Implantar dispositivos de virtualização de rede altamente disponíveis Azure Stack Hub

Este artigo mostra como implantar um conjunto de NVAs (dispositivos de virtualização de rede) para alta disponibilidade Azure Stack Hub. Uma NVA normalmente é usada para controlar o fluxo de tráfego de rede de uma rede de perímetro, também conhecida como DMZ, para outras redes ou sub-redes. O artigo inclui as arquiteturas de exemplo apenas de entrada, apenas de saída e de entrada e saída.

Há NVAs de fornecedores diferentes disponíveis no Azure Stack Hub Marketplace,use um deles para obter um desempenho ideal.

A arquitetura tem os seguintes componentes.

Rede e balanceamento de carga

  • Rede virtual e sub-redes. Cada VM do Azure é implantada em uma rede virtual que pode ser segmentada em sub-redes. Sempre crie uma sub-rede separada para cada camada.

  • Camada 7 Load Balancer. Como o Gateway de Aplicativo ainda não está disponível no Azure Stack Hub, há alternativas disponíveis no mercado do Azure Stack Hub, como: Kemp LoadMaster Load Balancer ADC Content Switchf5 Big-IP Virtual Edition ou A10 vThunder ADC

  • Balanceadores de carga. Use Azure Load Balancerpara distribuir o tráfego de rede da camada da Web para a camada de negócios e da camada de negócios para SQL Server.

  • NSGs (grupos de segurança de rede). Use NSGs para restringir o tráfego de rede dentro da rede virtual. Por exemplo, na arquitetura de três camadas mostrada aqui, a camada de banco de dados não aceita o tráfego do front-end da Web, somente da camada de negócios e da sub-rede de gerenciamento.

  • UDRs. Use UDRs (rotas definidas pelo usuário) para rotear o tráfego para o balanceador de carga específico.

Este artigo pressu assume uma compreensão básica da Azure Stack Hub rede.

Diagramas de arquitetura

Uma NVA pode ser implantada em uma rede de perímetro em muitas arquiteturas diferentes. Por exemplo, a figura a seguir ilustra o uso de uma única NVA para entrada.

Screenshot that shows the use of a single NVA for ingress.

Nessa arquitetura, a NVA fornece um limite de rede segura marcando todo tráfego de rede de entrada e saída e passando apenas o tráfego que atende às regras de segurança de rede. O fato de que todo o tráfego de rede deve passar pela NVA significa que a NVA é um ponto único de falha na rede. Se a NVA falhar, não haverá nenhum outro caminho para o tráfego de rede e todas as sub-redes de back-end ficarão indisponíveis.

Para tornar uma NVA altamente disponível, implante mais de uma NVA em um conjunto de disponibilidade.

As arquiteturas a seguir descrevem os recursos e a configuração necessários para NVAs altamente disponíveis:

Solução Benefícios Considerações
Entrada com NVAs na camada 7 Todos os nós NVA estão ativos. Requer uma NVA que pode encerrar conexões e usar SNAT.
Requer um conjunto separado de NVAs para o tráfego proveniente do Enterprise rede/Internet e de Azure Stack Hub.
Só pode ser usado para o tráfego originado fora Azure Stack Hub.
Saída com NVAs na camada 7 Todos os nós NVA estão ativos. Requer uma NVA que pode encerrar conexões e implementa a SNAT (conversão de endereços de rede de origem).
Entrada-saída com NVAs na camada 7 Todos os nós estão ativos.
Capaz de lidar com o tráfego originado Azure Stack Hub.
Requer uma NVA que pode encerrar conexões e usar SNAT.
Requer um conjunto separado de NVAs para o tráfego proveniente do Enterprise rede/Internet e de Azure Stack Hub.

Entrada com NVAs na camada 7

A figura a seguir mostra uma arquitetura de alta disponibilidade que implementa uma rede de perímetro de entrada por trás de um balanceador de carga voltado para a Internet. Essa arquitetura foi projetada para fornecer conectividade Azure Stack Hub cargas de trabalho para tráfego de camada 7, como HTTP ou HTTPS:

A screenshot of a map Description automatically generated

A vantagem dessa arquitetura é que todas as NVAs estão ativas e, se uma falhar, o balanceador de carga direciona o tráfego de rede para a outra NVA. Ambas NVAs encaminham o tráfego para o balanceador de carga interno, portanto, desde que uma NVA esteja ativa, o tráfego continuará a fluir. As NVAs são necessárias para terminar o tráfego SSL destinado a VMs da camada da Web. Essas NVAs não podem ser estendidas para lidar com Enterprise tráfego de rede porque Enterprise tráfego de rede requer outro conjunto dedicado de NVAs com suas próprias rotas de rede.

Saída com NVAs na camada 7

A arquitetura de NVAs de entrada com a camada 7 pode ser expandida para fornecer uma rede de perímetro de saída para solicitações originadas na carga de trabalho Azure Stack Hub saída. A arquitetura a seguir foi projetada para fornecer alta disponibilidade dos NVAs na rede de perímetro para tráfego de camada 7, como HTTP ou HTTPS:

A screenshot of a cell phone Description automatically generated

Nessa arquitetura, todo o tráfego originado Azure Stack Hub é roteado para um balanceador de carga interno. O balanceador de carga distribui solicitações de saída entre um conjunto de NVAs. Essas NVAs direcionam o tráfego para a Internet usando os endereços IP públicos individuais.

Entrada-saída com NVAs na camada 7

Nas duas arquiteturas de entrada e saída, havia uma rede de perímetro separada para entrada e saída. A arquitetura a seguir demonstra como criar uma rede de perímetro que pode ser usada para entrada e saída para tráfego de camada 7, como HTTP ou HTTPS:

A screenshot of a social media post Description automatically generated

Na arquitetura NVAs de entrada com NVAs de camada 7, as NVAs processam solicitações de entrada de uma camada 7 Load Balancer. As NVAs também processam solicitações de saída de VMs de carga de trabalho no pool de back-end do balanceador de carga. Como o tráfego de entrada é roteado com um balanceador de carga de camada 7 e o tráfego de saída é roteado com um SLB (Azure Stack Hub Basic Load Balancer), os NVAs são responsáveis por manter a afinidade de sessão. Ou seja, o balanceador de carga de camada 7 mantém um mapeamento de solicitações de entrada e saída para que ele possa encaminhar a resposta correta para o solicitante original. No entanto, o balanceador de carga interno não tem acesso aos mapeamentos do balanceador de carga de camada 7 e usa sua própria lógica para enviar respostas para as NVAs. É possível que o balanceador de carga possa enviar uma resposta a uma NVA que não recebeu inicialmente a solicitação do balanceador de carga de camada 7. Nesse caso, as NVAs devem se comunicar e transferir a resposta entre elas para que a NVA correta possa encaminhar a resposta para o balanceador de carga de camada 7.

Observação

Você também pode resolver o problema de roteamento assimétrico garantindo que as NVAs executem a SNAT (conversão de endereços de rede de origem) de entrada. Isso substituiria o IP de origem original do solicitante por um dos endereços IP da NVA usada no fluxo de entrada. Isso garante que você possa usar várias NVAs por vez, preservando ainda a simetria de rota.

Próximas etapas