Planeamento da integração de rede do Azure Stack

Este artigo fornece informações sobre a infraestrutura da rede Azure Stack para ajudá-lo a decidir como integrar melhor o Azure Stack no seu ambiente de networking existente.

Nota

Para resolver os nomes externos do DNS a partir do Azure Stack (por exemplo, www.bing.com), é necessário fornecer servidores DNS para encaminhar pedidos DNS. Para obter mais informações sobre os requisitos dns do Azure Stack, consulte a integração do datacenter Azure Stack - DNS.

Design de rede física

A solução Azure Stack precisa de uma infraestrutura resiliente e altamente disponível para suportar o seu funcionamento e os seus serviços. Para integrar o Azure Stack na rede, requer ligações dos interruptores Topo de Rack (ToR) para o interruptor ou router mais próximo, que nesta documentação é referido como Border. Os ToRs podem ser associados a um único ou um par de fronteiras. O ToR é pré-configurado pela nossa ferramenta de automação, espera um mínimo de uma ligação entre o ToR e a Border quando se utiliza o Encaminhamento BGP e um mínimo de duas ligações (uma por ToR) entre ToR e Border quando se utiliza o Encaminhamento Estático, com um máximo de quatro ligações em ambas as opções de encaminhamento. Estas ligações estão limitadas aos meios SFP+ ou SFP28 e a uma velocidade mínima de uma velocidade de um GB. Consulte o seu fornecedor de hardware original do fabricante de equipamentos (OEM) para obter disponibilidade. O seguinte diagrama apresenta o desenho recomendado:

Design recomendado de rede Azure Stack

Atribuição de largura de banda

O Azure Stack Hub é construído com tecnologias Windows Server 2019 Failover Cluster e Spaces Direct. Uma parte da configuração da rede física Azure Stack Hub é feita para utilizar garantias de separação de tráfego e largura de banda para garantir que as comunicações de armazenamento Diretas do Spaces podem satisfazer o desempenho e escala necessários à solução. A configuração da rede utiliza classes de tráfego para separar as comunicações baseadas em Espaços Diretos, baseadas em RDMA, da utilização da rede pela infraestrutura Azure Stack Hub e/ou inquilino. Para se alinhar com as boas práticas definidas para Windows Server 2019, o Azure Stack Hub está a mudar para utilizar uma classe de tráfego adicional ou prioridade para separar ainda mais o servidor da comunicação do servidor em suporte à comunicação de controlo do Clustering Failover. Esta nova definição de classe de tráfego será configurada para reservar 2% da largura de banda física disponível. Esta configuração de reserva de classe de tráfego e largura de banda é realizada através de uma alteração nos interruptores topo de rack (ToR) da solução Azure Stack Hub e no anfitrião ou servidores do Azure Stack Hub. Note que não são necessárias alterações nos dispositivos de rede de fronteira do cliente. Estas alterações proporcionam uma melhor resiliência para a comunicação do Failover Cluster e destinam-se a evitar situações em que a largura de banda da rede é totalmente consumida e, consequentemente, as mensagens de controlo do Cluster Failover são interrompidas. Note que a comunicação Failover Cluster é um componente crítico da infraestrutura Azure Stack Hub e, se interrompida por longos períodos, pode levar à instabilidade nos serviços de armazenamento Direto do Espaço ou outros serviços que eventualmente impactarão a estabilidade da carga de trabalho do inquilino ou do utilizador final.

Nota

As alterações descritas são adicionadas ao nível de hospedeiro de um sistema Azure Stack Hub na versão de 2008. Entre em contato com o seu OEM para organizar as alterações necessárias nos interruptores de rede ToR. Esta alteração tor pode ser realizada antes da atualização para a versão de 2008 ou após a atualização para 2008. A alteração de configuração nos interruptores ToR é necessária para melhorar as comunicações do Cluster Failover.

Redes Lógicas

As redes lógicas representam uma abstração da infraestrutura de rede física subjacente. São usados para organizar e simplificar as missões de rede para anfitriões, máquinas virtuais (VMs) e serviços. Como parte da criação lógica da rede, os sites de rede são criados para definir as redes de área local virtual (VLANs), sub-redes IP e pares ip subnet/VLAN que estão associados à rede lógica em cada localização física.

