Wdrażanie wirtualnych urządzeń sieciowych o wysokiej dostępności w usłudze Azure Stack Hub

W tym artykule przedstawiono sposób wdrażania zestawu wirtualnych urządzeń sieciowych (WUS) w celu zapewnienia wysokiej dostępności w usłudze Azure Stack Hub. Urządzenie WUS jest zwykle używane do kontrolowania przepływu ruchu sieciowego z sieci obwodowej, znanej także jako strefa DMZ, do innych sieci i podsieci. Artykuł zawiera przykładowe architektury dla ruchu przychodzącego, ruchu przychodzącego oraz dla ruchu przychodzącego i wychodzącego.

Istnieją urządzenia WUS od różnych dostawców dostępne w witrynie Azure Stack Hub Marketplace, korzystając z jednego z nich w celu uzyskania optymalnej wydajności.

Architektura ma następujące składniki.

Sieć i równoważenie obciążenia

• Sieć wirtualna i podsieci. Każda maszyna wirtualna platformy Azure jest wdrażana w sieci wirtualnej, którą można podzielić na podsieci. Utwórz oddzielną podsieć dla każdej warstwy.

• Warstwa 7 Load Balancer. Ponieważ Application Gateway nie jest jeszcze dostępna w usłudze Azure Stack Hub, dostępne są alternatywy w witrynie Azure Stack Hub Market, takie jak: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition lub A10 vThunder ADC

• Moduły równoważenia obciążenia. Użyj Azure Load Balancer, aby dystrybuować ruch sieciowy z warstwy internetowej do warstwy biznesowej i z warstwy biznesowej do SQL Server.

• Sieciowe grupy zabezpieczeń . Użyj sieciowych grup zabezpieczeń, aby ograniczyć ruch sieciowy w sieci wirtualnej. Na przykład w architekturze trójwarstwowej pokazanej tutaj warstwa bazy danych nie akceptuje ruchu z frontonu internetowego, tylko z warstwy biznesowej i podsieci zarządzania.

• Trasy zdefiniowane przez użytkownika. Użyj tras zdefiniowanych przez użytkownika (UDR), aby kierować ruch do określonego modułu równoważenia obciążenia.

W tym artykule przyjęto założenie, że podstawowa wiedza na temat sieci usługi Azure Stack Hub.

Diagramy architektury

Urządzenie WUS można wdrożyć w sieci obwodowej w wielu różnych architekturach. Na przykład na poniższym rysunku przedstawiono użycie pojedynczego urządzenia wirtualnego sieci dla ruchu przychodzącego.

W ramach tej architektury urządzenie WUS zapewnia granicę bezpiecznej sieci przez sprawdzenie całego przychodzącego i wychodzącego ruchu sieciowego i przekazywanie tylko ruchu spełniającego reguły zabezpieczeń sieciowych. Fakt, że cały ruch sieciowy musi przechodzić przez urządzenie WUS oznacza, że urządzenie WUS jest pojedynczym punktem awarii w sieci. Jeśli urządzenie WUS ulegnie awarii, nie ma innej ścieżki dla ruchu sieciowego i wszystkie podsieci zaplecza są niedostępne.

Aby urządzenie WUS było wysoce dostępne, należy wdrożyć więcej niż jedno urządzenie WUS w zestawie dostępności.

Następujące architektury opisują konfigurację i zasoby niezbędne dla urządzeń WUS wysokiej dostępności:

Rozwiązanie	Korzyści	Zagadnienia do rozważenia
Ruch przychodzący z urządzeniami WUS warstwy 7	Wszystkie węzły urządzenia WUS są aktywne.	Wymaga urządzenia WUS, które może przerywać połączenia i korzystać z translatora SNAT. Wymaga oddzielnego zestawu urządzeń WUS dla ruchu pochodzącego z sieci przedsiębiorstwa/Internetu i z usługi Azure Stack Hub. Można go używać tylko w przypadku ruchu pochodzącego poza usługą Azure Stack Hub.
Ruch wychodzący z urządzeniami WUS warstwy 7	Wszystkie węzły urządzenia WUS są aktywne.	Wymaga urządzenia WUS, które może zakończyć połączenia i implementuje translacja adresów sieciowych (SNAT).
Ruch przychodzący-wychodzący z urządzeniami WUS warstwy 7	Wszystkie węzły są aktywne. Możliwość obsługi ruchu pochodzącego z usługi Azure Stack Hub.	Wymaga urządzenia WUS, które może przerywać połączenia i korzystać z translatora SNAT. Wymaga oddzielnego zestawu urządzeń WUS dla ruchu pochodzącego z sieci przedsiębiorstwa/Internetu i z usługi Azure Stack Hub.

