Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece informações de infraestrutura de rede do Azure Stack Hub para ajudá-lo a decidir como integrar melhor o Azure Stack Hub ao seu ambiente de rede existente.
Observação
Para resolver nomes DNS externos do Azure Stack Hub (por exemplo, www.bing.com), você deve fornecer servidores DNS para os quais encaminhar solicitações DNS. Para obter mais informações sobre os requisitos de DNS do Azure Stack Hub, consulte a integração do datacenter do Azure Stack Hub – DNS.
Design de rede física
A solução do Azure Stack Hub requer uma infraestrutura física resiliente e altamente disponível para dar suporte a sua operação e serviços. Para integrar o Azure Stack Hub à rede, ele requer uplinks dos comutadores De primeira linha (ToR) para o roteador ou o comutador mais próximo, que neste artigo é chamado de Borda. Os ToRs podem ser vinculados a uma única Borda ou a um par de Bordas. O ToR é pré-configurado por nossa ferramenta de automação. Ele espera um mínimo de uma conexão entre ToR e Border ao usar o Roteamento BGP e um mínimo de duas conexões (uma por ToR) entre ToR e Border ao usar o Roteamento Estático, com um máximo de quatro conexões em qualquer opção de roteamento. Essas conexões são limitadas à mídia SFP+ ou SFP28 e a uma velocidade mínima de um GB. Verifique com o fornecedor de hardware OEM (fabricante de equipamento original) para obter disponibilidade. O diagrama a seguir apresenta o design recomendado:
Alocação de largura de banda
O Azure Stack Hub foi criado usando tecnologias do Cluster de Failover do Windows Server 2022 e do Spaces Direct. Para garantir que as comunicações de armazenamento direto do Spaces possam atender ao desempenho e à escala necessárias da solução, uma parte da configuração de rede física do Azure Stack Hub é configurada para usar garantias de separação de tráfego e largura de banda. A configuração de rede utiliza classes de tráfego para separar as comunicações baseadas em RDMA do Spaces Direct daquelas referentes à utilização da rede pela infraestrutura do Azure Stack Hub e/ou locatário. Para se alinhar às práticas recomendadas atuais definidas para o Windows Server 2022, o Azure Stack Hub está mudando para usar uma categoria de tráfego adicional ou prioridade para separar ainda mais a comunicação entre servidores, dando suporte à comunicação de controle do Clustering de Failover. Essa nova definição de classe de tráfego é configurada para reservar 2% da largura de banda física disponível. Essa configuração de reserva de classe de tráfego e largura de banda é realizada por uma alteração nos comutadores ToR (topo de rack) da solução Azure Stack Hub e no host ou servidores do Azure Stack Hub. Observe que não são necessárias alterações nos dispositivos de borda da rede do cliente. Essas alterações fornecem melhor resiliência para a comunicação do Cluster de Failover e são destinadas a evitar situações em que a largura de banda de rede é totalmente consumida e, como resultado, as mensagens de controle do Cluster de Failover são interrompidas. Observe que a comunicação do Cluster de Failover é um componente crítico da infraestrutura do Azure Stack Hub e, se interrompida por longos períodos, pode levar à instabilidade nos serviços de armazenamento do Spaces Direct ou em outros serviços que eventualmente afetarão a estabilidade da carga de trabalho do locatário ou do usuário final.
Redes lógicas
As redes lógicas representam uma abstração da infraestrutura de rede física subjacente. Eles são usados para organizar e simplificar atribuições de rede para hosts, VMs (máquinas virtuais) e serviços. Como parte da criação de rede lógica, os sites de rede são criados para definir as VLANs (redes locais virtuais), sub-redes IP e pares de sub-rede IP/VLAN associados à rede lógica em cada local físico.
