Implantar soluções de virtualização de rede altamente disponíveis no Hub Azure Stack

Este artigo mostra como implantar um conjunto de NVAs (soluções de virtualização de rede) para alta disponibilidade no Hub Azure Stack. Uma NVA normalmente é usada para controlar o fluxo de tráfego de rede de uma rede de perímetro, também conhecida como DMZ, para outras redes ou sub-redes. O artigo inclui as arquiteturas de exemplo apenas de entrada, apenas de saída e de entrada e saída.

Há NVAs de diferentes fornecedores disponíveis no Marketplace do Hub Azure Stack, use um deles para obter um desempenho ideal.

A arquitetura tem os seguintes componentes.

Rede e balanceamento de carga

  • Rede virtual e sub-redes. Cada VM do Azure é implantada em uma rede virtual que pode ser segmentada em sub-redes. Sempre crie uma sub-rede separada para cada camada.

  • Camada 7 Load Balancer. Como o gateway de aplicativo ainda não está disponível no Hub de Azure Stack, há alternativas disponíveis no mercado de Azure Stack local , como: Kemp loadmestre Load Balancer ADC Content switchF5 Big-IP Virtual Edition ou a10 vThunder ADC

  • Balanceadores de carga. Use Azure Load Balancerpara distribuir o tráfego de rede da camada da web para a camada de negócios e da camada de negócios para SQL Server.

  • NSGs ( grupos de segurança de rede ). Use NSGs para restringir o tráfego de rede na rede virtual. Por exemplo, na arquitetura de três camadas mostrada aqui, a camada de banco de dados não aceita o tráfego do front-end da Web, somente da camada de negócios e da sub-rede de gerenciamento.

  • UDRs. Use UDRs ( rotas definidas pelo usuário ) para rotear o tráfego para o balanceador de carga específico.

Este artigo pressupõe uma compreensão básica de Azure Stack rede de Hub.

Diagramas de arquitetura

Um NVA pode ser implantado em uma rede de perímetro em muitas arquiteturas diferentes. Por exemplo, a figura a seguir ilustra o uso de uma única NVA para entrada.

Captura de tela que mostra o uso de um único NVA para entrada.

Nessa arquitetura, a NVA fornece um limite de rede segura marcando todo tráfego de rede de entrada e saída e passando apenas o tráfego que atende às regras de segurança de rede. O fato de que todo o tráfego de rede deve passar pelo NVA significa que o NVA é um ponto único de falha na rede. Se a NVA falhar, não haverá nenhum outro caminho para o tráfego de rede e todas as sub-redes de back-end ficarão indisponíveis.

Para tornar uma NVA altamente disponível, implante mais de uma NVA em um conjunto de disponibilidade.

As arquiteturas a seguir descrevem os recursos e a configuração necessários para NVAs altamente disponíveis:

Solução Benefícios Considerações
Entrada com NVAs na camada 7 Todos os nós NVA estão ativos. Requer um NVA que possa encerrar conexões e usar SNAT.
requer um conjunto separado de NVAs para o tráfego proveniente da Enterprise rede/Internet e do Hub Azure Stack.
Só pode ser usado para tráfego originado fora do hub de Azure Stack.
Saída com NVAs na camada 7 Todos os nós NVA estão ativos. Requer um NVA que possa encerrar conexões e implementar a conversão de endereços de rede de origem (SNAT).
Entrada-saída com NVAs na camada 7 Todos os nós estão ativos.
Capaz de lidar com o tráfego originado no Hub de Azure Stack.
Requer um NVA que possa encerrar conexões e usar SNAT.
requer um conjunto separado de NVAs para o tráfego proveniente da Enterprise rede/Internet e do Hub Azure Stack.

Entrada com NVAs na camada 7

A figura a seguir mostra uma arquitetura de alta disponibilidade que implementa uma rede de perímetro de entrada atrás de um balanceador de carga voltado para a Internet. Essa arquitetura é projetada para fornecer conectividade a Azure Stack cargas de trabalho de Hub para tráfego de camada 7, como HTTP ou HTTPS:

Uma captura de tela de um mapa Descrição gerada automaticamente

A vantagem dessa arquitetura é que todas as NVAs estão ativas e, se uma falhar, o balanceador de carga direciona o tráfego de rede para a outra NVA. Ambas NVAs encaminham o tráfego para o balanceador de carga interno, portanto, desde que uma NVA esteja ativa, o tráfego continuará a fluir. As NVAs são necessárias para terminar o tráfego SSL destinado a VMs da camada da Web. esses NVAs não podem ser estendidos para manipular Enterprise tráfego de rede porque Enterprise tráfego de rede requer outro conjunto dedicado de NVAs com suas próprias rotas de rede.

Saída com NVAs na camada 7

O ingresso com a arquitetura de NVAs de camada 7 pode ser expandido para fornecer uma rede de perímetro de saída para solicitações originadas na carga de trabalho do hub de Azure Stack. A arquitetura a seguir foi projetada para fornecer alta disponibilidade do NVAs na rede de perímetro para tráfego de camada 7, como HTTP ou HTTPS:

Uma captura de tela de um telefone celular Descrição gerada automaticamente

Nessa arquitetura, todo o tráfego originado no Hub Azure Stack é roteado para um balanceador de carga interno. O balanceador de carga distribui solicitações de saída entre um conjunto de NVAs. Essas NVAs direcionam o tráfego para a Internet usando os endereços IP públicos individuais.

Entrada-saída com NVAs na camada 7

Nas duas arquiteturas de entrada e saída, havia uma rede de perímetro separada para entrada e saída. A arquitetura a seguir demonstra como criar uma rede de perímetro que pode ser usada para entrada e saída para tráfego de camada 7, como HTTP ou HTTPS:

Uma captura de tela de uma postagem de mídia social Descrição gerada automaticamente

Na arquitetura de entrada-egresso com camada 7 NVAs, o NVAs processa as solicitações recebidas de uma camada 7 Load Balancer. As NVAs também processam solicitações de saída de VMs de carga de trabalho no pool de back-end do balanceador de carga. Como o tráfego de entrada é roteado com um balanceador de carga de camada 7 e o tráfego de saída é roteado com um SLB (Azure Stack Hub Basic Load Balancer), os NVAs são responsáveis por manter a afinidade de sessão. Ou seja, o balanceador de carga de camada 7 mantém um mapeamento de solicitações de entrada e saída para que possa encaminhar a resposta correta para o solicitante original. No entanto, o balanceador de carga interno não tem acesso aos mapeamentos de balanceador de carga de camada 7 e usa sua própria lógica para enviar respostas para o NVAs. É possível que o balanceador de carga possa enviar uma resposta a um NVA que não recebeu inicialmente a solicitação do balanceador de carga de camada 7. Nesse caso, o NVAs deve se comunicar e transferir a resposta entre eles para que o NVA correto possa encaminhar a resposta para o balanceador de carga de camada 7.

Observação

Você também pode resolver o problema de roteamento assimétrico garantindo que as NVAs executem a SNAT (conversão de endereços de rede de origem) de entrada. Isso substituiria o IP de origem original do solicitante por um dos endereços IP da NVA usada no fluxo de entrada. Isso garante que você possa usar várias NVAs por vez, preservando ainda a simetria de rota.

Próximas etapas