Distribuera virtuella nätverks enheter med hög tillgänglighet på Azure Stack hubbDeploy highly available network virtual appliances on Azure Stack Hub

Den här artikeln visar hur du distribuerar en uppsättning virtuella nätverks installationer (NVA) för hög tillgänglighet i Azure Stack Hub.This article shows you how to deploy a set of network virtual appliances (NVAs) for high availability in Azure Stack Hub. En NVA används vanligtvis för att styra flödet av nätverkstrafik från ett perimeternätverk, även kallat DMZ, till andra nätverk eller undernät.An NVA is typically used to control the flow of network traffic from a perimeter network, also known as a DMZ, to other networks or subnets. Artikeln innehåller exempelarkitekturer för enbart ingress, enbart egress och både ingress och egress.The article includes example architectures for ingress only, egress only, and both ingress and egress.

Det finns NVA från olika leverantörer som är tillgängliga på Azure Stack hubb Marketplaceoch använder en av dem för optimala prestanda.There are NVAs from different vendors available on Azure Stack Hub Marketplace, use one of them for optimal performance.

Arkitekturen har följande komponenter:The architecture has the following components.

Nätverk och belastnings utjämningNetworking and load balancing

  • Virtuellt nätverk och undernät.Virtual network and subnets. Varje virtuell Azure-dator distribueras till ett virtuellt nätverk som kan segmenteras i undernät.Every Azure VM is deployed into a virtual network that can be segmented into subnets. Skapa ett separat undernät för varje nivå.Create a separate subnet for each tier.

  • Layer 7-Load Balancer.Layer 7 Load Balancer. Eftersom Application Gateway ännu inte är tillgängligt på Azure Stack Hub finns det alternativ som är tillgängliga på Azure Stack hubb marknad , till exempel: Kemp: LoadMaster Load Balancer ADC Content switch / F5 stor IP Virtual Edition eller A10 vThunder ADCAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • Belastnings utjämning.Load balancers. Använd Azure Load Balancerför att distribuera nätverks trafik från webb nivån till affärs nivå och från affärs nivån till SQL Server.Use Azure Load Balancerto distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Nätverks säkerhets grupper (NSG: er).Network security groups (NSGs). Använd NSG: er för att begränsa nätverks trafiken inom det virtuella nätverket.Use NSGs to restrict network traffic within the virtual network. I den tre-nivå arkitektur som visas här accepterar till exempel databas nivån inte trafik från Front webb sidan, bara från affärs nivån och hanterings under nätet.For example, in the three-tier architecture shown here, the database tier doesn't accept traffic from the web front end, only from the business tier and the management subnet.

  • UDR.UDRs. Använd användardefinierade vägar (UDR) för att dirigera trafik till den angivna belastningsutjämnaren.Use user-defined routes (UDRs) to route traffic to the specific load balancer.

Den här artikeln förutsätter grundläggande förståelse för Azure Stack hubb nätverk.This article assumes a basic understanding of Azure Stack Hub networking.

Arkitektur diagramArchitecture diagrams

En NVA kan distribueras till ett perimeternätverk i många olika arkitekturer.An NVA can be deployed to a perimeter network in many different architectures. I följande figur visas till exempel hur en enkel NVA används för ingress.For example, the following figure illustrates the use of a single NVA for ingress.

Skärm bild som visar hur en enda NVA används för ingress.

I den här arkitekturen ger en NVA en säker nätverksgräns genom att markera all inkommande och utgående nätverkstrafik och endast skicka vidare trafik som uppfyller nätverkets säkerhetsregler.In this architecture, the NVA provides a secure network boundary by checking all inbound and outbound network traffic and passing only the traffic that meets network security rules. Det faktum att all nätverks trafik måste passera genom NVA innebär att NVA är en enskild felpunkt i nätverket.The fact that all network traffic must pass through the NVA means that the NVA is a single point of failure in the network. Om denna NVA inte fungerar finns det ingen annan väg för nätverkstrafiken, och klientdelsundernäten är inte längre tillgängliga.If the NVA fails, there is no other path for network traffic and all the back-end subnets are unavailable.

