Partilhar via


Reveja o padrão de referência de rede de implementação comutado de dois nós e não convergido para o Azure Stack HCI

Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2

Neste artigo, irá saber mais sobre o padrão de referência de rede comutado de dois nós, não convergido e comutador de dois TORs, que pode utilizar para implementar a sua solução do Azure Stack HCI. As informações neste artigo também o ajudarão a determinar se esta configuração é viável para as suas necessidades de planeamento de implementação. Este artigo destina-se aos administradores de TI que implementam e gerem o Azure Stack HCI nos seus datacenters.

Para obter informações sobre outros padrões de rede, veja Padrões de implementação de rede do Azure Stack HCI.

Cenários

Os cenários para este padrão de rede incluem laboratórios, fábricas, sucursais e instalações de datacenter.

Implemente este padrão para melhorar o desempenho de rede do seu sistema e se planeia adicionar nós adicionais. East-West a replicação do tráfego de armazenamento não irá interferir ou competir com o tráfego norte-sul dedicado à gestão e à computação. A configuração de rede lógica ao adicionar nós adicionais está pronta sem precisar de períodos de indisponibilidade da carga de trabalho ou alterações de ligação físicas. Os serviços SDN L3 são totalmente suportados neste padrão.

Os serviços de encaminhamento, como o BGP, podem ser configurados diretamente nos comutadores TOR se suportarem serviços L3. As funcionalidades de segurança de rede, como a microssegmentação e o QoS, não necessitam de configuração adicional no dispositivo de firewall, uma vez que são implementadas na camada da placa de rede virtual.

Componentes de conectividade física

Conforme descrito no diagrama abaixo, este padrão tem os seguintes componentes de rede física:

  • Para tráfego de northbound/southbound, o cluster neste padrão é implementado com dois comutadores TOR na configuração MLAG.

  • Dois cartões de rede em equipa para processar o tráfego de gestão e computação ligado a dois comutadores TOR. Cada NIC está ligada a um comutador TOR diferente.

  • Dois NICs RDMA na configuração autónoma. Cada NIC está ligada a um comutador TOR diferente. A capacidade multicanal SMB fornece agregação de caminhos e tolerância a falhas.

  • Como opção, as implementações podem incluir um cartão BMC para ativar a gestão remota do ambiente. Algumas soluções podem utilizar uma configuração sem cabeça sem um cartão BMC para fins de segurança.

Diagrama a mostrar o esquema de conectividade física sem comutação de dois nós.

Redes Gestão e computação Armazenamento BMC
Velocidade da ligação Pelo menos 1 Gbps. 10 Gbps recomendados Pelo menos 10 Gbps Verificar com o fabricante do hardware
Tipo de interface RJ45, SFP+ ou SFP28 SFP+ ou SFP28 RJ45
Portas e agregação Duas portas em equipa Duas portas autónomas Uma porta

Intenções de ATC de Rede

Diagrama a mostrar intenções de ATC de Rede sem comutadores de dois nós

Intenção de gestão e computação

  • Tipo de intenção: Gestão e computação
  • Modo de intenção: modo de cluster
  • Agrupamento: Sim. pNIC01 e pNIC02 são agrados
  • VLAN de gestão predefinida: A VLAN configurada para adaptadores de gestão não é modificada
  • PA & VLANs e vNICs de computação: o ATC de Rede é transparente para vNICs pa e VLAN ou vNICs de VM de computação e VLANs

Intenção de armazenamento

  • Tipo de Intenção: Armazenamento
  • Modo de Intenção: modo de cluster
  • Agrupamento: pNIC03 e pNIC04 utilizam o SMB Multicanal para fornecer resiliência e agregação de largura de banda
  • VLANs predefinidas:
    • 711 para a rede de armazenamento 1
    • 712 para a rede de armazenamento 2
  • Sub-redes predefinidas:
    • 10.71.1.0/24 para a rede de armazenamento 1
    • 10.71.2.0/24 para a rede de armazenamento 2

Siga estes passos para criar intenções de rede para este padrão de referência:

  1. Execute o PowerShell como administrador.

  2. Execute os seguintes comandos:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
    Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
    

Componentes de conectividade lógica

Conforme ilustrado no diagrama abaixo, este padrão tem os seguintes componentes de rede lógica:

Diagrama a mostrar o esquema de conectividade física de dois nós.

