Implantar soluções de virtualização de rede altamente disponíveis no Hub Azure StackDeploy highly available network virtual appliances on Azure Stack Hub

Este artigo mostra como implantar um conjunto de NVAs (soluções de virtualização de rede) para alta disponibilidade no Hub Azure Stack.This article shows you how to deploy a set of network virtual appliances (NVAs) for high availability in Azure Stack Hub. Uma NVA normalmente é usada para controlar o fluxo de tráfego de rede de uma rede de perímetro, também conhecida como DMZ, para outras redes ou sub-redes.An NVA is typically used to control the flow of network traffic from a perimeter network, also known as a DMZ, to other networks or subnets. O artigo inclui as arquiteturas de exemplo apenas de entrada, apenas de saída e de entrada e saída.The article includes example architectures for ingress only, egress only, and both ingress and egress.

Há NVAs de diferentes fornecedores disponíveis no Marketplace do Hub Azure Stack, use um deles para obter um desempenho ideal.There are NVAs from different vendors available on Azure Stack Hub Marketplace, use one of them for optimal performance.

A arquitetura tem os seguintes componentes.The architecture has the following components.

Rede e balanceamento de cargaNetworking and load balancing

  • Rede virtual e sub-redes.Virtual network and subnets. Cada VM do Azure é implantada em uma rede virtual que pode ser segmentada em sub-redes.Every Azure VM is deployed into a virtual network that can be segmented into subnets. Sempre crie uma sub-rede separada para cada camada.Create a separate subnet for each tier.

  • Camada 7 Load Balancer.Layer 7 Load Balancer. Como o gateway de aplicativo ainda não está disponível no Hub de Azure Stack, há alternativas disponíveis no mercado de Azure Stack local , como: Kemp loadmestre Load Balancer ADC Content switch / F5 Big-IP Virtual Edition ou a10 vThunder ADCAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • Balanceadores de carga.Load balancers. Use Azure Load Balancerpara distribuir o tráfego de rede da camada da Web para a camada de negócios e da camada de negócios para SQL Server.Use Azure Load Balancerto distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • NSGs ( grupos de segurança de rede ).Network security groups (NSGs). Use NSGs para restringir o tráfego de rede na rede virtual.Use NSGs to restrict network traffic within the virtual network. Por exemplo, na arquitetura de três camadas mostrada aqui, a camada de banco de dados não aceita o tráfego do front-end da Web, somente da camada de negócios e da sub-rede de gerenciamento.For example, in the three-tier architecture shown here, the database tier doesn't accept traffic from the web front end, only from the business tier and the management subnet.

  • UDRs.UDRs. Use UDRs ( rotas definidas pelo usuário ) para rotear o tráfego para o balanceador de carga específico.Use user-defined routes (UDRs) to route traffic to the specific load balancer.

Este artigo pressupõe uma compreensão básica de Azure Stack rede de Hub.This article assumes a basic understanding of Azure Stack Hub networking.

Diagramas de arquiteturaArchitecture diagrams

Um NVA pode ser implantado em uma rede de perímetro em muitas arquiteturas diferentes.An NVA can be deployed to a perimeter network in many different architectures. Por exemplo, a figura a seguir ilustra o uso de uma única NVA para entrada.For example, the following figure illustrates the use of a single NVA for ingress.

Captura de tela que mostra o uso de um único NVA para entrada.

Nessa arquitetura, a NVA fornece um limite de rede segura marcando todo tráfego de rede de entrada e saída e passando apenas o tráfego que atende às regras de segurança de rede.In this architecture, the NVA provides a secure network boundary by checking all inbound and outbound network traffic and passing only the traffic that meets network security rules. O fato de que todo o tráfego de rede deve passar pelo NVA significa que o NVA é um ponto único de falha na rede.The fact that all network traffic must pass through the NVA means that the NVA is a single point of failure in the network. Se a NVA falhar, não haverá nenhum outro caminho para o tráfego de rede e todas as sub-redes de back-end ficarão indisponíveis.If the NVA fails, there is no other path for network traffic and all the back-end subnets are unavailable.

