Nasazení vysoce dostupných síťových virtuálních zařízení na Azure Stack Hub

Tento článek ukazuje, jak nasadit sadu síťových virtuálních zařízení (NVA) pro vysokou dostupnost v Azure Stack Hub. Síťové virtuální zařízení (NVA) se obvykle používá pro řízení toku síťového provozu z hraniční sítě (označované také jako DMZ) do ostatních sítí nebo podsítí. Tento článek obsahuje příklady architektur pro pouze příchozí přenos dat, pro pouze výchozí přenos dat a pro příchozí i výchozí přenos dat.

Na webu Marketplace jsou dostupná síťová virtuální zařízení od různých dodavatelů Azure Stack Hub marketplace.Pro zajištění optimálního výkonu použijte jedno z nich.

Tato architektura se skládá z následujících součástí.

Sítě a vyrovnávání zatížení

  • Virtuální síť a podsítě. Každý virtuální počítač Azure je nasazený do virtuální sítě, kterou je možné segmentovat do podsítí. Vytvořte pro každou vrstvu samostatnou podsíť.

  • Vrstva 7 Load Balancer. Vzhledem k Application Gateway, že služba Azure Stack Hub ještě není dostupná, na webu Azure Stack Hub Market place jsou k dispozici alternativy, jako je například: PO LoadMaster Load Balancer ADC Content Switchf5 Big-IP Virtual Edition nebo A10 vThunder ADC

  • Nástroje pro vyrovnávání zatížení. Pomocí Azure Load Balancermůžete distribuovat síťový provoz z webové vrstvy do obchodní vrstvy a z obchodní vrstvy do SQL Server.

  • Skupiny zabezpečení sítě (NSG). Pomocí NSG můžete omezit síťový provoz v rámci virtuální sítě. Například v této třívrstvé architektuře nepřijímá databázová vrstva provoz z webového front-endu, pouze z obchodní vrstvy a podsítě pro správu.

  • Uživatelsky definované služby: Ke směrování provozu do konkrétního nástroje pro vyrovnávání zatížení použijte trasy definované uživatelem.

Tento článek předpokládá základní znalosti o Azure Stack Hub sítích.

Diagramy architektury

Síťové virtuální zařízení je možné nasadit do hraniční sítě v mnoha různých architekturách. Následující obrázek například znázorňuje použití samotného síťového virtuálního zařízení pro příchozí přenos dat.

Snímek obrazovky znázorňuje použití jednoho síťového virtuálního zařízení pro příchozí přenos dat

V této architektuře síťové virtuální zařízení poskytuje bezpečnou hranicí sítě tím, že kontroluje veškerý příchozí a výchozí provoz v síti a předává pouze provoz, který splňuje pravidla zabezpečení sítě. Skutečnost, že veškerý síťový provoz musí projít přes síťové virtuální zařízení, znamená, že síťové virtuální zařízení je jediným bodem selhání v síti. Pokud však síťové virtuální zařízení selže, jiná cesta pro provoz neexistuje a všechny back-endové podsítě budou nedostupné.

Pokud chcete vytvořit vysoce dostupné síťové virtuální zařízení, nasaďte do skupiny dostupnosti více než jedno síťové virtuální zařízení.

Následující architektury popisují nezbytné prostředky a konfiguraci pro vysoce dostupná síťová virtuální zařízení:

Řešení Výhody Požadavky
Příchozí přenos dat se síťovými virtuálními zařízeními vrstvy 7 Všechny uzly síťového virtuálního zařízení jsou aktivní. Vyžaduje síťové virtuální zařízení, které může ukončit připojení a používat SNAT.
Vyžaduje samostatnou sadu síťových virtuálních zařízení pro provoz přicházející z Enterprise sítě nebo internetu a z Azure Stack Hub.
Lze použít pouze pro přenosy pocházející z Azure Stack Hub.
Výchozí přenos dat se síťovými virtuálními zařízeními vrstvy 7 Všechny uzly síťového virtuálního zařízení jsou aktivní. Vyžaduje síťové virtuální zařízení, které může ukončit připojení a implementuje překlad zdrojových adres (SNAT).
Příchozí a výchozí přenos dat se síťovými virtuálními zařízeními vrstvy 7 Všechny uzly jsou aktivní.
Dokáže zpracovávat provoz pocházející z Azure Stack Hub.
Vyžaduje síťové virtuální zařízení, které může ukončit připojení a používat SNAT.
Vyžaduje samostatnou sadu síťových virtuálních zařízení pro provoz přicházející z Enterprise sítě nebo internetu a z Azure Stack Hub.

