什么是 SDN 多站点？

本文概述了 SDN 多站点功能，包括其优势和当前局限性。 你可以将其用作指南，来帮助设计你的网络拓扑和灾难恢复计划。

SDN 多站点功能允许你扩展部署在不同物理位置的传统 SDN 的功能。 SDN 多站点功能为虚拟化工作负载实现了不同物理位置之间的原生第 2 层和第 3 层连接能力。 在本文中，所有提到的“站点”均指物理位置。

优点

以下是使用 SDN 多站点的优势：

• 统一的策略管理系统。 借助共享的虚拟网络和策略配置，你可以从任何一个站点管理和配置多站点网络。
• 无缝工作负载迁移。 跨物理站点无缝迁移工作负载，而无需重新配置 IP 地址或预先存在的网络安全组 (NSG)。
• 新 VM 的自动可访问性。 自动访问虚拟网络上新创建的虚拟机 (VM)，并自动管理物理位置上与其相关的任何 NSG。

限制

SDN 多站点功能目前存在一些局限性：

• 它仅在两个站点之间受支持。
• 站点必须通过专用网络连接，因为对于通过互联网连接的站点,不提供加密支持。
• 不支持跨站点的内部负载均衡。
• 使用本机 SDN 的多站点（即故障转移群集上的网络控制器）的部署和管理只能通过 PowerShell 实现。

多站点对等互连

以下部分描述了多站点环境中每个站点的角色，以及资源在站点之间是如何处理和同步的。

主站点和辅助站点的角色

在多站点 SDN 环境中，一个站点被指定为主站点，另一个为辅助站点。 主站点处理资源同步。 在多站点对等连接期间，会自动选择主站点，之后你可以使用 Windows 管理中心更改主站点。

资源处理

• 如果主站点无法访问，全局资源以及需要全局验证或全局客户地址 (CA) 分配的资源将无法通过辅助站点进行更新。 但是，其他本地资源可以通过辅助站点进行更新。

  需要全局验证的资源示例包括：

  • MAC 池。
  • 逻辑网络/IP 池。

  全局 CA 分配的示例包括：

  • 虚拟子网的内部负载均衡。 目前多站点不支持此功能。
  • 虚拟子网的网关连接。

• 如果辅助站点无法访问，资源可以通过主站点进行更新。 但是，在恢复连接之前，辅助站点的资源可能会过时。 一旦恢复连接，同步将继续进行。

• 如果主站点出现故障，你可以将辅助站点指定为新的主站点，以便对网络安全组和虚拟网络进行更新。 但是，来自旧的主站点的任何待处理的数据同步都将丢失。 为了解决这一问题，在旧的主站点恢复联机状态后，会立即在新的主站点上应用这些相同的更改。 但是，这也可能导致全局 CA 分配冲突。

资源同步

启用 SDN 多站点时，并非每个站点的所有资源都会在所有站点之间进行同步。 以下是会同步和不会同步的资源列表。

• 未同步的资源

  建立对等互连后，这些资源不会同步：

  • 负载均衡策略。
  • 虚拟 IP 地址 (VIP)。
  • 网关策略。
  • 逻辑网络。 虽然逻辑网络不会在站点之间同步，但会检查 IP 池是否重叠，并且不允许重叠。

  这些策略是在本地站点创建的，如果你希望另一个站点上有相同的策略，则必须手动在那里创建。 如果负载均衡策略的后端虚拟机位于单个站点上，那么无需任何额外配置，通过 SLB 的连接就能正常工作。 但是，如果你期望后端虚拟机从一个站点移动到另一个站点，默认情况下，只有当本地站点上的 VIP 后面有后端虚拟机时，连接才能正常工作。 如果所有后端虚拟机都移动到另一个站点，通过该 VIP 的连接将会失败。

