Pokyny pro plánování sítě Azure NetApp Files
Plánování síťové architektury je klíčovým prvkem návrhu jakékoli aplikační infrastruktury. Tento článek vám pomůže navrhnout efektivní architekturu sítě pro vaše úlohy, aby bylo možné využít bohatých možností Azure NetApp Files.
Azure NetApp Files svazky jsou navržené tak, aby se obsahovaly v podsíti pro zvláštní účely označované jako delegovaná podsíť v rámci Azure Virtual Network. Proto můžete k svazkům přistupovat přímo z Azure přes partnerský vztah VNet nebo místně přes bránu Virtual Network (ExpressRoute nebo VPN Gateway) podle potřeby. Podsíť je vyhrazená pro Azure NetApp Files a není k dispozici připojení k Internetu.
Konfigurovatelné síťové funkce
Pro verzi Public Preview jsou k dispozici standardní konfigurace síťových funkcí pro Azure NetApp Files. Po registraci k této funkci u svého předplatného můžete vytvořit nové svazky, ve kterých se v podporovaných oblastech zvolí standardní nebo základní síťové funkce. V oblastech, kde nejsou podporované standardní síťové funkce, se na svazku standardně používají základní síťové funkce.
Standard
Když vyberete toto nastavení, povolíte vyšší limity IP adres a standardní funkce virtuální sítě, jako jsou například skupiny zabezpečení sítě a uživatelem definované trasy na delegovaných podsítích, a další vzory připojení, jak je uvedeno v tomto článku.Basic
Výběrem tohoto nastavení povolíte vzory selektivního připojení a omezené škálování IP adres, jak je uvedeno v části s informacemi . V tomto nastavení platí všechna omezení .
Požadavky
Při plánování Azure NetApp Files sítě byste měli pochopit několik důležitých informací.
Omezení
Následující tabulka popisuje, co je podporováno pro jednotlivé konfigurace síťových funkcí:
| Funkce | Standardní síťové funkce | Základní síťové funkce |
|---|---|---|
| Počet IP adres používaných ve virtuální síti s Azure NetApp Files (včetně okamžitého partnerského virtuální sítě) | Standardní omezení jako virtuální počítače | 1000 |
| ANF delegované podsítě na virtuální síť | 1 | 1 |
| Skupiny zabezpečení sítě (skupin zabezpečení sítě) na Azure NetApp Files delegovaných podsítích | Yes | No |
| Trasy definované uživatelem (udr) na Azure NetApp Files delegovaných podsítích | Yes | No |
| Připojení k privátním koncovým bodům | No | No |
| Připojení ke koncovým bodům služby | No | No |
| Zásady Azure (například vlastní zásady pojmenování) na rozhraní Azure NetApp Files | No | No |
| Nástroje pro vyrovnávání zatížení pro Azure NetApp Files provoz | No | No |
| Síť VNet Dual Stack (IPv4 a IPv6) | No (Podporuje se jenom IPv4) |
No (Podporuje se jenom IPv4) |
Podporované síťové topologie
Následující tabulka popisuje síťové topologie podporované jednotlivými funkcemi sítě Azure NetApp Files konfigurací.
| Topologie | Standardní síťové funkce | Základní síťové funkce |
|---|---|---|
| Připojení ke svazku v místní síti VNet | Yes | Yes |
| Připojení ke svazku ve virtuální síti s partnerským vztahem (stejná oblast) | Yes | Yes |
| Připojení ke svazku ve virtuální síti s partnerským vztahem (mezi oblastí nebo globálním partnerským vztahem) | No | No |
| Připojení ke svazku přes ExpressRoute bránu | Yes | Yes |
| ExpressRoute (ER) FastPath | Yes | No |
| Připojení z místního prostředí ke svazku ve virtuální síti rozbočovače prostřednictvím brány ExpressRoute a partnerského vztahu virtuálních sítí s přenosem brány | Yes | Yes |
| Připojení z místního prostředí k svazku ve virtuální síti rozbočovače přes bránu VPN | Yes | Yes |
| Připojení z místního prostředí k svazku ve virtuální síti rozbočovače prostřednictvím brány VPN a partnerského vztahu virtuálních sítí s přenosem brány | Yes | Yes |
| Připojení přes aktivní nebo pasivní brány sítě VPN | Yes | Yes |
| Připojení přes aktivní/aktivní brány VPN Gateway | Yes | No |
| Připojení přes aktivní/aktivní zónu redundantní brány | No | No |
| Připojení přes virtuální síť WAN (VWAN) | No | No |
Virtuální síť pro Azure NetApp Files svazky
V této části najdete vysvětlení konceptů, které vám pomůžou s plánováním virtuálních sítí.
