Controleer het netwerkreferentiepatroon voor de implementatie van twee knooppunten voor opslag zonder switch en één switch voor Azure Stack HCI
Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2
In dit artikel krijgt u informatie over de opslag met twee knooppunten zonder schakeloptie met één TOR-switchnetwerkreferentiepatroon dat u kunt gebruiken om uw Azure Stack HCI-oplossing te implementeren. De informatie in dit artikel helpt u ook te bepalen of deze configuratie geschikt is voor uw implementatieplanningsbehoeften. Dit artikel is gericht op de IT-beheerders die Azure Stack HCI implementeren en beheren in hun datacenters.
Zie Azure Stack HCI-netwerkimplementatiepatronen voor meer informatie over andere netwerkpatronen.
Scenario's
Scenario's voor dit netwerkpatroon zijn onder andere laboratoria, fabrieken, winkels en overheidsfaciliteiten.
Overweeg dit patroon voor een rendabele oplossing die fouttolerantie op clusterniveau bevat, maar onderbrekingen van de connectiviteit in het noorden tolereert als de ene fysieke switch mislukt of onderhoud vereist.
U kunt dit patroon uitschalen, maar er is uitvaltijd van workloads nodig om fysieke opslagconnectiviteit en herconfiguratie van opslagnetwerk opnieuw te configureren. Hoewel SDN L3-services volledig worden ondersteund voor dit patroon, moeten de routeringsservices zoals BGP worden geconfigureerd op het firewallapparaat boven op de TOR-switch als deze geen ondersteuning biedt voor L3-services. Netwerkbeveiligingsfuncties zoals microsegmentatie en QoS vereisen geen extra configuratie op het firewallapparaat, omdat ze worden geïmplementeerd op de virtuele switch.
Fysieke connectiviteitsonderdelen
Zoals in het onderstaande diagram wordt geïllustreerd, heeft dit patroon de volgende fysieke netwerkonderdelen:
Eén TOR-switch voor noord-zuid verkeerscommunicatie.
Twee gekoppelde netwerkpoorten voor het afhandelen van beheer- en rekenverkeer, verbonden met de L2-switch op elke host
Twee RDMA-NIC's in een volledige mesh-configuratie voor oost-west-verkeer voor opslag. Elk knooppunt in het cluster heeft een redundante verbinding met het andere knooppunt in het cluster.
Als optie kunnen sommige oplossingen een headless-configuratie zonder BMC-kaart gebruiken voor beveiligingsdoeleinden.
| Netwerken | Beheer en rekenkracht | Storage | BMC |
|---|---|---|---|
| Koppelingssnelheid | Ten minste 1 Gbps. 10 Gbps aanbevolen | Ten minste 10 Gbps | Neem contact op met de hardwarefabrikant |
| Interfacetype | RJ45, SFP+ of SFP28 | SFP+ of SFP28 | RJ45 |
| Poorten en aggregatie | Twee gekoppelde poorten | Twee zelfstandige poorten | Eén poort |
Netwerk-ATC-intenties
Voor opslagwisselloze patronen met twee knooppunten worden twee netwerk-ATC-intenties gemaakt. De eerste voor het beheren en berekenen van netwerkverkeer en de tweede voor opslagverkeer.
Beheer- en rekenintentie
- Intentietype: beheer en berekening
- Intentiemodus: clustermodus
- Teaming: Ja. pNIC01 en pNIC02 worden gekoppeld
- Standaardbeheer-VLAN: geconfigureerdE VLAN voor beheeradapters wordt niet gewijzigd
- PA & Compute VLAN's en vNIC's: Netwerk-ATC is transparant voor PA-vNIC's en VLAN's of reken-VM's en VLAN's
Opslagintentie
- Intentietype: Opslag
- Intentiemodus: Clustermodus
- Koppeling: pNIC03 en pNIC04 gebruiken SMB Meerdere kanalen om tolerantie en bandbreedteaggregatie te bieden
- Standaard-VLAN's:
- 711 voor opslagnetwerk 1
- 712 voor opslagnetwerk 2
- Standaardsubnetten:
- 10.71.1.0/24 voor opslagnetwerk 1
- 10.71.2.0/24 voor opslagnetwerk 2
Zie Hostnetwerken implementeren voor meer informatie.
Volg deze stappen om netwerkintenties voor dit referentiepatroon te maken:
Voer PowerShell uit als beheerder.
