Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся сведения о сетевой инфраструктуре Azure Stack Hub, которые помогут вам решить, как лучше интегрировать Azure Stack Hub в существующую сетевую среду.
Заметка
Чтобы разрешить внешние DNS-имена из Azure Stack Hub (например, www.bing.com), необходимо указать DNS-серверы, на которые следует пересылать DNS-запросы. Для получения дополнительной информации о требованиях к DNS Azure Stack Hub см. статью: Интеграция Azure Stack Hub в центр обработки данных - DNS.
Проектирование физической сети
Решение Azure Stack Hub требует отказоустойчивой и высокодоступной физической инфраструктуры для поддержки своей работы и служб. Для интеграции Azure Stack Hub с сетью требуется переключиться из коммутаторов верхнего уровня (ToR) на ближайший коммутатор или маршрутизатор, который в этой статье называется Border. ToR можно связать с одной или парой границ. ToR предварительно настроен нашим средством автоматизации. Он ожидает минимальное одно соединение между ToR и Border при использовании маршрутизации BGP и не менее двух подключений (по одному на toR) между ToR и Border при использовании статической маршрутизации с максимальным количеством четырех подключений для любого варианта маршрутизации. Эти подключения ограничены носителями SFP+ или SFP28 и минимальной скоростью в гб. Обратитесь к поставщику оборудования, изготовленного производителем (OEM), для получения информации о доступности. На следующей схеме представлен рекомендуемый дизайн:
Распределение пропускной способности
Azure Stack Hub создается с использованием отказоустойчивого кластера и технологии Spaces Direct в Windows Server 2022. Чтобы гарантировать, что хранилищные коммуникации Spaces Direct могут соответствовать требованиям по производительности и масштабу решения, часть конфигурации физической сети Azure Stack Hub настроена для использования разделения трафика и гарантии пропускной способности. В конфигурации сети используются классы трафика для разделения обмена данными в Spaces Direct на основе RDMA от использования сети инфраструктурой Azure Stack Hub и/или клиентом. Чтобы соответствовать текущим рекомендациям, определенным для Windows Server 2022, в составе Azure Stack Hub изменяются настройки для использования дополнительных классов трафика и приоритетов, чтобы лучше разделить серверное общение в поддержку управления отказоустойчивой кластеризацией. Это новое определение класса трафика настроено для резервирования 2% доступной физической пропускной способности. Эта конфигурация резервирования трафика и пропускной способности выполняется путем изменения на коммутаторах верхнего уровня (ToR) решения Azure Stack Hub и на узле или серверах Azure Stack Hub. Обратите внимание, что изменения не требуются на пограничных сетевых устройствах клиента. Эти изменения обеспечивают лучшую устойчивость для взаимодействия отказоустойчивого кластера и предназначены для предотвращения ситуаций, в которых пропускная способность сети полностью используется, в результате чего нарушается передача управляющих сообщений в отказоустойчивом кластере. Обратите внимание, что коммуникация отказоустойчивого кластера является критически важным компонентом инфраструктуры Azure Stack Hub, и если будет нарушена на длительное время, это может привести к нестабильности служб хранения Spaces Direct или других служб, что в конечном итоге скажется на стабильности рабочих нагрузок арендаторов и конечных пользователей.
Логические сети
Логические сети представляют абстракцию базовой физической сетевой инфраструктуры. Они используются для упорядочивания и упрощения сетевых назначений для узлов, виртуальных машин и служб. В рамках создания логической сети сетевые сайты создаются для определения сетей виртуальной локальной области (VLAN), IP-подсетей и пар IP-подсетей и виртуальной ЛС, связанных с логической сетью в каждом физическом расположении.
В следующей таблице показаны логические сети и связанные диапазоны подсети IPv4, которые необходимо запланировать:
| Логическая сеть | Описание | Размер |
|---|---|---|
| Общедоступный VIP | Azure Stack Hub использует в общей сложности 31 адресов из этой сети, а остальные используются виртуальными машинами клиента. Из 31 адресов для небольшого набора служб Azure Stack Hub используются 8 общедоступных IP-адресов. Если вы планируете использовать службу приложений и поставщиков ресурсов SQL, используется еще 7 адресов. Остальные 16 IP-адресов зарезервированы для будущих служб Azure. | /26 (62 хоста) — /22 (1022 хоста) Рекомендуется = /24 (254 хоста) |
| Инфраструктура коммутаторов | IP-адреса типа "точка — точка" для целей маршрутизации, выделенных интерфейсов управления коммутаторами и адресов обратной передачи, назначенных коммутатору. | /26 |
| Инфраструктура | Используется для взаимодействия внутренних компонентов Azure Stack Hub. | /24 |
| Частный | Используется для сети хранения, частных IP-адресов, контейнеров инфраструктуры и других внутренних функций. Для получения дополнительной информации см. раздел частной сети в этой статье. | /20 |
| BMC | Используется для общения с BMC на физических узлах. | /26 |
Заметка
Предупреждение на портале напоминает оператору о необходимости запуска командлета PEP Set-AzsPrivateNetwork для добавления нового диапазона частных IP-адресов /20. Сведения и рекомендации по выбору частного IP-адресного пространства /20 см. в разделе частной сети этой статьи.
Сетевая инфраструктура
Сетевая инфраструктура Для Azure Stack Hub состоит из нескольких логических сетей, настроенных на коммутаторах. На следующей схеме показаны эти логические сети и их интеграция с коммутаторами уровня стойки (TOR), контроллером управления основной платой (BMC) и пограничными коммутаторами (клиентская сеть).
Сеть BMC
Эта сеть предназначена для подключения всех контроллеров управления базовой платой (также известных как BMC или процессоры служб) к сети управления. Примеры: iDRAC, iLO, iBMC и т. д. Для взаимодействия с любым узлом BMC используется только одна учетная запись BMC. Если он присутствует, узел HLH находится в этой сети и может предоставлять программное обеспечение, специфичное для OEM, для обслуживания или мониторинга оборудования.
HLH также размещает виртуальную машину развертывания (DVM). DVM используется во время развертывания Azure Stack Hub и удаляется при завершении развертывания. ДЛЯ DVM требуется доступ к Интернету в подключенных сценариях развертывания для тестирования, проверки и доступа к нескольким компонентам. Эти компоненты могут находиться внутри и за пределами корпоративной сети (например, NTP, DNS и Azure). Дополнительные сведения о требованиях к подключению см. в разделе NAT интеграции брандмауэра Azure Stack Hub.
Частная сеть
Эта сеть /20 (4096 IP) является частной для региона Azure Stack Hub (не направляется за пределы устройств коммутатора границ системы Azure Stack Hub) и делится на несколько подсетей, вот несколько примеров:
- сеть хранилища: сеть /25 (128 IP-адресов), используемая для поддержки трафика хранения Direct Spaces и сетевого трафика SMB, а также динамической миграции виртуальных машин.
- внутренняя виртуальная IP-сеть: сеть /25, выделенная для внутренних IP-адресов для подсистемы балансировки нагрузки программного обеспечения.
- сеть контейнеров: сеть /23 (512 IP), предназначенная только для внутреннего трафика между контейнерами, выполняющими функции инфраструктуры.
Для системы Azure Stack Hub требуется дополнительный внутренний диапазон IP-адресов /20. Эта сеть является частной для системы Azure Stack Hub (не направляется за пределы устройств переключения границ системы Azure Stack Hub) и может использоваться повторно в нескольких системах Azure Stack Hub в центре обработки данных. Хотя сеть является частной для Azure Stack, она не должна перекрываться с другими сетями в центре обработки данных. Частное IP-пространство /20 разделено на несколько сетей, которые позволяют запускать инфраструктуру Azure Stack Hub на контейнерах. Кроме того, это новое частное IP-пространство обеспечивает продолжение усилий по сокращению требуемого маршрутизируемого IP-пространства перед внедрением. Целью запуска инфраструктуры Azure Stack Hub в контейнерах является оптимизация использования и повышение производительности. Кроме того, частное пространство IP-адресов /20 также используется для поддержки постоянных усилий, которые позволят сократить необходимое пространство для маршрутизируемых IP-адресов перед развертыванием. Рекомендации по частному IP-пространству см. в RFC 1918.
