描述 Azure Stack HCI 上的 SDN

  • 10 分鐘

開始評估 Azure Stack HCI SDN 的功能之前,您可以先檢閱核心 SDN 概念。 您了解這些概念構成基礎知識,可協助您了解網路虛擬化與虛擬化型服務的更複雜層面。 特別是軟體負載平衡器、分散式防火牆和遠端存取閘道。

什麼是網路虛擬化?

為了了解網路虛擬化的目的,將其與伺服器虛擬化比較可能會很有幫助,這可讓您在單一實體主機上同時執行多個作業系統執行個體 (虛擬機器),且每個執行個體彼此獨立運作。 網路虛擬化提供與虛擬網路相關的類似功能,其方式是在相同的實體網路基礎結構內加速隔離,而不需要依賴 VLAN 或專用 IP 位址管理解決方案。 這種彈性可讓客戶更輕鬆地將其工作負載轉換至私人與公用雲端。 其也有助於裝載提供者與資料中心系統管理員管理其網路基礎結構。 此外,這些優點在資料中心彙總計畫中扮演著重要的角色。 透過 Azure Stack HCI,客戶可以在於自己的隔離環境中運作時共用實體資源。 DevOps 小組能夠在變更 IP 位址指派所造成的服務中斷的情況下部署其應用程式。 針對基礎結構擁有者,新增的彈性可透過將計算、儲存體與網路之間的相互關聯抽象化,來簡化動態資源配置。

什麼是軟體定義網路 (SDN)?

SDN 可讓您在資料中心集中設定和管理網路和網路服務,例如交換、路由和負載平衡。 SDN 會使用網路函式虛擬化來實作虛擬化軟體函式。 這些函式會取代傳統上委派給硬體型網路裝置的功能。

什麼是網路功能虛擬化?

在軟體定義資料中心中,虛擬設備會接管傳統上由硬體裝置實作的網路功能傳遞。 這些虛擬化函式可以分組成數個類別,例如安全性和邊緣服務。 安全性設備包括防火牆,而邊緣設備包括閘道、路由器、交換器和負載平衡器。

相較於其實體對應項目,虛擬設備有數個優點,其中最重要的優點如下:

  • 順暢的容量擴充和工作負載行動性。
  • 將作業複雜度降到最低。
  • 簡化的佈建及管理。
  • 提高的行動性。
  • 針對垂直與水平擴縮的支援。

Azure Stack HCI 中的 SDN

Azure Stack HCI 解決方案提供計算與儲存體資源的內建虛擬化。 此外,Azure Stack HCI 支援透過實作 SDN 來虛擬化其網路資源。 此功能可讓您實作各種網路案例,範圍從與現有的 VLAN 型基礎結構整合到 Azure Stack HCI 工作負載的完全隔離。

Azure Stack HCI 中的 SDN 可透過提高靈活度、改善安全性及最佳化效率,協助解決與傳統網路基礎結構相關聯的挑戰。 其提供下列功能:

  • 將網路服務抽象化。 您可以部署及管理從底層實體網路抽象化的軟體定義網路服務。
  • 集中網路原則。 您可以使用網路原則集中設定並控制規則,以控管虛擬與實體網路之間的流量。 實作網路原則可在網路服務量增加時增強一致性與可擴縮性。
  • 集中網路管理。 您可以使用 PowerShell、Windows Admin Center 與 Microsoft System Center Virtual Machine Manager (VMM) 來管理虛擬化網路基礎結構。

Azure Stack HCI SDN 的這些功能是使用網路控制卡來實作的。 網路控制卡是伺服器角色,提供可透過具象狀態傳輸 (REST) 應用程式開發介面 (API) 存取的管理介面。 此介面是用於 SDN 基礎結構和網路功能虛擬化式服務的部署、管理、設定、監視和疑難排解。

網路功能虛擬化型服務包括:

  • 軟體負載平衡器 (SLB),可透過將網路流量分散到虛擬網路資源,來協助建置高可用性且可擴縮的解決方案。 此外,透過網路位址轉譯 (NAT),SLB 提供虛擬化工作負載的連入與連出網際網路存取。 SLB 原則可以套用至虛擬化重疊網路與傳統 VLAN 網路。

  • 適用於 SDN 的遠端存取服務 (RAS) 閘道,這有助於透過站對站 (S2S) IP 安全性 (IPsec) 虛擬私人網路 (VPN)、站對站一般路由封裝 (GRE) 通道與第 3 層轉送來延伸對外部網路的網路連線。

  • 資料中心防火牆,這有助於保護虛擬網路與其工作負載免於來自網際網路與內部網路的未經授權流量存取。 其提供根據最多五個網路封包參數組合的具狀態篩選。 包括封包的通訊協定、來源和目的地連接埠號碼,以及來源和目的地 IP 位址。 這些原則可以套用至虛擬化重疊網路與傳統 VLAN 網路。

    注意

    資料中心防火牆旨在彌補現有實體設備的不足。

  • 服務品質 (QoS) 原則,可用來防止某個應用程式或工作負載 VM 佔用 HCI 叢集節點的整個頻寬。 這些原則可以套用至虛擬化網路與傳統 VLAN 網路。

  • 第三方設備,客戶可以攜帶自己的第三方虛擬設備,例如防火牆、入侵偵測裝置與負載平衡器,並將其連結至 SDN 虛擬網路以進行進階服務。

虛擬網路和子網路

為了實作虛擬化工作負載的隔離,SDN 會使用 Hyper-V 網路虛擬化 (HNV) 型虛擬網路。 這些網路是由一或多個虛擬子網路所組成,並且獨立定義為基礎實體網路上的重疊。 針對連線至虛擬子網路的虛擬機器 (VM),虛擬子網路會模擬第 3 層 (L3) IP 子網路功能。 每個虛擬網路都會構成隔離界限,其中只允許 VM 彼此通訊。 若要允許跨虛擬網路進行通訊,您可以選擇實作虛擬網路對等互連。

連線至虛擬網路子網路之 VM 的每個網路介面都與兩個 IP 位址相關聯:

  • 客戶位址。 客戶根據慣用的 IP 定址配置,指派給每個 VM 的 IP 位址。 此位址可讓客戶在將工作負載轉換至 SDN 環境時保留其現有的網路設定。 對應之 VM 內的作業系統可存取客戶位址。
  • 提供者位址。 Azure Stack HCI 系統管理員根據其實體網路基礎結構指派給 Hyper-V 主機的 IP 位址。 在實體網路上可看到提供者位址,但在客戶 VM 上看不到。

邏輯網路與子網路

為了實作網路功能虛擬化並允許 VLAN 型分割,SDN 仰賴邏輯網路的概念。 每個邏輯網路都代表實體網路的邏輯分割區。 邏輯網路包含對應至客戶 VLAN 的邏輯子網路集合。 這些 VLAN 可能會裝載客戶工作負載,但也有數個邏輯網路裝載重要的 SDN 基礎結構元件。 例如,Azure Stack HCI SDN 實作包含管理與 HNV 提供者邏輯網路,後者會作為所有虛擬網路的提供者位址網路。 屬於該實作一部分的所有 Hyper-V 主機都必須連線到管理邏輯網路與 HNV 提供者邏輯網路。