Virtuele netwerk apparaten met hoge Beschik baarheid implementeren op Azure Stack hubDeploy highly available network virtual appliances on Azure Stack Hub

In dit artikel wordt beschreven hoe u een set virtuele netwerk apparaten (Nva's) implementeert voor hoge Beschik baarheid in Azure Stack hub.This article shows you how to deploy a set of network virtual appliances (NVAs) for high availability in Azure Stack Hub. Een NVA wordt meestal gebruikt om de stroom netwerkverkeer van een perimeternetwerk (ook wel een DMZ genoemd) naar andere netwerken of subnetten te regelen.An NVA is typically used to control the flow of network traffic from a perimeter network, also known as a DMZ, to other networks or subnets. Dit artikel bevat een voorbeeldarchitecturen voor alleen inkomend verkeer, alleen uitgaand verkeer en zowel inkomend als uitgaand verkeer.The article includes example architectures for ingress only, egress only, and both ingress and egress.

Er zijn Nva's van verschillende leveranciers beschikbaar op Azure stack hub-Marketplace, maar u kunt er ook een van gebruiken voor optimale prestaties.There are NVAs from different vendors available on Azure Stack Hub Marketplace, use one of them for optimal performance.

De architectuur heeft de volgende onderdelen:The architecture has the following components.

Netwerk-en taak verdelingNetworking and load balancing

  • Virtueel netwerk en subnetten.Virtual network and subnets. Elke VM van Azure wordt geïmplementeerd in een virtueel netwerk dat kan worden gesegmenteerd in subnetten.Every Azure VM is deployed into a virtual network that can be segmented into subnets. Maak een apart subnet voor elke laag.Create a separate subnet for each tier.

  • Laag 7 Load Balancer.Layer 7 Load Balancer. Omdat Application Gateway nog niet beschikbaar is op Azure stack hub, zijn er alternatieven beschikbaar op Azure stack hub-markt , zoals: KEMP Kemp Load Balancer ADC content switch / F5 BIG-IP Virtual Edition of A10 vThunder ADCAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • Load balancers.Load balancers. Gebruik Azure Load Balancervoor het distribueren van netwerk verkeer van de weblaag naar de bedrijfslaag en van de zakelijke laag naar SQL Server.Use Azure Load Balancerto distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Netwerk beveiligings groepen (nsg's).Network security groups (NSGs). Gebruik Nsg's om het netwerk verkeer binnen het virtuele netwerk te beperken.Use NSGs to restrict network traffic within the virtual network. In de architectuur met drie lagen die hier wordt weer gegeven, accepteert de database laag echter alleen verkeer van de web-front-end, alleen vanuit de bedrijfs laag en het subnet van het beheer.For example, in the three-tier architecture shown here, the database tier doesn't accept traffic from the web front end, only from the business tier and the management subnet.

  • Udr's.UDRs. Door de gebruiker gedefinieerde routes (udr's) gebruiken om verkeer door te sturen naar de specifieke Load Balancer.Use user-defined routes (UDRs) to route traffic to the specific load balancer.

In dit artikel wordt ervan uitgegaan dat u basis informatie krijgt over Azure Stack hub-netwerken.This article assumes a basic understanding of Azure Stack Hub networking.

Architectuur diagrammenArchitecture diagrams

Een NVA kan in veel verschillende architecturen worden geïmplementeerd in een perimeter netwerk.An NVA can be deployed to a perimeter network in many different architectures. De volgende afbeelding illustreert bijvoorbeeld het gebruik van één NVA voor inkomend verkeer.For example, the following figure illustrates the use of a single NVA for ingress.

Scherm opname van het gebruik van één NVA voor binnenkomend verkeer.

In deze architectuur biedt de NVA een beveiligde netwerkgrens door al het inkomende en uitgaande netwerkverkeer te controleren en alleen het verkeer door te laten dat voldoet aan netwerkbeveiligingsregels.In this architecture, the NVA provides a secure network boundary by checking all inbound and outbound network traffic and passing only the traffic that meets network security rules. Het feit dat alle netwerk verkeer via de NVA moet passeren, betekent dat de NVA een Single Point of Failure in het netwerk is.The fact that all network traffic must pass through the NVA means that the NVA is a single point of failure in the network. Als de NVA uitvalt, is er geen ander pad voor het netwerkverkeer en zijn alle back-end-subnetten niet beschikbaar.If the NVA fails, there is no other path for network traffic and all the back-end subnets are unavailable.

Als u wilt zorgen dat een NVA maximaal beschikbaar is, dient u meer dan één NVA te implementeren in een beschikbaarheidsset.To make an NVA highly available, deploy more than one NVA into an availability set.

De volgende architecturen beschrijven de resources en configuratie die nodig zijn voor NVA's met een hoge beschikbaarheid:The following architectures describe the resources and configuration necessary for highly available NVAs:

OplossingSolution VoordelenBenefits OverwegingenConsiderations
Inkomend verkeer met NVA's in laag 7Ingress with layer 7 NVAs Alle NVA-knoop punten zijn actief.All NVA nodes are active. Vereist een NVA die verbindingen kan beëindigen en SNAT kan gebruiken.Requires an NVA that can terminate connections and use SNAT.
Vereist een afzonderlijke set Nva's voor verkeer dat afkomstig is van het bedrijfs netwerk/Internet en van Azure Stack hub.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.
Kan alleen worden gebruikt voor verkeer dat afkomstig is van buiten Azure Stack hub.Can only be used for traffic originating outside Azure Stack Hub.
Uitgaand verkeer met NVA's in laag 7Egress with layer 7 NVAs Alle NVA-knoop punten zijn actief.All NVA nodes are active. Vereist een NVA die verbindingen kan beëindigen en de bron Network Address Translation (SNAT) implementeert.Requires an NVA that can terminate connections and implements source network address translation (SNAT).
Inkomend/uitgaand verkeer met NVA's in laag 7Ingress-Egress with layer 7 NVAs Alle knoop punten zijn actief.All nodes are active.
Kan verkeer afhandelen dat afkomstig is van Azure Stack hub.Able to handle traffic originated in Azure Stack Hub.
Vereist een NVA die verbindingen kan beëindigen en SNAT kan gebruiken.Requires an NVA that can terminate connections and use SNAT.
Vereist een afzonderlijke set Nva's voor verkeer dat afkomstig is van het bedrijfs netwerk/Internet en van Azure Stack hub.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.

Inkomend verkeer met NVA's in laag 7Ingress with layer 7 NVAs

In de volgende afbeelding ziet u een architectuur met hoge Beschik baarheid die een binnenkomend perimeter netwerk achter een Internet gerichte load balancer implementeert.The following figure shows a high availability architecture that implements an ingress perimeter network behind an internet-facing load balancer. Deze architectuur is ontworpen om connectiviteit te bieden voor Azure Stack hub-workloads voor verkeer van laag 7, zoals HTTP of HTTPS:This architecture is designed to provide connectivity to Azure Stack Hub workloads for layer 7 traffic, such as HTTP or HTTPS:

Een scherm afbeelding van een kaart beschrijving die automatisch wordt gegenereerd

Het voordeel van deze architectuur is dat alle NVA's actief zijn. Als er één NVA uitvalt, stuurt de load balancer netwerkverkeer naar de andere NVA.The benefit of this architecture is that all NVAs are active, and if one fails the load balancer directs network traffic to the other NVA. Beide NVA's routeren verkeer naar de interne load balancer, dus het verkeer blijft stromen zolang er één NVA actief is.Both NVAs route traffic to the internal load balancer so as long as one NVA is active, traffic continues to flow. De NVA's moeten SSL-verkeer dat is bedoeld voor de VM's in de weblaag kunnen beëindigen.The NVAs are required to terminate SSL traffic intended for the web tier VMs. Deze Nva's kunnen niet worden uitgebreid voor het verwerken van verkeer van bedrijfs netwerk, omdat het verkeer van het bedrijfs netwerk een andere toegewezen set van Nva's met hun eigen netwerk routes vereist.These NVAs cannot be extended to handle Enterprise Network traffic because Enterprise Network traffic requires another dedicated set of NVAs with their own network routes.

Uitgaand verkeer met NVA's in laag 7Egress with layer 7 NVAs

De ingang met Layer 7 Nva's-architectuur kan worden uitgebreid om een uitvoerbaar perimeter netwerk te bieden voor aanvragen die afkomstig zijn van de werk belasting van Azure Stack hub.The Ingress with layer 7 NVAs architecture can be expanded to provide an egress perimeter network for requests originating in the Azure Stack Hub workload. De volgende architectuur is ontworpen om hoge Beschik baarheid te bieden van de Nva's in het perimeter netwerk voor Layer 7-verkeer, zoals HTTP of HTTPS:The following architecture is designed to provide high availability of the NVAs in the perimeter network for layer 7 traffic, such as HTTP or HTTPS:

Een scherm afbeelding van een beschrijving van een mobiele telefoon die automatisch wordt gegenereerd

In deze architectuur wordt al het verkeer dat afkomstig is van Azure Stack hub doorgestuurd naar een interne load balancer.In this architecture, all traffic originating in Azure Stack Hub is routed to an internal load balancer. De load balancer verdeelt uitgaande aanvragen tussen een set NVA's.The load balancer distributes outgoing requests between a set of NVAs. Deze NVA's leiden verkeer naar internet met hun afzonderlijke openbare IP-adressen.These NVAs direct traffic to the Internet using their individual public IP addresses.

Ingangs-uitgaand verkeer met Nva's laag 7Ingress-egress with layer 7 NVAs

In de twee ingangs-en uitgangs architecturen was er een apart perimeter netwerk voor binnenkomend en uitgaand verkeer.In the two ingress and egress architectures, there was a separate perimeter network for ingress and egress. In de volgende architectuur ziet u hoe u een perimeter netwerk maakt dat kan worden gebruikt voor zowel binnenkomend als uitgaand verkeer voor Layer 7, zoals HTTP of HTTPS:The following architecture demonstrates how to create a perimeter network that can be used for both ingress and egress for layer 7 traffic, such as HTTP or HTTPS:

Een scherm opname van de beschrijving van een sociaal-media bericht dat automatisch wordt gegenereerd

In de Nva's-architectuur van ingangs-uitkomend verkeer met Layer 7, verwerkt de Nva's inkomende aanvragen van een laag 7 Load Balancer.In the Ingress-egress with layer 7 NVAs architecture, the NVAs process incoming requests from a Layer 7 Load Balancer. De NVA's verwerken ook uitgaande aanvragen van de workload-VM's in de back-end-pool van de load balancer.The NVAs also process outgoing requests from the workload VMs in the back-end pool of the load balancer. Omdat binnenkomend verkeer wordt doorgestuurd met een laag 7-load balancer en uitgaand verkeer wordt doorgestuurd met een SLB (Azure Stack hub-basis Load Balancer), zijn de Nva's verantwoordelijk voor het onderhouden van sessie affiniteit.Because incoming traffic is routed with a layer 7 load balancer, and outgoing traffic is routed with an SLB (Azure Stack Hub Basic Load Balancer), the NVAs are responsible for maintaining session affinity. Dat wil zeggen dat de Layer 7-load balancer een toewijzing van inkomende en uitgaande aanvragen onderhoudt, zodat de juiste reactie kan worden doorgestuurd naar de oorspronkelijke aanvrager.That is, the layer 7 load balancer maintains a mapping of inbound and outbound requests so it can forward the correct response to the original requestor. De interne load balancer heeft echter geen toegang tot de laag 7-load balancer toewijzingen en maakt gebruik van een eigen logica voor het verzenden van antwoorden naar de Nva's.However, the internal load balancer doesn't have access to the layer 7 load balancer mappings, and uses its own logic to send responses to the NVAs. Het is mogelijk dat de load balancer een reactie kan verzenden naar een NVA die de aanvraag aanvankelijk niet heeft ontvangen van de laag 7-load balancer.It's possible the load balancer could send a response to an NVA that did not initially receive the request from the layer 7 load balancer. In dit geval moet de Nva's de reactie uitwisselen en overdragen, zodat de juiste NVA de reactie kan door sturen naar de laag 7-load balancer.In this case, the NVAs must communicate and transfer the response between them so the correct NVA can forward the response to the layer 7 load balancer.

Notitie

U kunt het probleem van asymmetrische routering ook oplossen door ervoor te zorgen dat de NVA's SNAT (adresomzetting voor het inkomende bronnetwerk) uitvoeren.You can also solve the asymmetric routing issue by ensuring the NVAs perform inbound source network address translation (SNAT). Hierbij zou het oorspronkelijke bron-IP-adres van de aanvrager worden vervangen door een van de IP-adressen van de NVA die is gebruikt voor de inkomende stroom.This would replace the original source IP of the requestor to one of the IP addresses of the NVA used on the inbound flow. Dit zorgt ervoor dat u meerdere NVA's tegelijk kunt gebruiken terwijl de routesymmetrie behouden blijft.This ensures that you can use multiple NVAs at a time, while preserving the route symmetry.

Volgende stappenNext steps