Para tornar uma NVA altamente disponível, implante mais de uma NVA em um conjunto de disponibilidade.To make an NVA highly available, deploy more than one NVA into an availability set.

As arquiteturas a seguir descrevem os recursos e a configuração necessários para NVAs altamente disponíveis:The following architectures describe the resources and configuration necessary for highly available NVAs:

SoluçãoSolution BenefíciosBenefits ConsideraçõesConsiderations
Entrada com NVAs na camada 7Ingress with layer 7 NVAs Todos os nós NVA estão ativos.All NVA nodes are active. Requer um NVA que possa encerrar conexões e usar SNAT.Requires an NVA that can terminate connections and use SNAT.
Requer um conjunto separado de NVAs para o tráfego proveniente da rede corporativa/Internet e do Hub Azure Stack.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.
Só pode ser usado para tráfego originado fora do hub de Azure Stack.Can only be used for traffic originating outside Azure Stack Hub.
Saída com NVAs na camada 7Egress with layer 7 NVAs Todos os nós NVA estão ativos.All NVA nodes are active. Requer um NVA que possa encerrar conexões e implementar a conversão de endereços de rede de origem (SNAT).Requires an NVA that can terminate connections and implements source network address translation (SNAT).
Entrada-saída com NVAs na camada 7Ingress-Egress with layer 7 NVAs Todos os nós estão ativos.All nodes are active.
Capaz de lidar com o tráfego originado no Hub de Azure Stack.Able to handle traffic originated in Azure Stack Hub.
Requer um NVA que possa encerrar conexões e usar SNAT.Requires an NVA that can terminate connections and use SNAT.
Requer um conjunto separado de NVAs para o tráfego proveniente da rede corporativa/Internet e do Hub Azure Stack.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.

Entrada com NVAs na camada 7Ingress with layer 7 NVAs

A figura a seguir mostra uma arquitetura de alta disponibilidade que implementa uma rede de perímetro de entrada atrás de um balanceador de carga voltado para a Internet.The following figure shows a high availability architecture that implements an ingress perimeter network behind an internet-facing load balancer. Essa arquitetura é projetada para fornecer conectividade a Azure Stack cargas de trabalho de Hub para tráfego de camada 7, como HTTP ou HTTPS:This architecture is designed to provide connectivity to Azure Stack Hub workloads for layer 7 traffic, such as HTTP or HTTPS:

Uma captura de tela de uma descrição de mapa gerada automaticamente

A vantagem dessa arquitetura é que todas as NVAs estão ativas e, se uma falhar, o balanceador de carga direciona o tráfego de rede para a outra NVA.The benefit of this architecture is that all NVAs are active, and if one fails the load balancer directs network traffic to the other NVA. Ambas NVAs encaminham o tráfego para o balanceador de carga interno, portanto, desde que uma NVA esteja ativa, o tráfego continuará a fluir.Both NVAs route traffic to the internal load balancer so as long as one NVA is active, traffic continues to flow. As NVAs são necessárias para terminar o tráfego SSL destinado a VMs da camada da Web.The NVAs are required to terminate SSL traffic intended for the web tier VMs. Esses NVAs não podem ser estendidos para lidar com o tráfego de rede corporativo porque o tráfego de rede corporativa requer outro conjunto dedicado de NVAs com suas próprias rotas de rede.These NVAs cannot be extended to handle Enterprise Network traffic because Enterprise Network traffic requires another dedicated set of NVAs with their own network routes.