Virtuální sítě Azure
Před zřízením Azure NetApp Filesho svazku je potřeba vytvořit virtuální síť Azure (VNet) nebo použít ji, která už ve vašem předplatném existuje. Virtuální síť definuje hranice sítě pro daný svazek. Další informace o vytváření virtuálních sítí najdete v dokumentaci k Azure Virtual Network.
Podsítě
Podsítě segmentují virtuální síť do samostatných adresních prostorů, které jsou použitelné pro prostředky Azure v nich. Azure NetApp Files svazky jsou obsaženy v podsíti pro speciální účely označované jako delegovaná podsíť.
Delegování podsítě poskytuje explicitní oprávnění pro službu Azure NetApp Files k vytváření prostředků specifických pro službu v podsíti. Používá jedinečný identifikátor při nasazení služby. V takovém případě se vytvoří síťové rozhraní, které umožňuje připojení k Azure NetApp Files.
Pokud používáte novou virtuální síť, můžete vytvořit podsíť a delegovat ji tak, aby se Azure NetApp Files, a to podle pokynů v tématu delegování podsítě na Azure NetApp Files. Můžete také delegovat existující prázdnou podsíť, která už není delegovaná na jiné služby.
Pokud je virtuální síť v partnerském vztahu s jinou virtuální sítí, nemůžete rozšířit adresní prostor virtuální sítě. Z tohoto důvodu je potřeba novou delegovanou podsíť vytvořit v adresním prostoru virtuální sítě. Pokud potřebujete rozšířit adresní prostor, musíte před rozšířením adresního prostoru odstranit partnerský vztah virtuální sítě.
Udr a skupin zabezpečení sítě
Trasy definované uživatelem (udr) a skupiny zabezpečení sítě (skupin zabezpečení sítě) se podporují jenom v Azure NetApp Files delegovaných podsítích, které mají aspoň jeden svazek vytvořený se standardními síťovými funkcemi.
Poznámka
Přidružení skupin zabezpečení sítě na úrovni síťového rozhraní není pro síťová rozhraní Azure NetApp Files podporováno.
Pokud má podsíť kombinaci svazků se síťovými funkcemi Standard a Basic (nebo u stávajících svazků, které nejsou zaregistrované pro verzi Preview), udr a skupin zabezpečení sítě použité na delegovaných podsítích budou platit jenom pro svazky se standardními síťovými funkcemi.
Konfigurace uživatelsky definovaných tras (udr) na zdrojových podsítích virtuálních počítačů s předponou adresy delegované podsítě a dalším segmentem směrování jako síťové virtuální zařízení není podporovaná pro svazky se základními funkcemi sítě. Toto nastavení způsobí problémy s připojením.
Nativní prostředí Azure
Následující diagram znázorňuje prostředí Azure Native:
Místní virtuální síť
Základní scénář je vytvořit nebo připojit se k Azure NetApp Files svazku z virtuálního počítače ve stejné virtuální síti. Pro virtuální síť 2 v diagramu výše se svazek 1 vytvoří v delegované podsíti a dá se připojit k virtuálnímu počítači 1 ve výchozí podsíti.
Partnerské vztahy virtuálních sítí
Pokud máte další virtuální sítě ve stejné oblasti, která potřebuje přístup k prostředkům ostatních zdrojů, virtuální sítě se dá připojit pomocí partnerského vztahu virtuálních sítí a povolit tak zabezpečené připojení prostřednictvím infrastruktury Azure.
