Condividi tramite

Considerazioni sulla rete per i carichi di lavoro della soluzione Azure VMware

  • Articolo

Questo articolo illustra l'area di progettazione della rete di un carico di lavoro della soluzione Azure VMware. Le reti ben architettate sono fondamentali per abilitare la connettività, ottimizzare i tempi di risposta, distribuire il traffico e garantire la disponibilità continua dei carichi di lavoro nella soluzione Azure VMware.

Distribuire il carico per l'alta disponibilità

Impatto : Affidabilità, Efficienza delle prestazioni

Per ottenere scalabilità e ottimizzare le prestazioni, è necessario distribuire il traffico tra le destinazioni all'interno dell'infrastruttura della soluzione Azure VMware. Quando si bilancia il carico del traffico della soluzione Azure VMware, è possibile distribuirlo tramite vari algoritmi, ad esempio algoritmi che considerano prestazioni e peso. La distribuzione del traffico in ingresso migliora la scalabilità e l'affidabilità delle applicazioni del carico di lavoro. Se l'applicazione si estende su più data center software-defined (SDDC), un servizio di bilanciamento del carico di Azure può distribuire il traffico in tutti gli ambienti.

Consigli

  • Usare un servizio di bilanciamento del carico, ad esempio VMware NSX Advanced Load Balancer, per la distribuzione uniforme del traffico. Supportare i gateway delle applicazioni interni ed esterni. Usare il servizio di bilanciamento del carico per il routing, il recapito delle applicazioni e la terminazione di TLS.
  • Per i workload che si estendono in Azure, utilizzare l'Azure Application Gateway. Questo servizio di bilanciamento del carico distribuisce il traffico per migliorare le prestazioni dell'applicazione. Il gateway applicativo offre anche capacità di sistema di rilevamento e prevenzione delle intrusioni (IDPS) e di Firewall per applicazioni web di Azure. Azure Load Balancer può distribuire il traffico tra zone per offrire disponibilità elevata e tolleranza di errore per carichi di lavoro che si estendono su più zone di disponibilità di Azure.

Ridurre al minimo la distanza nella distribuzione globale

impatto : affidabilità, efficienza delle prestazioni, ottimizzazione dei costi

Per le applicazioni con presenza globale, è importante ridurre al minimo la distanza tra istanze e utenti. È possibile raggiungere questo obiettivo instradando il traffico al data center sddc della soluzione Azure VMware più vicino. Se si usa uno strumento di gestione traffico, è anche possibile ridurre i costi di trasferimento dei dati in uscita. In particolare, è possibile inviare gli utenti alla distribuzione della soluzione Azure VMware o alla posizione perimetrale più vicina. La riduzione della distanza di spostamento dei dati consente di evitare trasferimenti di dati lunghi.

Consigli

  • Per le applicazioni che si estendono su più aree, valutare la possibilità di distribuire una soluzione di bilanciamento del carico del traffico globale basata su Domain Name System, ad esempio Gestione traffico di Azure.
  • Creare profili di routing del traffico. Configurare diversi metodi di routing, ad esempio il routing basato su priorità, il round robin ponderato, il routing basato sulle prestazioni o il routing basato su aree geografiche.

Distribuire contenuto

Impatto: Prestazioni, ottimizzazione dei costi

Le applicazioni ad alto traffico richiedono un recupero ottimale del contenuto. Le tecniche di ottimizzazione, ad esempio la compressione e gli acceleratori HTTP, possono migliorare le prestazioni di recupero degli asset all'interno dell'ambiente della soluzione Azure VMware. È possibile usare tecniche di compressione sui file prima di trasmetterle. Questa procedura può ridurre i costi riducendo la quantità di dati trasmessi. Una rete per la distribuzione di contenuti memorizza nella cache il contenuto a cui si accede di frequente. Di conseguenza, l'uso di una rete per la distribuzione di contenuti con la soluzione Azure VMware consente di ottimizzare il recupero e la distribuzione. Le reti per la distribuzione di contenuti consentono anche di risparmiare sui costi in altri modi. Poiché queste reti memorizzano nella cache la data in posizioni perimetrali vicine agli utenti, riducono la distanza di spostamento dei dati.

Consigli

  • Usare la rete per la distribuzione di contenuti di Azure per migliorare la velocità di risposta e ridurre la latenza per gli utenti che accedono alle applicazioni e ai siti Web.
  • Usare la compressione per ridurre al minimo il payload degli asset statici.
  • Usa soluzioni di caching come Redis o Azure Cache per Redis per archiviare nella cache i dati frequentemente utilizzati.

