介绍 Azure Stack HCI 上的 SDN

  • 10 分钟

在开始评估 Azure Stack HCI SDN 的功能之前,需要回顾一下核心 SDN 概念。 你意识到,这些概念构成了基础知识,可帮助你了解网络虚拟化和基于虚拟化的服务的更复杂方面。 特别是软件负载均衡器、分布式防火墙和远程访问网关。

什么是网络虚拟化?

为了理解网络虚拟化的用途,将其与服务器虚拟化进行比较可能会很有帮助,它可以实现在单个物理主机上并行运行多个操作系统实例(虚拟机),每个实例独立于其他实例运行。 网络虚拟化提供了关于虚拟网络的类似能力,促进其在同一物理网络基础设施中的隔离,而无需依赖 VLAN 或专用 IP 地址管理解决方案。 这种灵活性使客户能够更轻松地将工作负载转移到私有云和公有云。 它还能帮助托管提供商和数据中心管理员管理其网络基础结构。 此外,这些优势在数据中心合并计划中发挥着重要作用。 利用 Azure Stack HCI,客户可以在其自身的独立环境中操作时共享物理资源。 DevOps 团队能够部署其应用程序,而不会因为更改 IP 地址分配发生服务中断。 对于基础结构所有者来说,增加的灵活性通过抽象化计算、存储和网络之间的相关性,简化了动态资源分配。

什么是软件定义的网络 (SDN)?

SDN 提供了一种方法,用于集中配置和管理网络和网络服务,例如在数据中心内进行切换、路由和实现负载均衡。 SDN 使用网络功能虚拟化来实现虚拟化软件功能。 这些功能取代了传统上委托给基于硬件的网络设备的功能。

什么是网络功能虚拟化?

在软件定义的数据中心,虚拟设备接管了传统上由硬件设备实现的网络功能的交付。 这些虚拟化功能可以分为几个类别,如安全性和边缘服务。 安全设备包括防火墙,而边缘设备包含网关、路由器、交换机和负载均衡器。

与物理设备相比,虚拟设备有几项优势,其中最突出的是:

  • 无缝的容量扩展和工作负载移动性。
  • 最大限度地减少了操作的复杂性。
  • 简化了预配和管理流程。
  • 提高了移动性。
  • 支持垂直缩放和水平缩放。

Azure Stack HCI 中的 SDN

Azure Stack HCI 解决方案提供了计算和存储资源的内置虚拟化。 此外,Azure Stack HCI 还支持通过实现 SDN 来虚拟化其网络资源。 此功能允许实现各种网络方案,从与基于 VLAN 的现有基础结构的集成到完全隔离 Azure Stack HCI 工作负载。

Azure Stack HCI 中的 SDN 通过增加敏捷性、提高安全性和优化效率,帮助解决与传统网络基础结构相关的难题。 它提供以下功能:

  • 抽象化网络服务。 你可以部署和管理从基础物理网络中抽象出来的软件定义的网络服务。
  • 集中式网络策略。 你可以使用网络策略来集中配置和控制用来管理虚拟网络和物理网络内部和之间的流量的规则。 随着网络服务数量的增加,实现网络策略可增强一致性和可伸缩性。
  • 集中式网络管理。 可以使用 PowerShell、Windows Admin Center 和 Microsoft System Center Virtual Machine Manager (VMM) 来管理虚拟化网络基础结构。

Azure Stack HCI SDN 的这些功能是使用网络控制器实现的。 网络控制器是一个服务器角色,它提供一个可通过表述性状态转移 (REST) 应用程序编程接口 (API) 访问的管理接口。 接口用于部署、管理、配置、监视和排查 SDN 基础结构和基于网络功能虚拟化的服务。

基于网络功能虚拟化的服务包括:

  • 软件负载均衡器 (SLB):它可通过在虚拟网络资源之间分布网络流量,促进高度可用和可缩放解决方案的构建。 此外,通过网络地址转换 (NAT),SLB 提供了对虚拟化工作负载的入站和出站 Internet 访问。 SLB 策略可应用于虚拟化覆盖网络和传统的 VLAN 网络。

  • 用于 SDN 的远程访问服务 (RAS) 网关:通过站点到站点 (S2S) IP 安全性 (IPsec) 虚拟专用网络 (VPN)、站点到站点通用路由封装 (GRE) 隧道和第 3 层转发,帮助将网络连接扩展到外部网络。

  • 数据中心防火墙:有助于保护虚拟网络及其工作负载免受来自 Internet 和 Intranet 网络的未经授权的流量的访问。 它提供基于多达五个网络数据包参数组合的有状态筛选。 包括数据包的协议、源和目标端口号以及源和目标 IP 地址。 这些策略可应用于虚拟化覆盖网络和传统的 VLAN 网络。

    注意

    数据中心防火墙旨在补充现有物理设备。

  • 服务质量 (QoS) 策略:可用于防止一个应用程序或工作负载 VM 使用 HCI 群集节点的全部带宽。 这些策略可应用于虚拟化网络和传统的 VLAN 网络。

  • 第三方设备:客户可以引入自己的第三方虚拟设备(如防火墙、入侵检测设备和负载均衡器),并将它们附加到 SDN 虚拟网络上,以获得高级服务。

虚拟网络和子网

为了实现虚拟化工作负载的隔离,SDN 使用基于 Hyper-V 网络虚拟化 (HNV) 的虚拟网络。 这些网络由一个或多个虚拟子网组成,独立定义为基础物理网络之上的覆盖层。 虚拟子网为连接到它的虚拟机 (VM) 模拟第 3 层 IP 子网功能。 每个虚拟网络形成一个隔离边界,在此隔离边界内,VM 只能彼此通信。 为了允许跨虚拟网络进行通信,可以选择实现虚拟网络对等互连。

连接到虚拟网络子网的 VM 的每个网络接口都与两个 IP 地址相关联:

  • 客户地址。 客户根据其首选 IP 寻址方案分配给每个 VM 的 IP 地址。 此地址使客户在将工作负载过渡到 SDN 环境时,可以保留其现有网络配置。 相应 VM 中的操作系统可以访问客户地址。
  • 提供商地址。 Azure Stack HCI 管理员根据其物理网络基础结构分配给 Hyper-V 主机的 IP 地址。 提供商地址在物理网络上非常明显,但对客户 VM 来说则不明显。

逻辑网络和子网

为了实现网络功能虚拟化并允许基于 VLAN 的分段,SDN 依赖于逻辑网络的概念。 每个逻辑网络表示物理网络的一个逻辑分区。 逻辑网络包含映射到客户 VLAN 的逻辑子网集合。 这些 VLAN 可能托管客户工作负载,但还有几个托管关键 SDN 基础结构组件的逻辑网络。 例如,Azure Stack HCI SDN 实现包括管理和 HNV 提供商逻辑网络,后者充当所有虚拟网络的提供商地址网络。 属于该实现的所有 Hyper-V 主机都必须连接到管理逻辑网络和 HNV 提供商逻辑网络。