Distribuera virtuella nätverksinstallationer med hög tillgänglighet på Azure Stack Hub
Den här artikeln visar hur du distribuerar en uppsättning virtuella nätverksinstallationer (NVA) för hög tillgänglighet i Azure Stack Hub. En NVA används vanligtvis för att styra flödet av nätverkstrafik från ett perimeternätverk, även kallat DMZ, till andra nätverk eller undernät. Artikeln innehåller exempelarkitekturer för enbart ingress, enbart egress och både ingress och egress.
Det finns NVA:n från olika leverantörer som är tillgängliga på Azure Stack Hub Marketplace och använder en av dem för optimala prestanda.
Arkitekturen har följande komponenter:
Nätverks- och belastningsutjämning
Virtuellt nätverk och undernät. Varje virtuell Azure-dator distribueras till ett virtuellt nätverk som kan segmenteras i undernät. Skapa ett separat undernät för varje nivå.
Lager 7 Load Balancer. Eftersom Application Gateway ännu inte är tillgängligt på Azure Stack Hub finns det alternativ på Azure Stack Hub Market-platsen, till exempel: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition eller A10 vThunder ADC
Lastbalanserare. Använd Azure Load Balancer för att distribuera nätverkstrafik från webbnivån till affärsnivån och från affärsnivån till SQL Server.
Nätverkssäkerhetsgrupper (NSG:er). Använd NSG:er för att begränsa nätverkstrafiken i det virtuella nätverket. I arkitekturen med tre nivåer som visas här accepterar databasnivån till exempel inte trafik från webbklientdelen, bara från affärsnivån och hanteringsundernätet.
UDR:erna. Använd användardefinierade vägar (UDR) för att dirigera trafik till den specifika lastbalanseraren.
Den här artikeln förutsätter en grundläggande förståelse för Azure Stack Hub-nätverk.
Arkitekturdiagram
En NVA kan distribueras till ett perimeternätverk i många olika arkitekturer. I följande figur visas till exempel hur en enkel NVA används för ingress.
I den här arkitekturen ger en NVA en säker nätverksgräns genom att markera all inkommande och utgående nätverkstrafik och endast skicka vidare trafik som uppfyller nätverkets säkerhetsregler. Det faktum att all nätverkstrafik måste passera genom NVA innebär att NVA är en felpunkt i nätverket. Om denna NVA inte fungerar finns det ingen annan väg för nätverkstrafiken, och klientdelsundernäten är inte längre tillgängliga.
För att göra en NVA högtillgänglig måste du distribuera mer än en NVA i en tillgänglighetsuppsättning.
Följande arkitekturer beskriver de resurser och den konfiguration som krävs för NVA med hög tillgänglighet:
| Lösning | Fördelar | Överväganden |
|---|---|---|
| Ingress med NVA Layer 7 | Alla NVA-noder är aktiva. | Kräver en NVA som kan avsluta anslutningar och använda SNAT. Kräver en separat uppsättning NVA:er för trafik som kommer från Enterprise Network/Internet och från Azure Stack Hub. Kan endast användas för trafik som kommer utanför Azure Stack Hub. |
| Egress med NVA Layer 7 | Alla NVA-noder är aktiva. | Kräver en NVA som kan avsluta anslutningar och implementera källnätverksadressöversättning (SNAT). |
| Ingress-Egress med NVA Layer 7 | Alla noder är aktiva. Kan hantera trafik som har sitt ursprung i Azure Stack Hub. |
Kräver en NVA som kan avsluta anslutningar och använda SNAT. Kräver en separat uppsättning NVA:er för trafik som kommer från Enterprise Network/Internet och från Azure Stack Hub. |
Ingress med NVA Layer 7
Följande bild visar en arkitektur med hög tillgänglighet som implementerar ett ingress perimeternätverk bakom en internetuppkopplad lastbalanserare. Den här arkitekturen är utformad för att ge anslutning till Azure Stack Hub-arbetsbelastningar för layer 7-trafik, till exempel HTTP eller HTTPS:
Fördelen med den här arkitekturen är att alla NVA:er är aktiva. Om det blir fel på en av dem dirigerar lastbalanseraren nätverkstrafiken till den andra NVA. Båda NVA:erna dirigerar trafik till den interna lastbalanseraren. Det innebär att trafikflödet fortsätter så länge det finns en aktiv NVA. NVA:erna måste kunna avsluta SSL-trafik som är avsedd för virtuella datorer på webbnivå. Dessa NVA:er kan inte utökas för att hantera Enterprise Network-trafik eftersom Enterprise Network-trafik kräver en annan dedikerad uppsättning NVA:er med sina egna nätverksvägar.
Egress med NVA Layer 7
Arkitekturen Ingress with layer 7 NVAs (Ingress with layer 7 NVAs) kan utökas för att tillhandahålla ett utgående perimeternätverk för begäranden som kommer från Azure Stack Hub-arbetsbelastningen. Följande arkitektur är utformad för att ge hög tillgänglighet för NVA:erna i perimeternätverket för layer 7-trafik, till exempel HTTP eller HTTPS:
I den här arkitekturen dirigeras all trafik med ursprung i Azure Stack Hub till en intern lastbalanserare. Lastbalanseraren distribuerar utgående förfrågningar mellan en uppsättning NVA:er. Dessa NVA:er dirigerar grafik till internet med sina individuella publika IP-adresser.
Ingress-egress med Layer 7-NVA:er
I de två ingress- och utgående arkitekturerna fanns det ett separat perimeternätverk för ingress och utgående trafik. Följande arkitektur visar hur du skapar ett perimeternätverk som kan användas för både inkommande och utgående trafik för layer 7-trafik, till exempel HTTP eller HTTPS:
I arkitekturen Ingress-egress med layer 7 NVAs bearbetar NVA:erna inkommande begäranden från en Layer 7-Load Balancer. NVA:erna bearbetar också utgående förfrågningar från de virtuella datorerna för arbetsbelastningar i lastbalanserarens klientdelspool. Eftersom inkommande trafik dirigeras med en layer 7-lastbalanserare och utgående trafik dirigeras med en SLB (Azure Stack Hub Basic Load Balancer) ansvarar NVA:erna för att upprätthålla sessionstillhörighet. Layer 7-lastbalanseraren underhåller alltså en mappning av inkommande och utgående begäranden så att den kan vidarebefordra rätt svar till den ursprungliga beställaren. Den interna lastbalanseraren har dock inte åtkomst till layer 7-lastbalanserarens mappningar och använder sin egen logik för att skicka svar till NVA:erna. Det är möjligt att lastbalanseraren kan skicka ett svar till en NVA som inte ursprungligen tog emot begäran från layer 7-lastbalanseraren. I det här fallet måste NVA:erna kommunicera och överföra svaret mellan dem så att rätt NVA kan vidarebefordra svaret till layer 7-lastbalanseraren.
Anteckning
Du kan också lösa det asymmetriska routningsproblemet genom att se till att NVA:erna utför översättning av inkommande källnätverksadresser (SNAT). Då ersätts ursprunglig käll-IP för källförfrågningen till en av IP-adresserna för den NVA som användes på det inkommande flödet. Detta säkerställer att du kan använda flera NVA:er samtidigt och även behålla vägsymmetrin.
Nästa steg
- Mer information om virtuella Azure Stack Hub-datorer finns i Azure Stack Hub VM-funktioner.
- Mer information om Azure Cloud Patterns finns i Molndesignmönster.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för