Ознакомьтесь с шаблоном справочника по сети полностью конвергентного развертывания с двумя узлами для Azure Stack HCI.

  • Статья

Область применения: Azure Stack HCI версий 23H2 и 22H2

В этой статье вы узнаете о коммутируемом хранилище с двумя узлами, полностью конвергентном шаблоне сетевого эталона с двумя коммутаторами TOR, который можно использовать для развертывания решения Azure Stack HCI. Сведения в этой статье также помогут вам определить, подходит ли эта конфигурация для планирования развертывания. Эта статья ориентирована на ИТ-администраторов, которые развертывают Azure Stack HCI и управляют ими в своих центрах обработки данных.

Сведения о других сетевых шаблонах см. в статье Шаблоны сетевого развертывания Azure Stack HCI.

Сценарии

Сценарии для этого сетевого шаблона включают лаборатории, филиалы и центры обработки данных.

Рассмотрите этот шаблон, если вы планируете добавить дополнительные узлы, а требования к пропускной способности для трафика с севера на юг не требуют выделенных адаптеров. Это решение может быть хорошим вариантом, если физические порты коммутатора не хватает и вам нужно сократить затраты для решения. Этот шаблон требует дополнительных эксплуатационных затрат для точной настройки политик качества обслуживания сетевых адаптеров общего узла для защиты трафика хранилища от рабочей нагрузки и трафика управления. Службы SDN L3 полностью поддерживаются в этом шаблоне.

Службы маршрутизации, такие как BGP, можно настроить непосредственно на коммутаторах TOR, если они поддерживают службы L3. Функции сетевой безопасности, такие как микросегментация и качество обслуживания, не требуют дополнительной настройки на устройстве брандмауэра, так как они реализуются на уровне виртуального сетевого адаптера.

Компоненты физического подключения

Как описано на схеме ниже, этот шаблон содержит следующие физические сетевые компоненты:

  • Для трафика с севера или юга кластер в этом шаблоне реализуется с двумя коммутаторами TOR в конфигурации MLAG.

  • Две объединенные сетевые карты обрабатывают трафик хранилища управления, вычислений и RDMA, подключенный к коммутаторам TOR. Каждый сетевой адаптер подключен к другому коммутатору TOR. Возможность SMB multichannel обеспечивает агрегирование путей и отказоустойчивость.

  • Как вариант, развертывания могут включать карта BMC для обеспечения удаленного управления средой. Некоторые решения могут использовать конфигурацию без головы без карта BMC в целях безопасности.

Схема, показывающая макет физического подключения без переключения между двумя узлами.

Сети Управление, вычисления, хранилище Контроллер управления основной платой (BMC)
Скорость связи При скорости 10 Гбит/с Обратитесь к производителю оборудования
Тип интерфейса SFP+ или SFP28 RJ45
Порты и агрегирование Два объединяемых порта Один порт

Сетевые намерения ATC

Схема, показывающая намерения сетевого ATC без коммутаций с двумя узлами

Управление, вычисление и назначение хранилища

  • Тип намерения: управление, вычисления и хранилище
  • Режим намерения: режим кластера
  • Совместная работа: Да. pNIC01 и pNIC02 объединяются в группу
  • Виртуальная локальная сеть управления по умолчанию: настроенная виртуальная локальная сеть для адаптеров управления не изменяется
  • Хранилище vNIC 1:
    • Виртуальная локальная сеть 711
    • Подсеть 10.71.1.0/24 для сети хранения данных 1
  • Хранилище vNIC 2:
    • Виртуальная локальная сеть 712
    • Подсеть 10.71.2.0/24 для сети хранения данных 2
  • Хранилище vNIC1 и хранилище vNIC2 используют SMB Multichannel для обеспечения устойчивости и агрегирования пропускной способности.
  • Pa VLAN и виртуальные сетевые карты. Сетевое ATC прозрачно для виртуальных сетевых адаптеров PA и VLAN
  • Вычисление виртуальных локальных сетей и виртуальных сетевых адаптеров. Network ATC является прозрачным для вычисления виртуальных сетевых адаптеров и виртуальных локальных сетей

Дополнительные сведения см. в статье Развертывание сети узла.

Чтобы создать сетевые намерения для этого эталонного шаблона, выполните следующие действия.

  1. Запустите оболочку PowerShell от имени администратора.

  2. Выполните следующую команду:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -Storage -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>

Компоненты логического подключения

Как показано на схеме ниже, этот шаблон содержит следующие компоненты логической сети:

Схема, показывающая макет физического подключения без переключения с одним узлом.

Виртуальные локальные сети хранилища

Трафик на основе намерений хранилища в этом шаблоне использует физические сетевые адаптеры совместно с управлением и вычислениями.

Сеть хранения работает в разных IP-подсетях. Каждая сеть хранения по умолчанию использует предопределенные виртуальные локальные сети ATC (711 и 712). Однако при необходимости эти виртуальные локальные сети можно настроить. Кроме того, если подсеть по умолчанию, определенная ATC, недоступна, вы несете ответственность за назначение всех IP-адресов хранилища в кластере.

Дополнительные сведения см. в разделе Общие сведения о сетевых ATC.

Сеть OOB

Внеполосная сеть (OOB) предназначена для поддержки интерфейса управления сервером , также известного как контроллер управления основной платой (BMC). Каждый интерфейс BMC подключается к коммутатору, предоставленному клиентом. BMC используется для автоматизации сценариев загрузки PXE.

Для сети управления требуется доступ к интерфейсу BMC с помощью ipMI-порта UDP 623.

Сеть OOB изолирована от вычислительных рабочих нагрузок и является необязательной для развертываний, не основанных на решениях.

Управление виртуальной локальной сетью

Всем физическим вычислительным узлам требуется доступ к логической сети управления. Для планирования IP-адресов каждому физическому вычислительному узлу должен быть назначен по крайней мере один IP-адрес из логической сети управления.

DHCP-сервер может автоматически назначать IP-адреса для сети управления или вручную назначать статические IP-адреса. Если DHCP является предпочтительным методом назначения IP-адресов, рекомендуется использовать резервирования DHCP без истечения срока действия.

Сеть управления поддерживает следующие конфигурации виртуальной локальной сети:

  • Собственная виртуальная локальная сеть — вам не требуется предоставлять идентификаторы виртуальной ЛС. Это необходимо для установки на основе решений.

  • Виртуальная локальная сеть с тегами — вы предоставляете идентификаторы виртуальной ЛС во время развертывания.

Сеть управления поддерживает весь трафик, используемый для управления кластером, включая удаленный рабочий стол, Windows Admin Center и Active Directory.

Дополнительные сведения см. в статье Планирование инфраструктуры SDN: управление и поставщик HNV.

Вычисление виртуальных локальных сетей

В некоторых сценариях не требуется использовать виртуальные сети SDN с инкапсуляцией виртуальной расширяемой локальной сети (VXLAN). Вместо этого можно использовать традиционные виртуальные локальные сети для изоляции рабочих нагрузок клиента. Эти виртуальные локальные сети настраиваются на порту коммутатора TOR в режиме магистрали. При подключении новых виртуальных машин к этим виртуальным локальным сетям соответствующий тег виртуальной ЛС определяется в виртуальном сетевом адаптере.

Сеть HNV Provider Address (PA)

Сеть адресов поставщика (PA) для виртуализации сети Hyper-V (HNV) служит базовой физической сетью для трафика клиента "Восток-Запад" (внутренний трафик), трафика клиента "Север/Юг" (внешний-внутренний) и для обмена данными пиринга BGP с физической сетью. Эта сеть требуется только в том случае, если необходимо развернуть виртуальные сети с помощью инкапсуляции VXLAN для другого уровня изоляции и мультитенантности сети.

Дополнительные сведения см. в статье Планирование инфраструктуры SDN: управление и поставщик HNV.

Варианты сетевой изоляции

Поддерживаются следующие варианты сетевой изоляции:

Виртуальные локальные сети (IEEE 802.1Q)

Виртуальные локальные сети позволяют устройствам, которые должны храниться отдельно для совместного использования кабелей физической сети и при этом не могут напрямую взаимодействовать друг с другом. Такой управляемый общий доступ обеспечивает простоту, безопасность, управление трафиком и экономию. Например, виртуальную локальную сеть можно использовать для разделения трафика в организации на основе отдельных пользователей или групп пользователей или их ролей или на основе характеристик трафика. Многие службы размещения в Интернете используют виртуальные локальные сети для разделения частных зон друг от друга, что позволяет сгруппировать серверы каждого клиента в одном сетевом сегменте независимо от расположения отдельных серверов в центре обработки данных. Некоторые меры предосторожности необходимы, чтобы предотвратить "выход" трафика из заданной виртуальной локальной сети, эксплойт, известный как скачок виртуальной ЛС.

Дополнительные сведения см. в статье Общие сведения об использовании виртуальных сетей и виртуальных локальных сетей.

Политики доступа к сети и микросегментация по умолчанию

Политики сетевого доступа по умолчанию гарантируют, что все виртуальные машины в кластере Azure Stack HCI по умолчанию защищены от внешних угроз. С помощью этих политик мы заблокируем входящий доступ к виртуальной машине по умолчанию, предоставив возможность включить выборочные входящие порты и тем самым защитить виртуальные машины от внешних атак. Это принудительное применение доступно с помощью таких средств управления, как Windows Admin Center.

Микросегментация включает создание детализированных сетевых политик между приложениями и службами. Это существенно сокращает периметр безопасности до ограждения вокруг каждого приложения или виртуальной машины. Это ограждение разрешает только необходимую связь между уровнями приложений или другими логическими границами, что делает чрезвычайно трудным для киберугроз распространение из одной системы в другую. Микросегментация безопасно изолирует сети друг от друга и уменьшает общую зону атак, связанные с инцидентом безопасности сети.

Политики доступа к сети и микросегментация по умолчанию реализуются в виде правил брандмауэра с отслеживанием состояния из пяти кортежей (префикс исходного адреса, исходный порт, префикс адреса назначения, порт назначения и протокол) в кластерах Azure Stack HCI. Правила брандмауэра также называются группами безопасности сети (NSG). Эти политики применяются к порту vSwitch каждой виртуальной машины. Политики передаются через уровень управления, и сетевой контроллер SDN распространяет их на все применимые узлы. Эти политики доступны для виртуальных машин в традиционных виртуальных локальных сетях и в сетях наложения SDN.

Дополнительные сведения см. в статье Что такое брандмауэр центра обработки данных?

Качество обслуживания для сетевых адаптеров виртуальных машин

Вы можете настроить качество обслуживания (QoS) для сетевого адаптера виртуальной машины, чтобы ограничить пропускную способность виртуального интерфейса, чтобы предотвратить противостояние виртуальной машины с большим трафиком с другим сетевым трафиком виртуальной машины. Вы также можете настроить QoS, чтобы зарезервировать определенный объем пропускной способности для виртуальной машины, чтобы гарантировать, что виртуальная машина может отправлять трафик независимо от другого трафика в сети. Это можно применить к виртуальным машинам, подключенным к традиционным сетям виртуальных локальных сетей, а также к виртуальным машинам, подключенным к сетям наложения SDN.

Дополнительные сведения см. в статье Настройка качества обслуживания для сетевого адаптера виртуальной машины.

Виртуальные сети

Виртуализация сети предоставляет виртуальные сети виртуальным машинам аналогично тому, как виртуализация сервера (гипервизор) предоставляет виртуальные машины операционной системе. Виртуализация сети отделяет виртуальные сети от физической сетевой инфраструктуры и удаляет ограничения виртуальной локальной сети и иерархического назначения IP-адресов из подготовки виртуальной машины. Такая гибкость позволяет легко перейти к облакам IaaS (инфраструктура как услуга) и эффективно управляет своей инфраструктурой и обеспечивает необходимую изоляцию нескольких клиентов, требования к безопасности и перекрывающиеся IP-адреса виртуальных машин.

Дополнительные сведения см. в статье Виртуализация сети Hyper-V.

Варианты сетевых служб L3

Доступны следующие варианты сетевой службы L3:

Пиринг между виртуальными сетями

Пиринг между виртуальными сетями позволяет легко подключить две виртуальные сети. После однорангового подключения виртуальные сети отображаются как одна. Преимущества пиринговой связи между виртуальными сетями:

  • Трафик между виртуальными машинами в пиринговых виртуальных сетях направляется через магистральную инфраструктуру только через частные IP-адреса. Для обмена данными между виртуальными сетями не требуется общедоступный Интернет или шлюзы.
  • подключение между ресурсами в разных виртуальных сетях, характеризующееся низкой задержкой и высокой пропускной способностью;
  • Возможность взаимодействия ресурсов в одной виртуальной сети с ресурсами в другой виртуальной сети.
  • Отсутствие простоя ресурсов в любой из виртуальных сетей при создании пиринга.

Дополнительные сведения см. в статье Пиринг между виртуальными сетями.

Программная подсистема балансировки нагрузки SDN

Поставщики облачных служб (CSP) и предприятия, которые развертывают программно-конфигурируемую сеть (SDN), могут использовать Load Balancer программного обеспечения (SLB) для равномерного распределения сетевого трафика клиента между ресурсами виртуальной сети. SLB позволяет размещать одну и ту же рабочую нагрузку на нескольких серверах, что обеспечивает высокий уровень доступности и масштабирования. Он также используется для предоставления служб преобразования сетевых адресов (NAT) для входящего доступа к виртуальным машинам и исходящих служб NAT для исходящего подключения.

С помощью SLB можно масштабировать возможности балансировки нагрузки с помощью виртуальных машин SLB на том же вычислительных серверах Hyper-V, которые используются для других рабочих нагрузок виртуальных машин. SLB поддерживает быстрое создание и удаление конечных точек балансировки нагрузки, необходимых для операций CSP. Кроме того, SLB поддерживает десятки гигабайт на кластер, предоставляет простую модель подготовки и легко масштабируется. SLB использует протокол пограничного шлюза для объявления виртуальных IP-адресов в физической сети.

Дополнительные сведения см. в статье Что такое SLB для SDN?

VPN-шлюзы SDN

Шлюз SDN — это программный маршрутизатор с поддержкой протокола BGP, предназначенный для поставщиков облачных служб и предприятий, в которых размещаются мультитенантные виртуальные сети с использованием виртуализации сети Hyper-V (HNV). Шлюз RAS можно использовать для маршрутизации сетевого трафика между виртуальной сетью и другой сетью, локальной или удаленной.

Шлюз SDN можно использовать для:

  • Создайте безопасные подключения IPsec типа "сеть — сеть" между виртуальными сетями SDN и внешними клиентскими сетями через Интернет.

  • Создание подключений GRE между виртуальными сетями SDN и внешними сетями. Разница между подключениями типа "сеть — сеть" и GRE заключается в том, что последнее подключение не является зашифрованным.

    Дополнительные сведения о сценариях подключения GRE см. в разделе Туннелирование GRE в Windows Server.

  • Создание подключений уровня 3 (L3) между виртуальными сетями SDN и внешними сетями. В этом случае шлюз SDN просто выступает в качестве маршрутизатора между виртуальной сетью и внешней сетью.

Для шлюза SDN требуется сетевой контроллер SDN. Сетевой контроллер выполняет развертывание пулов шлюзов, настраивает подключения клиентов к каждому шлюзу и переключает потоки сетевого трафика на резервный шлюз в случае сбоя шлюза.

Шлюзы используют протокол пограничного шлюза для объявления конечных точек GRE и установки подключений типа "точка — точка". При развертывании SDN создается пул шлюзов по умолчанию, который поддерживает все типы подключений. В этом пуле можно указать, сколько шлюзов зарезервировано в режиме ожидания в случае сбоя активного шлюза.

Дополнительные сведения см. в статье Что такое шлюз RAS для SDN?

Дальнейшие действия

Сведения о неконвергентном сетевом шаблоне коммутированного хранилища с двумя узлами.