V diagramu výše zvažte virtuální síť 2 a virtuální síť 3. Pokud se virtuální počítač 1 potřebuje připojit k virtuálnímu počítači 2 nebo ke svazku 2 nebo pokud se virtuální počítač 2 potřebuje připojit k virtuálnímu počítači 1 nebo ke svazku 1, musíte povolit partnerský vztah virtuálních sítí mezi virtuálními sítěmi 2 a virtuální sítě 3.
Zvažte také situaci, kdy je virtuální síť 1 partnerského vztahu s virtuální sítí 2 a virtuální síť 2 je v partnerském vztahu s virtuální sítí 3 ve stejné oblasti. Prostředky z virtuální sítě 1 se můžou připojit k prostředkům ve virtuální síti 2, ale nemůžou se připojit k prostředkům ve virtuální síti 3, pokud virtuální síť 1 a virtuální síť 3 nejsou partnerského vztahu.
I když se virtuální počítač 3 může připojit ke svazku 1 výše, virtuální počítač 4 se nemůže připojit ke svazku 2. Důvodem je to, že paprskový virtuální sítě nemá partnerský vztah a směrování přenosu není podporováno prostřednictvím partnerského vztahu virtuálních sítí.
Hybridní prostředí
Následující diagram znázorňuje hybridní prostředí:
V hybridním scénáři potřebují aplikace z místních datových center přístup k prostředkům v Azure. Jedná se o případ, že chcete své datacentrum rozšíříte do Azure nebo pokud chcete používat nativní služby Azure nebo pro zotavení po havárii. Informace o tom, jak propojit více prostředků v místním prostředí s prostředky v Azure pomocí sítě VPN typu Site-to-site nebo ExpressRoute, najdete VPN Gateway v tématu Možnosti plánování .
Virtuální síť rozbočovače v Azure v hybridní hvězdicové topologii funguje jako centrální bod připojení k vaší místní síti. Paprsky jsou virtuální sítě partnerského vztahu s rozbočovačem a lze je použít k izolaci úloh.
V závislosti na konfiguraci můžete k prostředkům v centru a paprskech připojit místní prostředky.
V topologii zobrazené výše je místní síť připojená k virtuální síti rozbočovače v Azure a ve stejné oblasti, ve které je partnerský virtuální síť rozbočovače, je 2 paprsková virtuální sítěá. V tomto scénáři jsou možnosti připojení podporované pro Azure NetApp Files svazky následující:
- Virtuální počítače s místními prostředky a virtuálním počítačem 2 se můžou připojit ke svazku 1 v centru prostřednictvím sítě VPN typu Site-to-site nebo okruhu ExpressRoute.
- Virtuální počítače s místními prostředky a VIRTUÁLNÍm počítačem 2 se mohou připojit ke svazku 2 nebo 3 prostřednictvím sítě VPN typu Site-to-site a regionálního partnerského vztahu VNet.
- Virtuální počítač 3 v síti rozbočovače se může připojit ke svazku 2 v síti VNet s paprsky 1 a svazkem 3 v síti VNet-paprsek 2.
- Virtuální počítač 4 z rozbočovače s koncovými virtuálními počítači 1 a virtuálního počítače 5 z virtuální sítě rozbočovače 2 se může připojit ke svazku 1 v síti VNet.
- Virtuální počítač 4 ve virtuální síti rozbočovače 1 se nemůže připojit ke svazku 3 ve virtuální síti rozbočovače 2. Virtuální počítač 5 v paprskovém VNet2 se navíc nemůže připojit ke svazku 2 v síti VNet-paprsek 1. Jedná se o případ, že virtuální sítě paprsků není v partnerském vztahu virtuálních sítí podporována a směrování přenosu není podporováno.
- V případě, že ve výše uvedené architektuře existuje brána ve virtuální síti rozbočovače, připojení k ANF svazku z Prem připojení přes bránu v centru bude ztraceno. Podle návrhu by se měla tato brána předávat bráně ve virtuální síti rozbočovače, takže se k ANF svazku připojí jenom počítače připojující se přes tuto bránu.