Saída com NVAs na camada 7Egress with layer 7 NVAs

O ingresso com a arquitetura de NVAs de camada 7 pode ser expandido para fornecer uma rede de perímetro de saída para solicitações originadas na carga de trabalho do hub de Azure Stack.The Ingress with layer 7 NVAs architecture can be expanded to provide an egress perimeter network for requests originating in the Azure Stack Hub workload. A arquitetura a seguir foi projetada para fornecer alta disponibilidade do NVAs na rede de perímetro para tráfego de camada 7, como HTTP ou HTTPS:The following architecture is designed to provide high availability of the NVAs in the perimeter network for layer 7 traffic, such as HTTP or HTTPS:

Uma captura de tela de uma descrição de telefone celular gerada automaticamente

Nessa arquitetura, todo o tráfego originado no Hub Azure Stack é roteado para um balanceador de carga interno.In this architecture, all traffic originating in Azure Stack Hub is routed to an internal load balancer. O balanceador de carga distribui solicitações de saída entre um conjunto de NVAs.The load balancer distributes outgoing requests between a set of NVAs. Essas NVAs direcionam o tráfego para a Internet usando os endereços IP públicos individuais.These NVAs direct traffic to the Internet using their individual public IP addresses.

Entrada-egresso com camada 7 NVAsIngress-egress with layer 7 NVAs

Nas duas arquiteturas de entrada e saída, havia uma rede de perímetro separada para entrada e saída.In the two ingress and egress architectures, there was a separate perimeter network for ingress and egress. A arquitetura a seguir demonstra como criar uma rede de perímetro que pode ser usada para entrada e saída para tráfego de camada 7, como HTTP ou HTTPS:The following architecture demonstrates how to create a perimeter network that can be used for both ingress and egress for layer 7 traffic, such as HTTP or HTTPS:

Uma captura de tela de uma descrição de postagem de mídia social gerada automaticamente

Na arquitetura de entrada-egresso com camada 7 NVAs, o NVAs processa as solicitações recebidas de uma camada 7 Load Balancer.In the Ingress-egress with layer 7 NVAs architecture, the NVAs process incoming requests from a Layer 7 Load Balancer. As NVAs também processam solicitações de saída de VMs de carga de trabalho no pool de back-end do balanceador de carga.The NVAs also process outgoing requests from the workload VMs in the back-end pool of the load balancer. Como o tráfego de entrada é roteado com um balanceador de carga de camada 7 e o tráfego de saída é roteado com um SLB (Azure Stack Hub Basic Load Balancer), os NVAs são responsáveis por manter a afinidade de sessão.Because incoming traffic is routed with a layer 7 load balancer, and outgoing traffic is routed with an SLB (Azure Stack Hub Basic Load Balancer), the NVAs are responsible for maintaining session affinity. Ou seja, o balanceador de carga de camada 7 mantém um mapeamento de solicitações de entrada e saída para que possa encaminhar a resposta correta para o solicitante original.That is, the layer 7 load balancer maintains a mapping of inbound and outbound requests so it can forward the correct response to the original requestor. No entanto, o balanceador de carga interno não tem acesso aos mapeamentos de balanceador de carga de camada 7 e usa sua própria lógica para enviar respostas para o NVAs.However, the internal load balancer doesn't have access to the layer 7 load balancer mappings, and uses its own logic to send responses to the NVAs. É possível que o balanceador de carga possa enviar uma resposta a um NVA que não recebeu inicialmente a solicitação do balanceador de carga de camada 7.It's possible the load balancer could send a response to an NVA that did not initially receive the request from the layer 7 load balancer. Nesse caso, o NVAs deve se comunicar e transferir a resposta entre eles para que o NVA correto possa encaminhar a resposta para o balanceador de carga de camada 7.In this case, the NVAs must communicate and transfer the response between them so the correct NVA can forward the response to the layer 7 load balancer.

Observação

Você também pode resolver o problema de roteamento assimétrico garantindo que as NVAs executem a SNAT (conversão de endereços de rede de origem) de entrada.You can also solve the asymmetric routing issue by ensuring the NVAs perform inbound source network address translation (SNAT). Isso substituiria o IP de origem original do solicitante por um dos endereços IP da NVA usada no fluxo de entrada.This would replace the original source IP of the requestor to one of the IP addresses of the NVA used on the inbound flow. Isso garante que você possa usar várias NVAs por vez, preservando ainda a simetria de rota.This ensures that you can use multiple NVAs at a time, while preserving the route symmetry.

Próximas etapasNext steps