Distribuire appliance virtuali di rete a disponibilità elevata nell'hub di Azure Stack
Questo articolo illustra come distribuire un set di appliance virtuali di rete per la disponibilità elevata nell'hub di Azure Stack. L'appliance virtuale di rete è in genere usata per controllare il flusso del traffico di rete da una rete perimetrale in altre reti o subnet. L'articolo include le architetture di esempio solo per i dati in ingresso, solo per i dati in uscita e per i dati in ingresso e in uscita.
In Azure Stack Hub Marketplace sono disponibili appliance virtuali di rete di diversi fornitori, usarle per ottenere prestazioni ottimali.
L'architettura include i componenti indicati di seguito.
Rete e bilanciamento del carico
Rete virtuale e subnet. Ogni macchina virtuale di Azure viene distribuita in una rete virtuale che può essere segmentata in subnet. Creare una subnet separata per ogni livello.
Load Balancer di livello 7. Poiché gateway applicazione non è ancora disponibile nell'hub di Azure Stack, sono disponibili alternative sul mercato dell'hub di Azure Stack, ad esempio: KEMP LoadMaster Load Balancer commutatore/ di contenuto ADCf5 Big-IP Virtual Edition o A10 vThunder ADC
Servizi di bilanciamento del carico. Usare Azure Load Balancer per distribuire il traffico di rete dal livello Web al livello business e dal livello business al SQL Server.
Gruppi di sicurezza di rete.Network Security Groups (NSG). Usare i gruppi di sicurezza di rete per limitare il traffico di rete all'interno della rete virtuale. Nell'architettura a tre livelli illustrata di seguito, ad esempio, il livello di database non accetta il traffico dal front-end Web, solo dal livello business e dalla subnet di gestione.
Route definite dall'utente. Usare route definite dall'utente per instradare il traffico al servizio di bilanciamento del carico specifico.
Questo articolo presuppone una conoscenza di base della rete dell'hub di Azure Stack.
Diagrammi dell'architettura
Un'appliance virtuale di rete può essere distribuita in una rete perimetrale in molte architetture diverse. Ad esempio, la figura seguente illustra l'uso di una singola appliance virtuale di rete per i dati in ingresso.
In questa architettura l'appliance virtuale di rete costituisce un limite di rete protetta tramite il controllo di tutto il traffico di rete in ingresso e in uscita e il passaggio del solo traffico che soddisfa le regole di sicurezza di rete. Il fatto che tutto il traffico di rete deve passare attraverso l'appliance virtuale di rete significa che l'appliance virtuale di rete è un singolo punto di errore nella rete. In caso di errore dell'appliance virtuale di rete, non c'è un altro percorso per il traffico di rete e tutte le subnet di back-end non sono disponibili.
Per rendere un'appliance virtuale di rete altamente disponibile, distribuire più appliance virtuali di rete in un set di disponibilità.
Le architetture seguenti descrivono le risorse e la configurazione necessarie per le appliance virtuali di rete a disponibilità elevata:
| Soluzione | Vantaggi | Considerazioni |
|---|---|---|
| Dati in ingresso con appliance virtuali di rete di livello 7 | Tutti i nodi dell'appliance virtuale di rete sono attivi. | Richiede un'appliance virtuale di rete che può terminare le connessioni e usare SNAT. Richiede un set separato di appliance virtuali di rete per il traffico proveniente dalla rete aziendale/Da Internet e dall'hub di Azure Stack. Può essere usato solo per il traffico proveniente dall'hub di Azure Stack. |
| Dati in uscita con appliance virtuali di rete di livello 7 | Tutti i nodi dell'appliance virtuale di rete sono attivi. | Richiede un'appliance virtuale di rete in grado di terminare le connessioni e implementare la conversione degli indirizzi di rete di origine (SNAT). |
| Ingress-Egress con appliance virtuali di rete di livello 7 | Tutti i nodi sono attivi. In grado di gestire il traffico originato nell'hub di Azure Stack. |
Richiede un'appliance virtuale di rete che può terminare le connessioni e usare SNAT. Richiede un set separato di appliance virtuali di rete per il traffico proveniente dalla rete aziendale/Da Internet e dall'hub di Azure Stack. |
Dati in ingresso con appliance virtuali di rete di livello 7
La figura seguente illustra un'architettura a disponibilità elevata che implementa una rete perimetrale in ingresso dietro un servizio di bilanciamento del carico con connessione Internet. Questa architettura è progettata per fornire connettività ai carichi di lavoro dell'hub di Azure Stack per il traffico di livello 7, ad esempio HTTP o HTTPS:
Il vantaggio di questa architettura è che tutte le appliance virtuali di rete sono attive e se una di queste ha esito negativo il servizio di bilanciamento del carico indirizza il traffico di rete a un'altra appliance virtuale di rete. Entrambe le appliance virtuali di rete indirizzano il traffico al servizio di bilanciamento del carico interno quindi fino a quando un'appliance virtuale di rete è attiva, il traffico continua a fluire. Le appliance virtuali di rete devono interrompere il traffico SSL previsto per le macchine virtuali di livello Web. Queste appliance virtuali di rete non possono essere estese per gestire il traffico di rete aziendale perché il traffico di rete aziendale richiede un altro set dedicato di appliance virtuali di rete con le proprie route di rete.
Dati in uscita con appliance virtuali di rete di livello 7
L'architettura in ingresso con appliance virtuali di rete di livello 7 può essere espansa per fornire una rete perimetrale in uscita per le richieste provenienti dal carico di lavoro dell'hub di Azure Stack. L'architettura seguente è progettata per offrire disponibilità elevata delle appliance virtuali di rete nella rete perimetrale per il traffico di livello 7, ad esempio HTTP o HTTPS:
In questa architettura tutto il traffico proveniente dall'hub di Azure Stack viene instradato a un servizio di bilanciamento del carico interno. Il servizio di bilanciamento del carico distribuisce le richieste in uscita tra un set di appliance virtuali di rete. Le appliance virtuali di rete indirizzano il traffico a Internet usando i singoli indirizzi IP pubblici.
Dati in ingresso e in uscita con appliance virtuali di rete di livello 7
Nelle due architetture in ingresso e in uscita era presente una rete perimetrale separata per l'ingresso e l'uscita. L'architettura seguente illustra come creare una rete perimetrale che può essere usata sia per l'ingresso che per il traffico in uscita per il traffico di livello 7, ad esempio HTTP o HTTPS:
Nell'architettura Ingress-egress con architettura NVA di livello 7, le appliance virtuali di rete elaborano le richieste in ingresso da un Load Balancer di livello 7. Le appliance virtuali di rete elaborano anche le richieste in uscita dalle macchine virtuali del carico di lavoro nel pool back-end del servizio di bilanciamento del carico. Poiché il traffico in ingresso viene instradato con un servizio di bilanciamento del carico di livello 7 e il traffico in uscita viene instradato con un servizio di bilanciamento del carico software (hub di Azure Stack Basic Load Balancer), le appliance virtuali di rete sono responsabili della gestione dell'affinità di sessione. Ovvero, il servizio di bilanciamento del carico di livello 7 gestisce un mapping delle richieste in ingresso e in uscita in modo che possa inoltrare la risposta corretta al richiedente originale. Tuttavia, il servizio di bilanciamento del carico interno non ha accesso ai mapping del servizio di bilanciamento del carico di livello 7 e usa la propria logica per inviare risposte alle appliance virtuali di rete. È possibile che il servizio di bilanciamento del carico possa inviare una risposta a un'appliance virtuale di rete che inizialmente non ha ricevuto la richiesta dal servizio di bilanciamento del carico di livello 7. In questo caso, le appliance virtuali di rete devono comunicare e trasferire la risposta tra di esse, in modo che l'appliance virtuale di rete corretta possa inoltrare la risposta al servizio di bilanciamento del carico di livello 7.
Nota
È anche possibile risolvere il problema di routing asimmetrico garantendo che le appliance virtuali di rete eseguano SNAt. In questo modo l'IP dell'origine iniziale del richiedente sostituisce uno degli indirizzi IP dell'appliance virtuale di rete usato nel flusso in ingresso. Questo garantisce la possibilità di usare più appliance virtuali di rete contemporaneamente, preservando la simmetria di route.
Passaggi successivi
- Per altre informazioni sulle macchine virtuali dell'hub di Azure Stack, vedere Funzionalità delle macchine virtuali dell'hub di Azure Stack.
- Per altre informazioni sui modelli cloud di Azure, vedere Modelli di progettazione cloud.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per