弹性架构
本主题概述了可使用Network Edge实现的容错解决方案。
设计具有弹性的解决方案是网络和边缘架构最关键的方面之一。虽然对于需要多少弹性没有正确的答案,但有一些最佳实践、针对不同用例的建议,以及Network Edge提供的一些特定服务和功能。
从单个虚拟实例的角度来看,为Network Edge提供基础设施的底层网络功能虚拟化 (NFV) 平台本身就具备容错能力。然而,您必须将弹性设计融入到整体解决方案中,以实现尽可能高的冗余度。本文档介绍如何利用平台的固有特性以及Network Edge的容错功能来实现弹性。
冗余级别
想象一下,一个网络设计从数据包的起源开始,从内部向外移动到目的地。在这种情况下,流量处理或穿越的每个点都会成为一个可能的故障点。关键是在设计时要针对穿越点的影响性事件。
如下图所示,在从Network Edge设备到Equinix Fabric参与者的简单网络流中,流量有三个不同的点:Network Edge虚拟设备、 Equinix Fabric和 Fabric 参与者连接。Network Edge虚拟设备与Equinix Fabric之间存在固有冗余,因此将底层 NFV 平台互连到 Fabric 的 Leaf 或 Spine 架构是冗余的。Equinix Equinix Fabric与 Fabric 参与者之间不存在固有冗余。为了实现最大冗余,您必须部署一个利用不同Network Edge的解决方案,以充分利用完整的网络流。
一级和二级平面
网络边缘基于标准数据中心冗余架构构建,采用多个部署点 (POD),每个部署点都配备专用电源。网络边缘和 Equinix Fabric 的部署都基于主备平面的概念。网络边缘利用主备平面,通过亲和性实现计算隔离。容错对中的每个虚拟设备都部署在其各自的集群中。 虽然通常被称为主计算平面和辅助计算平面,但每个网络边缘POD中实际上存在多个计算平面。实际数量取决于城域网的规模。这使得设备可以以不混用同一计算平面的方式部署,从而消除计算单点故障(SPOF)。
Equinix Fabric 交换机属于一个机箱组,该机箱组由主交换机和备用交换机组成。机箱组中的主交换机和备用交换机仅用于命名,并不代表流量流向。从路由角度来看,主备或双活模式在网络边缘设备上配置,并且完全由您控制。平台架构文档详细介绍了网络边缘基础架构。
之前已部署名为 NGFW-A 的防火墙 VNF。要在辅助平面上部署路由器 VNF,请使用“从现有单个设备进行多样化计算”功能,并从下拉菜单中选择 NGFW-A。
设备和连接弹性定义
网络边缘提供多种弹性选项,可概括为设备选项和连接选项。设备选项是本地的,可在本地城域网的计算和设备层面提供故障弹性。这类似于业界通常所说的“高可用性 (HA)”。连接弹性是另一个选项,适用于需要通过设备连接(DLG、VC 和 EVP-LAN 网络)获得额外弹性的客户。
通常情况下,会将本地弹性与连接弹性结合起来,但这并非必须——最终取决于客户的业务需求。
地理冗余是一种架构,它利用多个城域网来消除可能影响城域网网络边缘的问题,从而扩展了本地弹性。地理冗余的详细讨论请参见此处。
单机(独立)设备 – 本地恢复选项
单个或独立设备不具备应对计算和设备故障的容错能力。第一个独立设备始终连接到主计算平面。独立设备始终通过主交换矩阵网络建立连接。独立设备可以构建冗余连接(VC、DLG 等),但它们始终会经过主交换矩阵平面。可以通过反亲和性功能将独立设备转换为冗余设备。
单设备抗亲和力
如前所述,单个设备默认情况下不具备冗余能力。但是,单个设备可以部署在不同的计算平面上。这通常称为反亲和性,可在设备创建工作流程中使用。在“从现有单个设备进行多样化计算”部分,选中“选择多样化来源”复选框,客户即可添加彼此具有冗余能力的新设备。
冗余与群集虚拟设备
网络边缘工作流确保容错部署中的配对虚拟设备分别位于主计算平面和辅助计算平面上。容错部署有两种类型:冗余设备和集群设备。
这些选项提供本地(城域内)弹性,以保护本地Network Edge POD 免受硬件或电源故障的影响。默认情况下,两个虚拟设备部署在不同的计算平面(主计算平面和辅助计算平面)中,并且彼此独立。主设备连接到主交换矩阵网络,辅助/被动设备连接到辅助交换矩阵网络。您可以在门户中的设备创建工作流中选择部署类型。
为了实现冗余,冗余虚拟实例部署在不同的计算平面上。它们没有更高级别的工作流程,这意味着初始部署后,这些设备彼此互不感知,并作为两个独立的虚拟设备运行。通常,冗余设备以双活模式运行。 冗余虚拟实例可以部署在同一都市区内,也可以跨都市区部署。单个都市区内的冗余设备仅提供本地弹性。异地冗余部署(跨都市区部署冗余设备)可提供更高的弹性。当冗余设备部署在另一个都市区时,它仍然部署在辅助计算平面上。
集群虚拟实例具有更高级别的工作流程,会根据相应供应商的定义部署主备设备对。请查阅文档以确认您的虚拟设备是否支持集群。 集群设备只能部署在同一个都市区内。
虚拟连接
虚拟连接允许您指定部署所需的弹性级别。工作流程非常灵活,可根据需要采用多种方案来实现冗余。
冗余和集群部署的虚拟连接工作流程不同。冗余设备连接源于冗余对中的每个单独的虚拟设备,而集群设备连接则源于集群。
冗余的虚拟连接
冗余设备使用关联功能部署在不同的计算平面上。部署后,这些设备不共享任何配置信息,而是作为两个独立的设备运行。为了实现直达交换矩阵参与者的冗余,您需要在主交换矩阵和辅助交换矩阵上创建虚拟连接,如下所示。主平面连接到主交换矩阵网络(或主交换矩阵平面),辅助平面连接到辅助交换矩阵网络。
这是理解Network Edge弹性最重要的概念之一。设备平面决定了使用哪个 Fabric 网络(或 Fabric 平面)进行设备连接。
冗余设备可以部署在同一都会区或不同都会区中,从而帮助您构建跨越地理距离的冗余解决方案。工作流程灵活,您可以根据用例需要在主、备 Fabric 平面上或每个平面上创建连接。
集群虚拟连接
集群设备部署在主要和次要的计算平面上,并有更高层次的工作流程来建立一对主动-主动或主动-备用的虚拟设备。
