¿Qué es SDN Multisite?

En este artículo se proporciona información general sobre el multisitio de SDN, incluidas sus ventajas y limitaciones actuales. Puede usarlo como guía para ayudar a diseñar la topología de red y el plan de recuperación ante desastres.

SDN Multisite permite expandir las funcionalidades de SDN tradicional implementadas en diferentes ubicaciones físicas. SDN Multisite habilita la conectividad nativa de nivel 2 y nivel 3 en diferentes ubicaciones físicas para cargas de trabajo virtualizadas. En este artículo, todas las referencias a sitios significan ubicaciones físicas.

Ventajas

Estas son las ventajas de usar SDN Multisitio:

• Sistema de administración de directivas unificada. Con las redes virtuales compartidas y las configuraciones de directivas, puede administrar y configurar las redes multisitio desde cualquier sitio.
• Migración de cargas de trabajo sin problemas. Migre sin problemas las cargas de trabajo entre sitios físicos sin tener que volver a configurar direcciones IP ni grupos de seguridad de red (NSG) preexistentes.
• Capacidad de acceso automática a las nuevas máquinas virtuales. Obtenga la capacidad de acceso automática a las máquinas virtuales (VM) recién creadas en redes virtuales, junto con la capacidad de administración automática a cualquiera de sus NSG asociados en las ubicaciones físicas.

Limitaciones

La característica multisitio de SDN tiene actualmente algunas limitaciones:

• Solo se admite entre dos sitios.
• Los sitios deben estar conectados a través de una red privada, ya que no se proporciona compatibilidad de cifrado para sitios conectados a través de Internet.
• El equilibrio de carga interno no se admite entre sitios.

Emparejamiento multisitio

En las secciones siguientes se describen los roles de cada sitio dentro de un entorno multisitio y cómo se controlan y sincronizan los recursos entre sitios.

Roles de sitio principal y secundario

En un entorno de SDN multisitio, un sitio se designa como principal y el otro como secundario. El sitio primario controla la sincronización de recursos. Durante el emparejamiento multisitio, el sitio primario se selecciona automáticamente, que puede cambiar más adelante mediante Windows Admin Center.

Control de recursos

• Si el sitio primario no es accesible, los recursos globales y los recursos que requieren la validación global o las asignaciones globales de direcciones de cliente (CA) no se pueden actualizar a través del sitio secundario. Sin embargo, otros recursos locales se pueden actualizar a través del sitio secundario.

  Entre los ejemplos de recursos que necesitan validación global se incluyen:

  • Grupos de MAC.
  • Grupo de direcciones IP o red lógica.

  Entre los ejemplos de asignaciones de ca globales se incluyen:

  • Equilibrio de carga interno para la subred virtual. Actualmente, esto no se admite a través de multisitio.
  • Conexiones de puerta de enlace para la subred virtual.

• Si el sitio secundario no es accesible, los recursos se pueden actualizar a través del sitio primario. Sin embargo, el sitio secundario podría tener recursos obsoletos hasta que se restaure la conectividad. Una vez restaurada la conectividad, se reanuda la sincronización.

• Si el sitio primario deja de funcionar, puede designar el sitio secundario como el nuevo sitio primario para realizar actualizaciones en los grupos de seguridad de red y las redes virtuales. Sin embargo, se perderá cualquier sincronización de datos pendiente del sitio primario anterior. Para solucionar este problema, aplique esos mismos cambios en el nuevo sitio primario una vez que el sitio primario anterior vuelva a estar en línea. Sin embargo, también puede provocar conflictos globales de asignación de CA.

Sincronización de recursos

Al habilitar SDN Multisite, no todos los recursos de cada sitio se sincronizan en todos los sitios. Estas son las listas de recursos que se sincronizan y que permanecen sin sincronizar.

• Recursos no sincronizados

  Estos recursos no se sincronizan después de establecer el emparejamiento:

  • Directivas de equilibrio de carga.
  • Direcciones IP virtuales (VIP).
  • Directivas de puerta de enlace.
  • Redes lógicas. Aunque las redes lógicas no se sincronizan entre sitios, los grupos de DIRECCIONES IP se comprueban si se superponen y no se permite la superposición.

  Estas directivas se crean en el sitio local y, si desea las mismas directivas en el otro sitio, debe crearlas manualmente allí. Si las máquinas virtuales de back-end para las directivas de equilibrio de carga se encuentran en un único sitio, la conectividad a través de SLB funcionará correctamente sin ninguna configuración adicional. Sin embargo, si espera que las máquinas virtuales de back-end se muevan de un sitio a otro, de forma predeterminada, la conectividad solo funciona si hay alguna máquina virtual de back-end detrás de una VIP en el sitio local. Si todas las máquinas virtuales de back-end se mueven a otro sitio, se produce un error en la conectividad a través de esa VIP.

Flujo de tráfico del este-oeste y uso compartido de subredes

Multisitio permite que las máquinas virtuales de diferentes sitios con SDN implementados se comuniquen a través de la misma subred sin tener que configurar conexiones de puerta de enlace de SDN. Esto simplifica la topología de red y reduce la necesidad de más máquinas virtuales y subredes. La ruta de acceso de datos entre las máquinas virtuales de diferentes sitios se basa en la infraestructura física subyacente.

En los escenarios siguientes se compara cómo se establece la comunicación de máquina virtual entre dos sitios físicos en una configuración tradicional de SDN frente a una configuración multisitio de SDN.

