Plánování integrace sítě pro Azure Stack Hub
Tento článek obsahuje informace o síťové infrastruktuře služby Azure Stack Hub, které vám pomůžou rozhodnout, jak službu Azure Stack Hub co nejlépe integrovat do stávajícího síťového prostředí.
Poznámka
Pokud chcete překládat externí názvy DNS ze služby Azure Stack Hub (například www.bing.com), musíte poskytnout servery DNS pro předávání požadavků DNS. Další informace o požadavcích NA DNS služby Azure Stack Hub najdete v tématu Integrace datacentra služby Azure Stack Hub – DNS.
Návrh fyzické sítě
Řešení služby Azure Stack Hub vyžaduje odolnou a vysoce dostupnou fyzickou infrastrukturu, která podporuje jeho provoz a služby. K integraci služby Azure Stack Hub do sítě vyžaduje odchozí propojení z přepínačů ToR (Top-of-Rack) k nejbližšímu přepínači nebo směrovači, který se v této dokumentaci označuje jako Border. ToRs lze připojit k jednomu nebo dvojici ohraničení. ToR je předem nakonfigurovaný naším nástrojem pro automatizaci, který při použití směrování protokolu BGP očekává minimálně jedno připojení mezi ToR a Border a při použití statického směrování očekává minimálně dvě připojení (jedno na toR) a při použití statického směrování maximálně čtyři připojení. Tato připojení jsou omezená na média SFP+ nebo SFP28 a minimálně 1 GB rychlosti. Obraťte se na dodavatele hardwaru výrobce OEM(Original Equipment Manufacturer). Následující diagram znázorňuje doporučený návrh:
Přidělení šířky pásma
Služba Azure Stack Hub je vytvořená pomocí clusteru s podporou převzetí služeb při selhání ve Windows Serveru 2019 a technologií Prostorů s přímým přístupem. Část konfigurace fyzické sítě služby Azure Stack Hub se provádí za účelem využití oddělení provozu a záruk šířky pásma, aby se zajistilo, že komunikace úložiště s Prostory s přímým přístupem bude splňovat výkon a škálování vyžadované řešením. Konfigurace sítě používá třídy provozu k oddělení komunikace založené na prostorech s přímým přístupem rDMA od komunikace s využitím sítě infrastrukturou nebo tenantem služby Azure Stack Hub. V souladu s aktuálními osvědčenými postupy definovanými pro Windows Server 2019 se Služba Azure Stack Hub mění tak, aby používala další třídu provozu nebo prioritu k dalšímu oddělení komunikace mezi servery v rámci podpory komunikace řízení clusteringu s podporou převzetí služeb při selhání. Tato nová definice třídy provozu bude nakonfigurována tak, aby si rezervovala 2 % dostupné fyzické šířky pásma. Tato konfigurace třídy provozu a rezervace šířky pásma se provádí změnou přepínačů toR (top-of-rack) řešení Azure Stack Hub a na hostiteli nebo serverech služby Azure Stack Hub. Upozorňujeme, že na hraničních síťových zařízeních zákazníka se změny nevyžadují. Tyto změny poskytují lepší odolnost pro komunikaci clusteru s podporou převzetí služeb při selhání a mají zabránit situacím, kdy se plně spotřebuje šířka pásma sítě a v důsledku toho dojde k narušení řídicích zpráv clusteru s podporou převzetí služeb při selhání. Mějte na paměti, že komunikace s clusterem s podporou převzetí služeb při selhání je důležitou součástí infrastruktury služby Azure Stack Hub, a pokud je tato komunikace narušena po dlouhou dobu, může vést k nestabilitě služeb úložiště Prostorů s přímým přístupem nebo dalších služeb, což nakonec ovlivní stabilitu úloh tenanta nebo koncového uživatele.
Poznámka
Popsané změny jsou přidány na úrovni hostitele systému Azure Stack Hub ve verzi 2008. Obraťte se na výrobce OEM a požádejte o provedení požadovaných změn v síťových přepínačích ToR. Tuto změnu toR lze provést před aktualizací na verzi 2008 nebo po aktualizaci na verzi 2008. Změna konfigurace přepínačů ToR je nutná ke zlepšení komunikace clusteru s podporou převzetí služeb při selhání.
