Magas rendelkezésre állású virtuális hálózati berendezések üzembe helyezése az Azure Stack Hubon
Ez a cikk bemutatja, hogyan helyezhet üzembe hálózati virtuális berendezéseket (NVA-kat) a magas rendelkezésre állás érdekében az Azure Stack Hubban. Az NVA-kat általában a szegélyhálózatokról, más néven DMZ-kről a más hálózatok és alhálózatok felé irányuló hálózati forgalom szabályozására használják. A cikk csak bejövő, csak kimenő, valamint bejövő és kimenő forgalmú példaarchitektúrákat is tartalmaz.
Az Azure Stack Hub Marketplace-en különböző szállítóktól származó NVA-k érhetők el, amelyek közül az egyiket használja az optimális teljesítmény érdekében.
Az architektúra a következő összetevőket tartalmazza.
Hálózatkezelés és terheléselosztás
Virtuális hálózat és alhálózatok. Minden Azure-beli virtuális gép egy olyan virtuális hálózatba van üzembe helyezve, amely alhálózatokra szegmentált. Hozzon létre egy külön alhálózatot minden egyes szinthez.
7. réteg Load Balancer. Mivel Application Gateway még nem érhető el az Azure Stack Hubon, az Azure Stack Hub piactéren számos alternatíva érhető el, például: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition vagy A10 vThunder ADC
Terheléselosztók. A Azure Load Balancer használatával eloszthatja a hálózati forgalmat a webes szintről az üzleti szintre, valamint az üzleti szintről a SQL Server.
Hálózati biztonsági csoportok (NSG-k). Az NSG-k használatával korlátozhatja a virtuális hálózaton belüli hálózati forgalmat. Az itt látható háromrétegű architektúrában például az adatbázisszint nem fogadja el a webes előtérről érkező forgalmat, csak az üzleti szintről és a felügyeleti alhálózatról.
UDR-ek. A felhasználó által megadott útvonalak (UDR-ek ) használatával irányíthatja a forgalmat az adott terheléselosztóhoz.
Ez a cikk az Azure Stack Hub hálózatkezelésének alapszintű megértését feltételezi.
Architektúradiagramok
Az NVA számos különböző architektúrában helyezhető üzembe egy szegélyhálózaton. A következő ábra például egyetlen NVA bejövő forgalomhoz való használatát illusztrálja.
Ebben az architektúrában az NVA biztonságos hálózati határt biztosít az összes bejövő és kimenő hálózati forgalom ellenőrzésével, és csak azt a forgalmat engedi át, amely megfelel a hálózati biztonsági szabályoknak. Az a tény, hogy az összes hálózati forgalomnak át kell haladnia az NVA-n, azt jelenti, hogy az NVA a hálózat egyetlen meghibásodási pontja. Ha az NVA leáll, akkor nincs más útvonal a hálózati forgalom számára, és a háttérbeli alhálózatok nem lesznek elérhetők.
Az NVA magas rendelkezésre állásúvá tételéhez helyezzen üzembe több NVA-t egy rendelkezésre állási csoport részeként.
A következő architektúrák bemutatják a magas rendelkezésre állású NVA-khoz szükséges erőforrásokat és konfigurációkat:
| Megoldás | Előnyök | Megfontolandó szempontok |
|---|---|---|
| Bejövő forgalom 7-es rétegű NVA-kkal | Minden NVA-csomópont aktív. | Olyan NVA-t igényel, amely megszakíthatja a kapcsolatokat, és használhatja az SNAT-t. A nagyvállalati hálózatról/internetről és az Azure Stack Hubról érkező forgalomhoz külön NVA-kra van szükség. Csak az Azure Stack Hubon kívülről származó forgalomhoz használható. |
| Kimenő forgalom 7-es rétegű NVA-kkal | Minden NVA-csomópont aktív. | Olyan NVA-t igényel, amely megszakítja a kapcsolatokat, és megvalósítja a forráshálózati címfordítást (SNAT). |
| Bejövő és kimenő forgalom 7-es rétegű NVA-kkal | Minden csomópont aktív. Képes kezelni az Azure Stack Hubból származó forgalmat. |
Olyan NVA-t igényel, amely megszakíthatja a kapcsolatokat, és használhatja az SNAT-t. A nagyvállalati hálózatról/internetről és az Azure Stack Hubról érkező forgalomhoz külön NVA-kra van szükség. |
Bejövő forgalom 7-es rétegű NVA-kkal
Az alábbi ábra egy magas rendelkezésre állású architektúrát mutat be, amely egy internetkapcsolattal rendelkező terheléselosztó mögötti bejövő szegélyhálózatot valósít meg. Ez az architektúra úgy lett kialakítva, hogy kapcsolatot biztosítson az Azure Stack Hub számítási feladataival a 7. rétegbeli forgalomhoz, például HTTP-hez vagy HTTPS-hez:
Az ilyen architektúra előnye, hogy minden NVA aktív, és ha az egyik meghibásodik, akkor a terheléselosztó átirányítja a hálózati forgalmat egy másikra. Mindkét NVA a belső terheléselosztóra irányítja a forgalmat, így mindaddig, amíg egy NVA aktív, a forgalom nem akad el. Az NVA-knak le kell zárnia a webes szintű virtuális gépek felé tartó SSL-forgalmat. Ezek az NVA-k nem terjeszthetők ki a vállalati hálózati forgalom kezelésére, mert a vállalati hálózati forgalomhoz egy másik dedikált NVA-készletre van szükség a saját hálózati útvonalakkal.
Kimenő forgalom 7-es rétegű NVA-kkal
A 7. rétegbeli NVA-architektúrával rendelkező bejövő forgalom bővíthető úgy, hogy kimenő szegélyhálózatot biztosítson az Azure Stack Hub számítási feladataiból származó kérésekhez. A következő architektúra úgy lett kialakítva, hogy magas rendelkezésre állást biztosítson a szegélyhálózaton lévő NVA-k számára a 7. rétegbeli forgalom számára, például HTTP vagy HTTPS:
Ebben az architektúrában az Azure Stack Hubból származó összes forgalom egy belső terheléselosztóhoz lesz irányítva. A terheléselosztó elosztja a kimenő kérelmeket egy NVA-készlet tagjai között. Ezek az NVA-k az internetre irányítják a forgalmat saját nyilvános IP-címeik használatával.
Bejövő és kimenő forgalom 7-es rétegű NVA-kkal
A két bejövő és kimenő architektúrában külön szegélyhálózat volt a bejövő és kimenő forgalom számára. Az alábbi architektúra bemutatja, hogyan hozhat létre szegélyhálózatot, amely a 7. rétegbeli forgalomhoz, például HTTP-hez vagy HTTPS-hez egyaránt használható a bejövő és kimenő forgalomhoz:
A 7. rétegbeli NVA-architektúrával rendelkező bejövő kimenő forgalomban az NVA-k feldolgozzák a 7. rétegbeli Load Balancer bejövő kéréseket. Az NVA-k a terheléselosztó háttérkészletében található, számítási feladatokat végző virtuális gépek kimenő kérelmeit is feldolgozzák. Mivel a bejövő forgalmat egy 7. rétegbeli terheléselosztó irányítja, és a kimenő forgalmat egy SLB (Azure Stack Hub Basic Load Balancer) irányítja, az NVA-k felelősek a munkamenet-affinitás fenntartásáért. Ez azt jelzi, hogy a 7. rétegbeli terheléselosztó fenntartja a bejövő és kimenő kérések leképezését, hogy a megfelelő választ továbbíthassa az eredeti kérelmezőnek. A belső terheléselosztó azonban nem rendelkezik hozzáféréssel a 7. rétegbeli terheléselosztó-leképezésekhez, és a saját logikájával küld válaszokat az NVA-knak. Lehetséges, hogy a terheléselosztó olyan NVA-nak küldhet választ, amely kezdetben nem kapta meg a kérést a 7. rétegbeli terheléselosztótól. Ebben az esetben az NVA-knak kommunikálniuk kell és át kell vinniük a választ közöttük, hogy a megfelelő NVA továbbíthassa a választ a 7. rétegbeli terheléselosztónak.
Megjegyzés
Úgy is megoldhatja az aszimmetrikus útvonal-választási problémát, ha gondoskodik róla, hogy az NVA-k bejövő forráshálózati címfordítást (SNAT) végezzenek. Ez lecserélné a kérelmező eredeti forrás IP-címét az NVA által a bejövő adatfolyamon használt IP-címeinek egyikével. Így gondoskodni lehet róla, hogy több NVA is használható legyen egyszerre az útvonal szimmetriájának megőrzése mellett.
Következő lépések
- Az Azure Stack Hub virtuális gépekkel kapcsolatos további információkért tekintse meg az Azure Stack Hub virtuálisgép-funkcióit ismertető cikket.
- Az Azure Cloud Patterns szolgáltatással kapcsolatos további információkért lásd: Felhőtervezési minták.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: