Magasan elérhető hálózati virtuális berendezések üzembe helyezése Azure Stack hub-onDeploy highly available network virtual appliances on Azure Stack Hub

Ez a cikk bemutatja, hogyan helyezhet üzembe egy hálózati virtuális berendezést (NVA) a magas rendelkezésre állás érdekében Azure Stack hub-ban.This article shows you how to deploy a set of network virtual appliances (NVAs) for high availability in Azure Stack Hub. Az NVA-kat általában a szegélyhálózatokról, más néven DMZ-kről a más hálózatok és alhálózatok felé irányuló hálózati forgalom szabályozására használják.An NVA is typically used to control the flow of network traffic from a perimeter network, also known as a DMZ, to other networks or subnets. A cikk csak bejövő, csak kimenő, valamint bejövő és kimenő forgalmú példaarchitektúrákat is tartalmaz.The article includes example architectures for ingress only, egress only, and both ingress and egress.

A Azure stack hub piactérenelérhető különböző gyártóktól származó NVA az optimális teljesítmény érdekében az egyiket használhatja.There are NVAs from different vendors available on Azure Stack Hub Marketplace, use one of them for optimal performance.

Az architektúra a következő összetevőket tartalmazza.The architecture has the following components.

Hálózatkezelés és terheléselosztásNetworking and load balancing

  • Virtuális hálózat és alhálózatok.Virtual network and subnets. Minden Azure-beli virtuális gép üzembe helyezése egy, az alhálózatokra szegmentált virtuális hálózatba történik.Every Azure VM is deployed into a virtual network that can be segmented into subnets. Hozzon létre egy külön alhálózatot minden egyes szinthez.Create a separate subnet for each tier.

  • 7. rétegbeli Load Balancer.Layer 7 Load Balancer. Mivel a Application Gateway még nem érhető el az Azure stack hub-on, a Azure stack hub piacon elérhető alternatívák is rendelkezésre állnak, például: Kemp Loadmaster Load Balancer ADC Content Switch / F5 Big-IP Virtual Edition vagy A10 vThunder ADCAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • Terheléselosztó.Load balancers. A Azure Load Balancerhasználatával terjesztheti a webes szinten lévő hálózati forgalmat az üzleti szintjére, valamint az üzleti szintjétől a SQL Serverig.Use Azure Load Balancerto distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Hálózati biztonsági csoportok (NSG).Network security groups (NSGs). A NSG használata a virtuális hálózaton belüli hálózati forgalom korlátozására.Use NSGs to restrict network traffic within the virtual network. Az itt bemutatott háromrétegű architektúrában például az adatbázis-réteg nem fogadja el a webes kezelőfelületről érkező forgalmat, csak az üzleti rétegből és a felügyeleti alhálózatból.For example, in the three-tier architecture shown here, the database tier doesn't accept traffic from the web front end, only from the business tier and the management subnet.

  • UDR.UDRs. A felhasználó által megadott útvonalak (UDR-EK) használatával irányíthatja a forgalmat az adott terheléselosztó felé.Use user-defined routes (UDRs) to route traffic to the specific load balancer.

Ez a cikk az Azure Stack hub hálózatkezelésének alapvető ismeretét feltételezi.This article assumes a basic understanding of Azure Stack Hub networking.

Architektúra-diagramokArchitecture diagrams

Egy NVA számos különböző architektúrában üzembe helyezhető a peremhálózaton.An NVA can be deployed to a perimeter network in many different architectures. A következő ábra például egyetlen NVA bejövő forgalomhoz való használatát illusztrálja.For example, the following figure illustrates the use of a single NVA for ingress.

Képernyőkép, amely egyetlen NVA használatát mutatja be a bejövő forgalom számára.

Ebben az architektúrában az NVA biztonságos hálózati határt biztosít az összes bejövő és kimenő hálózati forgalom ellenőrzésével, és csak azt a forgalmat engedi át, amely megfelel a hálózati biztonsági szabályoknak.In this architecture, the NVA provides a secure network boundary by checking all inbound and outbound network traffic and passing only the traffic that meets network security rules. Az a tény, hogy az összes hálózati forgalomnak át kell haladnia a NVA, azt jelenti, hogy a NVA egyetlen meghibásodási pont a hálózaton.The fact that all network traffic must pass through the NVA means that the NVA is a single point of failure in the network. Ha az NVA leáll, akkor nincs más útvonal a hálózati forgalom számára, és a háttérbeli alhálózatok nem lesznek elérhetők.If the NVA fails, there is no other path for network traffic and all the back-end subnets are unavailable.

Az NVA magas rendelkezésre állásúvá tételéhez helyezzen üzembe több NVA-t egy rendelkezésre állási csoport részeként.To make an NVA highly available, deploy more than one NVA into an availability set.

A következő architektúrák bemutatják a magas rendelkezésre állású NVA-khoz szükséges erőforrásokat és konfigurációkat:The following architectures describe the resources and configuration necessary for highly available NVAs:

MegoldásSolution ElőnyökBenefits Megfontolandó szempontokConsiderations
Bejövő forgalom 7-es rétegű NVA-kkalIngress with layer 7 NVAs Minden NVA-csomópont aktív.All NVA nodes are active. Olyan NVA igényel, amely képes a kapcsolatok megszakítására és a SNAT használatára.Requires an NVA that can terminate connections and use SNAT.
A vállalati hálózatról/internetről és Azure Stack hub-ról érkező forgalomhoz külön NVA-készletre van szükség.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.
Csak Azure Stack hub-on kívülről származó forgalomhoz használható.Can only be used for traffic originating outside Azure Stack Hub.
Kimenő forgalom 7-es rétegű NVA-kkalEgress with layer 7 NVAs Minden NVA-csomópont aktív.All NVA nodes are active. Olyan NVA igényel, amely képes megszakítani a kapcsolatokat, és implementálja a forrás hálózati címfordítást (SNAT).Requires an NVA that can terminate connections and implements source network address translation (SNAT).
Bejövő és kimenő forgalom 7-es rétegű NVA-kkalIngress-Egress with layer 7 NVAs Minden csomópont aktív.All nodes are active.
Képes kezelni a forgalmat Azure Stack hub-ból.Able to handle traffic originated in Azure Stack Hub.
Olyan NVA igényel, amely képes a kapcsolatok megszakítására és a SNAT használatára.Requires an NVA that can terminate connections and use SNAT.
A vállalati hálózatról/internetről és Azure Stack hub-ról érkező forgalomhoz külön NVA-készletre van szükség.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.

Bejövő forgalom 7-es rétegű NVA-kkalIngress with layer 7 NVAs

Az alábbi ábra egy magas rendelkezésre állású architektúrát mutat be, amely egy internetkapcsolattal rendelkező terheléselosztó mögötti bejövő peremhálózati hálózatot valósít meg.The following figure shows a high availability architecture that implements an ingress perimeter network behind an internet-facing load balancer. Ez az architektúra úgy lett kialakítva, hogy kapcsolatot biztosítson Azure Stack hub munkaterhelésekkel a 7. rétegbeli forgalomhoz, például HTTP vagy HTTPS:This architecture is designed to provide connectivity to Azure Stack Hub workloads for layer 7 traffic, such as HTTP or HTTPS:

A Térkép leírásának automatikusan generált képernyőképe

Az ilyen architektúra előnye, hogy minden NVA aktív, és ha az egyik meghibásodik, akkor a terheléselosztó átirányítja a hálózati forgalmat egy másikra.The benefit of this architecture is that all NVAs are active, and if one fails the load balancer directs network traffic to the other NVA. Mindkét NVA a belső terheléselosztóra irányítja a forgalmat, így mindaddig, amíg egy NVA aktív, a forgalom nem akad el.Both NVAs route traffic to the internal load balancer so as long as one NVA is active, traffic continues to flow. Az NVA-knak le kell zárnia a webes szintű virtuális gépek felé tartó SSL-forgalmat.The NVAs are required to terminate SSL traffic intended for the web tier VMs. Ezek a NVA nem terjeszthetők ki a vállalati hálózati forgalom kezelésére, mert a vállalati hálózati forgalomhoz egy másik dedikált NVA-készletre van szükség a saját hálózati útvonalakkal.These NVAs cannot be extended to handle Enterprise Network traffic because Enterprise Network traffic requires another dedicated set of NVAs with their own network routes.

Kimenő forgalom 7-es rétegű NVA-kkalEgress with layer 7 NVAs

A 7. rétegbeli NVA architektúra kiterjeszthető, hogy kiterjeszthető peremhálózat legyen a Azure Stack hub számítási feladatból származó kérelmek számára.The Ingress with layer 7 NVAs architecture can be expanded to provide an egress perimeter network for requests originating in the Azure Stack Hub workload. A következő architektúra úgy lett kialakítva, hogy magas rendelkezésre állást biztosítson a peremhálózat NVA a 7. rétegbeli forgalomhoz, például HTTP vagy HTTPS:The following architecture is designed to provide high availability of the NVAs in the perimeter network for layer 7 traffic, such as HTTP or HTTPS:

A mobiltelefon-Leírás automatikusan generált képernyőképe

Ebben az architektúrában az Azure Stack hub-ból származó összes forgalmat egy belső terheléselosztó felé irányítja a rendszer.In this architecture, all traffic originating in Azure Stack Hub is routed to an internal load balancer. A terheléselosztó elosztja a kimenő kérelmeket egy NVA-készlet tagjai között.The load balancer distributes outgoing requests between a set of NVAs. Ezek az NVA-k az internetre irányítják a forgalmat saját nyilvános IP-címeik használatával.These NVAs direct traffic to the Internet using their individual public IP addresses.

Bejövő forgalom-kimenő forgalom 7. rétegbeli NVAIngress-egress with layer 7 NVAs

A két bejövő és kimenő architektúrában külön peremhálózati hálózat volt a bejövő és kimenő forgalomhoz.In the two ingress and egress architectures, there was a separate perimeter network for ingress and egress. A következő architektúra azt mutatja be, hogyan lehet létrehozni egy peremhálózati hálózatot, amely a 7. rétegbeli forgalom (például HTTP vagy HTTPS) esetében egyaránt használható a bejövő és kimenő forgalomhoz:The following architecture demonstrates how to create a perimeter network that can be used for both ingress and egress for layer 7 traffic, such as HTTP or HTTPS:

A közösségi média utáni Leírás automatikusan generált képernyőképe

A bejövő forgalomban a 7. rétegbeli NVA architektúrában a NVA a 7. rétegbeli Load Balancer beérkező kérelmeket dolgozza fel.In the Ingress-egress with layer 7 NVAs architecture, the NVAs process incoming requests from a Layer 7 Load Balancer. Az NVA-k a terheléselosztó háttérkészletében található, számítási feladatokat végző virtuális gépek kimenő kérelmeit is feldolgozzák.The NVAs also process outgoing requests from the workload VMs in the back-end pool of the load balancer. Mivel a bejövő forgalom egy 7. rétegbeli Load balancerrel van irányítva, és a kimenő forgalom egy SLB (Azure Stack hub alapszintű Load Balancer) van irányítva, a NVA a munkamenet-affinitás fenntartásáért felelősek.Because incoming traffic is routed with a layer 7 load balancer, and outgoing traffic is routed with an SLB (Azure Stack Hub Basic Load Balancer), the NVAs are responsible for maintaining session affinity. Ez azt a 7. rétegbeli terheléselosztó a bejövő és kimenő kérelmek leképezését is fenntartja, hogy a megfelelő választ továbbítsa az eredeti kérelmezőnek.That is, the layer 7 load balancer maintains a mapping of inbound and outbound requests so it can forward the correct response to the original requestor. A belső terheléselosztó azonban nem fér hozzá a 7. rétegbeli terheléselosztó-hozzárendelésekhez, és a saját logikával küldi el a válaszokat a NVA.However, the internal load balancer doesn't have access to the layer 7 load balancer mappings, and uses its own logic to send responses to the NVAs. Lehetséges, hogy a terheléselosztó választ küldhet egy olyan NVA, amely eredetileg nem kapta meg a kérelmet a 7. rétegbeli terheléselosztótól.It's possible the load balancer could send a response to an NVA that did not initially receive the request from the layer 7 load balancer. Ebben az esetben a NVA kommunikálni kell, és át kell adni a választ, hogy a megfelelő NVA továbbítsa a választ a 7. rétegbeli terheléselosztó számára.In this case, the NVAs must communicate and transfer the response between them so the correct NVA can forward the response to the layer 7 load balancer.

Megjegyzés

Úgy is megoldhatja az aszimmetrikus útvonal-választási problémát, ha gondoskodik róla, hogy az NVA-k bejövő forráshálózati címfordítást (SNAT) végezzenek.You can also solve the asymmetric routing issue by ensuring the NVAs perform inbound source network address translation (SNAT). Ez lecserélné a kérelmező eredeti forrás IP-címét az NVA által a bejövő adatfolyamon használt IP-címeinek egyikével.This would replace the original source IP of the requestor to one of the IP addresses of the NVA used on the inbound flow. Így gondoskodni lehet róla, hogy több NVA is használható legyen egyszerre az útvonal szimmetriájának megőrzése mellett.This ensures that you can use multiple NVAs at a time, while preserving the route symmetry.

Következő lépésekNext steps