Voer de volgende opdracht uit:
Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02> Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>
Onderdelen van logische connectiviteit
Zoals in het onderstaande diagram wordt geïllustreerd, heeft dit patroon de volgende logische netwerkonderdelen:
VLAN's voor opslagnetwerk
Het op intenties gebaseerde verkeer op basis van opslag bestaat uit twee afzonderlijke netwerken die RDMA-verkeer ondersteunen. Elke interface wordt toegewezen aan een afzonderlijk opslagnetwerk en beide kunnen gebruikmaken van dezelfde VLAN-tag. Dit verkeer is alleen bedoeld om tussen de twee knooppunten te reizen. Opslagverkeer is een particulier netwerk zonder verbinding met andere resources.
De opslagadapters werken op verschillende IP-subnetten. Als u een configuratie zonder schakeloptie wilt inschakelen, ondersteunt elk verbonden knooppunt een overeenkomend subnet van de aangrenzende knooppunten. Elk opslagnetwerk maakt standaard gebruik van de vooraf gedefinieerde VLAN's van network ATC (711 en 712). Deze VLAN's kunnen echter zo nodig worden aangepast. Als de standaardsubnetten die zijn gedefinieerd door Network ATC (10.71.1.0/24 en 10.71.2.0/24) niet bruikbaar zijn, bent u bovendien verantwoordelijk voor het toewijzen van alle OPSLAG-IP-adressen in het cluster.
Zie Network ATC overview (Overzicht van Netwerk ATC) voor meer informatie.
OOB-netwerk
Het OOB-netwerk (Out of Band) is bedoeld voor de ondersteuning van de 'lights-out'-serverbeheerinterface, ook wel bekend als de baseboard management controller (BMC). Elke BMC-interface maakt verbinding met een door de klant geleverde switch. De BMC wordt gebruikt om PXE-opstartscenario's te automatiseren.
Het beheernetwerk vereist toegang tot de BMC-interface via IPMI-poort 623 (Intelligent Platform Management Interface) User Datagram Protocol (UDP).
Het OOB-netwerk is geïsoleerd van rekenworkloads en is optioneel voor implementaties die niet op oplossingen zijn gebaseerd.
Beheer-VLAN
Alle fysieke rekenhosts vereisen toegang tot het logische beheernetwerk. Voor het plannen van IP-adressen moet aan elke fysieke rekenhost ten minste één IP-adres zijn toegewezen vanuit het logische beheernetwerk.
Een DHCP-server kan automatisch IP-adressen toewijzen voor het beheernetwerk of u kunt handmatig statische IP-adressen toewijzen. Wanneer DHCP de voorkeursmethode voor IP-toewijzing is, raden we u aan DHCP-reserveringen zonder vervaldatum te gebruiken.
Het beheernetwerk ondersteunt de volgende VLAN-configuraties:
Systeemeigen VLAN : u hoeft geen VLAN-id's op te geven. Dit is vereist voor op oplossingen gebaseerde installaties.
VLAN met label : u levert VLAN-id's op het moment van implementatie.
Het beheernetwerk ondersteunt al het verkeer dat wordt gebruikt voor het beheer van het cluster, inclusief Extern bureaublad, Windows Admin Center en Active Directory.
Zie Een SDN-infrastructuur plannen: beheer en HNV-provider voor meer informatie.
VLAN's berekenen
In sommige scenario's hoeft u geen virtuele SDN-netwerken met VXLAN-inkapseling (Virtual Extensible LAN) te gebruiken. In plaats daarvan kunt u traditionele VLAN's gebruiken om uw tenantworkloads te isoleren. Deze VLAN's worden geconfigureerd op de poort van de TOR-switch in de trunk-modus. Wanneer u nieuwe VM's verbindt met deze VLAN's, wordt de bijbehorende VLAN-tag gedefinieerd op de virtuele netwerkadapter.
PA-netwerk (HNV Provider Address)
Het PA-netwerk (Hyper-V Network Virtualization) fungeert als het onderliggende fysieke netwerk voor tenantverkeer oost/west (intern-intern), tenantverkeer noord/zuid (extern-intern) en om BGP-peeringgegevens uit te wisselen met het fysieke netwerk. Dit netwerk is alleen vereist wanneer er behoefte is aan het implementeren van virtuele netwerken met VXLAN-inkapseling voor een andere isolatielaag en voor multitenancy van netwerken.
Zie Een SDN-infrastructuur plannen: beheer en HNV-provider voor meer informatie.
