Yüksek oranda kullanılabilir ağ sanal gereçlerini Azure Stack hub 'a dağıtmaDeploy highly available network virtual appliances on Azure Stack Hub

Bu makalede, Azure Stack hub 'da yüksek kullanılabilirlik için ağ sanal gereçlerinin (NVA 'lar) nasıl dağıtılacağı gösterilmektedir.This article shows you how to deploy a set of network virtual appliances (NVAs) for high availability in Azure Stack Hub. NVA genellikle bir DMZ olarak da bilinen bir çevre ağından diğer ağ veya alt ağlara ağ trafiği akışını denetlemek için kullanılır.An NVA is typically used to control the flow of network traffic from a perimeter network, also known as a DMZ, to other networks or subnets. Bu makale yalnızca giriş, yalnızca çıkış ve hem giriş hem çıkış için örnek mimariler içermektedir.The article includes example architectures for ingress only, egress only, and both ingress and egress.

Azure Stack hub marketi'nde bulunan farklı satıcılardan NVA 'lar mevcuttur, en iyi performans için bunlardan birini kullanın.There are NVAs from different vendors available on Azure Stack Hub Marketplace, use one of them for optimal performance.

Mimari aşağıdaki bileşenlere sahiptir.The architecture has the following components.

Ağ ve Yük DengelemeNetworking and load balancing

  • Sanal ağ ve alt ağlar.Virtual network and subnets. Her Azure VM, alt ağlara bölünalabilecek bir sanal ağa dağıtılır.Every Azure VM is deployed into a virtual network that can be segmented into subnets. Her katman için ayrı bir alt ağ oluşturun.Create a separate subnet for each tier.

  • Katman 7 Load Balancer.Layer 7 Load Balancer. Application Gateway henüz Azure Stack hub 'ında kullanılamadığından, şu gibi Azure Stack hub Pazar yerinde kullanılabilecek alternatifler vardır: Kemp Loadmaster Load Balancer ADC içerik anahtarı / F5 Big-IP Virtual Edition veya a10 vthunder ADCAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • Yük dengeleyiciler.Load balancers. Web katmanından iş katmanına ve iş katmanından SQL Server kadar ağ trafiğini dağıtmak için Azure Load Balancerkullanın.Use Azure Load Balancerto distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Ağ güvenlik grupları (NSG 'ler).Network security groups (NSGs). Sanal ağ içindeki ağ trafiğini kısıtlamak için NSG 'leri kullanın.Use NSGs to restrict network traffic within the virtual network. Örneğin, burada gösterilen üç katmanlı mimaride, veritabanı katmanı Web ön ucundan gelen trafiği kabul etmez, yalnızca iş katmanından ve yönetim alt ağından.For example, in the three-tier architecture shown here, the database tier doesn't accept traffic from the web front end, only from the business tier and the management subnet.

  • UDR.UDRs. Trafiği belirli yük dengeleyiciye yönlendirmek için Kullanıcı tanımlı yollar (udrs) kullanın.Use user-defined routes (UDRs) to route traffic to the specific load balancer.

Bu makalede Azure Stack hub ağı hakkında temel bilgiler yer aldığı varsayılır.This article assumes a basic understanding of Azure Stack Hub networking.

Mimari diyagramlarıArchitecture diagrams

Bir NVA, birçok farklı mimaride bir çevre ağına dağıtılabilir.An NVA can be deployed to a perimeter network in many different architectures. Örneğin, aşağıdaki şekilde giriş için tek bir NVA kullanımı gösterilmektedir.For example, the following figure illustrates the use of a single NVA for ingress.

Giriş için tek bir NVA kullanımını gösteren ekran görüntüsü.

Bu mimaride, NVA tüm gelen ve giden ağ trafiğini denetleyip yalnızca ağ güvenlik kurallarını karşılayan trafiği geçirerek güvenli bir ağ sınırı sağlar.In this architecture, the NVA provides a secure network boundary by checking all inbound and outbound network traffic and passing only the traffic that meets network security rules. Tüm ağ trafiğinin NVA 'dan geçmesi gereken, NVA 'nın ağdaki tek bir başarısızlık noktası olduğu anlamına gelir.The fact that all network traffic must pass through the NVA means that the NVA is a single point of failure in the network. NVA başarısız olursa, ağ trafiği için başka bir yol kalmaz ve tüm arka uç alt ağları kullanılamaz hale gelir.If the NVA fails, there is no other path for network traffic and all the back-end subnets are unavailable.