Příchozí přenos dat se síťovými virtuálními zařízeními vrstvy 7

Následující obrázek znázorňuje architekturu vysoké dostupnosti, která implementuje hraniční síť příchozího přenosu dat za internetovým vyrovnáváním zatížení. Tato architektura je navržená tak, aby poskytovala Azure Stack Hub úlohám pro provoz vrstvy 7, jako je HTTP nebo HTTPS:

Snímek obrazovky s automaticky generovaným popisem mapy

Výhodou této architektury je, že všechna síťová virtuální zařízení jsou aktivní, a pokud jedno z nich selže, nástroj pro vyrovnávání zatížení bude směrovat provoz na jiné síťové virtuální zařízení. Obě síťová virtuální zařízení směrují provoz na interní nástroj pro vyrovnávání zatížení, takže dokud je jedno síťové virtuální zařízení aktivní, tok provozu může pokračovat. Síťová virtuální zařízení mají povinnost ukončit provoz protokolu SSL určeného pro virtuální počítače webové vrstvy. Tato síťová virtuální zařízení není možné rozšířit tak, aby zvládla Enterprise síťový provoz, protože provoz v síti Enterprise vyžaduje další vyhrazenou sadu síťových virtuálních zařízení s vlastními síťovými trasami.

Výchozí přenos dat se síťovými virtuálními zařízeními vrstvy 7

Architekturu příchozího přenosu dat se síťovými virtuálními zařízeními vrstvy 7 je možné rozšířit tak, aby poskytovala hraniční síť pro příchozí přenos dat pro požadavky pocházející Azure Stack Hub úlohou. Následující architektura je navržená tak, aby poskytovala vysokou dostupnost síťových virtuálních zařízení v hraniční síti pro provoz vrstvy 7, například HTTP nebo HTTPS:

Snímek obrazovky s automaticky vygenerovaný popisem mobilního telefonu

V této architektuře se veškerý provoz pocházející z Azure Stack Hub směruje do interního nástroje pro vyrovnávání zatížení. Nástroj pro vyrovnávání zatížení distribuuje odchozí žádosti mezi sadu síťových virtuálních zařízení. Tato síťová virtuální zařízení směrují pomocí jednotlivých veřejných IP adres provoz na internet.

Příchozí a výchozí přenos dat se síťovými virtuálními zařízeními vrstvy 7

Ve dvou architekturách příchozího a příchozího přenosu dat byla samostatná hraniční síť pro příchozí a příchozí přenos dat. Následující architektura ukazuje, jak vytvořit hraniční síť, kterou je možné použít pro příchozí i příchozí přenos dat pro provoz vrstvy 7, jako je HTTP nebo HTTPS:

Snímek obrazovky s automaticky vygenerovaný popisem příspěvku na sociálních sítích

V architektuře příchozího a odchozího přenosu dat s síťovámi virtuálními zařízeními vrstvy 7 síťová virtuální zařízení zpracovávají příchozí požadavky z vrstvy 7 Load Balancer. Síťová virtuální zařízení v back-endovém fondu nástroje pro vyrovnávání zatížení zpracovávají také odchozí požadavky z úloh virtuálních počítačů. Vzhledem k tomu, že příchozí provoz je směrován pomocí nástroje pro vyrovnávání zatížení vrstvy 7 a odchozí provoz je směrován pomocí nástroje SLB (Azure Stack Hub Basic Load Balancer), jsou síťová virtuální zařízení zodpovědná za udržování spřažení relací. To znamená, že nástroj pro vyrovnávání zatížení vrstvy 7 udržuje mapování příchozích a odchozích požadavků, aby mohl předat správnou odpověď původnímu requestoru. Interní nástroj pro vyrovnávání zatížení ale nemá přístup k mapování nástroje pro vyrovnávání zatížení vrstvy 7 a k odesílání odpovědí do síťového virtuálního zařízení používá vlastní logiku. Je možné, že nástroj pro vyrovnávání zatížení odešle odpověď síťovému virtuálnímu zařízení, které původně neobdrží požadavek z nástroje pro vyrovnávání zatížení vrstvy 7. V takovém případě musí síťová virtuální zařízení komunikovat a přenášet mezi nimi odpověď, aby správné síťové virtuální zařízení bylo možné předat odpověď do nástroje pro vyrovnávání zatížení vrstvy 7.

Poznámka

Problém s asymetrickým směrováním můžete také vyřešit tím, že zajistíte, aby síťová virtuální zařízení prováděla příchozí překlad adres na základě stroje (SNAT). Tak by se původní zdrojová IP adresa žadatele nahradila jednou z IP adres, kterou síťové virtuální zařízení použilo u příchozího toku. To zajistí, že budete moct použít více síťových virtuálních zařízení najednou a zároveň zachováte symetrické směrování.

Další kroky