Opties voor netwerkisolatie
De volgende opties voor netwerkisolatie worden ondersteund:
VLAN's (IEEE 802.1Q)
Met VLAN's kunnen apparaten die gescheiden moeten worden gehouden, de bekabeling van een fysiek netwerk delen en toch worden voorkomen dat ze rechtstreeks met elkaar communiceren. Dit beheerde delen levert voordelen op in eenvoud, beveiliging, verkeersbeheer en economie. Een VLAN kan bijvoorbeeld worden gebruikt om verkeer binnen een bedrijf te scheiden op basis van afzonderlijke gebruikers of groepen gebruikers of hun rollen, of op basis van verkeerskenmerken. Veel internethostingservices gebruiken VLAN's om privézones van elkaar te scheiden, zodat de servers van elke klant kunnen worden gegroepeerd in één netwerksegment, ongeacht waar de afzonderlijke servers zich in het datacenter bevinden. Er zijn enkele voorzorgsmaatregelen nodig om te voorkomen dat verkeer 'ontsnapt' uit een bepaald VLAN, een exploit die bekend staat als VLAN-hopping.
Zie Inzicht in het gebruik van virtuele netwerken en VLAN's voor meer informatie.
Standaardbeleid voor netwerktoegang en microsegmentatie
Standaardbeleid voor netwerktoegang zorgt ervoor dat alle virtuele machines (VM's) in uw Azure Stack HCI-cluster standaard beveiligd zijn tegen externe bedreigingen. Met dit beleid blokkeren we standaard de inkomende toegang tot een VM, terwijl we de optie bieden om selectieve binnenkomende poorten in te schakelen en zo de VM's te beveiligen tegen externe aanvallen. Deze afdwinging is beschikbaar via beheerhulpprogramma's zoals Windows Admin Center.
Microsegmentatie omvat het maken van gedetailleerd netwerkbeleid tussen toepassingen en services. Dit vermindert in wezen de beveiligingsperimeter tot een omheining rond elke toepassing of VM. Deze omheining maakt alleen noodzakelijke communicatie tussen toepassingslagen of andere logische grenzen mogelijk, waardoor het zeer moeilijk is voor cyberdreigingen om zich lateraal van het ene systeem naar het andere te verspreiden. Microsegmentatie isoleert netwerken veilig van elkaar en vermindert de totale kwetsbaarheid voor aanvallen van een netwerkbeveiligingsincident.
Standaardbeleid voor netwerktoegang en microsegmentatie worden gerealiseerd als vijf-tuple stateful firewallregels (bronadresvoorvoegsel, bronpoort, doeladresvoorvoegsel, doelpoort en protocol) op Azure Stack HCI-clusters. Firewallregels worden ook wel netwerkbeveiligingsgroepen (NSG's) genoemd. Deze beleidsregels worden afgedwongen op de vSwitch-poort van elke VM. Het beleid wordt door de beheerlaag gepusht en de SDN-netwerkcontroller distribueert ze naar alle toepasselijke hosts. Deze beleidsregels zijn beschikbaar voor VM's in traditionele VLAN-netwerken en op SDN-overlaynetwerken.
Zie Wat is Datacenter Firewall? voor meer informatie.
QoS voor VM-netwerkadapters
U kunt QoS (Quality of Service) configureren voor een VM-netwerkadapter om de bandbreedte op een virtuele interface te beperken om te voorkomen dat een vm met veel verkeer te maken krijgt met ander VM-netwerkverkeer. U kunt QoS ook configureren om een specifieke hoeveelheid bandbreedte voor een VM te reserveren om ervoor te zorgen dat de VM verkeer kan verzenden, ongeacht ander verkeer op het netwerk. Dit kan worden toegepast op VM's die zijn gekoppeld aan traditionele VLAN-netwerken en op VM's die zijn gekoppeld aan SDN-overlaynetwerken.
Zie QoS configureren voor een VM-netwerkadapter voor meer informatie.
Virtuele netwerken
Netwerkvirtualisatie biedt virtuele netwerken voor VM's die vergelijkbaar zijn met de manier waarop servervirtualisatie (hypervisor) VM's aan het besturingssysteem levert. Netwerkvirtualisatie koppelt virtuele netwerken los van de fysieke netwerkinfrastructuur en verwijdert de beperkingen van VLAN en hiërarchische IP-adrestoewijzing van VM-inrichting. Deze flexibiliteit maakt het eenvoudig voor u om over te stappen op IaaS-clouds (Infrastructure-as-a-Service) en is efficiënt voor hosters en datacenterbeheerders om hun infrastructuur te beheren en de benodigde isolatie van meerdere tenants, beveiligingsvereisten en overlappende IP-adressen van vm's te onderhouden.