Comunicación entre máquinas virtuales sin SDN multisitio

En una configuración tradicional con SDN implementada en dos sitios físicos, debe establecer la conexión de puerta de enlace L3 o GRE para la comunicación entre sitios. También debe proporcionar más subredes para las aplicaciones. Por ejemplo, si cada sitio hospeda aplicaciones de front-end, asignaría intervalos de subred independientes como 10.1/16 y 10.6/16. Además, al configurar una conexión de puerta de enlace, también debe asignar más máquinas virtuales para las máquinas virtuales de puerta de enlace y administrarlas posteriormente.

Comunicación entre máquinas virtuales con SDN multisitio

Con SDN Multisitio en dos ubicaciones físicas, puede tener conectividad nativa de nivel 2 para la comunicación entre sitios. Esto le permite tener un único intervalo de subredes para las aplicaciones que abarcan ambas ubicaciones, lo que elimina la necesidad de configurar la conexión de puerta de enlace de SDN. Por ejemplo, como se muestra en el diagrama siguiente, las aplicaciones de front-end en ambas ubicaciones pueden usar la misma subred, como 10.1/16, en lugar de mantener dos independientes. Con esta configuración, el flujo de datos de una máquina virtual a otra depende únicamente de la infraestructura física subyacente, lo que evita la necesidad de atravesar otra máquina virtual de puerta de enlace de SDN.

Equilibradores de carga de software y sus limitaciones

Actualmente, los equilibradores de carga de software son recursos locales para cada uno de los sitios físicos. Esto significa que las directivas y configuraciones de equilibrio de carga no se sincronizan entre sitios a través de multisitio. Tenga esto en cuenta al migrar máquinas virtuales de una ubicación a otra en una configuración multisitio de SDN.

Equilibrio de carga en sdn multisitio: escenario de ejemplo

En las secciones siguientes se explica el equilibrio de carga en Multisitio a través de un escenario de ejemplo, que muestra tanto sin como con la migración de máquinas virtuales de carga de trabajo. Supongamos que tiene dos clústeres de Azure Stack HCI con SDN Multisite habilitado, cada uno con su propia infraestructura de SDN implementada y configurada. En este escenario, un cliente quiere llegar a VM1 con la dirección IP 10.0.0.5 y la DIRECCIÓN VIP de 11.0.0.5.

Equilibrio de carga en sdn multisitio sin migrar máquinas virtuales de carga de trabajo

En SDN Multisitio, si no hay ninguna migración de máquina virtual entre ubicaciones, los paquetes de datos se reenvía como de costumbre, de forma similar a la configuración tradicional de SDN. En la siguiente animación se muestra la ruta de acceso de datos de la máquina cliente a VM1 a través de MUX1 de SLB en el clúster 2.

Equilibrio de carga en SDN multisitio con la migración de máquinas virtuales de carga de trabajo

Si decide migrar una máquina virtual o todas las máquinas virtuales detrás de la DIRECCIÓN VIP al otro sitio, es posible que encuentre situaciones en las que la máquina virtual a la que intenta acceder se vuelve inaccesible a través de la VIP, en función de su ubicación. Esto sucede porque los recursos del equilibrador de carga son locales para cada clúster de Azure Stack HCI. A medida que se mueven las máquinas virtuales de carga de trabajo, las configuraciones de los MUX no son globales, lo que deja al otro sitio sin tener en cuenta las migraciones. La siguiente animación ilustra la migración de máquinas virtuales del clúster 2 al clúster 1 y cómo se produce un error en la ruta de acceso del paquete de datos después de la migración.

Para solucionar esta limitación, puede usar el equilibrador de carga externo que comprueba la disponibilidad de las máquinas virtuales de back-end en cada sitio y enruta el tráfico en consecuencia. Consulte Uso del equilibrador de carga externo en multisitio con la migración de máquinas virtuales de carga de trabajo.

Uso del equilibrador de carga externo en multisitio con la migración de máquinas virtuales de carga de trabajo

Puede habilitar un equilibrador de carga externo para comprobar si hay máquinas virtuales de back-end detrás de un equilibrador de carga en uno de los sitios. Si no hay ninguna máquina virtual de back-end detrás de un equilibrador de carga, la dirección VIP de MUX no se anuncia hasta el equilibrador de carga externo y se produce un error en cualquier sondeo de estado enviado. Este equilibrador de carga externo garantiza la conectividad a las cargas de trabajo, incluso cuando las máquinas virtuales se mueven de un sitio a otro.

Sin embargo, si la implementación de un equilibrador de carga externo no es factible, use la solución de equilibrio de carga de software tal como se describe en Equilibrio de carga en SDN Multisite sin migrar máquinas virtuales de carga de trabajo siempre que no tenga ninguna máquina virtual de carga de trabajo migrada.

Puertas de enlace y sus limitaciones

SDN multisitio no sincroniza recursos locales como conexiones de puerta de enlace entre sitios. Cada sitio tiene sus propias máquinas virtuales de puerta de enlace y conexiones de puerta de enlace. Cuando se crea o migra una máquina virtual de carga de trabajo a un sitio, obtiene la configuración de puerta de enlace local, como las rutas de puerta de enlace. Si crea una conexión de puerta de enlace para una red virtual determinada en un sitio, las máquinas virtuales de ese sitio pierden la conectividad de puerta de enlace tras la migración al otro sitio. Para que las máquinas virtuales conserven la conectividad de puerta de enlace en la migración, debe configurar una conexión de puerta de enlace independiente para la misma red virtual en el otro sitio.

Pasos siguientes