Share via


檢閱 Azure Stack HCI 的雙節點記憶體無交換器單一交換器部署網路參考模式

適用於:Azure Stack HCI 版本 23H2 和 22H2

本文說明單一 TOR 交換器網路參考模式的雙節點記憶體無交換器,可用來部署 Azure Stack HCI 解決方案。 本文中的資訊也可協助您判斷此設定是否適合您的部署規劃需求。 本文的目標是在其數據中心部署和管理 Azure Stack HCI 的 IT 系統管理員。

如需其他網路模式的相關信息,請參閱 Azure Stack HCI 網路部署模式

案例

此網路模式的案例包括工廠、工廠、零售商店,以及政府設施。

針對包含叢集層級容錯的符合成本效益解決方案,請考慮此模式,但如果單一實體交換器失敗或需要維護,可以容許北系聯機中斷。

您可以相應放大此模式,但需要工作負載停機才能重新設定記憶體實體連線和記憶體網路重新設定。 雖然此模式完全支援 SDN L3 服務,但如果不支援 L3 服務,則必須在 TOR 交換器上方的防火牆裝置上設定 BGP 等路由服務。 網路安全性功能,例如微分割和 QoS 不需要在防火牆裝置上進行額外的設定,因為它們會在虛擬交換器上實作。

實體聯機組件

如下圖所示,此模式具有下列實體網路元件:

  • 用於北南部流量通訊的單一 TOR 交換器。

  • 兩個小組網路埠可處理管理和計算流量,並連線至每部主機上的 L2 交換器

  • 全網組態中的兩個 RDMA NIC 適用於記憶體的東部-西部流量。 叢集中的每個節點都有與叢集中其他節點的備援連線。

  • 作為選項,某些解決方案可能會使用無外設設定,而不需要 BMC 記憶卡來保護安全性。

顯示雙節點無切換實體連線配置的圖表。

網路 管理和計算 儲存體 BMC
連結速度 至少 1 Gbps。 建議使用 10 Gbps 至少 10 Gbps 洽詢硬體製造商
介面類型 RJ45、SFP+ 或 SFP28 SFP+ 或 SFP28 RJ45
埠和匯總 兩個小組埠 兩個獨立埠 一個埠

網路 ATC 意圖

針對雙節點記憶體無交換器模式,會建立兩個網路 ATC 意圖。 第一個用於管理和計算網路流量,第二個用於記憶體流量。

顯示雙節點無交換器網路 ATC 意圖的圖表

管理和計算意圖

  • 意圖類型:管理和計算
  • 意圖模式:叢集模式
  • 小組:是。 pNIC01 和 pNIC02 會進行小組處理
  • 默認管理 VLAN:未修改管理適配卡的已設定 VLAN
  • PA & 計算 VLAN 和 vNIC:網路 ATC 對 PA vNIC 和 VLAN 是透明的,或計算 VM vNIC 和 VLAN

記憶體意圖

  • 意圖類型:記憶體
  • 意圖模式:叢集模式
  • 小組:pNIC03 和 pNIC04 使用 SMB 多重通道來提供復原和頻寬匯總
  • 預設 VLAN:
    • 711 用於儲存網路 1
    • 712 用於記憶體網路 2
  • 預設子網:
    • 10.71.1.0/24 用於儲存網路 1
    • 記憶體網路 2 的 10.71.2.0/24

如需詳細資訊,請參閱 部署主機網路

請遵循下列步驟來建立此參考模式的網路意圖:

  1. 以系統管理員身分執行 PowerShell。

  2. 執行以下命令:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
    Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
    

邏輯聯機組件

如下圖所示,此模式具有下列邏輯網路元件:

顯示單一節點無切換實體連線配置的圖表。

記憶體網路 VLAN

記憶體意圖型流量是由支援 RDMA 流量的兩個個別網路所組成。 每個介面都會專用於個別的記憶體網路,而且兩者都可以使用相同的 VLAN 標籤。 此流量只用於在兩個節點之間移動。 記憶體流量是專用網,無法連線到其他資源。

記憶體配接器會在不同的IP子網上運作。 若要啟用無交換器設定,每個連接的節點都支援其鄰近的相符子網。 每個記憶體網路預設會使用網路 ATC 預先定義的 VLAN (711 和 712) 。 不過,如有必要,可以自定義這些 VLAN。 此外,如果網路 ATC 所定義的預設子網 (10.71.1.0/24 和 10.71.2.0/24) 無法使用,您必須負責指派叢集中的所有記憶體 IP 位址。

