適用於 Azure NetApp Files 網路方案的指導方針
網路架構規劃是設計任何應用程式基礎結構的關鍵元素。 本文可協助您為工作負載設計有效的網路架構,以受益於 Azure NetApp Files 的豐富功能。
Azure NetApp Files 磁碟區的設計目的是要包含在 Azure 虛擬網絡 內稱為委派子網的特殊用途子網中。 因此,您可以透過 VNet 對等互連,或透過 虛擬網絡 閘道從內部部署直接存取磁碟區(ExpressRoute 或 VPN 閘道)。 子網專用於 Azure NetApp Files,且無法連線到因特網。
所有已啟用 Azure NetApp Files 的區域都支援在新的磁碟區上設定標準網路功能,以及修改現有磁碟區的網路功能。
可設定的網路功能
在支持的區域中,您可以建立新的磁碟區或修改現有的磁碟區,以使用 標準 或 基本 網路功能。 在不支援標準網路功能的區域,磁碟區預設為使用基本網路功能。 如需詳細資訊,請參閱 設定網路功能。
標準
選取此設定可啟用較高的IP限制和標準 VNet 功能,例如 委派子網上的網路安全組 和 使用者定義路由 ,以及本文中所述的其他連線模式。
考量
規劃 Azure NetApp Files 網路時,您應該瞭解一些考慮。
限制
下表說明每個網路功能組態所支援的內容:
| 功能 | 標準網路功能 | 基本網路功能 |
|---|---|---|
| 在裝載 VNet 的 Azure NetApp Files 中存取磁碟區的 IP 數目(包括立即對等互連的 VNet) | 與 VM 相同的標準限制 | 1000 |
| 每個 VNet 的 Azure NetApp Files 委派子網 | 1 | 1 |
| Azure NetApp Files 委派子網上的網路安全組 (NSG) | 是 | No |
| Azure NetApp Files 委派子網上的使用者定義路由 (UDR) | 是 | No |
| 連線私人端點 | 是* | No |
| 連線服務端點 | 是 | No |
| Azure 原則 (例如自定義命名原則)在 Azure NetApp Files 介面上 | No | No |
| Azure NetApp Files 流量的負載平衡器 | No | No |
| 雙重堆疊 (IPv4 和 IPv6) VNet | 不 (僅支援 IPv4) |
不 (僅支援 IPv4) |
| 從對等互連 VNet 透過 NVA 路由傳送的流量 | 是 | No |
* Azure NetApp Files 客戶自控密鑰不支援將私人連結子網上的 Azure 網路安全組套用至 Azure 金鑰保存庫。 除非子網上啟用私人端點網路原則,否則網路安全組不會影響對 Private Link 的連線。 建議停用此選項。
支援的網路拓撲
下表說明 Azure NetApp Files 的每個網路功能組態所支援的網路拓撲。
| 拓撲 | 標準網路功能 | 基本網路功能 |
|---|---|---|
| 連線 本機 VNet 中的磁碟區 | Yes | Yes |
| 連線 對等互連 VNet 中磁碟區 (相同區域) | Yes | Yes |
| 連線 對等互連 VNet 中的磁碟區(跨區域或全域對等互連) | 是* | No |
| 透過 ExpressRoute 閘道對磁碟區的 連線 性 | Yes | Yes |
| ExpressRoute (ER) FastPath | 是 | No |
| 透過 ExpressRoute 閘道和具有閘道傳輸的 VNet 對等互連,從內部部署到輪輻 VNet 中的磁碟區 連線 | Yes | Yes |
| 透過 VPN 閘道從內部部署到輪輻 VNet 中的磁碟區 連線 | Yes | Yes |
| 透過 VPN 閘道和具有閘道傳輸的 VNet 對等互連,從內部部署到輪輻 VNet 中的磁碟區 連線 | Yes | Yes |