Logické sítě
Logické sítě představují abstrakci základní fyzické síťové infrastruktury. Používají se k uspořádání a zjednodušení přiřazení sítě pro hostitele, virtuální počítače a služby. V rámci vytváření logické sítě se vytvářejí síťové lokality, které definují virtuální místní sítě (VLAN), podsítě PROTOKOLU IP a páry podsítě a sítě VLAN, které jsou přidružené k logické síti v každém fyzickém umístění.
Následující tabulka uvádí logické sítě a přidružené rozsahy podsítí IPv4, pro které je potřeba naplánovat:
| Logická síť | Description | Velikost |
|---|---|---|
| Veřejná virtuální IP adresa | Azure Stack Hub používá celkem 31 adres z této sítě a zbytek využívají virtuální počítače tenanta. Z těchto 31 adres se pro malou sadu služeb Azure Stack Hubu používá 8 veřejných IP adres. Pokud plánujete používat App Service a poskytovatele prostředků SQL, použije se dalších 7 adres. Zbývajících 16 IP adres je vyhrazeno pro budoucí služby Azure. | /26 (62 hostitelů) – /22 (1022 hostitelů) Doporučené = /24 (254 hostitelů) |
| Přepnout infrastrukturu | IP adresy typu point-to-point pro účely směrování, vyhrazená rozhraní pro správu přepínačů a adresy zpětné smyčky přiřazené k přepínači. | /26 |
| Infrastruktura | Používá se ke komunikaci interních komponent služby Azure Stack Hub. | /24 |
| Privátní | Používá se pro síť úložiště, privátní virtuální ip adresy, kontejnery infrastruktury a další interní funkce. Další podrobnosti najdete v části Privátní síť v tomto článku. | /20 |
| Řadič BMC | Používá se ke komunikaci s řadiči základní desky na fyzických hostitelích. | /26 |
Poznámka
Upozornění na portálu připomene operátorovi, aby spustil rutinu PEP Set-AzsPrivateNetwork a přidal nový prostor privátních IP adres /20. Další informace a pokyny k výběru prostoru privátních IP adres /20 najdete v části Privátní síť v tomto článku.
Síťová infrastruktura
Síťová infrastruktura pro Azure Stack Hub se skládá z několika logických sítí, které jsou nakonfigurované na přepínačích. Následující diagram znázorňuje tyto logické sítě a způsob jejich integrace s přepínači pro správu základní desky (TOR), řadičem pro správu základní desky (BMC) a hraničními přepínači (síť zákazníka).
Síť řadiče pro správu základní desky
Tato síť je vyhrazená pro připojení všech řadičů pro správu základní desky (označovaných také jako řadiče pro správu základní desky nebo procesory služeb) k síti pro správu. Příklady: iDRAC, iLO, iBMC atd. Ke komunikaci s libovolným uzlem řadiče pro správu základní desky se používá pouze jeden účet řadiče pro správu základní desky. Pokud je k dispozici, hostitel životního cyklu hardwaru (HLH) se nachází v této síti a může poskytovat software specifický pro výrobce OEM pro údržbu nebo monitorování hardwaru.
HLH také hostuje virtuální počítač pro nasazení (DVM). DvM se používá při nasazování služby Azure Stack Hub a po dokončení nasazení se odebere. DVM vyžaduje přístup k internetu ve scénářích připojeného nasazení, aby bylo možné testovat, ověřovat a přistupovat k více komponentám. Tyto komponenty můžou být uvnitř i mimo vaši podnikovou síť (například NTP, DNS a Azure). Další informace o požadavcích na připojení najdete v části PŘEKLAD ADRES v tématu Integrace brány firewall služby Azure Stack Hub.
Privátní síť
Tato síť /20 (4096 IP adres) je soukromá pro oblast Služby Azure Stack Hub (nesměruje za hraniční přepínače zařízení systému Azure Stack Hub) a je rozdělená do několika podsítí. Tady je několik příkladů:
- Síť úložiště: Síť /25 (128 IP adres) používaná k podpoře využití provozu úložiště Spaces Direct a smb (Server Message Block) a migrace virtuálních počítačů za provozu.
