Rever o padrão de referência da rede de implementação de armazenamento de servidor único para o Azure Stack HCI
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2
Este artigo descreve o padrão de referência de rede de armazenamento de servidor único que pode utilizar para implementar a sua solução do Azure Stack HCI. As informações neste artigo também o ajudam a determinar se esta configuração é viável para as suas necessidades de planeamento de implementação. Este artigo destina-se aos administradores de TI que implementam e gerem o Azure Stack HCI nos seus datacenters.
Para obter informações sobre outros padrões de rede, veja Padrões de implementação de rede do Azure Stack HCI.
Introdução
As implementações de servidor único proporcionam benefícios de custo e espaço ao mesmo tempo que ajudam a modernizar a sua infraestrutura e a levar a computação híbrida do Azure para localizações que podem tolerar a resiliência de um único servidor. O Azure Stack HCI em execução num servidor único comporta-se de forma semelhante ao Azure Stack HCI num cluster de vários nós: proporciona integração nativa do Azure Arc, a capacidade de adicionar servidores para aumentar horizontalmente o cluster e inclui os mesmos benefícios do Azure.
Também suporta as mesmas cargas de trabalho, como o Azure Virtual Desktop (AVD) e o AKS no Azure Stack HCI, sendo suportadas e faturadas da mesma forma.
Cenários
Utilize o padrão de armazenamento de servidor único nos seguintes cenários:
Instalações que podem tolerar um nível mais baixo de resiliência. Considere implementar este padrão sempre que a sua localização ou serviço fornecido por este padrão pode tolerar um nível mais baixo de resiliência sem afetar a sua empresa.
Comida, cuidados de saúde, finanças, retalho, instalações governamentais. Alguns cenários de alimentação, cuidados de saúde, finanças e retalho podem aplicar esta opção para minimizar os custos sem afetar as operações principais e as transações comerciais.
Embora os serviços de Rede Definida pelo Software (SDN) Camada 3 (L3) sejam totalmente suportados neste padrão, os serviços de encaminhamento, como o Protocolo BGP (Border Gateway Protocol), poderão ter de ser configurados para o dispositivo de firewall no comutador TOR (top-of-rack).
As funcionalidades de segurança de rede, como a microssegmentação e o Quality of Service (QoS), não necessitam de configuração adicional para o dispositivo de firewall, uma vez que são implementadas na camada da placa de rede virtual. Para obter mais informações, veja Microssegmentação com o Azure Stack HCI.
Nota
Os servidores únicos têm de utilizar apenas um tipo de unidade única: unidades NVMe (Memory Express) ou Solid-State (SSD).
Componentes de conectividade física
Conforme ilustrado no diagrama abaixo, este padrão tem os seguintes componentes de rede física:
- Para tráfego para norte/sul, o cluster do Azure Stack HCI é implementado com um único comutador TOR L2 ou L3.
- Duas portas de rede em equipa para processar o tráfego de gestão e computação ligado ao comutador.
- Dois NICs RDMA desligados que só são utilizados se adicionar um segundo servidor ao cluster para aumentar horizontalmente. Isto significa que não existem custos acrescidos para as portas de cablagem ou comutador físico.
- (Opcional) Um cartão BMC pode ser utilizado para ativar a gestão remota do seu ambiente. Para fins de segurança, algumas soluções podem utilizar uma configuração sem cabeça sem o cartão BMC.
A tabela seguinte lista algumas diretrizes para uma implementação de servidor único:
| Rede | Gestão & computação | Armazenamento | BMC |
|---|---|---|---|
| Velocidade da ligação | Pelo menos 1 Gbps se RDMA estiver desativado, 10 Gbps recomendados. | Pelo menos 10 Gbps. | Contacte o fabricante do hardware. |
| Tipo de interface | RJ45, SFP+, ou SFP28 | SFP+ ou SFP28 | RJ45 |
| Portas e agregação | Duas portas em equipa | Opcional para permitir a adição de um segundo servidor; portas desligadas. | Uma porta |
| RDMA | Opcional. Depende dos requisitos para o suporte RDMA convidado e NIC. | N/D | N/D |
Intenções de ATC de Rede
O padrão de servidor único utiliza apenas uma intenção ATC de Rede para o tráfego de gestão e computação. As interfaces de rede RDMA são opcionais e desligadas.
Intenção de gestão e computação
A intenção de gestão e computação tem as seguintes características:
- Tipo de intenção: Gestão e computação
- Modo de intenção: modo de cluster
- Agrupamento: Sim - pNIC01 e pNIC02 são agrados
- VLAN de gestão predefinida: A VLAN configurada para adaptadores de gestão é ummodified
- VLAN e vNICs PA: o ATC de Rede é transparente para vNICs pa e VLANs
- VLANs e vNICs de computação: o ATC de Rede é transparente para calcular vNICs e VLANs de VM
Intenção de armazenamento
A intenção de armazenamento tem as seguintes características:
- Tipo de intenção: Nenhum
- Modo de intenção: Nenhum
- Agrupamento: pNIC03 e pNIC04 estão desligados
- VLANs predefinidas: Nenhuma
- Sub-redes predefinidas: Nenhuma
Siga estes passos para criar uma intenção de rede para este padrão de referência:
Execute o PowerShell como Administrador.
Execute o seguinte comando:
Add-NetIntent -Name <management_compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Para obter mais informações, veja Deploy host networking: Compute and management intent (Implementar redes de anfitriões: intenção de computação e gestão).
Componentes de rede lógica
Conforme ilustrado no diagrama abaixo, este padrão tem os seguintes componentes de rede lógica:
VLANs de rede de armazenamento
Opcional – este padrão não requer uma rede de armazenamento.
Rede OOB
A rede OOB (Out of Band) dedica-se a suportar a interface de gestão do servidor "lights-out" também conhecida como controlador de gestão da placa base (BMC). Cada interface BMC liga-se a um comutador fornecido pelo cliente. O BMC é utilizado para automatizar cenários de arranque PXE.
A rede de gestão requer acesso à interface BMC através da porta UDP (Intelligent Platform Management Interface) User Datagram Protocol (UDP).
A rede OOB está isolada das cargas de trabalho de computação e é opcional para implementações não baseadas em soluções.
VLAN de Gestão
Todos os anfitriões de computação física necessitam de acesso à rede lógica de gestão. Para o planeamento de endereços IP, cada anfitrião de computação física tem de ter, pelo menos, um endereço IP atribuído a partir da rede lógica de gestão.
Um servidor DHCP pode atribuir automaticamente endereços IP para a rede de gestão ou pode atribuir manualmente endereços IP estáticos. Quando DHCP for o método de atribuição de IP preferido, recomendamos que utilize reservas DHCP sem expiração.
A rede de gestão suporta as seguintes configurações de VLAN:
VLAN nativa – não é necessário fornecer IDs de VLAN. Isto é necessário para instalações baseadas em soluções.
VLAN etiquetada – fornece IDs de VLAN no momento da implementação. ligações de inquilino em cada gateway e muda os fluxos de tráfego de rede para um gateway de reserva se um gateway falhar.
Os gateways utilizam o Protocolo border gateway para anunciar pontos finais GRE e estabelecer ligações ponto a ponto. A implementação da SDN cria um conjunto de gateways predefinido que suporta todos os tipos de ligação. Neste conjunto, pode especificar quantos gateways estão reservados no modo de espera, caso um gateway ativo falhe.
Para obter mais informações, consulte O que é o Gateway RAS para SDN?
A rede de gestão suporta todo o tráfego utilizado para a gestão do cluster, incluindo Ambiente de Trabalho Remoto, Windows Admin Center e Active Directory.
Para obter mais informações, veja Planear uma infraestrutura SDN: Gestão e Fornecedor HNV.
VLANs de Computação
Em alguns cenários, não precisa de utilizar Redes Virtuais SDN com encapsulamento de LAN Extensível Virtual (VXLAN). Em vez disso, pode utilizar VLANs tradicionais para isolar as cargas de trabalho do inquilino. Essas VLANs estão configuradas na porta do comutador TOR no modo de tronco. Ao ligar novas VMs a estas VLANs, a etiqueta VLAN correspondente é definida na placa de rede virtual.
Rede de Endereços do Fornecedor (PA) HNV
A rede de Endereços de Fornecedor (PA) de Virtualização de Rede Hyper-V (HNV) serve como a rede física subjacente para o tráfego de inquilinos Leste/Oeste (interno-interno), tráfego de inquilino norte/sul (interno externo) e para trocar informações de peering BGP com a rede física. Esta rede só é necessária quando é necessária a implementação de redes virtuais com encapsulamento VXLAN para outra camada de isolamento e para a multi-inquilino de rede.
Para obter mais informações, veja Planear uma infraestrutura SDN: Gestão e Fornecedor HNV.
Opções de isolamento de rede
São suportadas as seguintes opções de isolamento de rede:
VLANs (IEEE 802.1Q)
As VLANs permitem que os dispositivos que têm de ser mantidos separados partilhem a cablagem de uma rede física e, no entanto, sejam impedidos de interagir diretamente entre si. Esta partilha gerida gera ganhos na simplicidade, segurança, gestão de tráfego e economia. Por exemplo, uma VLAN pode ser utilizada para separar o tráfego numa empresa com base em utilizadores individuais ou grupos de utilizadores ou nas respetivas funções, ou com base nas características de tráfego. Muitos serviços de alojamento na Internet utilizam VLANs para separar zonas privadas entre si, permitindo que os servidores de cada cliente sejam agrupados num único segmento de rede, independentemente do local onde os servidores individuais estejam localizados no datacenter. Algumas precauções são necessárias para evitar que o tráfego "escape" de uma determinada VLAN, uma exploração conhecida como salto VLAN.
Para obter mais informações, veja Compreender a utilização de redes virtuais e VLANs.
Políticas e microsegmentação de acesso à rede predefinidas
As políticas de acesso de rede predefinidas garantem que todas as máquinas virtuais (VMs) no cluster do Azure Stack HCI estão protegidas por predefinição contra ameaças externas. Com estas políticas, vamos bloquear o acesso de entrada a uma VM por predefinição, ao mesmo tempo que damos a opção de ativar portas de entrada seletivas e, assim, proteger as VMs de ataques externos. Esta imposição está disponível através de ferramentas de gestão, como Windows Admin Center.
A microsegmentação envolve a criação de políticas de rede granulares entre aplicações e serviços. Isto reduz essencialmente o perímetro de segurança a uma vedação em torno de cada aplicação ou VM. Esta vedação permite apenas a comunicação necessária entre as camadas de aplicação ou outros limites lógicos, o que torna extremamente difícil que as ameaças cibernéticas se espalhem lateralmente de um sistema para outro. A microsegmentação isola de forma segura as redes entre si e reduz a superfície de ataque total de um incidente de segurança de rede.
As políticas de acesso à rede predefinidas e a microsegmentação são realizadas como regras de firewall com estado de cinco cadeias de identificação (prefixo de endereço de origem, porta de origem, prefixo de endereço de destino, porta de destino e protocolo) em clusters do Azure Stack HCI. As regras de firewall também são conhecidas como Grupos de Segurança de Rede (NSGs). Estas políticas são impostas na porta vSwitch de cada VM. As políticas são emitidas através da camada de gestão e o Controlador de Rede SDN distribui-as por todos os anfitriões aplicáveis. Estas políticas estão disponíveis para VMs em redes VLAN tradicionais e em redes de sobreposição SDN.
Para obter mais informações, consulte O que é a Firewall do Datacenter?.
QoS para adaptadores de rede de VM
Pode configurar a Qualidade de Serviço (QoS) para um adaptador de rede VM para limitar a largura de banda numa interface virtual para impedir que uma VM de tráfego elevado seja compatível com outro tráfego de rede de VM. Também pode configurar o QoS para reservar uma quantidade específica de largura de banda para uma VM para garantir que a VM pode enviar tráfego independentemente de outro tráfego na rede. Isto pode ser aplicado às VMs ligadas às redes VLAN tradicionais, bem como às VMs ligadas a redes de sobreposição SDN.
Para obter mais informações, veja Configurar qoS para uma placa de rede VM.
Redes virtuais
A virtualização de rede fornece redes virtuais a VMs semelhantes à forma como a virtualização do servidor (hipervisor) fornece VMs ao sistema operativo. A virtualização de rede desassocia as redes virtuais da infraestrutura de rede física e remove as restrições da VLAN e da atribuição de endereços IP hierárquicos do aprovisionamento de VMs. Esta flexibilidade facilita a mudança para clouds IaaS (Infraestrutura como Serviço) e é eficiente para os anfitriões e administradores de datacenters gerirem a respetiva infraestrutura e manter o isolamento multi-inquilino necessário, os requisitos de segurança e os endereços IP de VM sobrepostos.
Para obter mais informações, veja Virtualização de Rede Hyper-V.
Opções de serviços de rede L3
Estão disponíveis as seguintes opções de serviço de rede L3:
Peering de rede virtual
O peering de rede virtual permite-lhe ligar duas redes virtuais de forma totalmente integrada. Uma vez em modo de peering, para fins de conectividade, as redes virtuais aparecem como uma. As vantagens da utilização do peering de redes virtuais incluem:
- O tráfego entre VMs nas redes virtuais em modo de peering é encaminhado apenas através da infraestrutura principal através de endereços IP privados. A comunicação entre as redes virtuais não requer internet pública ou gateways.
- Uma ligação de baixa latência e largura de banda alta entre os recursos em redes virtuais diferentes.
- A capacidade de os recursos numa rede virtual comunicarem com recursos numa rede virtual diferente.
- Sem período de indisponibilidade para recursos em qualquer uma das redes virtuais ao criar o peering.
Para obter mais informações, veja Peering de rede virtual.
Balanceador de carga de software SDN
Os Fornecedores de Serviços Cloud (CSPs) e as empresas que implementam o Software Defined Networking (SDN) podem utilizar o Software Balanceador de Carga (SLB) para distribuir uniformemente o tráfego de rede do cliente entre recursos de rede virtual. O SLB permite que vários servidores alojem a mesma carga de trabalho, proporcionando elevada disponibilidade e escalabilidade. Também é utilizado para fornecer serviços NAT (Network Address Translation) de entrada para acesso de entrada a VMs e serviços NAT de saída para conectividade de saída.
Com o SLB, pode aumentar horizontalmente as suas capacidades de balanceamento de carga com VMs SLB nos mesmos servidores de computação Hyper-V que utiliza para as suas outras cargas de trabalho de VM. O SLB suporta a criação e eliminação rápidas de pontos finais de balanceamento de carga, conforme necessário para operações CSP. Além disso, o SLB suporta dezenas de gigabytes por cluster, fornece um modelo de aprovisionamento simples e é fácil de aumentar e reduzir horizontalmente. O SLB utiliza o Protocolo border gateway para anunciar endereços IP virtuais para a rede física.
Para obter mais informações, consulte O que é o SLB para SDN?
Gateways de VPN SDN
O Gateway de SDN é um router compatível com o Protocolo BGP (Border Gateway Protocol) baseado em software concebido para CSPs e empresas que alojam redes virtuais multi-inquilino com a Virtualização de Rede Hyper-V (HNV). Pode utilizar o Gateway RAS para encaminhar o tráfego de rede entre uma rede virtual e outra rede, local ou remota.
O Gateway de SDN pode ser utilizado para:
Create ligações IPsec de site a site seguras entre redes virtuais SDN e redes de clientes externas através da Internet.
Create ligações GRE (Generic Routing Encapsulation) entre redes virtuais SDN e redes externas. A diferença entre ligações site a site e ligações GRE é que esta não é uma ligação encriptada.
Para obter mais informações sobre cenários de conectividade GRE, veja Túnel GRE no Windows Server.
Create ligações de Camada 3 (L3) entre redes virtuais SDN e redes externas. Neste caso, o gateway de SDN funciona simplesmente como um router entre a rede virtual e a rede externa.
O Gateway de SDN requer o Controlador de Rede SDN. O Controlador de Rede executa a implementação de conjuntos de gateways, configura
Passos seguintes
Saiba mais sobre padrões de dois nós – padrões de implementação de rede do Azure Stack HCI.