Richtlijnen voor Azure NetApp Files-netwerkplanning
Planning van netwerkarchitectuur is een belangrijk element van het ontwerpen van een toepassingsinfrastructuur. Dit artikel helpt u bij het ontwerpen van een effectieve netwerkarchitectuur voor uw workloads om te profiteren van de uitgebreide mogelijkheden van Azure NetApp Files.
Azure NetApp Files-volumes zijn ontworpen om te worden opgenomen in een subnet voor speciale doeleinden dat een gedelegeerd subnet wordt genoemd binnen uw Azure-Virtual Network. Daarom hebt u waar nodig rechtstreeks vanuit Azure toegang tot de volumes via VNet-peering of on-premises via een Virtual Network-gateway (ExpressRoute of VPN Gateway). Het subnet is toegewezen aan Azure NetApp Files en er is geen verbinding met internet.
Configureerbare netwerkfuncties
De configuratie van standaardnetwerkfuncties voor Azure NetApp Files is beschikbaar voor openbare preview. Nadat u zich voor deze functie hebt geregistreerd bij uw abonnement, kunt u nieuwe volumes maken door Standaard- of Basic-netwerkfuncties te kiezen in ondersteunde regio's. In regio's waar de standaardnetwerkfuncties niet worden ondersteund, gebruikt het volume standaard de basisnetwerkfuncties.
Standard
Als u deze instelling selecteert, worden hogere IP-limieten en standaard-VNet-functies, zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes op gedelegeerde subnetten, en aanvullende connectiviteitspatronen mogelijk, zoals aangegeven in dit artikel.Basic
Als u deze instelling selecteert, worden selectieve connectiviteitspatronen en een beperkte IP-schaal mogelijk, zoals vermeld in de sectie Overwegingen. Alle beperkingen zijn van toepassing in deze instelling.
Overwegingen
U moet rekening houden met enkele overwegingen bij het plannen van Azure NetApp Files netwerk.
Beperkingen
In de volgende tabel wordt beschreven wat er wordt ondersteund voor elke configuratie van netwerkfuncties:
| Functies | Standaardnetwerkfuncties | Basisnetwerkfuncties |
|---|---|---|
| Het aantal INP's dat wordt gebruikt in een VNet met Azure NetApp Files (inclusief direct peered VNets) | Standaardlimieten als VM's | 1000 |
| Gedelegeerde ANF-subnetten per VNet | 1 | 1 |
| Netwerkbeveiligingsgroepen (NSG's) op Azure NetApp Files gedelegeerde subnetten | Ja | Nee |
| Door de gebruiker gedefinieerde routes (UDR's) op Azure NetApp Files gedelegeerde subnetten | Ja | Nee |
| Connectiviteit met privé-eindpunten | Nee | Nee |
| Connectiviteit met service-eindpunten | Nee | Nee |
| Azure-beleid (bijvoorbeeld aangepast naamgevingsbeleid) op de Azure NetApp Files interface | Nee | Nee |
| Load balancers voor Azure NetApp Files verkeer | Nee | Nee |
| VNet met dubbele stack (IPv4 en IPv6) | No (Alleen IPv4 ondersteund) |
No (Alleen IPv4 ondersteund) |
Ondersteunde netwerkologieën
In de volgende tabel worden de netwerkologieën beschreven die worden ondersteund door elke configuratie van netwerkfuncties van Azure NetApp Files.
| Topologieën | Standaardnetwerkfuncties | Basisnetwerkfuncties |
|---|---|---|
| Connectiviteit met volume in een lokaal VNet | Ja | Ja |
| Connectiviteit met volume in een peered VNet (dezelfde regio) | Ja | Ja |
| Connectiviteit met volume in een peered VNet (regio-overschrijdende of wereldwijde peering) | Nee | Nee |
| Connectiviteit met een volume via een ExpressRoute-gateway | Ja | Ja |
| ExpressRoute (ER) FastPath | Ja | Nee |
| Connectiviteit van on-premises naar een volume in een spoke-VNet via ExpressRoute-gateway en VNet-peering met gateway-doorvoer | Ja | Ja |
| Connectiviteit van on-premises naar een volume in een spoke-VNet via VPN-gateway | Ja | Ja |
| Connectiviteit van on-premises naar een volume in een spoke-VNet via VPN-gateway en VNet-peering met gateway-doorvoer | Ja | Ja |
| Connectiviteit via actieve/passieve VPN-gateways | Ja | Ja |
| Connectiviteit via actieve/actieve VPN-gateways | Ja | Nee |
| Connectiviteit via actieve/actieve zone-redundante gateways | Nee | Nee |
| Connectiviteit via Virtual WAN (VWAN) | Nee | Nee |
Virtueel netwerk voor Azure NetApp Files volumes
In deze sectie worden concepten uitgelegd die u helpen bij het plannen van virtuele netwerken.
Virtuele netwerken van Azure.
Voordat u een Azure NetApp Files inrichten, moet u een virtueel Azure-netwerk (VNet) maken of een netwerk gebruiken dat al in uw abonnement bestaat. Het VNet definieert de netwerkgrens van het volume. Zie de Documentatie voor Azure Virtual Network voor meer informatie over het maken Virtual Network netwerken.
Subnetten
Subnetten segmenteren het virtuele netwerk in afzonderlijke adresruimten die kunnen worden gebruikt door de Azure-resources in deze subnetten. Azure NetApp Files volumes zijn opgenomen in een subnet voor speciale doeleinden, een gedelegeerd subnet genoemd.
Subnetdelegering geeft de Azure NetApp Files machtigingen voor het maken van servicespecifieke resources in het subnet. Er wordt een unieke id gebruikt bij het implementeren van de service. In dit geval wordt een netwerkinterface gemaakt om connectiviteit met de Azure NetApp Files.
Als u een nieuw VNet gebruikt, kunt u een subnet maken en het subnet delegeren aan Azure NetApp Files door de instructies te volgen in Een subnetdelegeren aan Azure NetApp Files . U kunt ook een bestaand leeg subnet delegeren dat nog niet aan andere services is gedelegeerd.
Als het VNet is peered met een ander VNet, kunt u de VNet-adresruimte niet uitbreiden. Daarom moet het nieuwe gedelegeerde subnet worden gemaakt binnen de VNet-adresruimte. Als u de adresruimte wilt uitbreiden, moet u de VNet-peering verwijderen voordat u de adresruimte uitbreidt.
UDR's en NSG's
Door de gebruiker gedefinieerde routes (UDR's) en netwerkbeveiligingsgroepen (NSG's) worden alleen ondersteund op Azure NetApp Files gedelegeerde subnetten met ten minste één volume dat is gemaakt met de standaardnetwerkfuncties.
Notitie
Het koppelen van NSG's op het niveau van de netwerkinterface wordt niet ondersteund voor de Azure NetApp Files netwerkinterfaces.
Als het subnet een combinatie van volumes heeft met de standaard- en basic-netwerkfuncties (of voor bestaande volumes die niet zijn geregistreerd voor de preview-versie van de functie), zijn UDR's en NSG's die zijn toegepast op de gedelegeerde subnetten alleen van toepassing op de volumes met de standaardnetwerkfuncties.
Configuring user-defined routes (UDRs) on the source VM subnets with address prefix of delegated subnet and next hop as NVA is not supported for volumes with the Basic network features. Een dergelijke instelling leidt tot verbindingsproblemen.
Native Azure-omgevingen
In het volgende diagram ziet u een azure-omgeving:
Lokaal VNet
Een eenvoudig scenario is het maken of verbinden met een Azure NetApp Files volume vanaf een virtuele machine (VM) in hetzelfde VNet. Voor VNet 2 in het bovenstaande diagram wordt volume 1 gemaakt in een gedelegeerd subnet en kan het worden bevestigd aan VM 1 in het standaardsubnet.
VNet-peering
Als u extra VNets in dezelfde regio hebt die toegang nodig hebben tot elkaars resources, kunnen de VNets worden verbonden met behulp van VNet-peering om beveiligde connectiviteit via de Azure-infrastructuur mogelijk te maken.
Overweeg VNet 2 en VNet 3 in het bovenstaande diagram. Als VM 1 verbinding moet maken met VM 2 of volume 2, of als VM 2 verbinding moet maken met VM 1 of volume 1, moet u VNet-peering tussen VNet 2 en VNet 3 inschakelen.
Denk ook aan een scenario waarin VNet 1 is peered met VNet 2 en VNet 2 is peered met VNet 3 in dezelfde regio. De resources van VNet 1 kunnen verbinding maken met resources in VNet 2, maar kunnen geen verbinding maken met resources in VNet 3, tenzij VNet 1 en VNet 3 zijn verbonden.
Hoewel VM 3 in het bovenstaande diagram verbinding kan maken met volume 1, kan VM 4 geen verbinding maken met volume 2. De reden hiervoor is dat de spoke-VNets niet zijn peered en transitroutering niet wordt ondersteund via VNet-peering.
Hybride omgevingen
Het volgende diagram illustreert een hybride omgeving:
In het hybride scenario hebben toepassingen van on-premises datacenters toegang nodig tot de resources in Azure. Dit is het geval of u uw datacenter wilt uitbreiden naar Azure, of u native Azure-services wilt gebruiken of voor herstel na noodgeval. Zie VPN Gateway planningsopties voor informatie over het verbinden van meerdere resources on-premises met resources in Azure via een site-naar-site-VPN of een ExpressRoute.
In een hybride hub-spoke-topologie fungeert het hub-VNet in Azure als een centraal punt van connectiviteit met uw on-premises netwerk. De spokes zijn VNets die zijn peering met de hub en ze kunnen worden gebruikt om workloads te isoleren.
Afhankelijk van de configuratie kunt u on-premises resources verbinden met resources in de hub en de spokes.
In de hierboven geïllustreerde topologie is het on-premises netwerk verbonden met een hub-VNet in Azure en zijn er twee spoke-VNets in dezelfde regio die is gekoppeld aan het hub-VNet. In dit scenario zijn de connectiviteitsopties die worden ondersteund voor Azure NetApp Files volumes als volgt:
- On-premises resources VM 1 en VM 2 kunnen verbinding maken met volume 1 in de hub via een site-naar-site VPN- of ExpressRoute-circuit.
- On-premises resources VM 1 en VM 2 kunnen verbinding maken met volume 2 of volume 3 via een site-naar-site VPN en regionale VNet-peering.
- VM 3 in het hub-VNet kan verbinding maken met volume 2 in spoke VNet 1 en Volume 3 in spoke VNet 2.
- VM 4 van spoke VNet 1 en VM 5 van spoke VNet 2 kunnen verbinding maken met volume 1 in het hub-VNet.
- VM 4 in spoke VNet 1 kan geen verbinding maken met volume 3 in spoke VNet 2. Bovendien kan VM 5 in spoke VNet2 geen verbinding maken met volume 2 in spoke VNet 1. Dit is het geval omdat de spoke-VNets niet zijn peered en transitroutering niet wordt ondersteund via VNet-peering.
- Als er in de bovenstaande architectuur ook een gateway in het spoke-VNET is, gaat de verbinding met het ANF-volume vanaf on-prem verbinding via de gateway in de hub verloren. In het ontwerp wordt de voorkeur gegeven aan de gateway in het spoke-VNet, zodat alleen machines die verbinding maken via die gateway verbinding kunnen maken met het ANF-volume.