A tabela a seguir mostra as redes lógicas e os intervalos de sub-rede IPv4 associados para os quais você deve planejar:
| Rede lógica | Descrição | Tamanho |
|---|---|---|
| VIP Público | O Azure Stack Hub usa um total de 31 endereços dessa rede e o restante é usado por VMs de locatário. Nos 31 endereços, 8 endereços IP públicos são usados para um pequeno conjunto de serviços do Azure Stack Hub. Se você planeja usar o Serviço de Aplicativo e os provedores de recursos do SQL, mais 7 endereços serão usados. Os 16 IPs restantes são reservados para futuros serviços do Azure. | /26 (62 hosts) – /22 (1022 hosts) Recomendado = /24 (254 hosts) |
| Alternar infraestrutura | Endereços IP ponto a ponto dedicados para propósitos de roteamento, interfaces de gerenciamento dedicadas de comutadores e endereços de loopback atribuídos ao comutador. | /26 |
| Infraestrutura | Usado para permitir a comunicação entre os componentes internos do Azure Stack Hub. | /24 |
| Privado | Usado para a rede de armazenamento, VIPs privados, contêineres de infraestrutura e outras funções internas. Para obter mais detalhes, consulte a seção Rede privada neste artigo. | /20 |
| BMC | Usado para se comunicar com os BMCs nos hosts físicos. | /26 |
Observação
Um alerta no portal lembra o operador de executar o cmdlet PEP Set-AzsPrivateNetwork para adicionar um novo espaço IP privado /20. Para obter mais informações e diretrizes sobre como selecionar o espaço IP privado /20, consulte a seção Rede Privada neste artigo.
Infra-estrutura de rede
A infraestrutura de rede do Azure Stack Hub consiste em várias redes lógicas configuradas nos comutadores. O diagrama a seguir mostra essas redes lógicas e como elas se integram com os comutadores TOR (topo do rack), controlador BMC e os comutadores de borda (rede do cliente).
Rede BMC
Essa rede é dedicada a conectar todos os controladores de gerenciamento de placa base (também conhecidos como BMC ou processadores de serviço) à rede de gerenciamento. Os exemplos incluem: iDRAC, iLO, iBMC e assim por diante. Apenas uma conta do BMC é usada para estabelecer comunicação com qualquer nó do BMC. Se presente, o HLH (Host de Ciclo de Vida de Hardware) está localizado nessa rede e pode fornecer software específico do OEM para manutenção ou monitoramento de hardware.
O HLH também hospeda a DVM (VM de Implantação). O DVM é usado durante a implantação do Azure Stack Hub e é removido quando a implantação é concluída. O DVM requer acesso à Internet em cenários de implantação conectados para testar, validar e acessar vários componentes. Esses componentes podem estar dentro e fora de sua rede corporativa (por exemplo: NTP, DNS e Azure). Para obter mais informações sobre os requisitos de conectividade, consulte a seção NAT na integração do firewall do Azure Stack Hub.
Rede privada
Esta rede /20 (4096 IPs) é privada para a região do Azure Stack Hub (não roteia além dos dispositivos de comutador de borda do sistema do Azure Stack Hub) e é dividida em várias sub-redes, aqui estão alguns exemplos:
- Rede de armazenamento: uma rede /25 (128 IPs) utilizada para suportar o uso de tráfego de armazenamento do Spaces Direct, SMB (Bloco de Mensagens de Servidor) e para migração ao vivo de VMs.
- Rede IP virtual interna: uma rede /25 dedicada a VIPs somente internos para o balanceador de carga de software.
- Rede de contêineres: uma rede /23 (512 IPs) dedicada ao tráfego somente interno entre contêineres que executam serviços de infraestrutura.
O sistema do Azure Stack Hub requer um espaço IP interno privado /20 adicional. Essa rede é privada ao sistema Azure Stack Hub — não roteia além dos dispositivos de comutação de borda — e pode ser reutilizada em vários sistemas Azure Stack Hub dentro do seu datacenter. Embora a rede seja privada para o Azure Stack, ela não deve se sobrepor a outras redes no datacenter. O espaço ip privado /20 é dividido em várias redes que permitem a execução da infraestrutura do Azure Stack Hub em contêineres. Além disso, esse novo espaço IP privado permite esforços contínuos para reduzir o espaço IP roteável necessário antes da implantação. A meta de executar a infraestrutura do Azure Stack Hub em contêineres é otimizar a utilização e melhorar o desempenho. Além disso, o espaço ip privado /20 também é usado para habilitar esforços contínuos que reduzirão o espaço IP roteável necessário antes da implantação. Para obter diretrizes sobre o espaço IP privado, consulte RFC 1918.