Ruch przychodzący z urządzeniami WUS warstwy 7

Na poniższej ilustracji przedstawiono architekturę wysokiej dostępności, która implementuje sieć obwodową ruchu przychodzącego za modułem równoważenia obciążenia dostępnym z Internetu. Ta architektura została zaprojektowana w celu zapewnienia łączności z obciążeniami usługi Azure Stack Hub dla ruchu w warstwie 7, takiego jak HTTP lub HTTPS:

Zaletą tej architektury jest to, że wszystkie urządzenia WUS są aktywne, a w razie awarii jednego z nich moduł równoważenia obciążenia kieruje ruch sieciowy do innego urządzenia WUS. Oba urządzenia WUS kierują ruch do wewnętrznego modułu równoważenia obciążenia, a więc dopóki jedno urządzenie WUS jest aktywne, ruch nadal przepływa. Urządzenia WUS są wymagane do zakończenia ruchu komunikacji SSL przeznaczonego dla maszyn wirtualnych warstwy internetowej. Tych urządzeń WUS nie można rozszerzyć w celu obsługi ruchu sieciowego przedsiębiorstwa, ponieważ ruch sieciowy przedsiębiorstwa wymaga innego dedykowanego zestawu urządzeń WUS z własnymi trasami sieciowymi.

Ruch wychodzący z urządzeniami WUS warstwy 7

Architekturę ruchu przychodzącego z architekturą urządzeń WUS warstwy 7 można rozszerzyć, aby zapewnić sieć obwodową ruchu wychodzącego dla żądań pochodzących z obciążenia usługi Azure Stack Hub. Poniższa architektura została zaprojektowana w celu zapewnienia wysokiej dostępności urządzeń WUS w sieci obwodowej dla ruchu w warstwie 7, takiego jak HTTP lub HTTPS:

W tej architekturze cały ruch pochodzący z usługi Azure Stack Hub jest kierowany do wewnętrznego modułu równoważenia obciążenia. Moduł równoważenia obciążenia rozdziela wychodzące żądania między zestaw urządzeń WUS. Te urządzenia WUS kierują ruch do Internetu przy użyciu ich indywidualnych publicznych adresów IP.

Ruch przychodzący-wychodzący z urządzeniami WUS warstwy 7

W dwóch architekturach ruchu przychodzącego i wychodzącego istniała oddzielna sieć obwodowa dla ruchu przychodzącego i wychodzącego. W poniższej architekturze pokazano, jak utworzyć sieć obwodową, która może być używana zarówno dla ruchu przychodzącego, jak i wychodzącego dla ruchu w warstwie 7, takiego jak HTTP lub HTTPS:

W architekturze ruchu przychodzącego i wychodzącego z urządzeniami WUS warstwy 7 urządzenia WUS przetwarzają żądania przychodzące z warstwy 7 Load Balancer. Urządzenia WUS przetwarzają także żądania wychodzące z maszyn wirtualnych obsługujących obciążenia w puli zaplecza modułu równoważenia obciążenia. Ponieważ ruch przychodzący jest kierowany przy użyciu modułu równoważenia obciążenia warstwy 7, a ruch wychodzący jest kierowany za pomocą modułu SLB (Azure Stack Hub Basic Load Balancer), urządzenia WUS są odpowiedzialne za utrzymanie koligacji sesji. Oznacza to, że moduł równoważenia obciążenia warstwy 7 obsługuje mapowanie żądań przychodzących i wychodzących, dzięki czemu może przekazywać poprawną odpowiedź do oryginalnego obiektu żądającego. Jednak wewnętrzny moduł równoważenia obciążenia nie ma dostępu do mapowań modułu równoważenia obciążenia warstwy 7 i używa własnej logiki do wysyłania odpowiedzi do urządzeń WUS. Możliwe, że moduł równoważenia obciążenia może wysłać odpowiedź na urządzenie WUS, które początkowo nie odebrało żądania z modułu równoważenia obciążenia warstwy 7. W takim przypadku urządzenia WUS muszą komunikować się i przesyłać odpowiedź między nimi, aby właściwe urządzenie WUS może przekazać odpowiedź do modułu równoważenia obciążenia warstwy 7.

Uwaga

Problem z routingiem asymetrycznym można rozwiązać również przez zapewnienie, że urządzenia WUS wykonują translację adresów sieciowych źródła (SNAT) dla ruchu przychodzącego. To spowodowałoby zastąpienie oryginalnego źródłowego adres IP obiektu żądającego przez jeden z adresów IP urządzenia WUS używanego w przepływie ruchu przychodzącego. Dzięki temu można używać wielu urządzeń WUS naraz, zachowując symetrię trasy.

Następne kroki

• Aby dowiedzieć się więcej na temat maszyn wirtualnych usługi Azure Stack Hub, zobacz Funkcje maszyn wirtualnych usługi Azure Stack Hub.
• Aby dowiedzieć się więcej na temat wzorców chmury platformy Azure, zobacz Wzorce projektowe chmury.