Zie Hyper-V-netwerkvirtualisatie voor meer informatie.
Opties voor L3-netwerkservices
De volgende L3-netwerkserviceopties zijn beschikbaar:
Peering op virtueel netwerk
Met peering van virtuele netwerken kunt u twee virtuele netwerken naadloos verbinden. Zodra de virtuele netwerken zijn gekoppeld, worden de virtuele netwerken voor connectiviteitsdoeleinden als één netwerk weergegeven. Enkele voordelen van peering van virtuele netwerken zijn:
- Verkeer tussen VM's in de gekoppelde virtuele netwerken wordt alleen via de backbone-infrastructuur gerouteerd via privé-IP-adressen. De communicatie tussen de virtuele netwerken vereist geen openbaar internet of gateways.
- Een verbinding met lage latentie en hoge bandbreedte tussen resources in verschillende virtuele netwerken.
- De mogelijkheid voor resources in één virtueel netwerk om te communiceren met resources in een ander virtueel netwerk.
- Geen downtime voor resources in een virtueel netwerk bij het maken van de peering.
Zie Peering van virtuele netwerken voor meer informatie.
SDN-software load balancer
Cloudserviceproviders (CSP's) en ondernemingen die SDN (Software Defined Networking) implementeren, kunnen Software Load Balancer (SLB) gebruiken om het netwerkverkeer van klanten gelijkmatig te verdelen over virtuele netwerkresources. Met SLB kunnen meerdere servers dezelfde workload hosten, wat hoge beschikbaarheid en schaalbaarheid biedt. Het wordt ook gebruikt om inkomende NAT-services (Network Address Translation) te bieden voor binnenkomende toegang tot VM's en uitgaande NAT-services voor uitgaande connectiviteit.
Met SLB kunt u uw taakverdelingsmogelijkheden uitschalen met behulp van SLB-VM's op dezelfde Hyper-V-rekenservers die u voor uw andere VM-workloads gebruikt. SLB ondersteunt het snel maken en verwijderen van taakverdelingseindpunten, zoals vereist voor CSP-bewerkingen. Daarnaast ondersteunt SLB tientallen gigabytes per cluster, biedt een eenvoudig inrichtingsmodel en is eenvoudig uit- en in te schalen. SLB gebruikt Border Gateway Protocol om virtuele IP-adressen naar het fysieke netwerk te adverteren.
Zie Wat is SLB voor SDN? voor meer informatie.
SDN VPN-gateways
SDN-gateway is een op software gebaseerde BGP-router (Border Gateway Protocol) die is ontworpen voor CSP's en ondernemingen die virtuele netwerken met meerdere tenants hosten met Hyper-V-netwerkvirtualisatie (HNV). U kunt RAS-gateway gebruiken om netwerkverkeer te routeren tussen een virtueel netwerk en een ander netwerk, lokaal of extern.
SDN-gateway kan worden gebruikt voor het volgende:
Maak beveiligde site-naar-site-IPsec-verbindingen tussen virtuele SDN-netwerken en externe klantnetwerken via internet.
Algemene GRE-verbindingen (Routing Encapsulation) maken tussen virtuele SDN-netwerken en externe netwerken. Het verschil tussen site-naar-site-verbindingen en GRE-verbindingen is dat de laatste geen versleutelde verbinding is.
Zie GRE-tunneling in Windows Server voor meer informatie over GRE-connectiviteitsscenario's.
Maak laag 3-verbindingen (L3) tussen virtuele SDN-netwerken en externe netwerken. In dit geval fungeert de SDN-gateway gewoon als een router tussen uw virtuele netwerk en het externe netwerk.
SDN-gateway vereist SDN-netwerkcontroller. Netwerkcontroller voert de implementatie van gatewaygroepen uit, configureert tenantverbindingen op elke gateway en schakelt netwerkverkeersstromen over naar een stand-by-gateway als een gateway uitvalt.
Gateways gebruiken Border Gateway Protocol om GRE-eindpunten te adverteren en punt-naar-punt-verbindingen tot stand te brengen. SDN-implementatie maakt een standaardgatewaygroep die ondersteuning biedt voor alle verbindingstypen. In deze pool kunt u opgeven hoeveel gateways zijn gereserveerd op stand-by voor het geval een actieve gateway uitvalt.
Zie Wat is RAS-gateway voor SDN? voor meer informatie.
Volgende stappen
Meer informatie over het netwerkpatroon met twee knooppunten voor opslag switchless, twee switches.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor