Wdrażanie wirtualnych urządzeń sieciowych o wysokiej dostępności w centrum Azure StackDeploy highly available network virtual appliances on Azure Stack Hub

W tym artykule opisano sposób wdrażania zestawu wirtualnych urządzeń sieciowych (urządzeń WUS) w celu zapewnienia wysokiej dostępności w centrum Azure Stack.This article shows you how to deploy a set of network virtual appliances (NVAs) for high availability in Azure Stack Hub. Urządzenie WUS jest zwykle używane do kontrolowania przepływu ruchu sieciowego z sieci obwodowej, znanej także jako strefa DMZ, do innych sieci i podsieci.An NVA is typically used to control the flow of network traffic from a perimeter network, also known as a DMZ, to other networks or subnets. Artykuł zawiera przykładowe architektury dla ruchu przychodzącego, ruchu przychodzącego oraz dla ruchu przychodzącego i wychodzącego.The article includes example architectures for ingress only, egress only, and both ingress and egress.

Istnieją urządzeń WUS od różnych dostawców dostępnych w witrynie Portal Azure Stack Hub, użyj jednego z nich w celu uzyskania optymalnej wydajności.There are NVAs from different vendors available on Azure Stack Hub Marketplace, use one of them for optimal performance.

Architektura ma następujące składniki.The architecture has the following components.

Obsługa sieci i równoważenia obciążeniaNetworking and load balancing

  • Sieć wirtualna i podsieci.Virtual network and subnets. Każda maszyna wirtualna platformy Azure jest wdrażana w sieci wirtualnej, która może zostać ujęta w podsieci.Every Azure VM is deployed into a virtual network that can be segmented into subnets. Utwórz oddzielną podsieć dla każdej warstwy.Create a separate subnet for each tier.

  • Load Balancer warstwy 7.Layer 7 Load Balancer. Ponieważ Application Gateway nie jest jeszcze dostępna w centrum Azure Stack, dostępne są alternatywy w witrynie Azure Stack Hub na rynku , na przykład: Kemp LoadMaster Load Balancer ADC Content Switch / F5 Big-IP Virtual Edition lub A10 vThunder ADCAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • Moduły równoważenia obciążenia.Load balancers. Użyj Azure Load Balancer, aby dystrybuować ruch sieciowy z warstwy internetowej do warstwy biznesowej i z warstwy biznesowej do SQL Server.Use Azure Load Balancerto distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Sieciowe grupy zabezpieczeń (sieciowych grup zabezpieczeń).Network security groups (NSGs). Użyj sieciowych grup zabezpieczeń, aby ograniczyć ruch sieciowy w sieci wirtualnej.Use NSGs to restrict network traffic within the virtual network. Na przykład w przypadku architektury trójwarstwowej pokazanej w tym miejscu warstwa bazy danych nie akceptuje ruchu z frontonu sieci Web, tylko z warstwy biznesowej i podsieci zarządzania.For example, in the three-tier architecture shown here, the database tier doesn't accept traffic from the web front end, only from the business tier and the management subnet.

  • UDR.UDRs. Użyj tras zdefiniowanych przez użytkownika (UDR) do kierowania ruchu do określonego modułu równoważenia obciążenia.Use user-defined routes (UDRs) to route traffic to the specific load balancer.

W tym artykule założono podstawową wiedzę na temat Azure Stack sieci centrów.This article assumes a basic understanding of Azure Stack Hub networking.

Diagramy architekturyArchitecture diagrams

URZĄDZENIE WUS można wdrożyć w sieci obwodowej w wielu różnych architekturach.An NVA can be deployed to a perimeter network in many different architectures. Na przykład na poniższym rysunku przedstawiono użycie pojedynczego urządzenia wirtualnego sieci dla ruchu przychodzącego.For example, the following figure illustrates the use of a single NVA for ingress.

Zrzut ekranu, który pokazuje użycie jednego urządzenie WUS dla ruchu przychodzącego.

W ramach tej architektury urządzenie WUS zapewnia granicę bezpiecznej sieci przez sprawdzenie całego przychodzącego i wychodzącego ruchu sieciowego i przekazywanie tylko ruchu spełniającego reguły zabezpieczeń sieciowych.In this architecture, the NVA provides a secure network boundary by checking all inbound and outbound network traffic and passing only the traffic that meets network security rules. Fakt, że cały ruch sieciowy musi przechodzić przez urządzenie WUS oznacza, że urządzenie WUS jest single point of failure w sieci.The fact that all network traffic must pass through the NVA means that the NVA is a single point of failure in the network. Jeśli urządzenie WUS ulegnie awarii, nie ma innej ścieżki dla ruchu sieciowego i wszystkie podsieci zaplecza są niedostępne.If the NVA fails, there is no other path for network traffic and all the back-end subnets are unavailable.

Aby urządzenie WUS było wysoce dostępne, należy wdrożyć więcej niż jedno urządzenie WUS w zestawie dostępności.To make an NVA highly available, deploy more than one NVA into an availability set.

Następujące architektury opisują konfigurację i zasoby niezbędne dla urządzeń WUS wysokiej dostępności:The following architectures describe the resources and configuration necessary for highly available NVAs:

RozwiązanieSolution KorzyściBenefits Zagadnienia do rozważeniaConsiderations
Ruch przychodzący z urządzeniami WUS warstwy 7Ingress with layer 7 NVAs Wszystkie węzły urządzenie WUS są aktywne.All NVA nodes are active. Wymaga elementu urządzenie WUS, który może kończyć połączenia i korzystać z niego.Requires an NVA that can terminate connections and use SNAT.
Wymaga oddzielnego zestawu urządzeń WUS dla ruchu pochodzącego z sieci firmowej/Internetu i z centrum Azure Stack.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.
Może być używany tylko dla ruchu pochodzącego spoza centrum Azure Stack.Can only be used for traffic originating outside Azure Stack Hub.
Ruch wychodzący z urządzeniami WUS warstwy 7Egress with layer 7 NVAs Wszystkie węzły urządzenie WUS są aktywne.All NVA nodes are active. Wymaga urządzenie WUS, który może kończyć połączenia i implementuje translację adresów sieciowych (Resources).Requires an NVA that can terminate connections and implements source network address translation (SNAT).
Ruch przychodzący-wychodzący z urządzeniami WUS warstwy 7Ingress-Egress with layer 7 NVAs Wszystkie węzły są aktywne.All nodes are active.
Możliwość obsługi ruchu pochodzącego z centrum Azure Stack.Able to handle traffic originated in Azure Stack Hub.
Wymaga elementu urządzenie WUS, który może kończyć połączenia i korzystać z niego.Requires an NVA that can terminate connections and use SNAT.
Wymaga oddzielnego zestawu urządzeń WUS dla ruchu pochodzącego z sieci firmowej/Internetu i z centrum Azure Stack.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.

Ruch przychodzący z urządzeniami WUS warstwy 7Ingress with layer 7 NVAs

Na poniższej ilustracji przedstawiono architekturę wysokiej dostępności, która implementuje sieć obwodową w ramach modułu równoważenia obciążenia dostępnego z Internetu.The following figure shows a high availability architecture that implements an ingress perimeter network behind an internet-facing load balancer. Ta architektura została zaprojektowana w celu zapewnienia łączności z Azure Stack obciążeniami centrum w przypadku ruchu warstwy 7, takiego jak HTTP lub HTTPS:This architecture is designed to provide connectivity to Azure Stack Hub workloads for layer 7 traffic, such as HTTP or HTTPS:

Zrzut ekranu przedstawiający wygenerowany automatycznie opis mapy

Zaletą tej architektury jest to, że wszystkie urządzenia WUS są aktywne, a w razie awarii jednego z nich moduł równoważenia obciążenia kieruje ruch sieciowy do innego urządzenia WUS.The benefit of this architecture is that all NVAs are active, and if one fails the load balancer directs network traffic to the other NVA. Oba urządzenia WUS kierują ruch do wewnętrznego modułu równoważenia obciążenia, a więc dopóki jedno urządzenie WUS jest aktywne, ruch nadal przepływa.Both NVAs route traffic to the internal load balancer so as long as one NVA is active, traffic continues to flow. Urządzenia WUS są wymagane do zakończenia ruchu komunikacji SSL przeznaczonego dla maszyn wirtualnych warstwy internetowej.The NVAs are required to terminate SSL traffic intended for the web tier VMs. Tych urządzeń WUS nie można rozszerzyć do obsługi ruchu sieciowego przedsiębiorstwa, ponieważ ruch sieciowy przedsiębiorstwa wymaga innego dedykowanego zestawu urządzeń WUS z własnymi trasami sieciowymi.These NVAs cannot be extended to handle Enterprise Network traffic because Enterprise Network traffic requires another dedicated set of NVAs with their own network routes.

Ruch wychodzący z urządzeniami WUS warstwy 7Egress with layer 7 NVAs

Za pomocą architektury urządzeń WUS warstwy 7 można rozszerzyć, aby zapewnić wyjście sieci obwodowej dla żądań pochodzących z obciążeń centrum Azure Stack.The Ingress with layer 7 NVAs architecture can be expanded to provide an egress perimeter network for requests originating in the Azure Stack Hub workload. Następująca architektura została zaprojektowana w celu zapewnienia wysokiej dostępności urządzeń WUS w sieci obwodowej dla ruchu warstwy 7, takiego jak HTTP lub HTTPS:The following architecture is designed to provide high availability of the NVAs in the perimeter network for layer 7 traffic, such as HTTP or HTTPS:

Zrzut ekranu przedstawiający wygenerowany automatycznie opis telefonu komórkowego

W tej architekturze cały ruch pochodzący z centrum Azure Stack jest kierowany do wewnętrznego modułu równoważenia obciążenia.In this architecture, all traffic originating in Azure Stack Hub is routed to an internal load balancer. Moduł równoważenia obciążenia rozdziela wychodzące żądania między zestaw urządzeń WUS.The load balancer distributes outgoing requests between a set of NVAs. Te urządzenia WUS kierują ruch do Internetu przy użyciu ich indywidualnych publicznych adresów IP.These NVAs direct traffic to the Internet using their individual public IP addresses.

Ruch przychodzący-wyjście z urządzeń WUS warstwy 7Ingress-egress with layer 7 NVAs

W dwóch architekturach ruchu przychodzącego i wychodzącego istnieje oddzielna sieć obwodowa na potrzeby ruchu przychodzącego i wychodzącego.In the two ingress and egress architectures, there was a separate perimeter network for ingress and egress. W poniższej architekturze pokazano, jak utworzyć sieć obwodową, która może być używana zarówno na potrzeby ruchu przychodzącego, jak i wychodzącego, na przykład HTTP lub HTTPS:The following architecture demonstrates how to create a perimeter network that can be used for both ingress and egress for layer 7 traffic, such as HTTP or HTTPS:

Zrzut ekranu przedstawiający automatycznie wygenerowany Opis wpisu nośnika społecznościowego

W przypadku ruchu przychodzącego z architekturą urządzeń WUS warstwy 7 urządzeń WUS przetwarzanie żądań przychodzących z warstwy 7 Load Balancer.In the Ingress-egress with layer 7 NVAs architecture, the NVAs process incoming requests from a Layer 7 Load Balancer. Urządzenia WUS przetwarzają także żądania wychodzące z maszyn wirtualnych obsługujących obciążenia w puli zaplecza modułu równoważenia obciążenia.The NVAs also process outgoing requests from the workload VMs in the back-end pool of the load balancer. Ponieważ ruch przychodzący jest kierowany przy użyciu modułu równoważenia obciążenia warstwy 7, a ruch wychodzący jest kierowany przy użyciu modułu wystawcy (Azure Stack centrum podstawowe Load Balancer), urządzeń WUS jest odpowiedzialny za konserwację koligacji sesji.Because incoming traffic is routed with a layer 7 load balancer, and outgoing traffic is routed with an SLB (Azure Stack Hub Basic Load Balancer), the NVAs are responsible for maintaining session affinity. Oznacza to, że moduł równoważenia obciążenia warstwy 7 utrzymuje mapowanie żądań przychodzących i wychodzących, dzięki czemu może przekazywać poprawną odpowiedź do oryginalnego obiektu żądającego.That is, the layer 7 load balancer maintains a mapping of inbound and outbound requests so it can forward the correct response to the original requestor. Jednak wewnętrzny moduł równoważenia obciążenia nie ma dostępu do mapowań modułu równoważenia obciążenia warstwy 7 i używa własnej logiki do wysyłania odpowiedzi do urządzeń WUS.However, the internal load balancer doesn't have access to the layer 7 load balancer mappings, and uses its own logic to send responses to the NVAs. Istnieje możliwość, że moduł równoważenia obciążenia może wysłać odpowiedź do urządzenie WUS, która początkowo nie otrzymała żądania od modułu równoważenia obciążenia warstwy 7.It's possible the load balancer could send a response to an NVA that did not initially receive the request from the layer 7 load balancer. W takim przypadku urządzeń WUS musi komunikować się i przesyłać odpowiedzi między nimi, aby poprawność urządzenie WUS mogła przesłać dalej odpowiedź do modułu równoważenia obciążenia warstwy 7.In this case, the NVAs must communicate and transfer the response between them so the correct NVA can forward the response to the layer 7 load balancer.

Uwaga

Problem z routingiem asymetrycznym można rozwiązać również przez zapewnienie, że urządzenia WUS wykonują translację adresów sieciowych źródła (SNAT) dla ruchu przychodzącego.You can also solve the asymmetric routing issue by ensuring the NVAs perform inbound source network address translation (SNAT). To spowodowałoby zastąpienie oryginalnego źródłowego adres IP obiektu żądającego przez jeden z adresów IP urządzenia WUS używanego w przepływie ruchu przychodzącego.This would replace the original source IP of the requestor to one of the IP addresses of the NVA used on the inbound flow. Dzięki temu można używać wielu urządzeń WUS naraz, zachowując symetrię trasy.This ensures that you can use multiple NVAs at a time, while preserving the route symmetry.

Następne krokiNext steps