集群只能在同一都市网内构建。例如,如果在主备 Fabric 平面上都构建了虚拟电路,则工作流将创建到集群的两个连接,并为每个连接分配一个接口,使其连接到两个集群节点。下图(连接到同一都市网/同一提供商)显示了连接到主备集群的主备 Fabric 连接,其中 cluster-node0 为活动节点,cluster-node1 为备用节点。如果发生集群故障转移,cluster-node1 变为活动节点,则连接将转移到 cluster-node1。
| Redundant Devices | Clustered Devices | |
|---|---|---|
| Deployment | Two devices, both Active, appearing as two devices in the Network Edge portal. Both devices have all interfaces forwarding | Two devices, only one is ever Active. The Passive (non-Active) device data plane is not forwarding |
| WAN Management | Both devices get a unique L3 address that is active for WAN management | Each node gets a unique L3 address for WAN management as well as a Cluster address that connects to the active node (either 0 or 1) |
| Device Linking Groups | None are created at device inception | Two are created by default to share configuration synchronization and failover communication |
| Fabric Virtual Connections | Connections can be built to one or both devices | Single connections are built to a special VNI that connects to the Active Cluster node only. Customer can create optional, additional secondary connection(s) |
| Supports Geo Redundancy | Yes, Redundant devices can be deployed in different metros | No, Cluster devices can only be deployed in the same metro |
| Vendor Support | All vendors | Fortinet FortiGate FirewallsJuniper vSRX FirewallsNGINX PlusPalo Alto VM-Series Firewalls |
下图所示的所有场景均假设提供商参与者同时连接到主交换矩阵和辅助交换矩阵。如对冗余交换矩阵连接有任何疑问,请咨询您的Equinix全球解决方案架构师。
连接到同一都市/同一供应商
使用此连接场景,可以使用位于同一都会区位置的Network Edge设备连接到同一提供商。在此场景中,Network Edge支持冗余部署和集群部署。虚拟线路工作流确保每条线路分别在主交换矩阵平面和辅助交换矩阵平面上进行预配。例如,与同一交换矩阵参与者建立冗余连接。
连接到同一都会区/不同运营商
使用此连接场景,可以使用位于同一都会区位置的Network Edge设备连接到不同的提供商。在此场景中,Network Edge支持冗余部署和集群部署。虚拟电路工作流确保每条电路分别在主交换矩阵平面和辅助交换矩阵平面上进行预配。例如,与不同交换矩阵参与者建立冗余连接。
连接到不同的都市/同一供应商
使用此连接场景,可以通过位于不同都会区位置的Network Edge虚拟实例连接到相同的提供商。在此场景中,Network Edge支持冗余部署,但不支持集群部署。虚拟线路工作流确保每条线路分别在主交换矩阵平面和辅助交换矩阵平面上进行预配。例如,从两个不同的都会区到同一交换矩阵参与者的冗余连接。
连接到不同的都市/不同的提供商
使用此连接场景,可以使用位于不同都会区位置的Network Edge设备连接到不同的提供商,以及不同的交换矩阵参与者。在此场景中,Network Edge支持冗余部署,但不支持集群部署。虚拟电路工作流分别确保在主交换矩阵平面和辅助交换矩阵平面上对每条电路进行配置。例如,从两个不同的都会区到不同的交换矩阵参与者的冗余连接。
设备链接组
设备链路组 (DLG) 是一种Network Edge服务,可将两个或多个虚拟设备作为一个组连接到多个都会区内或跨城域网。DLG 通常用于服务链(将防火墙和路由器等多种设备类型连接在一起)、主干网或冗余目的。
DLG 可以配置冗余,也可以不配置。单个 DLG 就像单根以太网线缆一样,不具备弹性。需要最大弹性的客户应部署额外的 DLG,并分别连接到主 Fabric 网络和辅助 Fabric 网络。
设备链路弹性中详细讨论了设备链路及其冗余能力。
EVP-LAN 网络
Network Edge支持EVP-LAN连接,允许多点对多点联网。EVP-LAN使您能够通过一个共同的网络将多个地点的数据中心资产互连起来,而不是要求各个地点之间直接连接。本主题描述了如何创建一个私有的多点对多点网络并从您的Network Edge设备连接到该网络。
EVP-LAN 与 DLG 的不同之处在于,它们连接到Network Edge设备和 Fabric端口。同一都会区内的多台Network Edge设备可以属于同一个 EVP-LAN 网络。需要最大弹性的客户应部署额外的 EVP-LAN,以跨越主 Fabric 网络和辅助 Fabric 网络。
为了实现适当的弹性,冗余设备对中的每台设备都需要连接到两个不同的 EVP-LAN 网络。主平面上的主设备将使用主 Fabric 网络。从平面上的从设备将使用从 Fabric 网络。
集群设备的不同之处在于,其工作流程允许建立到主结构网络或辅助结构网络的连接。
相关主题