如需詳細資訊,請參閱 網路 ATC 概觀

OOB 網路

頻外 (OOB) 網路專用於支援「亮出」伺服器管理介面,也稱為 BMC) (基礎板管理控制器。 每個 BMC 介面都會連線到客戶提供的交換器。 BMC 可用來自動化 PXE 開機案例。

管理網路需要使用 Intelligent Platform Management Interface (IPMI) USER Datagram Protocol (UDP) 埠 623 來存取 BMC 介面。

OOB 網路與計算工作負載隔離,對於非解決方案型部署而言是選擇性的。

管理 VLAN

所有實體計算主機都需要存取管理邏輯網路。 針對IP位址規劃,每個實體計算主機都必須至少有一個從管理邏輯網路指派的IP位址。

DHCP 伺服器可以自動指派管理網路的 IP 位址,或者您可以手動指派靜態 IP 位址。 當 DHCP 是慣用的 IP 指派方法時,建議您使用 DHCP 保留專案而不到期。

管理網路支援下列 VLAN 組態:

  • 原生 VLAN - 您不需要提供 VLAN 識別碼。 這是以解決方案為基礎的安裝的必要專案。

  • 標記的 VLAN - 您會在部署時提供 VLAN 識別碼。

管理網路支持用於管理叢集的所有流量,包括遠端桌面、Windows Admin Center 和 Active Directory。

如需詳細資訊,請參閱 規劃 SDN 基礎結構:管理和 HNV 提供者

計算 VLAN

在某些情況下,您不需要使用 SDN 虛擬網路搭配虛擬可延伸 LAN (VXLAN) 封裝。 相反地,您可以使用傳統 VLAN 來隔離您的租使用者工作負載。 這些 VLAN 會在主幹模式的 TOR 交換器埠上設定。 將新的 VM 連線到這些 VLAN 時,對應的 VLAN 標籤會在虛擬網路配接器上定義。

HNV 提供者位址 (PA) 網路

Hyper-V 網路虛擬化 (HNV) 提供者位址 (PA) 網路可作為東部/西部的基礎實體網路, (內部內部) 租使用者流量、北/南 (外部內部) 租使用者流量,以及與實體網路交換 BGP 對等互連資訊。 只有在需要使用 VXLAN 封裝來部署虛擬網路時,才需要此網路,以進行另一層隔離和網路多租使用者。

如需詳細資訊,請參閱 規劃 SDN 基礎結構:管理和 HNV 提供者

網路隔離選項

支援下列網路隔離選項:

VLAN (IEEE 802.1Q)

VLAN 可讓必須分開的裝置共用實體網路的纜線,但無法彼此直接互動。 此受控共用會產生簡單、安全性、流量管理和經濟的提升。 例如,VLAN 可用來根據個別使用者或使用者群組或其角色,或根據流量特性來分隔企業內的流量。 許多因特網裝載服務會使用 VLAN 將私人區域與其他區域分開,無論個別伺服器位於數據中心的位置為何,每個客戶的伺服器都會分組在單一網路區段中。 需要一些預防措施,以防止流量從指定的 VLAN「逸出」,也就是稱為 VLAN 跳動的惡意探索。

如需詳細資訊,請參閱 瞭解虛擬網路和 VLAN 的使用方式

默認網路存取原則和微分割

默認網路存取原則可確保 Azure Stack HCI 叢集中) 的所有虛擬機 (VM 預設都會受到外部威脅的保護。 使用這些原則時,我們預設會封鎖 VM 的輸入存取,同時提供啟用選擇性輸入埠的選項,進而保護 VM 不受外部攻擊。 這項強制執行可透過 Windows Admin Center 等管理工具取得。

微分割牽涉到在應用程式和服務之間建立細微的網路原則。 這基本上會將每個應用程式或 VM 周圍的安全性周邊減少到柵欄。 此柵欄只允許應用層或其他邏輯界限之間的必要通訊,因此網路威脅難以橫向從一個系統分散到另一個系統。 微分割可安全地彼此隔離網路,並減少網路安全性事件的總受攻擊面。

默認網路存取原則和微分割會在 Azure Stack HCI 叢集上實現五個 Tuple 具狀態 (來源地址前綴、來源埠、目的地地址前綴、目的地埠和通訊協定) 防火牆規則。 防火牆規則也稱為網路安全性 群組 (NSG) 。 這些原則會在每個 VM 的 vSwitch 埠強制執行。 原則會透過管理層推送,而 SDN 網路控制站會將這些原則散發給所有適用的主機。 這些原則適用於傳統 VLAN 網路和 SDN 重迭網路上的 VM。