NVA başarısız olursa, bir kullanılabilirlik kümesine birden fazla NVA dağıtın.To make an NVA highly available, deploy more than one NVA into an availability set.

Aşağıdaki mimarilerde yüksek oranda kullanılabilir NVA’lar için gerekli kaynaklar ve mimariler açıklanmaktadır:The following architectures describe the resources and configuration necessary for highly available NVAs:

ÇözümSolution AvantajlarBenefits Dikkat edilmesi gerekenlerConsiderations
Katman 7 NVA’ları ile girişIngress with layer 7 NVAs Tüm NVA düğümleri etkin.All NVA nodes are active. Bağlantıları sonlandırabilen ve SNAT kullanan bir NVA gerektirir.Requires an NVA that can terminate connections and use SNAT.
, Kurumsal ağ/Internet 'ten ve Azure Stack hub 'dan gelen trafik için ayrı bir NVA 'lar kümesi gerektirir.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.
Yalnızca Azure Stack hub 'Dan kaynaklanan trafik için kullanılabilir.Can only be used for traffic originating outside Azure Stack Hub.
Katman 7 NVA’ları ile çıkışEgress with layer 7 NVAs Tüm NVA düğümleri etkin.All NVA nodes are active. Bağlantıları sonlandırabilen ve kaynak ağ adresi çevirisi (SNAT) uygulayan bir NVA gerektirir.Requires an NVA that can terminate connections and implements source network address translation (SNAT).
Katman 7 NVA’ları ile giriş-çıkışIngress-Egress with layer 7 NVAs Tüm düğümler etkin.All nodes are active.
Azure Stack hub 'da kaynaklı trafik işlenemiyor.Able to handle traffic originated in Azure Stack Hub.
Bağlantıları sonlandırabilen ve SNAT kullanan bir NVA gerektirir.Requires an NVA that can terminate connections and use SNAT.
, Kurumsal ağ/Internet 'ten ve Azure Stack hub 'dan gelen trafik için ayrı bir NVA 'lar kümesi gerektirir.Requires a separate set of NVAs for traffic coming from the Enterprise Network/Internet and from Azure Stack Hub.

Katman 7 NVA’ları ile girişIngress with layer 7 NVAs

Aşağıdaki şekilde, internet 'e yönelik yük dengeleyicinin arkasındaki bir giriş çevre ağını uygulayan yüksek kullanılabilirlik mimarisi gösterilmektedir.The following figure shows a high availability architecture that implements an ingress perimeter network behind an internet-facing load balancer. Bu mimari, HTTP veya HTTPS gibi katman 7 trafiği için Azure Stack hub iş yükleri bağlantısı sağlamak üzere tasarlanmıştır:This architecture is designed to provide connectivity to Azure Stack Hub workloads for layer 7 traffic, such as HTTP or HTTPS:

Otomatik olarak oluşturulan harita açıklamasının ekran görüntüsü

Bu mimarinin avantajı tüm NVA’ların etkin olması ve birinin başarısın olması durumunda yük dengeleyicinin ağ trafiğini diğer NVA’ya yönlendirmesidir.The benefit of this architecture is that all NVAs are active, and if one fails the load balancer directs network traffic to the other NVA. İki NVA da trafiği iç yük dengeleyiciye yönlendirdiğinden, bir NVA etkin olduğu sürece trafik akışı devam eder.Both NVAs route traffic to the internal load balancer so as long as one NVA is active, traffic continues to flow. NVA’ların web katmanı VM’ler için SSL trafiğini sonlandırması gerekir.The NVAs are required to terminate SSL traffic intended for the web tier VMs. Kurumsal ağ trafiği, kendi ağ yollarıyla başka bir adanmış NVA 'lar kümesi gerektirdiğinden bu NVA 'lar kurumsal ağ trafiğini işleyecek şekilde genişletilemiyor.These NVAs cannot be extended to handle Enterprise Network traffic because Enterprise Network traffic requires another dedicated set of NVAs with their own network routes.

