Гибридная сетевая инфраструктура в Microsoft Azure (часть 11)

Опубликовано: 7 Марта, 2023
Гибридная сетевая инфраструктура в Microsoft Azure (часть 11)

  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 1)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 4)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)

В части 1 этой серии я начал обсуждение гибридной сетевой инфраструктуры с некоторых мыслей о гибридных облаках, а затем рассказал о некоторых сетевых функциях, которые вы получаете при переходе на службы инфраструктуры Azure. Также было представлено введение в схему эталонной архитектуры расширения центра обработки данных, которую Том составил вместе с Джимом Дайалом и несколькими другими людьми из Microsoft. Во второй части Том присоединился к нам в качестве соавтора, и мы рассмотрели VPN-соединения между сайтами и VPN-соединения между сайтами. В части 3 мы рассмотрели выделенную службу подключения к глобальной сети Azure, которая носит название ExpressRoute, а также обсудили виртуальный шлюз Azure, который расположен на краю вашей виртуальной сети Azure и позволяет вам подключаться к вашей локальной сети. локальной сети в виртуальную сеть Azure.

Затем в части 4 мы потратили большую часть нашего времени на обсуждение того, что такое виртуальные сети Azure и как они сравниваются с виртуальными сетями, которые мы используем в традиционных локальных установках Hyper-V. В части 5 были более подробно описаны виртуальные сети Azure и некоторые особенности, которые необходимо учитывать. В части 6 мы обсудили виртуальные сети Azure и внешние балансировщики нагрузки. В части 7 мы начали обсуждение внутренней балансировки нагрузки и того, как использовать PowerShell для настройки ILB для виртуальных машин, содержащихся в виртуальной сети Azure. В части 8 мы перешли к настройке ILB для облачных служб, отредактировав файл.cscfg, а затем рассказали о группах безопасности сети.

В части 9 мы говорили о списках ACL для виртуальных машин, которые можно использовать для предоставления выборочного удаленного доступа к виртуальным машинам, которые вы размещаете в виртуальных сетях Azure. Мы также говорили о некоторых альтернативах использованию списков ACL для виртуальных машин, которые во многих отношениях могут быть более безопасными, чем настройка списков ACL. Кроме того, списки ACL виртуальных машин нельзя использовать на виртуальных машинах на базе управления службами Azure (ARM).

Теперь мы продолжим работать над нашим списком сетевых возможностей, доступных в Azure на момент написания этой статьи (всегда помня о том, что Azure постоянно меняется, расширяется и добавляет новые функции). В части 10 мы начали говорить о двух элементах одновременно, потому что они взаимосвязаны: многосетевые сетевые карты и сторонние брандмауэры.

Виртуальные частные сети между сайтами

√ Виртуальные частные сети типа «укажи на сайт»

√ Выделенные каналы WAN

√ Виртуальные сетевые шлюзы

√ Виртуальные сети Azure

Возможность подключения к виртуальной сети

Внешние балансировщики нагрузки

Внутренние балансировщики нагрузки

Группы безопасности сети

ACL виртуальной машины

> Двойной дом

> Сторонние брандмауэры

  • Выделенные общедоступные IP-адреса
  • Статические IP-адреса на виртуальных машинах
  • Публичные адреса на виртуальных машинах
  • DNS

Виртуальные IP-адреса с выходом в Интернет поддерживаются только на сетевой карте виртуальной машины по умолчанию.

Виртуальные IP-адреса с выходом в Интернет (в ASM или «классических» развертываниях) поддерживаются только на сетевой карте «по умолчанию» на виртуальной машине. Существует только один виртуальный IP-адрес с IP-адресом сетевой карты виртуальной машины по умолчанию. Это означает, что виртуальный IP-адрес, который принимает входящие запросы из Интернета, будет перенаправлять только на сетевую карту по умолчанию виртуальной машины с несколькими сетевыми картами. Вы захотите убедиться, что знаете, какая сетевая карта используется по умолчанию, чтобы вас не ждали сюрпризы.

Виртуальные IP-адреса называются «виртуальными», потому что на самом деле они связаны не с экземплярами ВМ в облаке, а с балансировщиком нагрузки Azure. К любому из ваших экземпляров ВМ в облаке Azure можно получить доступ через один виртуальный IP-адрес. По умолчанию VIP являются динамическими, но можно зарезервировать общедоступный VIP (за дополнительную плату).

Нет общедоступных IP-адресов уровня экземпляра для вас (если вы используете виртуальные машины ASM)

Общедоступные IP-адреса уровня экземпляра (ILPIP) — это общедоступные IP-адреса, которые можно назначить виртуальной машине или экземпляру роли напрямую, а не облачной службе, в которой «живет» виртуальная машина или экземпляр роли, например VIP, назначенный облачной службе.. Он назначается в дополнение, а не вместо VIP. Вы можете использовать ILPIP для прямого подключения к виртуальной машине или экземпляру роли.

Общедоступный IP-адрес уровня экземпляра — это выделенный IP-адрес, назначенный для приема входящих подключений к определенной виртуальной машине. Это отличается от VIP, который представляет собой один IP-адрес, представляющий несколько внешних сетевых карт.

Примечание:
Вы можете подключиться к экземпляру ВМ/роли через виртуальный IP-адрес облачной службы и номер порта, либо напрямую, используя адрес ILPIP, либо используя полное доменное имя через записи A DNS, которые автоматически создаются для каждого экземпляра при его создании. Каждый экземпляр виртуальной машины или роли может иметь только один ILPIP, и каждая подписка Azure получает 5 ILPIP.

В настоящее время ILPIP (развертывания ASM) не поддерживаются для виртуальных машин с несколькими сетевыми картами. Это может измениться в будущем, поскольку возможности Azure постоянно меняются и обновляются.

Не позволяйте изменениям в заказе NIC застать вас врасплох

Порядок сетевых карт важен в Windows, поскольку устройства сетевой безопасности используют порядок сетевых карт несколькими способами. С виртуальными машинами с несколькими сетевыми картами порядок сетевых карт внутри виртуальной машины будет случайным (мы привыкли к этому и с локальными виртуальными машинами). Однако порядок может меняться в зависимости от обновлений инфраструктуры Azure. При этом IP-адреса и MAC-адреса останутся прежними, даже если виртуальные машины перемещаются или изменяются основные элементы платформы виртуализации Azure.

Вот пример: предположим, что наша первая сетевая карта, которую мы назовем NIC-1, имеет IP-адрес 10.1.0.100 и MAC-адрес 00-0D-3A-B0-39-0D. Может случиться так, что после обновления и перезагрузки инфраструктуры Azure вы обнаружите, что NIC-1 был изменен на NIC-2. Это будет означать изменение порядка сетевых карт, но хорошая новость заключается в том, что это не должно на самом деле повлиять ни на что, поскольку сопряжение IP-адреса и MAC-адреса останется прежним. Кроме того, имейте в виду, что когда вы инициируете перезагрузку, порядок сетевых карт останется прежним. Это изменение может произойти только тогда, когда Microsoft делает обновление.

Не засоряйте сетевую карту неправильными IP-адресами

Само собой разумеется, что адреса на каждом из сетевых адаптеров на виртуальной машине с несколькими сетевыми адаптерами должны находиться в допустимой подсети в вашей виртуальной сети Azure. Не имеет смысла назначать недопустимые IP-адреса, если только ваша цель не состоит в том, чтобы отправлять или получать трафик на этом сетевом адаптере. Кроме того, нескольким сетевым адаптерам на одной виртуальной машине могут быть назначены адреса, находящиеся в одной и той же подсети. Это не дает вам каких-либо преимуществ в плане безопасности, но есть сценарии (например, использование отдельной сетевой карты для резервного копирования), в которых вы, возможно, захотите это сделать.

Размер имеет значение

Размер виртуальной машины определяет количество сетевых карт, которые вы можете создать для виртуальной машины. В таблице ниже перечислены номера сетевых карт, соответствующие размеру виртуальных машин.

Размер ВМ (стандартные SKU) Сетевые карты (максимально допустимое количество на ВМ)
Все основные размеры 1
A0очень маленький 1
А1маленький 1
A2средний 1
А3крупный 2
А4очень большой 4
А5 1
А6 2
А7 4
А8 2
А9 4
А10 2
А11 4
Д1 1
Д2 2
Д3 4
Д4 8
Д11 2
Д12 4
Д13 8
Д14 8
ДС1 1
ДС2 2
ДС3 4
ДС4 8
ДС11 2
ДС12 4
ДС13 8
ДС14 16
D1_v2 1
D2_v2 2
D3_v2 4
D4_v2 8
D5_v2 16
D11_v2 2
D12_v2 4
D13_v2 8
D14_v2 8
G1 1
G2 2
G3 4
G4 8
G5 8
Все остальные размеры 1

Таблица 1

Обратите внимание, что за функцию нескольких сетевых адаптеров дополнительная плата не взимается, но существуют различные ограничения на количество сетевых адаптеров, которые можно назначить в зависимости от SKU виртуальных машин. Несколько сетевых адаптеров поддерживаются только в Azure IaaS, но не в PaaS.