如需詳細資訊,請參閱 什麼是數據中心防火牆?。  

VM 網路適配器的 QoS

您可以設定 VM 網路適配器的服務品質 (QoS) ,以限制虛擬介面上的頻寬,以防止高流量 VM 與其他 VM 網路流量競爭。 您也可以設定 QoS 為 VM 保留特定的頻寬量,以確保 VM 可以傳送流量,而不論網路上的其他流量為何。 這可以套用至連結至傳統 VLAN 網路的 VM,以及連接至 SDN 重疊網路的 VM。

如需詳細資訊,請參閱 設定 VM 網路適配器的 QoS

虛擬網路

網路虛擬化會將虛擬網路提供給 VM,類似於伺服器虛擬化 (Hypervisor) 如何為操作系統提供 VM。 網路虛擬化會將虛擬網路與實體網路基礎結構分離,並從 VM 布建中移除 VLAN 和階層式 IP 位址指派的限制。 這類彈性可讓您輕鬆地移至 (基礎結構即服務) IaaS 雲端,並有效率地讓主機服務提供者和數據中心系統管理員管理其基礎結構,並維護必要的多租使用者隔離、安全性需求和重疊的 VM IP 位址。

如需詳細資訊,請參閱 Hyper-V 網路虛擬化

L3 網路服務選項

以下是可用的 L3 網路服務選項:

虛擬網路對等互連

虛擬網路對等互連可讓您順暢地連線兩個虛擬網路。 對等互連后,為了進行連線,虛擬網路會顯示為一個。 使用虛擬網路對等互連的優點包括:

  • 對等互連虛擬網路中的 VM 之間的流量只會透過私人 IP 位址透過骨幹基礎結構路由傳送。 虛擬網路之間的通訊不需要公用因特網或閘道。
  • 不同虛擬網路的資源之間具有低延遲、高頻寬連線。
  • 虛擬網路中資源與不同虛擬網路中資源通訊的能力。
  • 建立對等互連時,虛擬網路中的資源不會停機。

如需詳細資訊,請參閱虛擬網路對等互連

SDN 軟體負載平衡器

雲端服務提供者 (CSP) ,以及部署軟體定義網路 (SDN) 的企業可以使用軟體 Load Balancer (SLB) ,在虛擬網路資源之間平均分配客戶網路流量。 SLB 可讓多個伺服器主控相同的工作負載,以提供高可用性和可擴縮性。 它也可用來提供輸入網路位址轉換 (NAT) 服務,以便輸入存取 VM,以及輸出 NAT 服務以進行輸出連線。

您可以使用 SLB,在用於其他 VM 工作負載的相同 Hyper-V 計算伺服器上,使用 SLB VM 相應放大負載平衡功能。 SLB 支援快速建立和刪除 CSP 作業所需的負載平衡端點。 此外,SLB 支援每個叢集的數十 GB、提供簡單的布建模型,而且很容易相應放大和縮小。 SLB 會使用邊界閘道協定來將虛擬 IP 位址通告傳送至實體網路。

如需詳細資訊,請參閱 什麼是 SLB for SDN?

SDN VPN 閘道

SDN 閘道是以軟體為基礎的邊界閘道通訊協定 (BGP) 支援路由器,專為使用 Hyper-V 網路虛擬化 (HNV) 裝載多租使用者虛擬網路的企業所設計。 您可以使用 RAS 閘道在虛擬網路與其他網路之間路由網路流量 (本機或遠端)。

SDN 閘道可用來:

  • 透過網際網路,建立 SDN 虛擬網路和外部客戶網路之間的安全站對站 IPsec 連線。

  • 建立 SDN 虛擬網路與外部網路之間的通用路由封裝 (GRE) 連線。 站對站連線與 GRE 連線之間的差異在於後者不是加密連線。

    如需 GRE 連線案例的詳細資訊,請參閱 Windows Server 中的 GRE 通道

  • Create 第 3 層 (L3) SDN 虛擬網路與外部網路之間的連線。 在此情況下,SDN 閘道僅會作為虛擬網路和外部網路之間的路由器。

SDN 閘道需要 SDN 網路控制卡。 網路控制站會執行閘道集區的部署、在每個閘道上設定租用戶連線,並在閘道失敗時將網路流量切換至待命閘道。

閘道會使用邊界閘道協定來通告傳送 GRE 端點,並建立點對點連線。 SDN 部署會建立支援所有連線類型的預設閘道集區。 在此集區中,您可以指定在作用中閘道失敗時,保留待命的閘道數目。

如需詳細資訊,請參閱 什麼是 SDN 的 RAS 閘道?

下一步

瞭解 雙節點記憶體無交換器、兩個交換器網路模式