gerenciamento de tráfego e economia. Por exemplo, uma VLAN pode ser usada para separar o tráfego em uma empresa com base em usuários individuais ou grupos de usuários ou suas funções ou com base em características de tráfego. Muitos serviços de hospedagem na Internet usam VLANs para separar zonas privadas umas das outras, permitindo que os servidores de cada cliente sejam agrupados em um único segmento de rede, independentemente de onde os servidores individuais estejam localizados no data center. Algumas precauções são necessárias para evitar que o tráfego "escape" de uma determinada VLAN, uma exploração conhecida como salto de VLAN.

Para obter mais informações, consulte Entender o uso de redes virtuais e VLANs.

Políticas de acesso à rede padrão e microssegmentação

As políticas de acesso à rede padrão garantem que todas as VMs (máquinas virtuais) no cluster do Azure Stack HCI estejam seguras por padrão contra ameaças externas. Com essas políticas, bloquearemos o acesso de entrada a uma VM por padrão, dando a opção de habilitar portas de entrada seletivas e, portanto, proteger as VMs de ataques externos. Essa imposição está disponível por meio de ferramentas de gerenciamento como Windows Admin Center.

A microssegmentação envolve a criação de políticas de rede granulares entre aplicativos e serviços. Isso essencialmente reduz o perímetro de segurança a uma cerca em torno de cada aplicativo ou VM. Essa cerca permite apenas a comunicação necessária entre camadas de aplicativo ou outros limites lógicos, tornando extremamente difícil para as ameaças cibernéticas se espalharem lateralmente de um sistema para outro. A microssegmentação isola as redes umas das outras com segurança e reduz a superfície de ataque total de um incidente de segurança de rede.

As políticas de acesso à rede padrão e a microssegmentação são realizadas como regras de firewall com estado de cinco tuplas (prefixo de endereço de origem, porta de origem, prefixo de endereço de destino, porta de destino e protocolo) em clusters do Azure Stack HCI. As regras de firewall também são conhecidas como NSGs (Grupos de Segurança de Rede). Essas políticas são impostas na porta vSwitch de cada VM. As políticas são enviadas por push por meio da camada de gerenciamento e o Controlador de Rede do SDN as distribui para todos os hosts aplicáveis. Essas políticas estão disponíveis para VMs em redes VLAN tradicionais e em redes de sobreposição de SDN.

Para obter mais informações, consulte O que é o Firewall do Datacenter?.  

QoS para adaptadores de rede de VM

Você pode configurar o QoS (Qualidade de Serviço) para um adaptador de rede de VM para limitar a largura de banda em uma interface virtual para impedir que uma VM de alto tráfego enfrente outro tráfego de rede de VM. Você também pode configurar o QoS para reservar uma quantidade específica de largura de banda para uma VM para garantir que a VM possa enviar tráfego independentemente de outro tráfego na rede. Isso pode ser aplicado a VMs anexadas a redes VLAN tradicionais, bem como VMs anexadas a redes de sobreposição da SDN.

Para obter mais informações, consulte Configurar o QoS para um adaptador de rede de VM.

Redes virtuais

A virtualização de rede fornece redes virtuais para VMs semelhantes à forma como a virtualização de servidor (hipervisor) fornece VMs para o sistema operacional. A virtualização de rede separa as redes virtuais da infraestrutura de rede física e remove as restrições da VLAN e da atribuição de endereço IP hierárquico do provisionamento de VM. Essa flexibilidade facilita a migração para nuvens de IaaS (infraestrutura como serviço) e é eficiente para os hosters e administradores de datacenter gerenciarem sua infraestrutura e manterem o isolamento multilocatário necessário, os requisitos de segurança e os endereços IP de VM sobrepostos.

Para obter mais informações, consulte Virtualização de rede do Hyper-V.

Opções de serviços de rede L3

As seguintes opções de serviço de rede L3 estão disponíveis:

Emparelhamento de rede virtual

O emparelhamento de rede virtual permite conectar duas redes virtuais perfeitamente. Uma vez emparelhadas, para fins de conectividade, as redes virtuais aparecem como uma delas. Os benefícios do uso do emparelhamento de rede virtual incluem:

  • O tráfego entre VMs nas redes virtuais emparelhadas é roteado por meio da infraestrutura de backbone somente por meio de endereços IP privados. A comunicação entre as redes virtuais não requer Internet pública ou gateways.
  • Baixa latência, conexão com largura de banda alta entre os recursos em redes virtuais diferentes.
  • A capacidade de recursos em uma rede virtual para se comunicar com recursos em uma rede virtual diferente.
  • Não há tempo de inatividade para recursos em nenhuma das redes virtuais ao criar o emparelhamento.

Para obter mais informações, consulte Emparelhamento de rede virtual do Azure.

Balanceador de carga de software SDN

Os CSPs (Provedores de Serviços de Nuvem) e as empresas que implantam o SDN (Software Defined Networking) podem usar o Software Load Balancer (SLB) para distribuir uniformemente o tráfego de rede do cliente entre os recursos de rede virtual. O SLB permite que vários servidores hospedem a mesma carga de trabalho, fornecendo alta disponibilidade e escalabilidade. Ele também é usado para fornecer serviços NAT (Conversão de Endereços de Rede) de entrada para acesso de entrada a VMs e serviços NAT de saída para conectividade de saída.

Usando o SLB, você pode escalar horizontalmente seus recursos de balanceamento de carga usando VMs SLB nos mesmos servidores de computação do Hyper-V que você usa para suas outras cargas de trabalho de VM. O SLB dá suporte à criação rápida e à exclusão de pontos de extremidade de balanceamento de carga conforme necessário para operações CSP. Além disso, o SLB dá suporte a dezenas de gigabytes por cluster, fornece um modelo de provisionamento simples e é fácil de escalar horizontalmente. O SLB usa o Border Gateway Protocol para anunciar endereços IP virtuais para a rede física.

Para obter mais informações, consulte O que é SLB para SDN?

Gateways de VPN SDN

O Gateway de SDN é um roteador BGP (Border Gateway Protocol) baseado em software projetado para CSPs e empresas que hospedam redes virtuais multilocatário usando a HNV (Virtualização de Rede Hyper-V). Você pode usar o Gateway ras para rotear o tráfego de rede entre uma rede virtual e outra rede, local ou remota.

O Gateway de SDN pode ser usado para:

  • Crie conexões IPsec site a site seguras entre redes virtuais SDN e redes de clientes externas pela Internet.

  • Crie conexões GRE (Encapsulamento de Roteamento Genérico) entre redes virtuais SDN e redes externas. A diferença entre conexões site a site e conexões GRE é que esta última não é uma conexão criptografada.

    Para obter mais informações sobre cenários de conectividade GRE, consulte Túnel GRE no Windows Server.

  • Crie conexões de Camada 3 (L3) entre redes virtuais SDN e redes externas. Nesse caso, o gateway SDN simplesmente atua como um roteador entre sua rede virtual e a rede externa.

O Gateway de SDN requer o Controlador de Rede SDN. O Controlador de Rede executa a implantação de pools de gateway, configura conexões de locatário em cada gateway e alterna fluxos de tráfego de rede para um gateway em espera se um gateway falhar.

Os gateways usam o Border Gateway Protocol para anunciar pontos de extremidade GRE e estabelecer conexões ponto a ponto. A implantação do SDN cria um pool de gateway padrão que dá suporte a todos os tipos de conexão. Nesse pool, você pode especificar quantos gateways são reservados em espera caso um gateway ativo falhe.

Para obter mais informações, consulte O que é o Gateway ras para SDN?

Próximas etapas

Saiba mais sobre o padrão de rede alternado e não convergido de armazenamento de dois nós.