Menyebarkan appliance virtual jaringan dengan high availibility di Azure Stack Hub

Artikel ini menunjukkan cara menyebarkan satu set appliance virtual jaringan (NVA) untuk high availability di Azure Stack Hub. NVA biasanya digunakan untuk mengontrol aliran lalu lintas jaringan dari jaringan perimeter, juga dikenal sebagai DMZ, ke jaringan atau subnet lain. Artikel ini mencakup contoh arsitektur untuk ingress saja, egress saja, dan baik ingress dan egress.

Terdapat NVA dari berbagai vendor yang tersedia di Azure Stack Hub Marketplace, gunakan salah satunya untuk performa optimal.

Arsitektur memiliki komponen-komponen berikut.

Jaringan dan penyeimbangan beban

  • Jaringan virtual dan subnet. Setiap Azure VM disebarkan ke jaringan virtual yang dapat disegmentasi menjadi subnet. Buat subnet terpisah untuk setiap tingkat.

  • Load Balancer Lapisan 7. Karena Application Gateway belum tersedia di Azure Stack Hub, terdapat alternatif yang tersedia di Marketplace Azure Stack Hub seperti: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition atau A10 vThunder ADC

  • Load balancer. Gunakan Azure Load Balancer untuk mendistribusikan lalu lintas dari tingkat web ke tingkat bisnis, dan dari tingkat bisnis ke SQL Server.

  • Kelompok keamanan jaringan (NSG). Gunakan NSG untuk membatasi lalu lintas jaringan dalam jaringan virtual. Misalnya, dalam arsitektur tiga tingkat yang ditunjukkan di sini, tingkat database tidak menerima lalu lintas dari front-end web, hanya dari tingkat bisnis dan subnet manajemen.

  • UDR. Gunakan rute yang ditentukan pengguna (UDR) untuk merutekan lalu lintas ke penyeimbang beban tertentu.

Artikel ini mengharuskan adanya pemahaman dasar tentang jaringan Azure Stack Hub.

Diagram arsitektur

NVA dapat disebarkan ke jaringan sekitar dalam berbagai arsitektur. Misalnya, gambar berikut mengilustrasikan penggunaan NVA tunggal untuk jalur masuk.

Screenshot that shows the use of a single NVA for ingress.

Dalam arsitektur ini, NVA menyediakan batas jaringan yang aman dengan memeriksa semua lalu lintas jaringan masuk dan keluar, dan hanya melewati lalu lintas yang memenuhi aturan keamanan jaringan. Fakta bahwa semua lalu lintas harus melewati NVA berarti bahwa NVA adalah titik tunggal kegagalan dalam jaringan. Jika NVA gagal, tidak ada jalur lain untuk lalu lintas jaringan dan semua subnet backend tidak tersedia.

Untuk membuat ketersediaan tinggi NVA, sebarkan lebih dari satu NVA ke dalam satu set ketersediaan.

Arsitektur berikut menjelaskan sumber daya dan konfigurasi yang diperlukan untuk NVA yang sangat tersedia:

Solusi Keuntungan Pertimbangan
Ingress dengan NVA lapisan 7 Semua node NVA aktif. Memerlukan NVA yang dapat mengakhiri koneksi dan menggunakan SNAT.
Memerlukan satu set NVA terpisah untuk lalu lintas yang berasal dari Internet/Jaringan Perusahaan dan dari Azure Stack Hub.
Hanya dapat digunakan untuk lalu lintas yang berasal dari luar Azure Stack Hub.
Egress dengan NVA lapisan 7 Semua node NVA aktif. Memerlukan NVA yang dapat mengakhiri koneksi dan mengimplementasikan Source Network Address Translation (SNAT).
Ingress-Egress dengan NVA lapisan 7 Semua node aktif.
Mampu menangani lalu lintas yang berasal dari Azure Stack Hub.
Memerlukan NVA yang dapat mengakhiri koneksi dan menggunakan SNAT.
Memerlukan satu set NVA terpisah untuk lalu lintas yang berasal dari Internet/Jaringan Perusahaan dan dari Azure Stack Hub.

Ingress dengan NVA lapisan 7

Gambar berikut menunjukkan arsitektur high availability yang mengimplementasikan jaringan sekitar masuk di balik penyeimbang beban yang tersambung ke internet. Arsitektur ini dirancang untuk menyediakan konektivitas ke beban kerja Azure Stack Hub untuk lalu lintas lapisan 7, seperti HTTP atau HTTPS:

A screenshot of a map Description automatically generated

Manfaat dari arsitektur ini adalah membuat semua NVA aktif, dan jika salah satu gagal, penyeimbang beban mengarahkan lalu lintas jaringan ke NVA lainnya. Kedua NVA merutekan lalu lintas ke penyeimbang beban internal sehingga selama satu NVA aktif, lalu lintas terus mengalir. NVA diperlukan untuk mengakhiri lalu lintas SSL yang ditujukan untuk VM tingkat web. Kemampuan NVA ini tidak dapat diperluas untuk menangani lalu lintas Jaringan Perusahaan karena lalu lintas Jaringan Perusahaan memerlukan satu set NVA khusus lainnya dengan rute jaringannya sendiri.

Egress dengan NVA lapisan 7

Jalur Masuk dengan arsitektur NVA lapisan 7 dapat diperluas untuk menyediakan jaringan sekitar keluar untuk permintaan yang berasal dari beban kerja Azure Stack Hub. Arsitektur berikut dirancang untuk menyediakan NVA dengan high availability di jaringan sekitar untuk lalu lintas lapisan 7, seperti HTTP atau HTTPS:

A screenshot of a cell phone Description automatically generated

Dalam arsitektur ini, semua lalu lintas yang berasal dari Azure Stack Hub dirutekan ke penyeimbang beban internal. Penyeimbang beban mendistribusikan permintaan keluar antara satu set NVA. NVA ini mengarahkan lalu lintas ke internet menggunakan alamat IP publik masing-masing.

Arsitektur masuk-keluar dengan NVA lapisan 7

Dalam dua arsitektur masuk dan keluar, ada jaringan sekitar terpisah untuk masuk dan keluar. Arsitektur berikut menunjukkan cara membuat jaringan sekitar yang dapat digunakan untuk masuk dan keluar pada lalu lintas lapisan 7, seperti HTTP atau HTTPS:

A screenshot of a social media post Description automatically generated

Dalam Masuk-keluar dengan arsitektur NVA lapisan 7, NVA memproses permintaan masuk dari Load Balancer Lapisan 7. NVA juga memproses permintaan keluar dari VM beban kerja di kumpulan backend penyeimbang beban. Karena lalu lintas masuk dirutekan dengan penyeimbang beban lapisan 7, dan lalu lintas keluar dirutekan dengan SLB (Azure Stack Hub Basic Load Balancer), NVA bertanggung jawab untuk mempertahankan afinitas sesi. Artinya, penyeimbang beban lapisan 7 mempertahankan pemetaan permintaan masuk dan keluar sehingga dapat meneruskan respons yang benar ke pemohon asli. Namun, penyeimbang beban internal tidak memiliki akses ke pemetaan penyeimbang beban lapisan 7, dan menggunakan logikanya sendiri untuk mengirimkan respons ke NVA. Ada kemungkinan penyeimbang beban dapat mengirimkan respons ke NVA yang awalnya tidak menerima permintaan dari penyeimbang beban lapisan 7. Dalam hal ini, NVA harus berkomunikasi dan mentransfer respons di antara keduanya sehingga NVA yang benar dapat meneruskan respons ke penyeimbang beban lapisan 7.

Catatan

Anda juga dapat menyelesaikan masalah perutean asimetris dengan memastikan NVA melakukan terjemahan alamat jaringan sumber masuk (SNAT). Ini akan menggantikan IP sumber asli pemohon ke salah satu alamat IP NVA yang digunakan pada alur masuk. Ini memastikan bahwa Anda dapat menggunakan beberapa NVA sekaligus, sambil mempertahankan simetri rute.

Langkah berikutnya