Rede de infraestrutura do Azure Stack Hub
Essa rede /24 é dedicada a componentes internos do Azure Stack Hub para que eles possam se comunicar e trocar dados entre si. Essa sub-rede pode ser roteável externamente da solução do Azure Stack Hub para o datacenter. Não recomendamos o uso de endereços IP públicos ou roteáveis para a Internet nesta sub-rede. Esta rede é anunciada na borda, mas a maioria de seus endereços IP está protegida por ACLs (listas de controle de acesso) Os IPs permitidos para acesso estão dentro de um pequeno intervalo, equivalente em tamanho a uma rede /27 e serviços de host, como o PEP (ponto de extremidade privilegiado) e o backup do Azure Stack Hub.
Rede VIP pública
A rede VIP pública é atribuída ao controlador de rede no Azure Stack. Não é uma rede lógica no comutador. O SLB usa o pool de endereços e atribui redes /32 para cargas de trabalho de locatário. Na tabela de roteamento de comutador, esses IPs /32 são anunciados como uma rota disponível via BGP. Essa rede contém os endereços IP públicos ou acessíveis externos. A infraestrutura do Azure Stack Hub reserva os primeiros 31 endereços dessa rede VIP pública, enquanto o restante é usado por máquinas virtuais de locatários. O tamanho da rede nessa sub-rede pode variar de um mínimo de /26 (64 hosts) a um máximo de /22 (1022 hosts). Recomendamos que você planeje uma rede /24.
Conectando-se a redes locais
O Azure Stack Hub usa redes virtuais para recursos do cliente, como máquinas virtuais, balanceadores de carga e outros.
Há várias opções diferentes para se conectar de recursos dentro da rede virtual a recursos locais/corporativos:
- Use endereços IP públicos da rede VIP pública.
- Use o Gateway de Rede Virtual ou a Solução de Virtualização de Rede (NVA).
Quando um túnel VPN S2S é usado para conectar recursos de ou para redes locais, você pode encontrar um cenário no qual um recurso também tem um endereço IP público atribuído e não é mais acessível por meio desse endereço IP público. Se a origem tentar acessar o IP público dentro do mesmo intervalo de sub-rede definido nas Rotas do Gateway de Rede Local (Gateway de Rede Virtual) ou na rota definida pelo usuário para soluções NVA, o Azure Stack Hub tentará rotear o tráfego de saída de volta para a origem por meio do túnel S2S, com base nas regras de roteamento configuradas. O tráfego de retorno usa o endereço IP privado da VM, em vez de ser NATed de origem como o endereço IP público:
Há duas soluções para esse problema:
- Encaminhe o tráfego direcionado para a rede VIP pública para a Internet.
- Adicione um dispositivo NAT para traduzir quaisquer IPs de sub-rede definidos no gateway de rede local que estejam direcionados para a rede VIP pública.
Solução de roteamento de tráfego
Alternar rede de infraestrutura
Essa rede /26 é a sub-rede que contém as sub-redes IP /30 ponto a ponto roteáveis (dois IPs de host) e os loopbacks, que são sub-redes /32 dedicadas para gerenciamento de comutador em banda e ID do roteador BGP. Esse intervalo de endereços IP deve ser roteável fora da solução do Azure Stack Hub para o datacenter. Eles podem ser IPs privados ou públicos.
Rede de gerenciamento de comutadores
Essa rede /29 (seis IPs de host) é dedicada a conectar as portas de gerenciamento dos comutadores. Ele permite acesso fora de banda para implantação, gerenciamento e solução de problemas. Ele é calculado com base na rede de infraestrutura de comutador mencionada anteriormente.
Redes permitidas
A planilha de implantação tem um campo que permite que o operador modificar algumas listas de controle de acesso para permitir o acesso a interfaces de gerenciamento de dispositivos de rede e ao host de ciclo de vida de hardware (HLH) de um intervalo de rede confiável do datacenter. Com a alteração da lista de controle de acesso, o operador pode permitir que suas VMs de jumpbox de gerenciamento dentro de um intervalo de rede específico acessem a interface de gerenciamento do comutador e o sistema operacional HLH. O operador pode fornecer uma ou várias sub-redes para esta lista; se deixado em branco, o padrão é negar o acesso. Essa nova funcionalidade substitui a necessidade de intervenção manual pós-implantação, como era anteriormente descrito na modificação de configurações específicas na configuração do switch do Azure Stack Hub.
Próximas etapas
- Roteamento de tráfego de rede virtual
- Saiba mais sobre o planejamento de redes: conectividade de fronteira