Сеть инфраструктуры Azure Stack Hub
Эта сеть /24 предназначена для внутренних компонентов Azure Stack Hub, чтобы они могли взаимодействовать и обмениваться данными между собой. Эта подсеть может быть маршрутизируема извне решения Azure Stack Hub к вашему центру обработки данных. В этой подсети не рекомендуется использовать общедоступные или маршрутизируемые в Интернете IP-адреса. Эта сеть объявляется на границе, но большинство ip-адресов защищены списками управления доступом (ACL). Ip-адреса, разрешенные для доступа, находятся в небольшом диапазоне, эквивалентном размеру сети /27 и службам узлов, таким как привилегированная конечная точка (PEP) и резервное копирование Azure Stack Hub.
Сеть VIP для избранных пользователей
Сеть публичной VIP-сети назначается сетевому контроллеру в Azure Stack. Это не логическая сеть на коммутаторе. SLB использует пул адресов и назначает сети /32 для рабочих нагрузок клиента. В таблице маршрутизации коммутаторов эти ip-адреса /32 объявляются как доступный маршрут через BGP. Эта сеть содержит внешние или общедоступные IP-адреса. Инфраструктура Azure Stack Hub резервирует первые 31 адрес из этой общедоступной VIP-сети, а оставшаяся часть используется виртуальными машинами арендатора. Размер сети в этой подсети может быть от /26 (64 узлов) до максимума /22 (1022 узла). Мы рекомендуем планировать сеть /24.
Подключение к локальным сетям
Azure Stack Hub использует виртуальные сети для ресурсов клиентов, таких как виртуальные машины, подсистемы балансировки нагрузки и другие.
Существует несколько различных вариантов подключения ресурсов внутри виртуальной сети к локальным или корпоративным ресурсам:
- Используйте общедоступные IP-адреса из общедоступной виртуальной VIP сети.
- Используйте шлюз виртуальной сети или сетевое виртуальное устройство (NVA).
Если vpn-туннель S2S используется для подключения ресурсов к локальным сетям или из них, может возникнуть сценарий, в котором ресурс также имеет общедоступный IP-адрес, и он больше недоступен через этот общедоступный IP-адрес. Если источник пытается получить доступ к общедоступному IP-адресу в пределах одного диапазона подсети, определенного в маршруте шлюза локальной сети (шлюз виртуальной сети) или определяемом пользователем маршруте для решений NVA, Azure Stack Hub пытается перенаправлять исходящий трафик обратно в источник через туннель S2S на основе настроенных правил маршрутизации. Обратный трафик использует частный IP-адрес виртуальной машины, вместо того чтобы проходить NAT с преобразованием в общедоступный IP-адрес.
Существует два решения этой проблемы:
- Перенаправить трафик, направленный в сеть общедоступной виртуальной IP-сети в интернет.
- Добавьте устройство NAT для преобразования любых IP-адресов подсети, определенных в шлюзе локальной сети, чтобы направить их в публичную сеть VIP.
Переключение сети инфраструктуры
Эта сеть /26 — это подсеть, содержащая маршрутизируемые point-to-point IP /30 подсети (подсети с двумя IP-адресами узлов) и loopback-подсети, которые являются выделенными /32 подсетями для управления коммутаторами в полосе и идентификатора маршрутизатора BGP. Этот диапазон IP-адресов должен быть маршрутизируемым за пределами решения Azure Stack Hub в центре обработки данных. Они могут быть частными или общедоступными IP-адресами.
Переключение сети управления
Эта сеть /29 (шесть IP-адресов узла) предназначена для подключения портов управления коммутаторами. Он обеспечивает внеполосный доступ для развертывания, управления и устранения неполадок. Он вычисляется из сети инфраструктуры коммутаторов, упомянутых ранее.
Разрешенные сети
На листе развертывания есть поле, позволяющее оператору изменить некоторые списки управления доступом, чтобы разрешить доступ к сетевым интерфейсам управления устройствами и узлу жизненного цикла оборудования (HLH) из доверенного диапазона сети центра обработки данных. При изменении списка управления доступом оператор может разрешить виртуальным машинам jumpbox в пределах определенного диапазона сети доступ к интерфейсу управления коммутатором и ОС HLH. Оператор может предоставить в этот список одну или несколько подсетей; Если оставить пустым, он по умолчанию запрещает доступ. Эта новая функция устраняет необходимость в ручном вмешательстве после развертывания, как это было описано в разделе Изменение конкретных настроек конфигурации коммутатора Azure Stack Hub.
Дальнейшие действия
- маршрутизация трафика виртуальной сети
- Узнайте о планировании сети: пограничные подключения