Azure Stack HCI için iki düğümlü depolama anahtarsız, iki anahtarlı dağıtım ağ başvuru deseni gözden geçirin
Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2 ve 22H2
Bu makalede, Azure Stack HCI çözümünüzü dağıtmak için kullanabileceğiniz iki TOR L3 anahtarlı ağ başvurusu desenine sahip iki düğümlü anahtarsız depolama hakkında bilgi edinirsiniz. Bu makaledeki bilgiler, bu yapılandırmanın dağıtım planlama gereksinimleriniz için uygun olup olmadığını belirlemenize de yardımcı olur. Bu makale, veri merkezlerinde Azure Stack HCI'yi dağıtan ve yöneten BT yöneticilerine yöneliktir.
Diğer ağ desenleri hakkında bilgi için bkz. Azure Stack HCI ağ dağıtım desenleri.
Senaryolar
Bu ağ düzenine yönelik senaryolar laboratuvarları, şube ofisleri ve veri merkezi tesislerini içerir.
Tüm ağ bileşenlerinde hataya dayanıklı, uygun maliyetli bir çözüm ararken bu düzeni uygulamayı göz önünde bulundurun. Desenin ölçeğini genişletmek mümkündür, ancak depolama fiziksel bağlantısını ve depolama ağı yeniden yapılandırmayı yeniden yapılandırmak için iş yükü kapalı kalma süresini gerektirir. SDN L3 hizmetleri bu düzende tam olarak desteklenir. BGP gibi yönlendirme hizmetleri, L3 hizmetlerini destekliyorsa doğrudan TOR anahtarlarında yapılandırılabilir. Mikro segmentlere ayırma ve QoS gibi ağ güvenlik özellikleri, sanal ağ bağdaştırıcısı katmanında uygulandığından güvenlik duvarı cihazı için ek yapılandırma gerektirmez.
Fiziksel bağlantı bileşenleri
Aşağıdaki diyagramda gösterildiği gibi, bu desen aşağıdaki fiziksel ağ bileşenlerine sahiptir:
Kuzeye/güneye giden trafik için küme, MLAG yapılandırmasında iki TOR anahtarı gerektirir.
Yönetim ve işlem trafiğini işlemek için ve TOR anahtarlarına bağlı iki gruplandırılmış ağ kartı. Her NIC farklı bir TOR anahtarına bağlıdır.
East-West depolama trafiği için tam ağ yapılandırmasında iki RDMA NIC. Kümedeki her düğümün, kümedeki diğer düğüme yedekli bir bağlantısı vardır.
Bir seçenek olarak, bazı çözümler güvenlik amacıyla BMC kartı olmayan bir başsız yapılandırma kullanabilir.
Ağlar | Yönetim ve işlem | Depolama | BMC |
---|---|---|---|
Bağlantı hızı | En az 1 GBps. 10 GBps önerilir | En az 10 GBps | Donanım üreticisine danışın |
Arabirim türü | RJ45, SFP+ veya SFP28 | SFP+ veya SFP28 | RJ45 |
Bağlantı noktaları ve toplama | Ekip olarak alınan iki bağlantı noktası | İki tek başına bağlantı noktası | Bir bağlantı noktası |
Ağ ATC amaçları
İki düğümlü depolama anahtarsız desenleri için iki Ağ ATC amacı oluşturulur. İlki yönetim ve işlem ağ trafiği, ikincisi de depolama trafiği için.