VLANs da Rede de Armazenamento

O tráfego baseado na intenção de armazenamento consiste em duas redes individuais que suportam o tráfego RDMA. Cada interface é dedicada a uma rede de armazenamento separada e ambas podem utilizar a mesma etiqueta VLAN.

Os adaptadores de armazenamento funcionam em sub-redes IP diferentes. Cada rede de armazenamento utiliza as VLANs predefinidas do ATC por predefinição (711 e 712). No entanto, estas VLANs podem ser personalizadas, se necessário. Além disso, se a sub-rede predefinida definida pelo ATC não for utilizável, é responsável por atribuir todos os endereços IP de armazenamento no cluster.

Para obter mais informações, veja Descrição geral do ATC de Rede.

Rede OOB

A rede OOB (Out of Band) dedica-se a suportar a interface de gestão do servidor "lights-out" também conhecida como controlador de gestão da placa base (BMC). Cada interface BMC liga-se a um comutador fornecido pelo cliente. O BMC é utilizado para automatizar cenários de arranque PXE.

A rede de gestão requer acesso à interface BMC através da porta UDP (Intelligent Platform Management Interface) User Datagram Protocol (UDP).

A rede OOB está isolada das cargas de trabalho de computação e é opcional para implementações não baseadas em soluções.

VLAN de Gestão

Todos os anfitriões de computação física necessitam de acesso à rede lógica de gestão. Para o planeamento de endereços IP, cada anfitrião de computação física tem de ter, pelo menos, um endereço IP atribuído a partir da rede lógica de gestão.

Um servidor DHCP pode atribuir automaticamente endereços IP para a rede de gestão ou pode atribuir manualmente endereços IP estáticos. Quando DHCP for o método de atribuição de IP preferido, recomendamos que utilize reservas DHCP sem expiração.

A rede de gestão suporta as seguintes configurações de VLAN:

  • VLAN nativa – não é necessário fornecer IDs de VLAN. Isto é necessário para instalações baseadas em soluções.

  • VLAN etiquetada – fornece IDs de VLAN no momento da implementação.

A rede de gestão suporta todo o tráfego utilizado para a gestão do cluster, incluindo Ambiente de Trabalho Remoto, Windows Admin Center e Active Directory.

Para obter mais informações, veja Planear uma infraestrutura SDN: Gestão e Fornecedor HNV.

VLANs de Computação

Em alguns cenários, não precisa de utilizar Redes Virtuais SDN com encapsulamento de LAN Extensível Virtual (VXLAN). Em vez disso, pode utilizar VLANs tradicionais para isolar as cargas de trabalho do inquilino. Essas VLANs estão configuradas na porta do comutador TOR no modo de ramal. Ao ligar novas VMs a estas VLANs, a etiqueta VLAN correspondente é definida na placa de rede virtual.

Rede de Endereços do Fornecedor (PA) HNV

A rede de Endereços de Fornecedor (PA) de Virtualização de Rede Hyper-V (HNV) serve como a rede física subjacente para o tráfego de inquilinos Leste/Oeste (interno-interno), tráfego de inquilino norte/sul (interno externo) e para trocar informações de peering BGP com a rede física. Esta rede só é necessária quando é necessária a implementação de redes virtuais com encapsulamento VXLAN para outra camada de isolamento e para a multi-inquilino de rede.

Para obter mais informações, veja Planear uma infraestrutura SDN: Gestão e Fornecedor HNV.