Usare un firewall per i carichi di lavoro con connessione Internet

impatto : di sicurezza

I carichi di lavoro orientati verso l'esterno in Azure VMware Solution vengono mappati a un indirizzo IP pubblico. Di conseguenza, possono essere esposti a Internet e accettano connessioni in ingresso da origini esterne. Questa associazione con la macchina virtuale o il bilanciatore di carico comporta rischi per i carichi di lavoro.

Consigli

  • Per le applicazioni orientate a Internet, utilizzare un firewall come Azure Firewall o un'appliance virtuale di rete di terze parti certificata per ispezionare il traffico della soluzione Azure VMware verso Internet e Azure.
  • Assicurarsi che il firewall disponga di regole ed elenchi di controllo di accesso per limitare e filtrare il traffico in ingresso.

Proteggere il traffico tra carichi di lavoro interni

Impatto: Sicurezza

La rete è un perimetro critico nell'ambiente della soluzione Azure VMware. Le reti consentono di controllare l'accesso, proteggere i dati e attenuare le minacce. Misure di sicurezza di rete affidabili consentono di garantire la disponibilità e la resilienza dei carichi di lavoro della soluzione Azure VMware. Ad esempio, l'implementazione dell'isolamento di rete tramite la segmentazione e l'uso di reti LAN virtuali possono impedire l'accesso non autorizzato tra i componenti dell'ambiente della soluzione Azure VMware. Puoi utilizzare i gruppi di sicurezza di rete per isolare e proteggere il traffico all'interno delle reti virtuali del tuo carico di lavoro.

Consigli

  • Creare segmenti di rete per i carichi di lavoro della soluzione Azure VMware.
  • Creare regole del firewall all'interno di VMware NSX-T Data Center.
  • Abilita l'estensione HCX con alta disponibilità. Per impostazione predefinita, le appliance dell'estensione di rete HCX vengono distribuite come istanze singole. Un errore di un'istanza in esecuzione all'origine o alla destinazione rende l'intera VLAN estesa non operativa. Usando HCX Network Extension HA garantirà che le operazioni HCX come vMotion possano sopportare il fallimento di una singola istanza.

Progettare schemi di indirizzamento IP per la crescita

Impatto: sicurezza, eccellenza operativa

È possibile usare una strategia di sicurezza della subnet intenzionale per progettare la soluzione Azure VMware e le reti virtuali cloud per la crescita. Questa progettazione comporta l'organizzazione strategica dell'allocazione degli indirizzi IP. È anche necessario usare uno strumento di indirizzamento IP e garantire l'applicazione dell'allocazione.

Oltre a un intervallo di indirizzi RFC-1918, i segmenti di carico di lavoro dispongono di intervalli CIDR (Classless Inter-Domain Routing) separati e non conflittuali. Pianificare un numero sufficiente di indirizzi IP per macchine virtuali, indirizzi IP pubblici e servizi di bilanciamento del carico.

Consigli

  • Assicurarsi che l'intervallo di indirizzi IP sia sufficientemente grande da supportare tutti i carichi di lavoro della soluzione Azure VMware correnti e futuri.
  • Usare uno strumento di gestione indirizzi IP o foglio di calcolo per organizzare in modo efficiente gli indirizzi IP disponibili, tenere traccia dell'utilizzo degli indirizzi IP e evitare conflitti di indirizzi IP.
  • Pianificare eventuali aumenti di dispositivi, segmenti o subnet. Usare uno schema di indirizzamento IP in grado di gestire gli aumenti della domanda.
  • Identificare le route duplicate nei router T0 del data center NSX-T. Le rotte duplicate sono un possibile indicatore di rotte asimmetriche. La connessione con gli ambienti locali potrebbe smettere di funzionare se non viene rilevata l'asimmetria.
  • Usare più server DNS per zona FQDN privata. Azure VMware Solution SDDC può supportare fino a tre server DNS per un singolo FQDN. L'uso di un singolo server DNS per la risoluzione DNS diventa un punto singolo di guasto. Assicurarsi che vengano usati più server DNS per qualsiasi risoluzione FQDN in sede dall'SDDC di Azure VMware Solution.
  • Usare Dynamic Host Configuration Protocol (DHCP) per l'assegnazione di indirizzi IP dinamici.

Risorse aggiuntive

  • L'attraversamento dei limiti di configurazione può lasciare l'SDDC della Soluzione Azure VMware in uno stato non supportato e influire sulla sua disponibilità per qualsiasi operazione di supporto o aggiornamento. Usare più segmenti NSX per assicurarsi di non superare i limiti di configurazione VMware.

Passaggi successivi

Dopo aver esaminato la rete nella soluzione Azure VMware, esaminare le procedure consigliate per il monitoraggio dell'infrastruttura e dell'applicazione.

monitoraggio

Usare lo strumento di valutazione per valutare le scelte di progettazione.

valutazione