Katman 7 NVA’ları ile çıkışEgress with layer 7 NVAs

Katman 7 NVA 'lar mimarisine Giriş, Azure Stack hub iş yükünde kaynaklanan istekler için çıkış çevre ağı sağlamak üzere genişletilebilir.The Ingress with layer 7 NVAs architecture can be expanded to provide an egress perimeter network for requests originating in the Azure Stack Hub workload. Aşağıdaki mimari, HTTP veya HTTPS gibi katman 7 trafiği için çevre ağındaki NVA 'lar yüksek kullanılabilirlik sağlamak üzere tasarlanmıştır:The following architecture is designed to provide high availability of the NVAs in the perimeter network for layer 7 traffic, such as HTTP or HTTPS:

Otomatik olarak oluşturulan bir cep telefonu açıklamasının ekran görüntüsü

Bu mimaride, Azure Stack hub 'a giden tüm trafik iç yük dengeleyiciye yönlendirilir.In this architecture, all traffic originating in Azure Stack Hub is routed to an internal load balancer. Yük dengeleyici giden istekleri bir NVA kümesi arasında dağıtır.The load balancer distributes outgoing requests between a set of NVAs. Bu NVA’lar kendi ortak IP adreslerini kullanarak trafiği İnternet’e yönlendirir.These NVAs direct traffic to the Internet using their individual public IP addresses.

Katman 7 ile giriş çıkış NVA 'larIngress-egress with layer 7 NVAs

İki giriş ve çıkış mimarilerinde, giriş ve çıkış için ayrı bir çevre ağı vardı.In the two ingress and egress architectures, there was a separate perimeter network for ingress and egress. Aşağıdaki mimaride, HTTP veya HTTPS gibi katman 7 trafiği için hem giriş hem de çıkış için kullanılabilecek bir çevre ağı oluşturma işlemi gösterilmektedir:The following architecture demonstrates how to create a perimeter network that can be used for both ingress and egress for layer 7 traffic, such as HTTP or HTTPS:

Otomatik olarak oluşturulan sosyal medya gönderi açıklamasının ekran görüntüsü

Katman 7 NVA 'lar mimarisine sahip giriş çıkışı içinde NVA 'lar bir katman 7 Load Balancer gelen istekleri işler.In the Ingress-egress with layer 7 NVAs architecture, the NVAs process incoming requests from a Layer 7 Load Balancer. NVA’lar ayrıca yük dengeleyicinin arka uç havuzundaki iş yükü VM’lerinden giden istekleri işler.The NVAs also process outgoing requests from the workload VMs in the back-end pool of the load balancer. Gelen trafik bir katman 7 yük dengeleyicisi ile yönlendirildiği ve giden trafik SLB (Azure Stack hub temel Load Balancer) ile yönlendirildiği için, NVA 'lar oturum benzeşimi korunmasından sorumludur.Because incoming traffic is routed with a layer 7 load balancer, and outgoing traffic is routed with an SLB (Azure Stack Hub Basic Load Balancer), the NVAs are responsible for maintaining session affinity. Diğer bir deyişle, 7. katman yük dengeleyici gelen ve giden isteklerin eşlemesini tutarak, doğru yanıtı özgün istek sahibine iletebilirler.That is, the layer 7 load balancer maintains a mapping of inbound and outbound requests so it can forward the correct response to the original requestor. Ancak, iç yük dengeleyicinin katman 7 yük dengeleyici eşlemelerine erişimi yoktur ve NVA 'lar 'e yanıt göndermek için kendi mantığını kullanır.However, the internal load balancer doesn't have access to the layer 7 load balancer mappings, and uses its own logic to send responses to the NVAs. Yük dengeleyici, ilk olarak katman 7 yük dengeleyiciden isteği almamış bir NVA 'ya yanıt gönderebilir.It's possible the load balancer could send a response to an NVA that did not initially receive the request from the layer 7 load balancer. Bu durumda, NVA 'lar, doğru NVA 'nın yanıtı katman 7 yük dengeleyiciye iletebilmesi için, aralarındaki yanıtı iletişim kurması ve aktarması gerekir.In this case, the NVAs must communicate and transfer the response between them so the correct NVA can forward the response to the layer 7 load balancer.

Not

NVA’ların gelen kaynak ağ adresi çevirisi (SNAT) gerçekleştirmesini sağlayarak da asimetrik yönlendirme sorununu çözebilirsiniz.You can also solve the asymmetric routing issue by ensuring the NVAs perform inbound source network address translation (SNAT). Bu, istek sahibinin özgün kaynak IP’sini gelen akışta kullanılan NVA’nın IP adreslerinden biriyle değiştirir.This would replace the original source IP of the requestor to one of the IP addresses of the NVA used on the inbound flow. Bu rota simetrisini korurken bir seferde birden çok NVA kullanabilmenizi sağlar.This ensures that you can use multiple NVAs at a time, while preserving the route symmetry.

Sonraki adımlarNext steps