Как создать виртуальную машину с несколькими сетевыми картами

Теперь, когда мы знаем все о нескольких сетевых адаптерах, как вам создать виртуальную машину, которая использует эту возможность? Вы можете использовать командлеты PowerShell, чтобы получить образ виртуальной машины из коллекции образов виртуальных машин Azure и создать конфигурацию виртуальной машины Azure и вход администратора по умолчанию. Затем вам нужно будет указать подсеть и IP-адрес сетевого адаптера, который будет сетевым адаптером по умолчанию. После этого вы просто добавляете дополнительные сетевые карты в конфигурацию виртуальной машины почти таким же образом. Обратите внимание, что имя интерфейса должно быть уникальным для виртуальной машины; он не представляет имена сетевых карт в виртуальной машине.

Вот применимые команды PowerShell для всех этих шагов:

$image = Get-AzureVMImage `

-ImageName «a699494373c04fc0bc8f2bb1389d6106__Windows-Server-2012-R2-201410.01-en.us-127GB.vhd»

$vm = New-AzureVMConfig -Name "MultiNicVM" -InstanceSize "ExtraLarge" `
-Image $image.ImageName –AvailabilitySetName "MyAVSet"
Add-AzureProvisioningConfig –VM $vm -Windows -AdminUserName "<YourAdminUID>" `
-Пароль "<ВашАдминистративныйПароль>"
Add-AzureNetworkInterfaceConfig — имя «Ethernet1» `
-SubnetName "Midtier" -StaticVNetIPAddress "10.1.1.111" -VM $vm
Add-AzureNetworkInterfaceConfig — имя «Ethernet2» `
-SubnetName "Backend" -StaticVNetIPAddress "10.1.2.222" -VM $vm
Set-AzureSubnet -SubnetNames "Внешний интерфейс" -VM $vm
Set-AzureStaticVNetIP -IP-адрес "10.1.0.100" -VM $vm
New-AzureVM -ServiceName "MultiNIC-CS" –VNetName "MultiNIC-VNet" –VMs $vm

Ознакомьтесь со статьей Создание виртуальной машины с несколькими сетевыми адаптерами, чтобы узнать больше о настройке виртуальных машин с несколькими сетевыми адаптерами.

Примечание:
Если вам интересно, можно ли использовать несколько сетевых адаптеров с виртуальными машинами, отличными от Windows, такими как Linux или FreeBSD, хорошая новость заключается в том, что несколько сетевых адаптеров можно использовать с виртуальными машинами, работающими на любой поддерживаемой платформе в Azure.

Виртуальные устройства безопасности

Машины с несколькими сетевыми картами имеют решающее значение для настройки программного обеспечения сетевой безопасности на ваших виртуальных машинах. Вы можете установить операционную систему самостоятельно и установить на нее программное обеспечение для обеспечения сетевой безопасности, или вы можете облегчить себе задачу и использовать устройства сетевой безопасности, которые можно получить в Azure Marketplace. Если вы выполните подобный поиск, вы найдете несколько устройств сетевой безопасности, которые вы можете использовать в своих виртуальных сетях Azure. Мы заметили, что функция поиска немного слабовата, поэтому, если вас интересует конкретное устройство, обязательно выполните поиск *этого* устройства. Есть хороший шанс, что он там, и вам просто нужно искать именно этот.

Не случайно поддержка нескольких сетевых адаптеров в Azure была объявлена в связи с несколькими партнерскими соглашениями с такими поставщиками, как Citrix и Riverbed, которые выводили на рынок сетевые виртуальные устройства, требующие нескольких сетевых адаптеров. На конференции TechEd Europe 2014 Microsoft представила демонстрации двух таких устройств: Citrix Netscaler и Riverbed Steelhead. Вы также можете создавать виртуальные сетевые устройства, использующие образы брандмауэра Barracuda NG и брандмауэра веб-приложений. Все они доступны в галерее образов Azure в Azure Marketplace.

Резюме

В этой статье мы сосредоточились на виртуальных машинах с несколькими сетевыми картами. Это функция, которую вам нужно иметь, чтобы обеспечить достойную сетевую безопасность для виртуальных машин в вашей виртуальной сети Azure, поэтому спасибо Microsoft за добавление этой поддержки в Azure. Есть ряд вещей, о которых вам нужно знать при настройке виртуальных машин с несколькими сетевыми картами, и мы обсудили некоторые из наиболее важных вопросов. Как только вы хорошо разберетесь с виртуальными машинами с несколькими сетевыми картами, вы будете готовы настроить виртуальные машины сетевой безопасности. Вы можете создать собственное виртуальное устройство или использовать его из Azure Marketplace.

  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 1)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 4)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)