För att göra en NVA högtillgänglig måste du distribuera mer än en NVA i en tillgänglighetsuppsättning.To make an NVA highly available, deploy more than one NVA into an availability set.

Följande arkitekturer beskriver de resurser och den konfiguration som krävs för NVA med hög tillgänglighet:The following architectures describe the resources and configuration necessary for highly available NVAs:

LösningSolution FördelarBenefits ÖvervägandenConsiderations
Ingress med NVA Layer 7Ingress with layer 7 NVAs Alla NVA-noder är aktiva.All NVA nodes are active. Kräver en NVA som kan avsluta anslutningar och använda SNAT.Requires an NVA that can terminate connections and use SNAT.
Kräver en separat uppsättning NVA för trafik som kommer från företags nätverket/Internet och från Azure Stack hubben.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.
Kan endast användas för trafik som härstammar utanför Azure Stack Hub.Can only be used for traffic originating outside Azure Stack Hub.
Egress med NVA Layer 7Egress with layer 7 NVAs Alla NVA-noder är aktiva.All NVA nodes are active. Kräver en NVA som kan avsluta anslutningar och implementerar käll Network Address Translation (SNAT).Requires an NVA that can terminate connections and implements source network address translation (SNAT).
Ingress-Egress med NVA Layer 7Ingress-Egress with layer 7 NVAs Alla noder är aktiva.All nodes are active.
Kan hantera trafik som kommer från Azure Stack Hub.Able to handle traffic originated in Azure Stack Hub.
Kräver en NVA som kan avsluta anslutningar och använda SNAT.Requires an NVA that can terminate connections and use SNAT.
Kräver en separat uppsättning NVA för trafik som kommer från företags nätverket/Internet och från Azure Stack hubben.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.

Ingress med NVA Layer 7Ingress with layer 7 NVAs

Följande bild visar en arkitektur med hög tillgänglighet som implementerar ett ingress-perimeternätverk bakom en Internetbaserad belastningsutjämnare.The following figure shows a high availability architecture that implements an ingress perimeter network behind an internet-facing load balancer. Den här arkitekturen är utformad för att ge anslutning till Azure Stack Hub-arbetsbelastningar för Layer 7-trafik, till exempel HTTP eller HTTPS:This architecture is designed to provide connectivity to Azure Stack Hub workloads for layer 7 traffic, such as HTTP or HTTPS:

En skärm bild av en kart Beskrivning genererades automatiskt

Fördelen med den här arkitekturen är att alla NVA:er är aktiva. Om det blir fel på en av dem dirigerar lastbalanseraren nätverkstrafiken till den andra NVA.The benefit of this architecture is that all NVAs are active, and if one fails the load balancer directs network traffic to the other NVA. Båda NVA:erna dirigerar trafik till den interna lastbalanseraren. Det innebär att trafikflödet fortsätter så länge det finns en aktiv NVA.Both NVAs route traffic to the internal load balancer so as long as one NVA is active, traffic continues to flow. NVA:erna måste kunna avsluta SSL-trafik som är avsedd för virtuella datorer på webbnivå.The NVAs are required to terminate SSL traffic intended for the web tier VMs. Dessa NVA kan inte utökas för att hantera företags nätverks trafik eftersom företags nätverks trafik kräver en annan dedikerad uppsättning NVA med sina egna nätverks vägar.These NVAs cannot be extended to handle Enterprise Network traffic because Enterprise Network traffic requires another dedicated set of NVAs with their own network routes.

Egress med NVA Layer 7Egress with layer 7 NVAs

Ingångs-och NVA-arkitekturen i Layer 7 kan utökas för att tillhandahålla ett utgående perimeternätverk för begär Anden som kommer från Azure Stack Hub-arbetsbelastningen.The Ingress with layer 7 NVAs architecture can be expanded to provide an egress perimeter network for requests originating in the Azure Stack Hub workload. Följande arkitektur är utformad för att tillhandahålla hög tillgänglighet för NVA i perimeternätverket för Layer 7-trafik, till exempel HTTP eller HTTPS:The following architecture is designed to provide high availability of the NVAs in the perimeter network for layer 7 traffic, such as HTTP or HTTPS:

En skärm bild av en cell telefon beskrivning har genererats automatiskt

I den här arkitekturen dirigeras all trafik från Azure Stack hubben till en intern belastningsutjämnare.In this architecture, all traffic originating in Azure Stack Hub is routed to an internal load balancer. Lastbalanseraren distribuerar utgående förfrågningar mellan en uppsättning NVA:er.The load balancer distributes outgoing requests between a set of NVAs. Dessa NVA:er dirigerar grafik till internet med sina individuella publika IP-adresser.These NVAs direct traffic to the Internet using their individual public IP addresses.

Ingress-utgående med Layer 7-NVAIngress-egress with layer 7 NVAs

I de två ingress-och utgångs arkitekturerna fanns det ett separat perimeternätverk för ingående och utgående.In the two ingress and egress architectures, there was a separate perimeter network for ingress and egress. Följande arkitektur visar hur du skapar ett perimeternätverk som kan användas för både ingress och utgående trafik för Layer 7-trafik, till exempel HTTP eller HTTPS:The following architecture demonstrates how to create a perimeter network that can be used for both ingress and egress for layer 7 traffic, such as HTTP or HTTPS:

En skärm bild av en post beskrivning för sociala medier genereras automatiskt

I ingress-utgången med Layer 7 NVA-arkitekturen, bearbetar NVA inkommande begär Anden från ett lager 7-Load Balancer.In the Ingress-egress with layer 7 NVAs architecture, the NVAs process incoming requests from a Layer 7 Load Balancer. NVA:erna bearbetar också utgående förfrågningar från de virtuella datorerna för arbetsbelastningar i lastbalanserarens klientdelspool.The NVAs also process outgoing requests from the workload VMs in the back-end pool of the load balancer. Eftersom inkommande trafik dirigeras med en Layer 7-belastningsutjämnare, och utgående trafik dirigeras med en SLB (Azure Stack hubb Basic Load Balancer), är NVA ansvarig för att upprätthålla tillhörighet mellan sessioner.Because incoming traffic is routed with a layer 7 load balancer, and outgoing traffic is routed with an SLB (Azure Stack Hub Basic Load Balancer), the NVAs are responsible for maintaining session affinity. Det vill säga att belastningsutjämnaren för Layer 7 upprätthåller en mappning av inkommande och utgående begär Anden så att den kan vidarebefordra rätt svar till den ursprungliga begär Ande.That is, the layer 7 load balancer maintains a mapping of inbound and outbound requests so it can forward the correct response to the original requestor. Den interna belastningsutjämnaren har dock inte åtkomst till Layer 7-mappningar för belastningsutjämnare och använder sin egen logik för att skicka svar till NVA.However, the internal load balancer doesn't have access to the layer 7 load balancer mappings, and uses its own logic to send responses to the NVAs. Det är möjligt att belastningsutjämnaren kan skicka ett svar till en NVA som inte ursprungligen fick begäran från Layer 7 Load Balancer.It's possible the load balancer could send a response to an NVA that did not initially receive the request from the layer 7 load balancer. I det här fallet måste NVA kommunicera och överföra svaret mellan dem så att rätt NVA kan vidarebefordra svaret till Layer 7 Load Balancer.In this case, the NVAs must communicate and transfer the response between them so the correct NVA can forward the response to the layer 7 load balancer.

Anteckning

Du kan också lösa det asymmetriska routningsproblemet genom att se till att NVA:erna utför översättning av inkommande källnätverksadresser (SNAT).You can also solve the asymmetric routing issue by ensuring the NVAs perform inbound source network address translation (SNAT). Då ersätts ursprunglig käll-IP för källförfrågningen till en av IP-adresserna för den NVA som användes på det inkommande flödet.This would replace the original source IP of the requestor to one of the IP addresses of the NVA used on the inbound flow. Detta säkerställer att du kan använda flera NVA:er samtidigt och även behålla vägsymmetrin.This ensures that you can use multiple NVAs at a time, while preserving the route symmetry.

Nästa stegNext steps