Distribuire appliance virtuali di rete a disponibilità elevata nell'hub Azure StackDeploy highly available network virtual appliances on Azure Stack Hub

Questo articolo illustra come distribuire un set di appliance virtuali di rete (appliance virtuali) per la disponibilità elevata nell'hub Azure Stack.This article shows you how to deploy a set of network virtual appliances (NVAs) for high availability in Azure Stack Hub. L'appliance virtuale di rete è in genere usata per controllare il flusso del traffico di rete da una rete perimetrale in altre reti o subnet.An NVA is typically used to control the flow of network traffic from a perimeter network, also known as a DMZ, to other networks or subnets. L'articolo include le architetture di esempio solo per i dati in ingresso, solo per i dati in uscita e per i dati in ingresso e in uscita.The article includes example architectures for ingress only, egress only, and both ingress and egress.

Nel Marketplace Azure stack Hubsono disponibili appliance virtuali di fornitori diversi. per ottenere prestazioni ottimali, usare uno di essi.There are NVAs from different vendors available on Azure Stack Hub Marketplace, use one of them for optimal performance.

L'architettura include i componenti indicati di seguito.The architecture has the following components.

Rete e bilanciamento del caricoNetworking and load balancing

  • Rete virtuale e subnet.Virtual network and subnets. Ogni macchina virtuale di Azure viene distribuita in una rete virtuale che può essere segmentata in subnet.Every Azure VM is deployed into a virtual network that can be segmented into subnets. Creare una subnet separata per ogni livello.Create a separate subnet for each tier.

  • Load Balancer di livello 7.Layer 7 Load Balancer. Poiché il gateway applicazione non è ancora disponibile nell'hub Azure stack, sono disponibili alternative sul mercato dell'hub Azure stack , ad esempio: KEMP LoadMaster Load Balancer l'opzione di contenuto ADC / F5 Big-IP Virtual Edition o a10 vThunder ADCAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • Bilanciamento del carico.Load balancers. Usare Azure Load Balancerper distribuire il traffico di rete dal livello Web al livello business e dal livello business al SQL Server.Use Azure Load Balancerto distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Gruppi di sicurezza di rete (gruppi).Network security groups (NSGs). Usare gruppi per limitare il traffico di rete all'interno della rete virtuale.Use NSGs to restrict network traffic within the virtual network. Ad esempio, nell'architettura a tre livelli illustrata di seguito, il livello del database non accetta traffico dal front-end Web, solo dal livello business e dalla subnet di gestione.For example, in the three-tier architecture shown here, the database tier doesn't accept traffic from the web front end, only from the business tier and the management subnet.

  • UdR.UDRs. Usare le route definite dall'utente (UDR) per instradare il traffico al servizio di bilanciamento del carico specifico.Use user-defined routes (UDRs) to route traffic to the specific load balancer.

Questo articolo presuppone una conoscenza di base della rete Azure Stack Hub.This article assumes a basic understanding of Azure Stack Hub networking.

Diagrammi dell'architetturaArchitecture diagrams

Un appliance virtuale di rete può essere distribuito in una rete perimetrale in molte architetture diverse.An NVA can be deployed to a perimeter network in many different architectures. Ad esempio, la figura seguente illustra l'uso di una singola appliance virtuale di rete per i dati in ingresso.For example, the following figure illustrates the use of a single NVA for ingress.

Screenshot che illustra l'uso di una singola appliance virtuale di dispositivo per il traffico in ingresso.

In questa architettura l'appliance virtuale di rete costituisce un limite di rete protetta tramite il controllo di tutto il traffico di rete in ingresso e in uscita e il passaggio del solo traffico che soddisfa le regole di sicurezza di rete.In this architecture, the NVA provides a secure network boundary by checking all inbound and outbound network traffic and passing only the traffic that meets network security rules. Il fatto che tutto il traffico di rete debba passare attraverso l'appliance virtuale di rete indica che l'appliance virtuale di rete è un singolo punto di errore nella rete.The fact that all network traffic must pass through the NVA means that the NVA is a single point of failure in the network. In caso di errore dell'appliance virtuale di rete, non c'è un altro percorso per il traffico di rete e tutte le subnet di back-end non sono disponibili.If the NVA fails, there is no other path for network traffic and all the back-end subnets are unavailable.

Per rendere un'appliance virtuale di rete altamente disponibile, distribuire più appliance virtuali di rete in un set di disponibilità.To make an NVA highly available, deploy more than one NVA into an availability set.

Le architetture seguenti descrivono le risorse e la configurazione necessarie per le appliance virtuali di rete a disponibilità elevata:The following architectures describe the resources and configuration necessary for highly available NVAs:

SoluzioneSolution VantaggiBenefits ConsiderazioniConsiderations
Dati in ingresso con appliance virtuali di rete di livello 7Ingress with layer 7 NVAs Tutti i nodi NVA sono attivi.All NVA nodes are active. Richiede un appliance virtuale di virtualizzazione che può terminare le connessioni e usare SNAT.Requires an NVA that can terminate connections and use SNAT.
Richiede un set separato di appliance virtuali per il traffico proveniente dalla rete aziendale/Internet e dall'hub Azure Stack.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.
Può essere usato solo per il traffico proveniente dall'esterno Azure Stack Hub.Can only be used for traffic originating outside Azure Stack Hub.
Dati in uscita con appliance virtuali di rete di livello 7Egress with layer 7 NVAs Tutti i nodi NVA sono attivi.All NVA nodes are active. Richiede un appliance virtuale di dispositivo che può terminare le connessioni e implementare Network Address Translation di origine (SNAT).Requires an NVA that can terminate connections and implements source network address translation (SNAT).
Ingress-Egress con livello 7 appliance virtualiIngress-Egress with layer 7 NVAs Tutti i nodi sono attivi.All nodes are active.
In grado di gestire il traffico originato nell'hub Azure Stack.Able to handle traffic originated in Azure Stack Hub.
Richiede un appliance virtuale di virtualizzazione che può terminare le connessioni e usare SNAT.Requires an NVA that can terminate connections and use SNAT.
Richiede un set separato di appliance virtuali per il traffico proveniente dalla rete aziendale/Internet e dall'hub Azure Stack.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.

Dati in ingresso con appliance virtuali di rete di livello 7Ingress with layer 7 NVAs

La figura seguente illustra un'architettura a disponibilità elevata che implementa una rete perimetrale in ingresso dietro un servizio di bilanciamento del carico con connessione Internet.The following figure shows a high availability architecture that implements an ingress perimeter network behind an internet-facing load balancer. Questa architettura è progettata per fornire connettività ai carichi di lavoro di Azure Stack hub per il traffico di livello 7, ad esempio HTTP o HTTPS:This architecture is designed to provide connectivity to Azure Stack Hub workloads for layer 7 traffic, such as HTTP or HTTPS:

Screenshot di una descrizione della mappa generata automaticamente

Il vantaggio di questa architettura è che tutte le appliance virtuali di rete sono attive e se una di queste ha esito negativo il servizio di bilanciamento del carico indirizza il traffico di rete a un'altra appliance virtuale di rete.The benefit of this architecture is that all NVAs are active, and if one fails the load balancer directs network traffic to the other NVA. Entrambe le appliance virtuali di rete indirizzano il traffico al servizio di bilanciamento del carico interno quindi fino a quando un'appliance virtuale di rete è attiva, il traffico continua a fluire.Both NVAs route traffic to the internal load balancer so as long as one NVA is active, traffic continues to flow. Le appliance virtuali di rete devono interrompere il traffico SSL previsto per le macchine virtuali di livello Web.The NVAs are required to terminate SSL traffic intended for the web tier VMs. Questi appliance virtuali non possono essere estesi per gestire il traffico di rete aziendale perché il traffico di rete aziendale richiede un altro set dedicato di appliance virtuali con le proprie route di rete.These NVAs cannot be extended to handle Enterprise Network traffic because Enterprise Network traffic requires another dedicated set of NVAs with their own network routes.

Dati in uscita con appliance virtuali di rete di livello 7Egress with layer 7 NVAs

Il traffico in ingresso con l'architettura di livello 7 appliance virtuali può essere espanso per fornire una rete perimetrale in uscita per le richieste provenienti dal carico di lavoro dell'hub Azure Stack.The Ingress with layer 7 NVAs architecture can be expanded to provide an egress perimeter network for requests originating in the Azure Stack Hub workload. L'architettura seguente è progettata per garantire la disponibilità elevata di appliance virtuali nella rete perimetrale per il traffico di livello 7, ad esempio HTTP o HTTPS:The following architecture is designed to provide high availability of the NVAs in the perimeter network for layer 7 traffic, such as HTTP or HTTPS:

Screenshot di una descrizione del telefono cellulare generata automaticamente

In questa architettura tutto il traffico originato nell'hub Azure Stack viene indirizzato a un servizio di bilanciamento del carico interno.In this architecture, all traffic originating in Azure Stack Hub is routed to an internal load balancer. Il servizio di bilanciamento del carico distribuisce le richieste in uscita tra un set di appliance virtuali di rete.The load balancer distributes outgoing requests between a set of NVAs. Le appliance virtuali di rete indirizzano il traffico a Internet usando i singoli indirizzi IP pubblici.These NVAs direct traffic to the Internet using their individual public IP addresses.

Ingresso in uscita con livello 7 appliance virtualiIngress-egress with layer 7 NVAs

Nelle due architetture in ingresso e in uscita, era presente una rete perimetrale separata per il traffico in ingresso e in uscita.In the two ingress and egress architectures, there was a separate perimeter network for ingress and egress. L'architettura seguente illustra come creare una rete perimetrale che può essere usata sia in ingresso che in uscita per il traffico di livello 7, ad esempio HTTP o HTTPS:The following architecture demonstrates how to create a perimeter network that can be used for both ingress and egress for layer 7 traffic, such as HTTP or HTTPS:

Screenshot di una descrizione post di social media generata automaticamente

Nell'architettura di ingresso in uscita con appliance virtuali di livello 7 il appliance virtuali elabora le richieste in ingresso da un Load Balancer di livello 7.In the Ingress-egress with layer 7 NVAs architecture, the NVAs process incoming requests from a Layer 7 Load Balancer. Le appliance virtuali di rete elaborano anche le richieste in uscita dalle macchine virtuali del carico di lavoro nel pool back-end del servizio di bilanciamento del carico.The NVAs also process outgoing requests from the workload VMs in the back-end pool of the load balancer. Poiché il traffico in ingresso viene instradato con un servizio di bilanciamento del carico di livello 7 e il traffico in uscita viene indirizzato con un SLB (Azure Stack Load Balancer Basic Hub), il appliance virtuali è responsabile della gestione dell'affinità di sessione.Because incoming traffic is routed with a layer 7 load balancer, and outgoing traffic is routed with an SLB (Azure Stack Hub Basic Load Balancer), the NVAs are responsible for maintaining session affinity. Ovvero, il servizio di bilanciamento del carico di livello 7 gestisce un mapping delle richieste in ingresso e in uscita in modo da poter inviare la risposta corretta al richiedente originale.That is, the layer 7 load balancer maintains a mapping of inbound and outbound requests so it can forward the correct response to the original requestor. Tuttavia, il servizio di bilanciamento del carico interno non ha accesso ai mapping del servizio di bilanciamento del carico di livello 7 e usa la propria logica per inviare risposte a appliance virtuali.However, the internal load balancer doesn't have access to the layer 7 load balancer mappings, and uses its own logic to send responses to the NVAs. È possibile che il servizio di bilanciamento del carico invii una risposta a un appliance virtuale di dispositivo che inizialmente non ha ricevuto la richiesta dal servizio di bilanciamento del carico di livello 7.It's possible the load balancer could send a response to an NVA that did not initially receive the request from the layer 7 load balancer. In questo caso, il appliance virtuali deve comunicare e trasferire la risposta tra di essi, in modo che l'appliance virtuale di dispositivo corretta possa inviare la risposta al servizio di bilanciamento del carico di livello 7.In this case, the NVAs must communicate and transfer the response between them so the correct NVA can forward the response to the layer 7 load balancer.

Nota

È anche possibile risolvere il problema di routing asimmetrico garantendo che le appliance virtuali di rete eseguano SNAt.You can also solve the asymmetric routing issue by ensuring the NVAs perform inbound source network address translation (SNAT). In questo modo l'IP dell'origine iniziale del richiedente sostituisce uno degli indirizzi IP dell'appliance virtuale di rete usato nel flusso in ingresso.This would replace the original source IP of the requestor to one of the IP addresses of the NVA used on the inbound flow. Questo garantisce la possibilità di usare più appliance virtuali di rete contemporaneamente, preservando la simmetria di route.This ensures that you can use multiple NVAs at a time, while preserving the route symmetry.

Passaggi successiviNext steps