Distribuera virtuella nätverksinstallationer med hög tillgänglighet på Azure Stack Hub

Den här artikeln visar hur du distribuerar en uppsättning virtuella nätverksinstallationer (NVA) för hög tillgänglighet i Azure Stack Hub. En NVA används vanligtvis för att styra flödet av nätverkstrafik från ett perimeternätverk, även kallat DMZ, till andra nätverk eller undernät. Artikeln innehåller exempelarkitekturer för enbart ingress, enbart egress och både ingress och egress.

Det finns NVA:n från olika leverantörer som är tillgängliga på Azure Stack Hub Marketplace och som använder en av dem för optimala prestanda.

Arkitekturen har följande komponenter:

Nätverk och belastningsutjämning

  • Virtuellt nätverk och undernät. Varje virtuell Azure-dator distribueras till ett virtuellt nätverk som kan segmenteras i undernät. Skapa ett separat undernät för varje nivå.

  • Layer 7 Load Balancer. Eftersom Application Gateway ännu inte är tillgängligt på Azure Stack Hub finns det alternativ på Azure Stack Hub Market Place, till exempel: KEMP LoadMaster Load Balancer ADC Content Switchf5/ Big-IP Virtual Edition eller A10 vThunder ADC

  • Lastbalanserare. Använd Azure Load Balancer för att distribuera nätverkstrafik från webbnivån till affärsnivån och från affärsnivån till SQL Server.

  • Nätverkssäkerhetsgrupper (NSG:er). Använd nätverkssäkerhetsgrupper för att begränsa nätverkstrafiken i det virtuella nätverket. I arkitekturen med tre nivåer som visas här accepterar databasnivån till exempel inte trafik från webbklientdelen, bara från affärsnivån och hanteringsundernätet.

  • UDR:erna. Använd användardefinierade vägar (UDR) för att dirigera trafik till den specifika lastbalanseraren.

Den här artikeln förutsätter grundläggande kunskaper om Azure Stack Hub-nätverk.

Arkitekturdiagram

En NVA kan distribueras till ett perimeternätverk i många olika arkitekturer. I följande figur visas till exempel hur en enkel NVA används för ingress.

Screenshot that shows the use of a single NVA for ingress.

I den här arkitekturen ger en NVA en säker nätverksgräns genom att markera all inkommande och utgående nätverkstrafik och endast skicka vidare trafik som uppfyller nätverkets säkerhetsregler. Det faktum att all nätverkstrafik måste passera genom NVA innebär att NVA är en felkritisk systemdel i nätverket. Om denna NVA inte fungerar finns det ingen annan väg för nätverkstrafiken, och klientdelsundernäten är inte längre tillgängliga.

För att göra en NVA högtillgänglig måste du distribuera mer än en NVA i en tillgänglighetsuppsättning.

Följande arkitekturer beskriver de resurser och den konfiguration som krävs för NVA med hög tillgänglighet:

Lösning Fördelar Överväganden
Ingress med NVA Layer 7 Alla NVA-noder är aktiva. Kräver en NVA som kan avsluta anslutningar och använda SNAT.
Kräver en separat uppsättning NVA:er för trafik som kommer från enterprise-nätverket/Internet och från Azure Stack Hub.
Kan endast användas för trafik som kommer utanför Azure Stack Hub.
Egress med NVA Layer 7 Alla NVA-noder är aktiva. Kräver en NVA som kan avsluta anslutningar och implementera källnätverksadressöversättning (SNAT).
Ingress-Egress med NVA Layer 7 Alla noder är aktiva.
Det går att hantera trafik som kommer från Azure Stack Hub.
Kräver en NVA som kan avsluta anslutningar och använda SNAT.
Kräver en separat uppsättning NVA:er för trafik som kommer från enterprise-nätverket/Internet och från Azure Stack Hub.

Ingress med NVA Layer 7

Följande bild visar en arkitektur med hög tillgänglighet som implementerar ett inkommande perimeternätverk bakom en Internetuppkopplad lastbalanserare. Den här arkitekturen är utformad för att tillhandahålla anslutning till Azure Stack Hub-arbetsbelastningar för Layer 7-trafik, till exempel HTTP eller HTTPS:

A screenshot of a map Description automatically generated

Fördelen med den här arkitekturen är att alla NVA:er är aktiva. Om det blir fel på en av dem dirigerar lastbalanseraren nätverkstrafiken till den andra NVA. Båda NVA:erna dirigerar trafik till den interna lastbalanseraren. Det innebär att trafikflödet fortsätter så länge det finns en aktiv NVA. NVA:erna måste kunna avsluta SSL-trafik som är avsedd för virtuella datorer på webbnivå. Dessa NVA:er kan inte utökas för att hantera Enterprise Network-trafik eftersom Enterprise Network-trafik kräver en annan dedikerad uppsättning NVA:er med sina egna nätverksvägar.

Egress med NVA Layer 7

Ingress med NVA-arkitekturen i Layer 7 kan utökas för att tillhandahålla ett utgående perimeternätverk för begäranden som kommer från Azure Stack Hub-arbetsbelastningen. Följande arkitektur är utformad för att ge hög tillgänglighet för NVA:erna i perimeternätverket för Layer 7-trafik, till exempel HTTP eller HTTPS:

A screenshot of a cell phone Description automatically generated

I den här arkitekturen dirigeras all trafik från Azure Stack Hub till en intern lastbalanserare. Lastbalanseraren distribuerar utgående förfrågningar mellan en uppsättning NVA:er. Dessa NVA:er dirigerar grafik till internet med sina individuella publika IP-adresser.

Ingress-egress med Layer 7-NVA:er

I de två ingress- och utgående arkitekturerna fanns det ett separat perimeternätverk för ingress och utgående trafik. Följande arkitektur visar hur du skapar ett perimeternätverk som kan användas för både inkommande och utgående trafik för Layer 7-trafik, till exempel HTTP eller HTTPS:

A screenshot of a social media post Description automatically generated

I arkitekturen Ingress-egress with layer 7 NVAs bearbetar NVA:erna inkommande begäranden från en Layer 7-Load Balancer. NVA:erna bearbetar också utgående förfrågningar från de virtuella datorerna för arbetsbelastningar i lastbalanserarens klientdelspool. Eftersom inkommande trafik dirigeras med en Layer 7-lastbalanserare och utgående trafik dirigeras med en SLB (Azure Stack Hub Basic Load Balancer) ansvarar NVA:erna för att upprätthålla sessionstillhörigheten. Layer 7-lastbalanseraren upprätthåller alltså en mappning av inkommande och utgående begäranden så att den kan vidarebefordra rätt svar till den ursprungliga beställaren. Den interna lastbalanseraren har dock inte åtkomst till layer 7-lastbalanserarens mappningar och använder sin egen logik för att skicka svar till NVA:erna. Det är möjligt att lastbalanseraren kan skicka ett svar till en NVA som inte ursprungligen tog emot begäran från layer 7-lastbalanseraren. I det här fallet måste NVA:erna kommunicera och överföra svaret mellan dem så att rätt NVA kan vidarebefordra svaret till layer 7-lastbalanseraren.

Anteckning

Du kan också lösa det asymmetriska routningsproblemet genom att se till att NVA:erna utför översättning av inkommande källnätverksadresser (SNAT). Då ersätts ursprunglig käll-IP för källförfrågningen till en av IP-adresserna för den NVA som användes på det inkommande flödet. Detta säkerställer att du kan använda flera NVA:er samtidigt och även behålla vägsymmetrin.

Nästa steg