Projděte si referenční vzor síťového nasazení úložiště se dvěma uzly bez přepínače a jedním přepínačem pro Azure Stack HCI.

  • Článek

Platí pro: Azure Stack HCI verze 23H2 a 22H2

Tento článek popisuje bezpínací úložiště se dvěma uzly s referenčním vzorem sítě s jedním přepínačem TOR, který můžete použít k nasazení řešení Azure Stack HCI. Informace v tomto článku vám také pomohou určit, jestli je tato konfigurace schůdná pro vaše potřeby plánování nasazení. Tento článek je určen správcům IT, kteří nasazují a spravují Azure Stack HCI ve svých datacentrech.

Informace o dalších vzorech sítě najdete v tématu Vzory nasazení sítě Azure Stack HCI.

Scénáře

Scénáře pro tento model sítě zahrnují laboratoře, továrny, maloobchodní prodejny a vládní zařízení.

Zvažte tento model jako nákladově efektivní řešení, které zahrnuje odolnost proti chybám na úrovni clusteru, ale může tolerovat přerušení připojení na sever, pokud jeden fyzický přepínač selže nebo vyžaduje údržbu.

Tento model můžete škálovat na více instancí, ale vyžaduje výpadek úloh, aby bylo možné překonfigurovat fyzické připojení úložiště a rekonfigurovat síť úložiště. Přestože jsou služby SDN L3 pro tento model plně podporované, musí být směrovací služby, jako je BGP, nakonfigurované na zařízení brány firewall nad přepínačem TOR, pokud nepodporuje služby L3. Funkce zabezpečení sítě, jako je mikrosegmentace a QoS, nevyžadují na zařízení brány firewall další konfiguraci, protože jsou implementované na virtuálním přepínači.

Komponenty fyzického připojení

Jak je znázorněno v následujícím diagramu, má tento model následující součásti fyzické sítě:

  • Jeden přepínač TOR pro komunikaci mezi severem a jihem.

  • Dva seskupené síťové porty pro správu a výpočetní provoz, připojené k přepínači L2 na každém hostiteli

  • Dvě síťové karty RDMA v konfiguraci celé sítě pro provoz mezi východem a západem pro úložiště. Každý uzel v clusteru má redundantní připojení k druhému uzlu v clusteru.

  • Některá řešení můžou z bezpečnostních důvodů používat bezobrátovou konfiguraci bez karty řadiče pro správu základní desky.

Diagram znázorňující rozložení fyzického připojení se dvěma uzly bez přepínače

Sítě Správa a výpočetní prostředky Storage Řadič BMC
Rychlost propojení Alespoň 1 Gb/s. Doporučuje se 10 Gb/s. Minimálně 10 Gb/s Obraťte se na výrobce hardwaru.
Typ rozhraní RJ45, SFP+ nebo SFP28 SFP+ nebo SFP28 RJ45
Porty a agregace Dva seskupené porty Dva samostatné porty Jeden port

Záměry ATC sítě

Pro bezpínací vzory úložiště se dvěma uzly se vytvoří dva záměry Síťové ATC. První pro správu a výpočetní síťový provoz a druhý pro provoz úložiště.

Diagram znázorňující záměry síťového ATC se dvěma uzly bez přepínače

Záměr správy a výpočtů

  • Typ záměru: Správa a výpočetní prostředky
  • Režim záměru: Režim clusteru
  • Seskupování: Ano. pNIC01 a pNIC02 jsou seskupené
  • Výchozí síť VLAN pro správu: Nakonfigurovaná síť VLAN pro adaptéry pro správu se nezmění.
  • PA & výpočetní virtuální místní sítě a síťové adaptéry: Síťové ATC je transparentní pro virtuální síťové adaptéry a virtuální sítě VLAN nebo výpočetní virtuální počítače

Záměr úložiště

  • Typ záměru: Úložiště
  • Režim záměru: Režim clusteru
  • Seskupování: PNIC03 a pNIC04 používají smb Multichannel k zajištění odolnosti a agregace šířky pásma
  • Výchozí sítě VLAN:
    • 711 pro síť úložiště 1
    • 712 pro síť úložiště 2
  • Výchozí podsítě:
    • 10.71.1.0/24 pro síť úložiště 1
    • 10.71.2.0/24 pro síť úložiště 2

Další informace najdete v tématu Nasazení sítě hostitele.

Pokud chcete vytvořit záměry sítě pro tento referenční vzor, postupujte následovně:

  1. Spusťte PowerShell jako správce.

  2. Spusťte následující příkaz:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

Součásti logického připojení

Jak je znázorněno v následujícím diagramu, má tento model následující součásti logické sítě:

Diagram znázorňující rozložení fyzického připojení s jedním uzlem bez přepínače

Sítě VLAN sítě úložiště

Provoz založený na záměru úložiště se skládá ze dvou samostatných sítí podporujících provoz RDMA. Každé rozhraní bude vyhrazené pro samostatnou síť úložiště a obě můžou využívat stejnou značku sítě VLAN. Tento provoz je určen pouze pro přenos mezi těmito dvěma uzly. Provoz úložiště je privátní síť bez připojení k jiným prostředkům.

Adaptéry úložiště fungují v různých podsítích PROTOKOLU IP. Pokud chcete povolit konfiguraci bez přepínače, podporuje každý připojený uzel odpovídající podsíť svého souseda. Každá síť úložiště ve výchozím nastavení používá předdefinované sítě VLAN síťového ATC (711 a 712). Tyto sítě VLAN je však možné v případě potřeby přizpůsobit. Pokud navíc výchozí podsítě definované síťovým ATC (10.71.1.0/24 a 10.71.2.0/24) nejsou použitelné, zodpovídáte za přiřazení všech IP adres úložiště v clusteru.

Další informace najdete v tématu Přehled síťového ATC.

Síť OOB

Síť OOB (Out of Band) je vyhrazená pro podporu rozhraní pro správu serverů se světly, označované také jako řadič pro správu základní desky (BMC). Každé rozhraní řadiče pro správu základní desky se připojuje k přepínači dodanému zákazníkem. Řadič pro správu základní desky se používá k automatizaci scénářů spouštění pomocí technologie PXE.

Síť pro správu vyžaduje přístup k rozhraní řadiče pro správu základní desky pomocí portu 623 protokolu UDP (Intelligent Platform Management Interface).

Síť OOB je izolovaná od výpočetních úloh a pro nasazení, která nejsou založená na řešení, je volitelná.

Správa sítě VLAN

Všichni hostitelé fyzických výpočetních prostředků vyžadují přístup k logické síti pro správu. Pro plánování IP adres musí mít každý fyzický hostitel výpočetních prostředků přiřazenou alespoň jednu IP adresu z logické sítě pro správu.

Server DHCP může automaticky přiřazovat IP adresy pro síť pro správu nebo můžete statické IP adresy přiřadit ručně. Pokud je upřednostňovanou metodou přiřazování IP adres DHCP, doporučujeme používat rezervace DHCP bez vypršení platnosti.

Síť pro správu podporuje následující konfigurace sítě VLAN:

  • Nativní síť VLAN – ID sítí VLAN nemusíte zadávat. To se vyžaduje u instalací založených na řešeních.

  • Označená síť VLAN – ID sítí VLAN zadáte v době nasazení.

Síť pro správu podporuje veškerý provoz používaný ke správě clusteru, včetně vzdálené plochy, Windows Admin Center a služby Active Directory.

Další informace najdete v tématu Plánování infrastruktury SDN: Správa a poskytovatel Virtualizace sítě Hyper-V.

Výpočetní sítě VLAN

V některých scénářích nemusíte používat virtuální sítě SDN s zapouzdřením virtuální rozšiřitelné sítě LAN (VXLAN). Místo toho můžete k izolaci úloh tenanta použít tradiční sítě VLAN. Tyto sítě VLAN jsou nakonfigurované na portu přepínače TOR v režimu trunk. Při připojování nových virtuálních počítačů k těmto sítím VLAN se na virtuálním síťovém adaptéru definuje odpovídající značka sítě VLAN.

Síť adresy poskytovatele HNV (PA)

Síť poskytovatele (PA) virtualizace sítě Hyper-V (HNV) slouží jako základní fyzická síť pro přenosy tenantů z východu a západu (interních) klientů, přenosy klientů ze severu a jihu (externě–interní) a k výměně informací o partnerském vztahu protokolu BGP s fyzickou sítí. Tato síť se vyžaduje pouze v případě, že je potřeba nasadit virtuální sítě pomocí zapouzdření VXLAN pro jinou vrstvu izolace a pro víceklientskou architekturu sítě.

Další informace najdete v tématu Plánování infrastruktury SDN: Správa a poskytovatel Virtualizace sítě Hyper-V.

Možnosti izolace sítě

Podporují se následující možnosti izolace sítě:

Sítě VLAN (IEEE 802.1Q)

Sítě VLAN umožňují zařízením, která musí být oddělená, aby sdílela kabeláž fyzické sítě, a přesto jim není zabráněno v přímé interakci. Toto spravované sdílení přináší výhody v oblasti jednoduchosti, zabezpečení, řízení provozu a úspory. Síť VLAN je například možné použít k oddělení provozu v rámci firmy na základě jednotlivých uživatelů nebo skupin uživatelů nebo jejich rolí nebo na základě charakteristik provozu. Mnoho služeb pro hostování internetu používá sítě VLAN k oddělení privátních zón mezi sebou, což umožňuje seskupit servery jednotlivých zákazníků do jednoho segmentu sítě bez ohledu na to, kde se jednotlivé servery v datacentru nacházejí. Aby se zabránilo "úniku" provozu z dané sítě VLAN, je potřeba provést určitá opatření. Jde o zneužití známé jako přeskakování v síti VLAN.

Další informace najdete v tématu Vysvětlení využití virtuálních sítí a sítí VLAN.

Výchozí zásady přístupu k síti a mikrosegmentace

Výchozí zásady přístupu k síti zajišťují, že všechny virtuální počítače v clusteru Azure Stack HCI jsou ve výchozím nastavení zabezpečené před externími hrozbami. Pomocí těchto zásad ve výchozím nastavení zablokujeme příchozí přístup k virtuálnímu počítači a zároveň poskytneme možnost povolit selektivní příchozí porty a tím zabezpečit virtuální počítače před externími útoky. Toto vynucování je k dispozici prostřednictvím nástrojů pro správu, jako je Windows Admin Center.

Mikrosegmentace zahrnuje vytváření podrobných zásad sítě mezi aplikacemi a službami. Tím se v podstatě zmenšuje bezpečnostní perimetr na plot kolem každé aplikace nebo virtuálního počítače. Tento plot umožňuje pouze nezbytnou komunikaci mezi aplikačními vrstvami nebo jinými logickými hranicemi, a proto je mimořádně obtížné pro kybernetické hrozby laterálně rozšířit jeden systém do druhého. Mikrosegmentace bezpečně izoluje sítě od sebe navzájem a snižuje prostor pro útoky incidentu zabezpečení sítě.

Výchozí zásady přístupu k síti a mikrosegmentace se v clusterech Azure Stack HCI realizují jako stavová pravidla brány firewall s pěti řazenými kolekcemi členů (předpona zdrojové adresy, zdrojový port, předpona cílové adresy, cílový port a protokol). Pravidla brány firewall se označují také jako Skupiny zabezpečení sítě (NSG). Tyto zásady se vynucují na portu vSwitch každého virtuálního počítače. Zásady se prosadí přes vrstvu správy a síťový adaptér SDN je distribuuje všem příslušným hostitelům. Tyto zásady jsou dostupné pro virtuální počítače v tradičních sítích VLAN a v překryvných sítích SDN.

Další informace najdete v tématu Co je brána firewall datacentra?.  

QoS pro síťové adaptéry virtuálních počítačů

Pro síťový adaptér virtuálního počítače můžete nakonfigurovat technologii QoS (Quality of Service), abyste omezili šířku pásma virtuálního rozhraní a zabránili tak virtuálnímu počítači, který má velký provoz, aby se potýkal s jiným síťovým provozem virtuálních počítačů. QoS můžete také nakonfigurovat tak, aby si vyhraily určitou šířku pásma pro virtuální počítač, aby se zajistilo, že virtuální počítač bude moct odesílat provoz bez ohledu na jiný provoz v síti. To se dá použít pro virtuální počítače připojené k tradičním sítím VLAN i virtuální počítače připojené k překryvovým sítím SDN.

Další informace najdete v tématu Konfigurace QoS pro síťový adaptér virtuálního počítače.

Virtuální sítě

Virtualizace sítě poskytuje virtuální sítě virtuálním počítačům podobně jako virtualizace serverů (hypervisor) poskytuje virtuální počítače operačnímu systému. Virtualizace sítě odděluje virtuální sítě od fyzické síťové infrastruktury a odstraňuje omezení sítě VLAN a hierarchického přiřazování IP adres při zřizování virtuálních počítačů. Tato flexibilita usnadňuje přechod do cloudů IaaS (infrastruktura jako služba) a je efektivní pro hostitele a správce datacenter při správě infrastruktury a udržování nezbytné izolace více tenantů, požadavků na zabezpečení a překrývajících se IP adres virtuálních počítačů.

Další informace najdete v tématu Virtualizace sítě Hyper-V.

Možnosti síťových služeb L3

K dispozici jsou následující možnosti síťové služby L3:

Peering virtuálních sítí

Peering virtuálních sítí umožňuje bezproblémové propojení dvou virtuálních sítí. Po navázání partnerského vztahu se virtuální sítě pro účely připojení zobrazují jako jedna síť. Mezi výhody použití partnerských vztahů virtuálních sítí patří:

  • Provoz mezi virtuálními počítači v partnerských virtuálních sítích se směruje přes páteřní infrastrukturu pouze přes privátní IP adresy. Komunikace mezi virtuálními sítěmi nevyžaduje veřejný internet ani brány.
  • Nízká latence a velká šířka pásma při propojení prostředků v různých virtuálních sítích.
  • Schopnost prostředků v jedné virtuální síti komunikovat s prostředky v jiné virtuální síti.
  • Při vytváření partnerského vztahu nedojde k výpadku prostředků v žádné virtuální síti.

Další informace najdete v tématu Partnerský vztah virtuálních sítí.

Nástroj pro vyrovnávání zatížení softwaru SDN

Poskytovatelé cloudových služeb (CSP) a podniky, které nasazují softwarově definované sítě (SDN), můžou používat software Load Balancer (SLB) k rovnoměrné distribuci síťového provozu zákazníků mezi prostředky virtuální sítě. SLB umožňuje více serverům hostovat stejnou úlohu a poskytuje vysokou dostupnost a škálovatelnost. Používá se také k poskytování příchozích služeb překladu adres (NAT) pro příchozí přístup k virtuálním počítačům a odchozích služeb NAT pro odchozí připojení.

S nástrojem SLB můžete škálovat možnosti vyrovnávání zatížení pomocí virtuálních počítačů SLB na stejných výpočetních serverech Hyper-V, které používáte pro jiné úlohy virtuálních počítačů. Nástroj pro vyrovnávání zatížení podporuje rychlé vytváření a odstraňování koncových bodů vyrovnávání zatížení podle potřeby pro operace CSP. Kromě toho nástroj SLB podporuje desítky gigabajtů na cluster, poskytuje jednoduchý model zřizování a dá se snadno škálovat na více a více instancí. SLB používá k inzerování virtuálních IP adres do fyzické sítě protokol Border Gateway Protocol .

Další informace najdete v tématu Co je SLB pro SDN?

Brány VPN SDN

SDN Gateway je softwarový směrovač podporující protokol BGP (Border Gateway Protocol) určený pro poskytovatele cloudových služeb a podniky hostující virtuální sítě s více tenanty pomocí virtualizace sítě Hyper-V (HNV). Pomocí brány RAS můžete směrovat síťový provoz mezi virtuální sítí a jinou sítí, ať už místní, nebo vzdálenou.

SDN Gateway se dá použít k:

  • Create zabezpečená připojení site-to-site IPsec mezi virtuálními sítěmi SDN a sítěmi externích zákazníků přes internet.

  • Create připojení GRE (Generic Routing Encapsulation) mezi virtuálními sítěmi SDN a externími sítěmi. Rozdíl mezi připojeními site-to-site a připojením GRE spočívá v tom, že druhé připojení není šifrované připojení.

    Další informace o scénářích připojení GRE najdete v tématu Tunelování GRE ve Windows Serveru.

  • Create připojení vrstvy 3 (L3) mezi virtuálními sítěmi SDN a externími sítěmi. V takovém případě brána SDN jednoduše funguje jako směrovač mezi vaší virtuální sítí a externí sítí.

Brána SDN vyžaduje síťový adaptér SDN. Síťový adaptér provádí nasazení fondů bran, konfiguruje připojení klientů na každé bráně a přepíná toky síťového provozu na pohotovostní bránu, pokud brána selže.

Brány používají protokol Border Gateway Protocol k inzerování koncových bodů GRE a navazování připojení typu point-to-point. Nasazení SDN vytvoří výchozí fond bran, který podporuje všechny typy připojení. V rámci tohoto fondu můžete určit, kolik bran je rezervovaných v pohotovostním režimu pro případ, že dojde k selhání aktivní brány.

Další informace najdete v tématu Co je brána RAS pro SDN?

Další kroky

Seznamte se se vzorem sítě úložiště se dvěma uzly bez přepínače.