- Interní virtuální IP síť: Síť /25 vyhrazená pouze interním virtuálním IP adresám pro nástroj pro vyrovnávání zatížení softwaru.
- Kontejnerová síť: Síť /23 (512 IP adres) vyhrazená pro interní provoz mezi kontejnery, na kterých běží služby infrastruktury.
Systém Azure Stack Hub vyžaduje další prostor privátních interních IP adres o velikosti /20. Tato síť bude privátní pro systém Azure Stack Hub (nesměruje za hraniční přepínače zařízení systému Azure Stack Hub) a bude možné ji znovu použít ve více systémech Azure Stack Hub v rámci vašeho datacentra. I když je síť privátní pro Azure Stack, nesmí se překrývat s jinými sítěmi v datacentru. Prostor privátních IP adres /20 je rozdělený do několika sítí, které umožňují provoz infrastruktury služby Azure Stack Hub v kontejnerech. Kromě toho tento nový prostor privátních IP adres umožňuje průběžné úsilí o snížení požadovaného směrovatelného prostoru IP adres před nasazením. Cílem provozování infrastruktury služby Azure Stack Hub v kontejnerech je optimalizovat využití a zvýšit výkon. Kromě toho se prostor privátních IP adres /20 používá také k zajištění průběžného úsilí, které před nasazením zmenšuje požadovaný prostor směrovatelných IP adres. Pokyny k prostoru privátních IP adres najdete v dokumentu RFC 1918.
U systémů nasazených před 1910 bude tato podsíť /20 další sítí, která se bude zadávat do systémů po aktualizaci na 1910. Další síť bude nutné poskytnout systému prostřednictvím rutiny Set-AzsPrivateNetwork PEP.
Poznámka
Vstup /20 slouží jako předpoklad další aktualizace služby Azure Stack Hub po roce 1910. Když se po vydání verze 1910 pokusíte provést další aktualizaci služby Azure Stack Hub a pokusíte se ji nainstalovat, aktualizace selže, pokud jste nedokončili vstup /20, jak je popsáno v následujících krocích nápravy. Dokud se nedokončí výše uvedené kroky nápravy, bude na portálu pro správu k dispozici upozornění. Informace o využití tohoto nového privátního prostoru najdete v článku integrace sítě datacenter .
Postup nápravy: Pokud chcete provést nápravu, postupujte podle pokynů k otevření relace PEP. Připravte privátní interní rozsah IP adres o velikosti /20 a spusťte následující rutinu v relaci PEP pomocí následujícího příkladu: Set-AzsPrivateNetwork -UserSubnet 10.87.0.0/20. Pokud se operace úspěšně provede, zobrazí se zpráva Azs Internal Network Range přidaná do konfigurace. Pokud se úspěšně dokončí, výstraha se na portálu pro správu zavře. Systém Azure Stack Hub se teď může aktualizovat na další verzi.
Síť infrastruktury služby Azure Stack Hub
Tato síť /24 je vyhrazená pro interní komponenty služby Azure Stack Hub, aby mohly komunikovat a vyměňovat si data mezi sebou. Tato podsíť může být směrovatelná externě z řešení Azure Stack Hub do vašeho datacentra. Nedoporučujeme v této podsíti používat veřejné nebo internetové směrovatelné IP adresy. Tato síť se inzeruje na hraniční síti, ale většina jejích IP adres je chráněná seznamy Access Control (ACL). IP adresy povolené pro přístup jsou v malém rozsahu, který odpovídá velikosti sítě /27 a hostitelským službám, jako je privilegovaný koncový bod (PEP) a zálohování služby Azure Stack Hub.
Veřejná síť VIRTUÁLNÍCH IP adres
Síť veřejných VIRTUÁLNÍch ip adres je přiřazená síťovému adaptéru ve službě Azure Stack. Není to logická síť na přepínači. Nástroj SLB používá fond adres a přiřadí sítě /32 pro úlohy tenanta. Ve směrovací tabulce přepínače se tyto IP adresy /32 inzerují jako dostupná trasa prostřednictvím protokolu BGP. Tato síť obsahuje externě přístupné nebo veřejné IP adresy. Infrastruktura služby Azure Stack Hub si vyhrazuje prvních 31 adres z této veřejné sítě VIRTUÁLNÍch ip adres, zatímco zbytek využívají virtuální počítače tenanta. Velikost sítě v této podsíti se může pohybovat od minimálně /26 (64 hostitelů) do maximálně /22 (1022 hostitelů). Doporučujeme naplánovat síť /24.
Připojení k místním sítím
Azure Stack Hub používá virtuální sítě pro prostředky zákazníků, jako jsou virtuální počítače, nástroje pro vyrovnávání zatížení a další.
Existuje několik různých možností připojení z prostředků uvnitř virtuální sítě k místním nebo firemním prostředkům:
- Použijte veřejné IP adresy z veřejné sítě VIRTUÁLNÍCH IP adres.
- Použijte bránu Virtual Network nebo síťové virtuální zařízení.
Pokud se k připojení prostředků k místním sítím nebo z místních sítí používá tunel VPN S2S, může dojít ke scénáři, kdy má prostředek přiřazenou také veřejnou IP adresu a přes tuto veřejnou IP adresu už není dostupný. Pokud se zdroj pokusí o přístup k veřejné IP adrese spadá do stejného rozsahu podsítě, který je definovaný v trasách brány místní sítě (brána Virtual Network) nebo v uživatelsky definované trase pro řešení nva, azure Stack Hub se pokusí směrovat odchozí provoz zpět do zdroje přes tunel S2S na základě nakonfigurovaných pravidel směrování. Zpětný provoz používá privátní IP adresu virtuálního počítače, místo aby byl zdrojovým překladem adres (NAT) označený jako veřejná IP adresa:
Existují dvě řešení tohoto problému:
- Směrujte provoz směřující do veřejné sítě VIRTUÁLNÍCH IP adres do internetu.
- Přidejte zařízení NAT do překladu adres (NAT) všechny IP adresy podsítě definované v bráně místní sítě směrované do veřejné sítě VIRTUÁLNÍCH IP adres.
Přepnout síť infrastruktury
Tato síť /26 je podsíť, která obsahuje směrovatelné IP adresy typu point-to-point /30 (dvě IP adresy hostitele) a podsítě zpětné smyčky, které jsou vyhrazené podsítě /32 pro správu přepínačů v rámci pásma a ID směrovače protokolu BGP. Tento rozsah IP adres musí být směrovatelný mimo řešení Služby Azure Stack Hub do vašeho datacentra. Můžou to být soukromé nebo veřejné IP adresy.
Síť pro správu přepínačů
Tato síť /29 (šest IP adres hostitele) je vyhrazená pro připojení portů pro správu přepínačů. Umožňuje vzdálený přístup pro nasazení, správu a řešení potíží. Vypočítá se ze sítě infrastruktury přepínače uvedené výše.
Povolené sítě
List nasazení obsahuje pole, které operátorovi umožňuje změnit některé seznamy řízení přístupu (ACL) tak, aby umožňovaly přístup k rozhraním pro správu síťových zařízení a hostiteli životního cyklu hardwaru (HLH) z důvěryhodného síťového rozsahu datacentra. Po změně seznamu řízení přístupu může operátor povolit správu virtuálních počítačů jumpbox v určitém rozsahu sítě pro přístup k rozhraní pro správu přepínače a k operačnímu systému HLH. Operátor může do tohoto seznamu poskytnout jednu nebo více podsítí. Pokud zůstane prázdný, bude ve výchozím nastavení přístup odepřen. Tato nová funkce nahrazuje potřebu ručního zásahu po nasazení, jak bylo popsáno v části Úprava konkrétních nastavení v konfiguraci přepínače služby Azure Stack Hub.
Další kroky
- Směrování provozu virtuální sítě
- Další informace o plánování sítě: Hraniční připojení.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro