Controleer het netwerkreferentiepatroon voor niet-geconvergeerde implementaties met twee knooppunten voor Azure Stack HCI

  • Artikel

Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2

In dit artikel krijgt u meer informatie over het netwerkreferentiepatroon voor twee knooppunten voor opslaggeschakelde, niet-geconvergeerde twee-TOR-switches dat u kunt gebruiken om uw Azure Stack HCI-oplossing te implementeren. De informatie in dit artikel helpt u ook te bepalen of deze configuratie geschikt is voor uw implementatieplanningsbehoeften. Dit artikel is gericht op de IT-beheerders die Azure Stack HCI implementeren en beheren in hun datacenters.

Zie Azure Stack HCI-netwerkimplementatiepatronen voor meer informatie over andere netwerkpatronen.

Scenario's

Scenario's voor dit netwerkpatroon zijn laboratoria, fabrieken, filialen en datacenterfaciliteiten.

Implementeer dit patroon voor verbeterde netwerkprestaties van uw systeem en als u van plan bent extra knooppunten toe te voegen. East-West replicatie van opslagverkeer heeft geen invloed op of concurreert niet met noord-zuidverkeer dat is toegewezen voor beheer en berekening. Logische netwerkconfiguratie bij het toevoegen van extra knooppunten is gereed zonder downtime van de workload of wijzigingen in fysieke verbindingen. SDN L3-services worden volledig ondersteund op dit patroon.

Routeringsservices zoals BGP kunnen rechtstreeks op de TOR-switches worden geconfigureerd als ze L3-services ondersteunen. Netwerkbeveiligingsfuncties zoals microsegmentatie en QoS vereisen geen extra configuratie op het firewallapparaat, omdat ze zijn geïmplementeerd op de laag van de virtuele netwerkadapter.

Fysieke connectiviteitsonderdelen

Zoals beschreven in het onderstaande diagram, heeft dit patroon de volgende fysieke netwerkonderdelen:

  • Voor noord- en zuidwaarts verkeer wordt het cluster in dit patroon geïmplementeerd met twee TOR-switches in MLAG-configuratie.

  • Twee gekoppelde netwerkkaarten voor het afhandelen van beheer- en rekenverkeer dat is verbonden met twee TOR-switches. Elke NIC is verbonden met een andere TOR-switch.

  • Twee RDMA-NIC's in zelfstandige configuratie. Elke NIC is verbonden met een andere TOR-switch. De SMB-mogelijkheid voor meerdere kanalen biedt padaggregatie en fouttolerantie.

  • Als optie kunnen implementaties een BMC-kaart bevatten om extern beheer van de omgeving mogelijk te maken. Sommige oplossingen kunnen voor beveiligingsdoeleinden gebruikmaken van een configuratie zonder hoofd zonder BMC-kaart.

Diagram met de indeling voor schakelloze fysieke connectiviteit met twee knooppunten.

Netwerken Beheer en rekenkracht Storage BMC
Koppelingssnelheid Ten minste 1 Gbps. 10 Gbps aanbevolen Ten minste 10 Gbps Neem contact op met de hardwarefabrikant
Interfacetype RJ45, SFP+ of SFP28 SFP+ of SFP28 RJ45
Poorten en aggregatie Twee gekoppelde poorten Twee zelfstandige poorten Eén poort

Netwerk-ATC-intenties

Diagram met twee knooppunten switchloze netwerk-ATC-intenties

Beheer- en rekenintentie

  • Intentietype: Beheer en berekening
  • Intentiemodus: Clustermodus
  • Team: Ja. pNIC01 en pNIC02 zijn gekoppeld
  • Standaardbeheer-VLAN: geconfigureerdE VLAN voor beheeradapters wordt niet gewijzigd
  • PA & VLAN's en vNIC's berekenen: netwerk-ATC's is transparant voor PA-vNIC's en VLAN's of reken-VM-vNIC's en VLAN's

Opslagintentie

  • Intentietype: Opslag
  • Intentiemodus: clustermodus
  • Teaming: pNIC03 en pNIC04 gebruiken SMB meerdere kanalen om tolerantie en bandbreedteaggregatie te bieden
  • Standaard-VLAN's:
    • 711 voor opslagnetwerk 1
    • 712 voor opslagnetwerk 2
  • Standaardsubnetten:
    • 10.71.1.0/24 voor opslagnetwerk 1
    • 10.71.2.0/24 voor opslagnetwerk 2

Volg deze stappen om netwerkintenties te maken voor dit referentiepatroon:

  1. Voer PowerShell uit als beheerder.

  2. Voer de volgende opdrachten uit:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

Onderdelen van logische connectiviteit

Zoals geïllustreerd in het onderstaande diagram, heeft dit patroon de volgende logische netwerkonderdelen:

Diagram met de indeling voor fysieke connectiviteit met twee knooppunten.

VLAN's voor opslagnetwerk

Het op opslagintensies gebaseerde verkeer bestaat uit twee afzonderlijke netwerken die RDMA-verkeer ondersteunen. Elke interface is toegewezen aan een afzonderlijk opslagnetwerk en beide kunnen dezelfde VLAN-tag gebruiken.

De opslagadapters werken in verschillende IP-subnetten. Elk opslagnetwerk maakt standaard gebruik van de vooraf gedefinieerde ATC-VLAN's (711 en 712). Deze VLAN's kunnen echter zo nodig worden aangepast. Als het standaardsubnet dat is gedefinieerd door ATC niet bruikbaar is, bent u bovendien verantwoordelijk voor het toewijzen van alle OPSLAG-IP-adressen in het cluster.

Zie Network ATC overview (Overzicht van Netwerk ATC) voor meer informatie.

OOB-netwerk

Het OOB-netwerk (Out of Band) is bedoeld voor de ondersteuning van de 'lights-out'-serverbeheerinterface, ook wel bekend als de baseboard management controller (BMC). Elke BMC-interface maakt verbinding met een door de klant geleverde switch. De BMC wordt gebruikt voor het automatiseren van PXE-opstartscenario's.

Het beheernetwerk vereist toegang tot de BMC-interface via IPMI-poort 623 (Intelligent Platform Management Interface) User Datagram Protocol (UDP).

Het OOB-netwerk is geïsoleerd van rekenworkloads en is optioneel voor niet-oplossingsgebaseerde implementaties.

Beheer-VLAN

Alle fysieke rekenhosts vereisen toegang tot het logische beheernetwerk. Voor het plannen van IP-adressen moet aan elke fysieke rekenhost ten minste één IP-adres zijn toegewezen vanuit het logische beheernetwerk.

Een DHCP-server kan automatisch IP-adressen toewijzen voor het beheernetwerk of u kunt handmatig statische IP-adressen toewijzen. Wanneer DHCP de voorkeursmethode voor IP-toewijzing is, raden we u aan DHCP-reserveringen zonder verlooptijd te gebruiken.

Het beheernetwerk ondersteunt de volgende VLAN-configuraties:

  • Systeemeigen VLAN : u hoeft geen VLAN-id's op te geven. Dit is vereist voor op oplossingen gebaseerde installaties.

  • VLAN met label : u levert VLAN-id's op het moment van implementatie.

Het beheernetwerk ondersteunt al het verkeer dat wordt gebruikt voor het beheer van het cluster, waaronder Extern bureaublad, Windows Admin Center en Active Directory.

Zie Een SDN-infrastructuur plannen: beheer en HNV-provider voor meer informatie.

VLAN's berekenen

In sommige scenario's hoeft u virtuele NETWERKEN van SDN met VXLAN-inkapseling (Virtual Extensible LAN) niet te gebruiken. In plaats daarvan kunt u traditionele VLAN's gebruiken om uw tenantworkloads te isoleren. Deze VLAN's worden geconfigureerd op de poort van de TOR-switch in de trunk-modus. Wanneer u nieuwe VM's verbindt met deze VLAN's, wordt de bijbehorende VLAN-tag gedefinieerd op de virtuele netwerkadapter.

Pa-netwerk (HNV Provider Address)

Het PA-netwerk (Hyper-V Network Virtualization) fungeert als het onderliggende fysieke netwerk voor tenantverkeer oost/west (intern), tenantverkeer noord/zuid (extern-intern) en om BGP-peeringgegevens uit te wisselen met het fysieke netwerk. Dit netwerk is alleen vereist wanneer er behoefte is aan het implementeren van virtuele netwerken met VXLAN-inkapseling voor een andere isolatielaag en voor multitenancy van netwerken.

Zie Een SDN-infrastructuur plannen: beheer en HNV-provider voor meer informatie.

Opties voor netwerkisolatie

De volgende opties voor netwerkisolatie worden ondersteund:

VLAN's (IEEE 802.1Q)

Met VLAN's kunnen apparaten die gescheiden moeten worden gehouden, de bekabeling van een fysiek netwerk delen en toch worden voorkomen dat ze rechtstreeks met elkaar communiceren. Dit beheerde delen levert voordelen op op het gebied van eenvoud, beveiliging, verkeersbeheer en economie. Een VLAN kan bijvoorbeeld worden gebruikt om verkeer binnen een bedrijf te scheiden op basis van afzonderlijke gebruikers of groepen gebruikers of hun rollen, of op basis van verkeerskenmerken. Veel internethostingservices gebruiken VLAN's om privézones van elkaar te scheiden, zodat de servers van elke klant kunnen worden gegroepeerd in één netwerksegment, ongeacht waar de afzonderlijke servers zich in het datacenter bevinden. Er zijn enkele voorzorgsmaatregelen nodig om te voorkomen dat verkeer 'ontsnapt' uit een bepaald VLAN, een exploit die bekend staat als VLAN-hopping.

Zie Inzicht in het gebruik van virtuele netwerken en VLAN's voor meer informatie.

Standaardbeleid voor netwerktoegang en microsegmentatie

Standaardbeleid voor netwerktoegang zorgt ervoor dat alle virtuele machines (VM's) in uw Azure Stack HCI-cluster standaard beveiligd zijn tegen externe bedreigingen. Met dit beleid blokkeren we standaard binnenkomende toegang tot een vm, terwijl we de optie bieden om selectieve binnenkomende poorten in te schakelen en zo de VM's te beveiligen tegen externe aanvallen. Deze afdwinging is beschikbaar via beheerhulpprogramma's zoals Windows Admin Center.

Microsegmentatie omvat het maken van gedetailleerd netwerkbeleid tussen toepassingen en services. Dit vermindert in feite de beveiligingsperimeter tot een omheining rond elke toepassing of VM. Deze omheining maakt alleen noodzakelijke communicatie tussen toepassingslagen of andere logische grenzen mogelijk, waardoor het uiterst moeilijk wordt voor cyberdreigingen om zich lateraal van het ene systeem naar het andere te verspreiden. Microsegmentatie isoleert netwerken veilig van elkaar en vermindert de totale kwetsbaarheid voor aanvallen van een netwerkbeveiligingsincident.

Standaardbeleid voor netwerktoegang en microsegmentatie worden gerealiseerd als stateful firewallregels met vijf tuples (bronadresvoorvoegsel, bronpoort, doeladresvoorvoegsel, doelpoort en protocol) op Azure Stack HCI-clusters. Firewallregels worden ook wel netwerkbeveiligingsgroepen (NSG's) genoemd. Dit beleid wordt afgedwongen op de vSwitch-poort van elke VM. Het beleid wordt door de beheerlaag gepusht en de SDN-netwerkcontroller distribueert ze naar alle toepasselijke hosts. Deze beleidsregels zijn beschikbaar voor VM's op traditionele VLAN-netwerken en op SDN-overlaynetwerken.

Zie Wat is Datacenter Firewall? voor meer informatie.  

QoS voor VM-netwerkadapters

U kunt QoS (Quality of Service) configureren voor een VM-netwerkadapter om de bandbreedte op een virtuele interface te beperken om te voorkomen dat een vm met veel verkeer te maken krijgt met ander VM-netwerkverkeer. U kunt QoS ook configureren om een specifieke hoeveelheid bandbreedte voor een VM te reserveren om ervoor te zorgen dat de VM verkeer kan verzenden, ongeacht ander verkeer op het netwerk. Dit kan worden toegepast op vm's die zijn gekoppeld aan traditionele VLAN-netwerken en op VM's die zijn gekoppeld aan SDN-overlaynetwerken.

Zie QoS configureren voor een VM-netwerkadapter voor meer informatie.

Virtuele netwerken

Netwerkvirtualisatie biedt virtuele netwerken voor VM's die vergelijkbaar zijn met hoe servervirtualisatie (hypervisor) VM's aan het besturingssysteem levert. Netwerkvirtualisatie koppelt virtuele netwerken los van de fysieke netwerkinfrastructuur en verwijdert de beperkingen van VLAN en hiërarchische IP-adrestoewijzing van VM-inrichting. Dankzij deze flexibiliteit kunt u eenvoudig overstappen naar IaaS-clouds (Infrastructure-as-a-Service) en is het efficiënt voor hosters en datacenterbeheerders om hun infrastructuur te beheren en de benodigde isolatie van meerdere tenants, beveiligingsvereisten en overlappende IP-adressen van vm's te onderhouden.

Zie Hyper-V-netwerkvirtualisatie voor meer informatie.

Opties voor L3-netwerkservices

De volgende L3-netwerkserviceopties zijn beschikbaar:

Peering op virtueel netwerk

Met peering van virtuele netwerken kunt u twee virtuele netwerken naadloos verbinden. Zodra de virtuele netwerken zijn gekoppeld, worden de virtuele netwerken voor connectiviteitsdoeleinden als één netwerk weergegeven. Enkele voordelen van peering van virtuele netwerken zijn:

  • Verkeer tussen VM's in de gekoppelde virtuele netwerken wordt alleen via de backbone-infrastructuur gerouteerd via privé-IP-adressen. De communicatie tussen de virtuele netwerken vereist geen openbaar internet of gateways.
  • Een verbinding met lage latentie en hoge bandbreedte tussen resources in verschillende virtuele netwerken.
  • De mogelijkheid voor resources in één virtueel netwerk om te communiceren met resources in een ander virtueel netwerk.
  • Geen downtime voor resources in een virtueel netwerk bij het maken van de peering.

Zie Peering van virtuele netwerken voor meer informatie.

SDN-software load balancer

Cloudserviceproviders (CSP's) en ondernemingen die SDN (Software Defined Networking) implementeren, kunnen Software Load Balancer (SLB) gebruiken om het netwerkverkeer van klanten gelijkmatig te verdelen over virtuele netwerkresources. Met SLB kunnen meerdere servers dezelfde workload hosten, wat hoge beschikbaarheid en schaalbaarheid biedt. Het wordt ook gebruikt om binnenkomende NAT-services (Network Address Translation) te bieden voor binnenkomende toegang tot VM's en uitgaande NAT-services voor uitgaande connectiviteit.

Met SLB kunt u uw taakverdelingsmogelijkheden uitschalen met behulp van SLB-VM's op dezelfde Hyper-V-rekenservers die u gebruikt voor uw andere VM-workloads. SLB biedt ondersteuning voor het snel maken en verwijderen van taakverdelingseindpunten, zoals vereist voor CSP-bewerkingen. Daarnaast ondersteunt SLB tientallen gigabytes per cluster, biedt een eenvoudig inrichtingsmodel en is het eenvoudig om uit te schalen en in te schalen. SLB gebruikt Border Gateway Protocol om virtuele IP-adressen naar het fysieke netwerk te adverteren.

Zie Wat is SLB voor SDN? voor meer informatie.

SDN VPN-gateways

SDN Gateway is een op software gebaseerde BGP-router (Border Gateway Protocol) die is ontworpen voor CSP's en ondernemingen die virtuele netwerken met meerdere tenants hosten met hyper-V-netwerkvirtualisatie (HNV). U kunt RAS-gateway gebruiken om netwerkverkeer te routeren tussen een virtueel netwerk en een ander netwerk, lokaal of extern.

SDN-gateway kan worden gebruikt voor het volgende:

  • Maak beveiligde site-naar-site-IPsec-verbindingen tussen virtuele SDN-netwerken en externe klantnetwerken via internet.

  • Algemene GRE-verbindingen (Routing Encapsulation) maken tussen virtuele SDN-netwerken en externe netwerken. Het verschil tussen site-naar-site-verbindingen en GRE-verbindingen is dat de laatste geen versleutelde verbinding is.

    Zie GRE Tunneling in Windows Server voor meer informatie over GRE-connectiviteitsscenario's.

  • Maak L3-verbindingen (Laag 3) tussen virtuele SDN-netwerken en externe netwerken. In dit geval fungeert de SDN-gateway gewoon als een router tussen uw virtuele netwerk en het externe netwerk.

SDN-gateway vereist SDN-netwerkcontroller. Netwerkcontroller voert de implementatie van gatewaygroepen uit, configureert tenantverbindingen op elke gateway en schakelt netwerkverkeersstromen over naar een stand-bygateway als een gateway uitvalt.

Gateways gebruiken Border Gateway Protocol om GRE-eindpunten te adverteren en punt-naar-puntverbindingen tot stand te brengen. Sdn-implementatie maakt een standaardgatewaygroep die ondersteuning biedt voor alle verbindingstypen. In deze groep kunt u opgeven hoeveel gateways op stand-by zijn gereserveerd voor het geval een actieve gateway uitvalt.

Zie Wat is RAS-gateway voor SDN? voor meer informatie.

Volgende stappen

Meer informatie over het met twee knooppunten geschakelde, volledig geconvergeerde netwerkpatroon voor opslag.