Yönetim ve işlem amacı
- Amaç Türü: Yönetim ve İşlem
- Amaç Modu: Küme modu
- Ekip oluşturma: Evet. pNIC01 ve pNIC02 Ekibi
- Varsayılan Yönetim VLAN'ı: Yönetim bağdaştırıcıları için yapılandırılan VLAN değiştirilmedi
- PA & İşlem VLAN'ları ve vNIC'leri: Ağ ATC'leri PA vNIC'leri ve VLAN veya işlem VM vNIC'leri ve VLAN'ları için saydamdır
Depolama amacı
- Amaç türü: Depolama
- Amaç modu: Küme modu
- Ekip oluşturma: pNIC03 ve pNIC04, dayanıklılık ve bant genişliği toplama sağlamak için Çok Kanallı SMB kullanır
- Varsayılan VLAN'lar:
- Depolama ağı için 711 1
- Depolama ağı için 712 2
- Varsayılan alt ağlar:
- Depolama ağı için 10.71.1.0/24 1
- Depolama ağı 2 için 10.71.2.0/24
Daha fazla bilgi için bkz. Konak ağını dağıtma.
Bu başvuru düzenine yönelik ağ amaçları oluşturmak için şu adımları izleyin:
PowerShell'i yönetici olarak çalıştırın.
Şu komutu çalıştırın:
Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02> Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
Mantıksal bağlantı bileşenleri
Aşağıdaki diyagramda gösterildiği gibi, bu desen aşağıdaki mantıksal ağ bileşenlerine sahiptir:
Depolama Ağı VLAN'ları
Depolama amacı tabanlı trafik, RDMA trafiğini destekleyen iki ayrı ağdan oluşur. Her arabirim ayrı bir depolama ağına ayrılmıştır ve her ikisi de aynı VLAN etiketini paylaşabilir. Bu trafik yalnızca iki düğüm arasında hareket etmek için tasarlanmıştır. Depolama trafiği, diğer kaynaklara bağlantısı olmayan özel bir ağdır.
Depolama bağdaştırıcıları farklı IP alt ağlarında çalışır. Anahtarsız yapılandırmayı etkinleştirmek için her bağlı düğüm, komşusunun eşleşen bir alt ağıdır. Her depolama ağı varsayılan olarak Önceden tanımlanmış Ağ ATC VLAN'larını kullanır (711 ve 712). Gerekirse bu VLAN'lar özelleştirilebilir. Ayrıca, ATC tarafından tanımlanan varsayılan alt ağ kullanılamıyorsa, kümedeki tüm depolama IP adreslerini atamak sizin sorumluluğundadır.
Daha fazla bilgi için bkz . Ağ ATC'lerine genel bakış.
OOB ağı
Bant Dışı (OOB) ağı, temel kart yönetim denetleyicisi (BMC) olarak da bilinen "lights-out" sunucu yönetim arabirimini desteklemeye ayrılmıştır. Her BMC arabirimi, müşteri tarafından sağlanan anahtara bağlanır. BMC, PXE önyükleme senaryolarını otomatikleştirmek için kullanılır.
Yönetim ağı, Akıllı Platform Yönetim Arabirimi (IPMI) Kullanıcı Veri Birimi Protokolü (UDP) bağlantı noktası 623 kullanarak BMC arabirimine erişim gerektirir.
OOB ağı, işlem iş yüklerinden yalıtılır ve çözüm tabanlı olmayan dağıtımlar için isteğe bağlıdır.
Yönetim VLAN'sı
Tüm fiziksel işlem konakları yönetim mantıksal ağına erişim gerektirir. IP adresi planlaması için, her fiziksel işlem konağının yönetim mantıksal ağından atanmış en az bir IP adresi olmalıdır.
DHCP sunucusu, yönetim ağı için IP adreslerini otomatik olarak atayabilir veya statik IP adreslerini el ile atayabilirsiniz. Tercih edilen IP atama yöntemi DHCP olduğunda, süresi dolmadan DHCP ayırmaları kullanmanızı öneririz.
Yönetim ağı aşağıdaki VLAN yapılandırmalarını destekler:
Yerel VLAN - VLAN kimliklerini sağlamanız gerekmez. Bu, çözüm tabanlı yüklemeler için gereklidir.
Etiketli VLAN - Dağıtım sırasında VLAN kimlikleri sağlarsınız.
Yönetim ağı Uzak Masaüstü, Windows Admin Center ve Active Directory dahil olmak üzere kümenin yönetimi için kullanılan tüm trafiği destekler.
Daha fazla bilgi için bkz . SDN altyapısı planlama: Yönetim ve HNV Sağlayıcısı.
İşlem VLAN'ları
Bazı senaryolarda, Sanal Genişletilebilir LAN (VXLAN) kapsüllemeli SDN Sanal Ağları kullanmanız gerekmez. Bunun yerine, kiracı iş yüklerinizi yalıtmak için geleneksel VLAN'ları kullanabilirsiniz. Bu VLAN'lar, TOR anahtarının bağlantı noktasında gövde modunda yapılandırılır. Bu VLAN'lara yeni VM'ler bağlanırken, ilgili VLAN etiketi sanal ağ bağdaştırıcısında tanımlanır.
HNV Sağlayıcı Adresi (PA) ağı
Hyper-V Ağ Sanallaştırma (HNV) Sağlayıcı Adresi (PA) ağı, Doğu/Batı (iç-iç) kiracı trafiği, Kuzey/Güney (dış-iç) kiracı trafiği ve bgp eşleme bilgilerini fiziksel ağ ile değiştirmek için temel fiziksel ağ olarak hizmet verir. Bu ağ yalnızca başka bir yalıtım katmanı ve çok kiracılı ağ için VXLAN kapsüllemesi kullanarak sanal ağları dağıtma gereksinimi olduğunda gereklidir.
Daha fazla bilgi için bkz . SDN altyapısı planlama: Yönetim ve HNV Sağlayıcısı.
Ağ yalıtımı seçenekleri
Aşağıdaki ağ yalıtım seçenekleri desteklenir:
VLAN'lar (IEEE 802.1Q)
VLAN'lar, fiziksel ağın kablolarını paylaşmak için ayrı tutulması gereken ve ancak birbiriyle doğrudan etkileşim kurması engellenen cihazlara izin verir. Bu yönetilen paylaşım kolaylık, güvenlik, trafik yönetimi ve ekonomi açısından kazanç sağlar. Örneğin VLAN, bir işletmedeki trafiği tek tek kullanıcılara veya kullanıcı gruplarına ya da rollerine ya da trafik özelliklerine göre ayırmak için kullanılabilir. Birçok İnternet barındırma hizmeti, özel bölgeleri birbirinden ayırmak için VLAN'ları kullanır ve her müşterinin sunucularının, tek tek sunucuların veri merkezinde nerede bulunduğu fark etmez, tek bir ağ kesiminde gruplandırılabilmesini sağlar. Belirli bir VLAN'dan gelen ve VLAN atlama olarak bilinen bir açıktan trafiğin "kaçmasını" önlemek için bazı önlemler gereklidir.
Daha fazla bilgi için bkz. Sanal ağların ve VLAN'ların kullanımını anlama.
Varsayılan ağ erişim ilkeleri ve mikro ayrım
Varsayılan ağ erişim ilkeleri, Azure Stack HCI kümenizdeki tüm sanal makinelerin (VM) varsayılan olarak dış tehditlere karşı güvenli olmasını sağlar. Bu ilkelerle, bir VM'ye gelen erişimi varsayılan olarak engellerken, seçmeli gelen bağlantı noktalarını etkinleştirme ve dolayısıyla VM'lerin dış saldırılara karşı güvenliğini sağlama seçeneğini sunarız. Bu zorlama, Windows Admin Center gibi yönetim araçları aracılığıyla kullanılabilir.
Mikro ayrım, uygulamalar ve hizmetler arasında ayrıntılı ağ ilkeleri oluşturmayı içerir. Bu temelde güvenlik çevresini her uygulama veya VM'nin etrafındaki bir çite düşürür. Bu çit yalnızca uygulama katmanları veya diğer mantıksal sınırlar arasında gerekli iletişime izin verir, bu nedenle siber tehditlerin bir sistemden diğerine yayılımını aşırı zorlaştırır. Mikro ayrım, ağları birbirinden güvenli bir şekilde yalıtarak bir ağ güvenlik olayının toplam saldırı yüzeyini azaltır.
Varsayılan ağ erişim ilkeleri ve mikro ayrım, Azure Stack HCI kümelerinde durum bilgisi olan beş tanımlama grubu (kaynak adres ön eki, kaynak bağlantı noktası, hedef adres ön eki, hedef bağlantı noktası ve protokol) güvenlik duvarı kuralları olarak gerçekleştirilir. Güvenlik duvarı kuralları Ağ Güvenlik Grupları (NSG) olarak da bilinir. Bu ilkeler her vm'nin vSwitch bağlantı noktasında zorlanır. İlkeler yönetim katmanından geçirilir ve SDN Ağ Denetleyicisi bunları tüm geçerli konaklara dağıtır. Bu ilkeler, geleneksel VLAN ağlarında ve SDN katman ağlarında bulunan VM'ler için kullanılabilir.
Daha fazla bilgi için bkz. Datacenter Güvenlik Duvarı nedir?.
VM ağ bağdaştırıcıları için QoS
Yüksek trafikli bir VM'nin diğer VM ağ trafiğiyle bağlanmasını önlemek amacıyla bir sanal arabirimdeki bant genişliğini sınırlamak üzere vm ağ bağdaştırıcısı için Hizmet Kalitesi'ni (QoS) yapılandırabilirsiniz. Ağ üzerindeki diğer trafiğe bakılmaksızın vm'nin trafik gönderebilmesini sağlamak için QoS'yi vm için belirli miktarda bant genişliği ayıracak şekilde de yapılandırabilirsiniz. Bu, geleneksel VLAN ağlarına bağlı VM'lerin yanı sıra SDN katman ağlarına bağlı VM'lere de uygulanabilir.
Daha fazla bilgi için bkz . VM ağ bağdaştırıcısı için QoS'yi yapılandırma.
Sanal ağlar
Ağ sanallaştırma, sunucu sanallaştırmasının (hiper yönetici) işletim sistemine VM'ler sağlamasına benzer sanal makinelere sanal ağlar sağlar. Ağ sanallaştırma, sanal ağları fiziksel ağ altyapısından ayırır ve VLAN ve hiyerarşik IP adresi atamasının kısıtlamalarını VM sağlamadan kaldırır. Bu esneklik, (Hizmet Olarak Altyapı) IaaS bulutlarına geçmenizi kolaylaştırır ve konakçıların ve veri merkezi yöneticilerinin altyapılarını yönetmesi ve gerekli çok kiracılı yalıtımı, güvenlik gereksinimlerini ve çakışan VM IP adreslerini korumasını sağlar.
Daha fazla bilgi için bkz. Hyper-V Ağ Sanallaştırma.
L3 ağ hizmetleri seçenekleri
Aşağıdaki L3 ağ hizmeti seçenekleri kullanılabilir:
Sanal ağ eşleme
Sanal ağ eşleme, iki sanal ağı sorunsuz bir şekilde bağlamanızı sağlar. Eşlendikten sonra, bağlantı amacıyla sanal ağlar tek bir ağ olarak görünür. Sanal ağ eşlemesini kullanmanın avantajları şunlardır:
- Eşlenmiş sanal ağlardaki VM'ler arasındaki trafik, yalnızca özel IP adresleri aracılığıyla omurga altyapısı üzerinden yönlendirilir. Sanal ağlar arasındaki iletişim için genel İnternet veya ağ geçitleri gerekmez.
- Farklı sanal ağlardaki kaynaklar arasında düşük gecikme süresi ve yüksek bant genişlikli bağlantı.
- Bir sanal ağdaki kaynakların farklı bir sanal ağdaki kaynaklarla iletişim kurma yeteneği.
- Eşlemeyi oluştururken iki sanal ağdaki kaynaklarda kapalı kalma süresi yoktur.
Daha fazla bilgi için bkz. Sanal ağ eşlemesi.