A tabela a seguir mostra as redes lógicas e as gamas de sub-redes IPv4 associadas que deve planear:

Rede Lógica Description Tamanho
VIP público O Azure Stack utiliza um total de 31 endereços desta rede. Oito endereços IP públicos são usados para um pequeno conjunto de serviços Azure Stack e os restantes são usados por VMs inquilinos. Se planeia utilizar o Serviço de Aplicações e os fornecedores de recursos SQL, são utilizados mais 7 endereços. Os restantes 15 IPs estão reservados para futuros serviços Azure. /26 (62 anfitriões) - /22 (1022 anfitriões)

Recomendado = /24 (254 anfitriões)
Mudar de infraestrutura Endereços IP ponto a ponto para fins de encaminhamento, interfaces dedicadas de gestão do comutadores e endereços de backback atribuídos ao comutador. /26
Infraestrutura Usado para componentes internos Azure Stack para comunicar. /24
Privado Utilizado para a rede de armazenamento, VIPs privados, contentores de infraestrutura e outras funções internas. Para mais detalhes, consulte a secção de rede Privada neste artigo. /20
BMC Usado para comunicar com os BMCs nos hospedeiros físicos. /26

Nota

Um alerta no portal irá lembrar o operador para executar o Set-AzsPrivateNetwork PEP cmdlet para adicionar um novo espaço IP privado /20. Para obter mais informações e orientações sobre a seleção do espaço IP privado /20, consulte a secção de rede Privada neste artigo.

Infraestrutura de rede

A infraestrutura de rede para Azure Stack é constituída por várias redes lógicas configuradas nos interruptores. O diagrama seguinte mostra estas redes lógicas e como se integram com os interruptores topo de rack (TOR), controlador de gestão de rodapé (BMC) e comutadores de fronteira (rede de clientes).

Diagrama de rede lógica e ligações comutadores

Rede BMC

Esta rede dedica-se a ligar todos os controladores de gestão de rodapé (também conhecidos como BMC ou processadores de serviço) à rede de gestão. Exemplos incluem: iDRAC, iLO, iBMC, e assim por diante. Apenas uma conta BMC é utilizada para comunicar com qualquer nó BMC. Se estiver presente, o Hardware Lifecycle Host (HLH) está localizado nesta rede e pode fornecer software específico para manutenção ou monitorização de hardware.

O HLH também acolhe o VM de implantação (DVM). O DVM é utilizado durante a implementação da Pilha de Azure e é removido quando a implementação estiver concluída. O DVM requer acesso à Internet em cenários de implementação conectados para testar, validar e aceder a vários componentes. Estes componentes podem estar dentro e fora da sua rede corporativa (por exemplo: NTP, DNS e Azure). Para obter mais informações sobre os requisitos de conectividade, consulte a secção NAT na integração de firewall Azure Stack.

Rede privada

Esta rede /20 (4096 IPs) é privada para a região de Azure Stack (não vai além dos dispositivos de comutador de fronteira do sistema Azure Stack) e está dividida em várias sub-redes, aqui estão alguns exemplos:

  • Armazenamento rede: Uma rede de /25 (128 IPs) utilizada para apoiar a utilização do tráfego de armazenamento de blocos de mensagens diretas e servidores (SMB) e migração ao vivo de VM.
  • Rede IP virtual interna: Uma rede /25 dedicada a VIPs internos apenas para o equilibrador de carga de software.
  • Rede de contentores: Rede A /23 (512 IPs) dedicada ao tráfego interno apenas entre contentores que gerem serviços de infraestrutura.

O sistema Azure Stack Hub requer um espaço IP interno adicional /20. Esta rede será privada do sistema Azure Stack (não vai além dos dispositivos de comutador de fronteira do sistema Azure Stack) e pode ser reutilizada em vários sistemas Azure Stack dentro do seu datacenter. Embora a rede seja privada do Azure Stack, não deve sobrepor-se a outras redes no datacenter. O espaço IP privado /20 está dividido em múltiplas redes que permitem executar a infraestrutura Azure Stack Hub em contentores. Além disso, este novo espaço IP privado permite esforços contínuos para reduzir o espaço IP roteado necessário antes da implementação. O objetivo de executar a infraestrutura Azure Stack Hub em contentores é otimizar a utilização e melhorar o desempenho. Além disso, o espaço IP privado /20 também é usado para permitir esforços contínuos que reduzirão o espaço IP routable necessário antes da implantação. Para orientação sobre o espaço IP privado, recomendamos seguir o RFC 1918.

Para os sistemas implantados antes de 1910, esta sub-rede /20 será uma rede adicional a entrar em sistemas após a atualização para 1910. A rede adicional terá de ser fornecida ao sistema através do cmdlet PEP da Set-AzsPrivateNetwork.

Nota

A entrada /20 serve como pré-requisito para a próxima atualização do Azure Stack Hub após 1910. Quando a próxima atualização do Azure Stack Hub após a versão de 1910 e tentar instalá-la, a atualização falhará se não tiver concluído a entrada /20, conforme descrito nos passos de remediação da seguinte forma. Um alerta estará presente no portal do administrador até que os passos de reparação acima estejam concluídos. Consulte o artigo de integração da rede Datacenter para perceber como este novo espaço privado será consumido.

Medidas de reparação: Para remediar, siga as instruções para abrir uma Sessão PEP. Prepare uma gama ip interna privada de tamanho /20, e execute o seguinte cmdlet na sessão PEP usando o seguinte exemplo: . Se a operação for realizada com sucesso, receberá a gama de rede interna Azs adicionada ao config. Se concluído com sucesso, o alerta fechar-se-á no portal do administrador. O sistema Azure Stack Hub já pode atualizar para a próxima versão.

Rede de infraestruturas Azure Stack

Esta rede /24 é dedicada aos componentes internos do Azure Stack para que possam comunicar e trocar dados entre si. Esta sub-rede pode ser encaminhada externamente da solução Azure Stack para o seu datacenter, não recomendamos a utilização de endereços IP despa via pública ou internet nesta sub-rede. Esta rede é publicitada para a Fronteira, mas a maioria dos seus IPs estão protegidos por Listas de Controlo de Acesso (ACLs). Os IPs autorizados para acesso estão dentro de um pequeno intervalo equivalente em tamanho a uma rede /27 e serviços de hospedagem como o ponto final privilegiado (PEP) e Azure Stack Backup.

Rede VIP pública

A rede VIP pública é atribuída ao controlador de rede em Azure Stack. Não é uma rede lógica no interruptor. O SLB utiliza o conjunto de endereços e atribui /32 redes para trabalhos de trabalho dos inquilinos. Na tabela de roteamento do interruptor, estes /32 IPs são anunciados como uma rota disponível via BGP. Esta rede contém os endereços IP acessíveis ao exterior ou públicos. A infraestrutura Azure Stack reserva os primeiros 31 endereços desta rede VIP pública enquanto o restante é usado pelos VMs inquilinos. O tamanho da rede nesta sub-rede pode variar de um mínimo de /26 (64 anfitriões) a um máximo de /22 (1022 anfitriões). Recomendamos que planeie uma rede /24.

Ligação a redes no local

O Azure Stack Hub utiliza redes virtuais para recursos do cliente, como máquinas virtuais, equiliblos de carga, entre outros.

Existem várias opções diferentes para a ligação de recursos dentro da rede virtual a recursos no local/corporativo:

  • Utilize endereços IP públicos da rede VIP pública.
  • Utilize gateway de rede virtual ou aparelho virtual de rede (NVA).

Quando um túnel S2S VPN é usado para ligar recursos a ou a partir de redes no local, você pode encontrar um cenário em que um recurso também tenha um endereço IP público atribuído, e já não é acessível através desse endereço IP público. Se a fonte tentar aceder ao IP público se enquadrar na mesma gama de sub-redes definida nas Rotas de Gateway de Rede Local (Virtual Network Gateway) ou na rota definida pelo utilizador para soluções NVA, o Azure Stack Hub tenta encaminhar o tráfego de volta para a fonte através do túnel S2S, com base nas regras de encaminhamento configuradas. O tráfego de devolução utiliza o endereço IP privado do VM, em vez de ser nated de origem como o endereço IP público:

Tráfego de rotas

Há duas soluções para esta questão:

  • Encaminhe o tráfego direcionado para a rede VIP pública para a internet.
  • Adicione um dispositivo NAT ao NAT quaisquer IPs de sub-rede definidos na porta de entrada de rede local direcionada para a rede VIP pública.

Solução de tráfego de rota

Rede de infraestruturas de comutação

Esta rede /26 é a sub-rede que contém as sub-redes ip/30 (dois IPs do anfitrião) e as backbacks, que são sub-redes dedicadas /32 para gestão de comutadores em banda e ID do router BGP. Esta gama de endereços IP deve ser encaminhável fora da solução Azure Stack para o seu datacenter. Podem ser vips privados ou públicos.

Rede de gestão de comutação

Esta rede /29 (seis IPs de anfitrião) dedica-se a ligar as portas de gestão dos comutadores. Permite o acesso fora da banda para implantação, gestão e resolução de problemas. É calculado a partir da rede de infraestruturas de comutação acima mencionada.

Redes permitidas

A Folha de Função de Implementação tem um campo que permite ao operador alterar alguma lista de controlo de acesso (ACL)s para permitir o acesso às interfaces de gestão de dispositivos de rede e ao anfitrião do ciclo de vida de hardware (HLH) a partir de uma gama de rede de datacenter fidedigna. Com a alteração da lista de controlo de acesso, o operador pode permitir que os seus VMs de caixa de salto de gestão de gestão dentro de uma gama de rede específica acedam à interface de gestão do comutador, ao HLH OS e ao HLH BMC. O operador pode fornecer uma ou várias sub-redes a esta lista, se ficar em branco, por defeito negará o acesso. Esta nova funcionalidade substitui a necessidade de intervenção manual pós-implantação, uma vez que costumava ser descrita nas definições específicas de Modificar na configuração do interruptor Azure Stack.

Passos seguintes