Opções de isolamento de rede

São suportadas as seguintes opções de isolamento de rede:

VLANs (IEEE 802.1Q)

As VLANs permitem que os dispositivos que têm de ser mantidos separados partilhem a cablagem de uma rede física e, no entanto, sejam impedidos de interagir diretamente entre si. Esta partilha gerida gera ganhos na simplicidade, segurança, gestão de tráfego e economia. Por exemplo, uma VLAN pode ser utilizada para separar o tráfego numa empresa com base em utilizadores individuais ou grupos de utilizadores ou nas respetivas funções, ou com base nas características de tráfego. Muitos serviços de alojamento na Internet utilizam VLANs para separar zonas privadas entre si, permitindo que os servidores de cada cliente sejam agrupados num único segmento de rede, independentemente do local onde os servidores individuais estejam localizados no datacenter. Algumas precauções são necessárias para evitar que o tráfego "escape" de uma determinada VLAN, uma exploração conhecida como salto VLAN.

Para obter mais informações, veja Compreender a utilização de redes virtuais e VLANs.

Políticas e microsegmentação de acesso à rede predefinidas

As políticas de acesso de rede predefinidas garantem que todas as máquinas virtuais (VMs) no cluster do Azure Stack HCI estão protegidas por predefinição contra ameaças externas. Com estas políticas, vamos bloquear o acesso de entrada a uma VM por predefinição, ao mesmo tempo que damos a opção de ativar portas de entrada seletivas e, assim, proteger as VMs de ataques externos. Esta imposição está disponível através de ferramentas de gestão, como Windows Admin Center.

A microsegmentação envolve a criação de políticas de rede granulares entre aplicações e serviços. Isto reduz essencialmente o perímetro de segurança a uma vedação em torno de cada aplicação ou VM. Esta vedação permite apenas a comunicação necessária entre as camadas de aplicação ou outros limites lógicos, o que torna extremamente difícil que as ameaças cibernéticas se espalhem lateralmente de um sistema para outro. A microsegmentação isola de forma segura as redes entre si e reduz a superfície de ataque total de um incidente de segurança de rede.

As políticas de acesso à rede predefinidas e a microsegmentação são realizadas como regras de firewall com estado de cinco cadeias de identificação (prefixo de endereço de origem, porta de origem, prefixo de endereço de destino, porta de destino e protocolo) em clusters do Azure Stack HCI. As regras de firewall também são conhecidas como Grupos de Segurança de Rede (NSGs). Estas políticas são impostas na porta vSwitch de cada VM. As políticas são emitidas através da camada de gestão e o Controlador de Rede SDN distribui-as por todos os anfitriões aplicáveis. Estas políticas estão disponíveis para VMs em redes VLAN tradicionais e em redes de sobreposição SDN.

Para obter mais informações, consulte O que é a Firewall do Datacenter?.  

QoS para adaptadores de rede de VM

Pode configurar a Qualidade de Serviço (QoS) para um adaptador de rede VM para limitar a largura de banda numa interface virtual para impedir que uma VM de tráfego elevado seja compatível com outro tráfego de rede de VM. Também pode configurar o QoS para reservar uma quantidade específica de largura de banda para uma VM para garantir que a VM pode enviar tráfego independentemente de outro tráfego na rede. Isto pode ser aplicado às VMs ligadas às redes VLAN tradicionais, bem como às VMs ligadas a redes de sobreposição SDN.

Para obter mais informações, veja Configurar qoS para uma placa de rede VM.

Redes virtuais

A virtualização de rede fornece redes virtuais a VMs semelhantes à forma como a virtualização do servidor (hipervisor) fornece VMs ao sistema operativo. A virtualização de rede desassocia as redes virtuais da infraestrutura de rede física e remove as restrições da VLAN e da atribuição de endereços IP hierárquicos do aprovisionamento de VMs. Esta flexibilidade facilita a mudança para clouds IaaS (Infraestrutura como Serviço) e é eficiente para os anfitriões e administradores de datacenters gerirem a respetiva infraestrutura e manter o isolamento multi-inquilino necessário, os requisitos de segurança e os endereços IP de VM sobrepostos.

Para obter mais informações, veja Virtualização de Rede Hyper-V.

