partner cloud day
TRANSCRIPT
Partner Cloud Day
——Azure Infra Stage 1
OCP CSA team
Azure 网络基础服务介绍
OCP CSA-P Team
Azure
VNet
Internet GW
SQL DB
Azure region
Azure WAN (global MS backbone)
Internet
Azure
VNet
Internet GW
App
Service
Azure
VNet
Internet GW
SQL DB
Azure region
Azure
VNet
Internet GW
Storage
Accnt
虚拟网络VNET
Virtual Network
VPN GW
Frontend10.1/24
Mid-tier10.2/24
Backend10.3/24
Internet
On Premises
10.0/16
VPN &
ExpressRoute
Azure
❑
❑
❑
❑
❑
虚拟网络
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
每个子网的前 4 个 IP 是 Azure 系统保留的。
例如:如果设置的子网是 10.0.0.0/24,则可用的IP Range为 10.0.0.4 –10.0.0.255
Azure 内部部署的 DNS 服务器
外部 DNS 服务器
On-Prem DNS 服务器(使用 VPN 或者 ExpressRoute)
VPN 或者 ExpressRoute 使用的 On-Prem 本地地址段
进到Azure VM
NSG of Subnet NSG of VM OS Firewall VM
Azure 虚拟网络
subnetsubnet
subnetsubnet
Virtual Network
Azure Virtual Network - 逻辑架构
Virtual NetworkAddress Space
Subnet
NIC
Subnet GatewaySubnet
NIC
NIC
NIC
Gateway
如何决定每个网段的大小?
CIDR(Classless InterDomain Routing)无类别域间路由
192.168.0.0/16
192.168.0.0 - 192.168.255.255 (65536 addresses)
192.168.0.0/24
192.168.0.0 - 192.168.0.255 (256 addresses)
192.168.0.0/20
192.168.0.0 - 192.168.15.255 (4096 addresses)
Name: VNet1
Address space: 10.57.0.0/16,
10.66.0.0/24
Subnet1
10.57.1.0/24
Subnet2
10.66.0.0/24
IpConfiguration
IpConfiguration
虚拟IP地址 - VIP
它可以被用于云服务,IaaS 虚拟机,PaaS 角色实例和应用程序网关
如果需要为 Azure 资源分配虚拟 IP 地址,该 IP 地址将动态地从资源的创建位置中的可用公共 IP 地址池中分配
停止该资源时,此 IP 地址将被释放
对于需要使用固定 IP 的资源,可以使用保留 IP 来实现
内部IP地址 - DIP
如果虚拟机被停机或删除,DIP 将被释放
若虚拟机部署在虚拟网络的子网中,DIP 将从虚拟机所在的子网中分配
默认 Azure 通过 DHCP 机制分配 DIP 给虚拟机
虚拟机多网卡
1. 提供冗余连接2. 增加性能3. 不同网卡采用不同功能4. VM需要有不同网段的IP(比如虚拟防火墙、虚拟路由器等)
在公有云上,由于云的特性,不用考虑冗余连接和性能的问题。所以只有在第三种情况或第四种情况下,有可能会用到多网卡的虚拟机。
创建多网卡的时候虚机指定默认使用的主网卡,所有的外部流量都会走这个主网卡
基本上遵循下面的规则:
A系列机器,网卡数量是CPU数量除以2,最大4块网卡
D、DS系列机器,网卡数量是CPU的数量,最大8块网卡
Name: VNet2
Address space: 10.57.0.0/16
Subnet1
10.57.1.0/24
Subnet2
10.57.2.0/25
Internet
Name: VNet2
Address space: 10.57.0.0/16
Subnet1
10.57.1.0/24
Subnet2
10.57.2.0/25
Azure
WAN
Internet
Virtual Network
Microsoft Azure
User Defined Route 用户自定义路由
UDR可以让用户自己在VNET中定义路由
定义好后,用户流量不走系统路由
按照用户的需求,用户流量流向:VM,VPN Gateway等下一跳
Name: TRVNET1