| 主動/被動 VPN 閘道的 連線 性 | Yes | Yes |
| 對主動/主動 VPN 閘道的 連線 性 | 是 | No |
| 對主動/主動區域備援網關的 連線 性 | 是 | No |
| 對主動/被動區域備援網關的 連線 性 | Yes | Yes |
| 虛擬 WAN 的 連線 性 (VWAN) | 是 | No |
* 這個選項會對使用虛擬網路對等互連連線的輸入和輸出流量產生費用。 如需詳細資訊,請參閱虛擬網路價格。 如需詳細資訊,請參閱 虛擬網路對等互連。
Azure NetApp Files 磁碟區的虛擬網路
本節說明可協助您規劃虛擬網路的概念。
Azure 虛擬網路
布建 Azure NetApp Files 磁碟區之前,您必須建立 Azure 虛擬網路 (VNet),或使用已存在於相同訂用帳戶中的虛擬網路。 VNet 會定義磁碟區的網路界限。 如需建立虛擬網路的詳細資訊,請參閱 Azure 虛擬網絡 檔。
子網路
子網會將虛擬網路分割成 Azure 資源可使用的個別地址空間。 Azure NetApp Files 磁碟區包含在稱為 委派子網的特殊用途子網中。
子網委派會明確授與 Azure NetApp Files 服務的許可權,以在子網中建立服務特定的資源。 它會在部署服務時使用唯一標識碼。 在此情況下,會建立網路介面,以啟用 Azure NetApp Files 的連線。
如果您使用新的 VNet,您可以依照將子網委派給 Azure NetApp Files 中的 指示,建立子網並將子網委派給 Azure NetApp Files。 您也可以委派未委派給其他服務的現有空白子網。
如果 VNet 與另一個 VNet 對等互連,則您無法展開 VNet 位址空間。 因此,必須在 VNet 位址空間內建立新的委派子網。 如果您需要擴充位址空間,您必須先刪除 VNet 對等互連,才能擴充地址空間。
重要
確定 Azure NetApp Files VNet 的地址空間大小大於其委派的子網。
例如,如果委派的子網是 /24,則包含子網的 VNet 位址空間必須是 /23 或更大。 不符合此指導方針可能會導致某些流量模式發生非預期的問題:透過網路虛擬設備到達 Azure NetApp Files 的中樞和輪輻拓撲的流量無法正常運作。 此外,如果設定嘗試透過中樞和輪輻網路拓撲連線到 DNS,則建立 SMB 和 CIFS 磁碟區時,可能會導致失敗。
此外,也建議委派子網的大小對於 SAP 工作負載而言至少為 /25,在其他工作負載案例中則為 /26。
UDR 和 NSG
如果子網有具有標準和基本網路功能的磁碟區組合,則委派子網上套用的使用者定義路由 (UDR) 和網路安全組 (NSG) 只會套用至具有標準網路功能的磁碟區。
注意
Azure NetApp Files 網路介面不支援在網路介面層級建立 NSG 的關聯。
使用委派子網的位址前綴和下一個躍點在來源 VM 子網上設定 UDR,因為具有基本網路功能的磁碟區不支援 NVA。 這類設定會導致連線問題。
注意
若要透過 VNet 閘道 (ExpressRoute 或 VPN) 和防火牆從內部部署網路存取 Azure NetApp Files 磁碟區,請將指派給 VNet 閘道的路由表設定為包含 /32 列出的 Azure NetApp Files 磁碟區 IPv4 位址,並將防火牆指向作為下一個躍點。 使用包含 Azure NetApp Files 磁碟區 IP 位址的匯總地址空間,將不會將 Azure NetApp Files 流量轉送至防火牆。
注意
如果您想要在 VM VNet 中設定 UDR 路由,若要控制目的地為區域 VNet 對等互連 Azure NetApp Files 標準磁碟區的封包路由,UDR 前置詞必須更具體或等於 Azure NetApp Files 磁碟區的委派子網大小。 如果 UDR 前置詞的大小大於委派的子網大小,則不會生效。
Azure 原生環境
下圖說明 Azure 原生環境:
本機 VNet
基本案例是從相同 VNet 中的 VM 建立或連線到 Azure NetApp Files 磁碟區。 針對圖表中的 VNet 2,磁碟區 1 是在委派的子網中建立,而且可以在預設子網中的 VM 1 上掛接。
VNet 對等互連
如果您在需要存取彼此資源的相同區域中有其他 VNet,可以使用 VNet 對等互連來連線,以透過 Azure 基礎結構啟用安全連線。
請考慮上圖中的 VNet 2 和 VNet 3。 如果 VM 1 需要連線到 VM 2 或磁碟區 2,或 VM 2 必須連線到 VM 1 或磁碟區 1,則必須啟用 VNet 2 與 VNet 3 之間的 VNet 對等互連。
此外,請考慮 VNet 1 與 VNet 2 對等互連的案例,而 VNet 2 與相同區域中的 VNet 3 對等互連。 VNet 1 中的資源可以連線到 VNet 2 中的資源,但除非對等互連 VNet 1 和 VNet 3,否則無法連線到 VNet 3 中的資源。
在上圖中,雖然 VM 3 可以連線到磁碟區 1,但 VM 4 無法連線到磁碟區 2。 原因是輪輻 VNet 未對等互連,且 透過 VNet 對等互連不支援傳輸路由。
全域或跨區域 VNet 對等互連
下圖說明具有跨區域 VNet 對等互連的 Azure 原生環境。
透過標準網路功能,VM 能夠透過全域或跨區域 VNet 對等互連連線到另一個區域中的磁碟區。 上圖會將第二個區域新增至本機 VNet 對等互連區段中的組態。 針對此圖表中的 VNet 4,Azure NetApp Files 磁碟區會在委派的子網中建立,而且可以在應用程式子網中的 VM5 上掛接。
在圖表中,區域 1 中的 VM2 可以連線到區域 2 中的磁碟區 3。 區域 2 中的 VM5 可以透過區域 1 與區域 2 之間的 VNet 對等互連,連線到區域 1 中的磁碟區 2。
混合式環境
下圖說明混合式環境:
在混合式案例中,來自內部部署數據中心的應用程式需要存取 Azure 中的資源。 這是您想要將數據中心擴充至 Azure,還是想要使用 Azure 原生服務或進行災害復原的情況。 如需如何透過站對站 VPN 或 ExpressRoute 將多個內部部署資源連線到 Azure 中的資源的相關信息,請參閱 VPN 閘道 規劃選項。
在混合式中樞輪輻拓撲中,Azure 中的中樞 VNet 可作為內部部署網路的連線中心點。 輪輻是與中樞對等互連的 VNet,可用來隔離工作負載。
視設定而定,您可以將內部部署資源連線到中樞和輪輻中的資源。
在上述拓撲中,內部部署網路會連線到 Azure 中的中樞 VNet,且在與中樞 VNet 對等互連的相同區域中有 2 個輪輻 VNet。 在此案例中,Azure NetApp Files 磁碟區支援的連線選項如下所示:
- 內部部署資源 VM 1 和 VM 2 可以透過站對站 VPN 或 ExpressRoute 線路連線到中樞中的磁碟區 1。
- 內部部署資源 VM 1 和 VM 2 可以透過站對站 VPN 和區域 VNet 對等互連連線到磁碟區 2 或磁碟區 3。
- 中樞 VNet 中的 VM 3 可以連線到輪輻 VNet 1 中的磁碟區 2 和輪輻 VNet 2 中的磁碟區 3。
- 來自輪輻 VNet 1 的 VM 4 和來自輪輻 VNet 2 的 VM 5 可以連線到中樞 VNet 中的磁碟區 1。
- 輪輻 VNet 1 中的 VM 4 無法連線到輪輻 VNet 2 中的磁碟區 3。 此外,輪輻 VNet2 中的 VM 5 無法連線到輪輻 VNet 1 中的磁碟區 2。 這是因為輪輻 VNet 不是對等互連,而且 透過 VNet 對等互連不支援傳輸路由。
- 在上述架構中,如果有輪輻 VNet 中的閘道,則從內部部署連線到透過中樞網關聯機的 ANF 磁碟區將會遺失。 根據設計,喜好設定會提供給輪輻 VNet 中的閘道,因此只有透過該網關聯機的機器可以連線到 ANF 磁碟區。