Opções de serviços de rede L3

Estão disponíveis as seguintes opções de serviço de rede L3:

Peering de rede virtual

O peering de rede virtual permite-lhe ligar duas redes virtuais de forma totalmente integrada. Uma vez em modo de peering, para fins de conectividade, as redes virtuais aparecem como uma. As vantagens da utilização do peering de redes virtuais incluem:

  • O tráfego entre VMs nas redes virtuais em modo de peering é encaminhado apenas através da infraestrutura principal através de endereços IP privados. A comunicação entre as redes virtuais não requer internet pública ou gateways.
  • Uma ligação de baixa latência e largura de banda alta entre os recursos em redes virtuais diferentes.
  • A capacidade de os recursos numa rede virtual comunicarem com recursos numa rede virtual diferente.
  • Sem período de indisponibilidade para recursos em qualquer uma das redes virtuais ao criar o peering.

Para obter mais informações, veja Peering de rede virtual.

Balanceador de carga de software SDN

Os Fornecedores de Serviços Cloud (CSPs) e as empresas que implementam o Software Defined Networking (SDN) podem utilizar o Software Balanceador de Carga (SLB) para distribuir uniformemente o tráfego de rede do cliente entre recursos de rede virtual. O SLB permite que vários servidores alojem a mesma carga de trabalho, proporcionando elevada disponibilidade e escalabilidade. Também é utilizado para fornecer serviços NAT (Network Address Translation) de entrada para acesso de entrada a VMs e serviços NAT de saída para conectividade de saída.

Com o SLB, pode aumentar horizontalmente as suas capacidades de balanceamento de carga com VMs SLB nos mesmos servidores de computação Hyper-V que utiliza para as suas outras cargas de trabalho de VM. O SLB suporta a criação e eliminação rápidas de pontos finais de balanceamento de carga, conforme necessário para operações CSP. Além disso, o SLB suporta dezenas de gigabytes por cluster, fornece um modelo de aprovisionamento simples e é fácil de aumentar e reduzir horizontalmente. O SLB utiliza o Protocolo border gateway para anunciar endereços IP virtuais para a rede física.

Para obter mais informações, consulte O que é o SLB para SDN?

Gateways de VPN SDN

O Gateway de SDN é um router compatível com o Protocolo BGP (Border Gateway Protocol) baseado em software concebido para CSPs e empresas que alojam redes virtuais multi-inquilino com a Virtualização de Rede Hyper-V (HNV). Pode utilizar o Gateway RAS para encaminhar o tráfego de rede entre uma rede virtual e outra rede, local ou remota.

O Gateway de SDN pode ser utilizado para:

  • Crie ligações IPsec de site a site seguras entre redes virtuais SDN e redes de clientes externas através da Internet.

  • Crie ligações de Encapsulamento de Encaminhamento Genérico (GRE) entre redes virtuais SDN e redes externas. A diferença entre ligações site a site e ligações GRE é que esta não é uma ligação encriptada.

    Para obter mais informações sobre cenários de conectividade GRE, veja Túnel GRE no Windows Server.

  • Crie ligações de Camada 3 (L3) entre redes virtuais SDN e redes externas. Neste caso, o gateway de SDN funciona simplesmente como um router entre a rede virtual e a rede externa.

O Gateway de SDN requer o Controlador de Rede SDN. O Controlador de Rede executa a implementação de conjuntos de gateways, configura ligações de inquilino em cada gateway e muda os fluxos de tráfego de rede para um gateway de reserva se um gateway falhar.

Os gateways utilizam o Protocolo border gateway para anunciar pontos finais GRE e estabelecer ligações ponto a ponto. A implementação do SDN cria um conjunto de gateways predefinido que suporta todos os tipos de ligação. Neste conjunto, pode especificar quantos gateways estão reservados em modo de espera caso um gateway ativo falhe.

Para obter mais informações, consulte O que é o Gateway RAS para SDN?

Passos seguintes

Saiba mais sobre o padrão de rede totalmente convergido com armazenamento de dois nós.