SDN yazılım yük dengeleyici
Bulut Hizmeti Sağlayıcıları (CSP'ler) ve Yazılım Tanımlı Ağ (SDN) dağıtan kuruluşlar, müşteri ağ trafiğini sanal ağ kaynakları arasında eşit olarak dağıtmak için Yazılım Load Balancer (SLB) kullanabilir. SLB, birden çok sunucunun aynı iş yükünü barındırmasını sağlayarak yüksek kullanılabilirlik ve ölçeklenebilirlik sağlar. Ayrıca VM'lere gelen erişim için gelen Ağ Adresi Çevirisi (NAT) hizmetleri ve giden bağlantı için giden NAT hizmetleri sağlamak için de kullanılır.
SLB kullanarak, diğer VM iş yükleriniz için kullandığınız Hyper-V işlem sunucularında SLB VM'lerini kullanarak yük dengeleme özelliklerinizin ölçeğini genişletebilirsiniz. SLB, CSP işlemleri için gereken yük dengeleme uç noktalarının hızlı oluşturulmasını ve silinmesini destekler. Buna ek olarak, SLB küme başına onlarca gigabayt destekler, basit bir sağlama modeli sağlar ve ölçeği genişletilip daraltılması kolaydır. SLB, sanal IP adreslerini fiziksel ağa tanıtmak için Sınır Ağ Geçidi Protokolü'ni kullanır.
Daha fazla bilgi için bkz. SDN için SLB nedir?
SDN VPN ağ geçitleri
SDN Ağ Geçidi, Hyper-V Ağ Sanallaştırma (HNV) kullanarak çok kiracılı sanal ağları barındıran CSP'ler ve kuruluşlar için tasarlanmış yazılım tabanlı bir Sınır Ağ Geçidi Protokolü (BGP) özellikli yönlendiricidir. RAS Ağ Geçidi'ni kullanarak bir sanal ağ ile yerel veya uzak ağ arasında ağ trafiğini yönlendirebilirsiniz.
SDN Ağ Geçidi aşağıdakileri yapmak için kullanılabilir:
SDN sanal ağları ile İnternet üzerinden dış müşteri ağları arasında güvenli siteden siteye IPsec bağlantıları oluşturun.
SDN sanal ağları ile dış ağlar arasında Genel Yönlendirme Kapsüllemesi (GRE) bağlantıları oluşturun. Siteden siteye bağlantılar ile GRE bağlantıları arasındaki fark, ikincisinin şifreli bir bağlantı olmamasıdır.
GRE bağlantı senaryoları hakkında daha fazla bilgi için bkz. Windows Server'da GRE Tüneli.
SDN sanal ağları ile dış ağlar arasında Katman 3 (L3) bağlantıları oluşturun. Bu durumda, SDN ağ geçidi yalnızca sanal ağınızla dış ağ arasında bir yönlendirici görevi görür.
SDN Ağ Geçidi için SDN Ağ Denetleyicisi gerekir. Ağ Denetleyicisi, ağ geçidi havuzlarının dağıtımını gerçekleştirir, her ağ geçidinde kiracı bağlantılarını yapılandırılır ve ağ geçidi başarısız olursa ağ trafiği akışlarını hazır bekleyen bir ağ geçidine değiştirir.
Ağ geçitleri, GRE uç noktalarını tanıtmak ve noktadan noktaya bağlantılar kurmak için Sınır Ağ Geçidi Protokolü kullanır. SDN dağıtımı, tüm bağlantı türlerini destekleyen bir varsayılan ağ geçidi havuzu oluşturur. Bu havuz içinde, etkin bir ağ geçidinin başarısız olması durumunda beklemede kaç ağ geçidinin ayrılacağını belirtebilirsiniz.
Daha fazla bilgi için bkz. SDN için RAS Ağ Geçidi nedir?
Sonraki adımlar
İki düğümlü bir anahtar ağ düzeni olan anahtarsız depolama hakkında bilgi edinin.