Address space: 10.57.0.0/16
Subnet1
10.57.1.0/24
Subnet2
10.57.2.0/25
Subnet3
10.57.3.0/25
Sytem Route (Local VNET rule)
Name: TRVNET1
Address space: 10.57.0.0/16
Subnet1
10.57.1.0/24
Subnet2
10.57.2.0/25
Subnet3
10.57.3.0/25
UDR
Name: TRVNET1
Address space: 10.57.0.0/16
Subnet1
10.57.1.0/24
Subnet2
10.57.2.0/25
GW Subnet
10.57.9.0/28ER Provider’s
network
Name: TRVNET1
Address space: 10.57.0.0/16
Subnet1
10.57.1.0/24
Subnet2
10.57.2.0/25
GW Subnet
10.57.9.0/28ER Provider’s
network
Name: TRVNET1
Address space: 10.57.0.0/16
Subnet1
10.57.1.0/24
Subnet2
10.57.2.0/25
GW Subnet
10.57.9.0/28ER Provider’s
network
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-multiple-nics
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-multiple-ip-addresses-portal
Max network bandwidth label Bandwidth caps range (Mbps)
low <200
moderate 400-800
high 1000-6000
very high 8000
extremely high >10000
https://docs.microsoft.com/en-us/azure/virtual-machines/virtual-machines-windows-sizes
服务 Azure Load Balancer Application Gateway Traffic Manager
技术 传输级别(Layer 4) 应用程序级别(Layer 7) DNS 级别
支持的应用程序协议
任何 HTTP 和 HTTPS任何 (端点监视需要HTTP 端点)
端点 Azure vm 和云服务角色实例任何 Azure 内部 ip地址或公用互联网 ip地址
azure vm、云服务、azure Web 应用程序和外部端点
vNET支持可用于面向互联网和内部 (vNet) 应用程序
可用于面向互联网和内部(vNet) 应用程序
仅支持面向 Internet 的应用程序
端点监视 通过探测器支持 通过探测器支持通过 HTTP/HTTPS GET方法支持
负载均衡器分发模式
默认使用的分发模式不支持会话保持
同一客户端的请求会被分发到后端的同一台机器需要会话保持的情形可以考虑使用两元组/三元组
Availability set
:
:
:
:
负载平衡器可以有多个 vip 探测器检查
TCP/UDP 端点的可用性
规则将 VIP 连接到vm 池中
后端池是VM的集合,
接收网络负载
所有后端池必须在一个可用性集内
VM 可以属于多个后端池
应用程序网关
❑ 可扩展,高可用的 HTTP 负载均衡
❑ 通过 Cookie 关联实现跨会话状态共享
❑ 多实例网关可实现 99.9%
持续运行时间
❑ 支持公众和私有网站
❑ SSL 卸载提高资源利用率
❑ Web 应用程序防火墙
❑ APG需要一个单独的空的子网!
流量管理器❑灵活的负载平衡选项
❑降低应用程序停机时间
❑改善应用程序的性能与内容的交付
❑将用户流量分散至多个位置
❑配合内部数据中心使用
同一区域 VNets 之间的直接和双向 L3 连通性 不需要网关, 无带宽瓶颈 支持 NVA 和网关中转 NSGs 和 UDRs 将跨链接工作 对等互联是单跳的 高带宽低延时
Back-endVNet
Mid-yierVNet
Front-endVNetInternet
Secure
communication
Contoso US HQ Contoso East Asia
对等互联是非中转的 Peer 10.2 to 10.3
Peer 10.3 to 10.4
10.2 跟 10.4 是不通的!
必须单独创建10.2和10.4对等互联
4
对等互联路由特性• 对等关系比专线和VPN具有更高优先级
• 虚拟网络可以使用一个逻辑的网关, 本地或者远程的
• 网关中转允许远程网关提供到本地数据中心的连接• 要求对等源启用远程网关支持
• 需要对等邻居启用网关传输