东-西流量流和子网共享

多站点允许部署了 SDN 的不同站点上的虚拟机在同一子网内进行通信，而无需设置 SDN 网关连接。 这简化了网络拓扑，并减少了对更多虚拟机和子网的需求。 不同站点上的虚拟机之间的数据路径依赖于底层的物理基础结构。

以下场景比较了在传统 SDN 设置和 SDN 多站点设置中，两个物理站点之间的虚拟机通信是如何建立的。

没有 SDN 多站点的 VM 到 VM 通信

在跨两个物理站点部署 SDN 的传统设置中，你需要建立第 3 层或 GRE 网关连接以进行站点间通信。 你还需要为你的应用程序提供更多子网。 例如，如果每个站点都承载前端应用程序，你需要分配单独的子网范围，如 10.1/16 和 10.6/16。 此外，当你设置网关连接时，你还需要为网关虚拟机分配更多虚拟机，并在之后对它们进行管理。

具有 SDN 多站点的 VM 到 VM 通信

通过在两个物理位置部署 SDN 多站点，你可以实现站点间通信的原生第 2 层连接。 这使你能够为跨越两个位置的应用程序使用单个子网范围，无需设置 SDN 网关连接。 例如，如下图所示，两个位置的前端应用程序可以使用同一子网，如 10.1/16，而无需维护两个单独的子网。 通过这种设置，从一个虚拟机到另一个虚拟机的数据流仅依赖于底层的物理基础结构，无需经过另一个 SDN 网关虚拟机。

软件负载均衡器及其局限性

目前，软件负载均衡器是每个物理站点的本地资源。 这意味着，负载均衡策略和配置不会通过多站点功能在站点之间进行同步。 在 SDN 多站点设置中将虚拟机从一个位置迁移到另一个位置时，请牢记这一点。

SDN 多站点中的负载均衡：示例场景

以下部分通过一个示例场景解释了多站点中的负载均衡，展示了在不迁移工作负载虚拟机和迁移工作负载虚拟机这两种情况下的负载均衡。 假设你有两个启用了 SDN 多站点功能的 Azure Local 实例，每个实例都部署并配置了自己的 SDN 基础结构。 在这个场景中，一个客户端想要访问 IP 地址为 10.0.0.5、VIP 为 11.0.0.5 的虚拟机 VM1。

不迁移工作负载虚拟机时的 SDN 多站点负载均衡

在 SDN 多站点中，如果位置之间没有虚拟机迁移，数据包将像往常一样转发，与传统 SDN 设置类似。 以下动画展示了从客户端计算机通过群集 2 中的 SLB MUX1 到虚拟机 VM1 的数据路径。

使用迁移工作负载 VM 的 SDN 多站点中的负载均衡

如果你决定将 VIP 后面的一个虚拟机或所有虚拟机迁移到另一个站点，根据虚拟机的位置，你可能会遇到无法通过 VIP 访问该虚拟机的情况。 这是因为负载均衡器资源是每个 Azure Local 实例的本地资源。 随着工作负载虚拟机的迁移，MUX 上的配置不是全局的，导致另一个站点不知道迁移情况。 以下动画展示了虚拟机从群集 2 迁移到群集 1 的过程，以及迁移后数据包路径是如何失败的。

为了解决这一局限性，你可以使用外部负载均衡器，它会检查每个站点上后端虚拟机的可用性，并相应地路由流量。 请参阅在迁移工作负载虚拟机的多站点中使用外部负载均衡器。

将多站点中的外部负载均衡器与迁移工作负载 VM 配合使用

你可以启用一个外部负载均衡器，以检查你的某个站点上的负载均衡器后面是否有后端虚拟机。 如果负载均衡器后面没有后端 VM，则 MUX 的 VIP 不会播发到外部负载均衡器，并且发送的任何运行状况探测都会失败。 即使 VM 从一个站点移动到另一个站点，此外部负载均衡器也能确保连接到工作负载。

但是，如果部署外部负载均衡器不可行，只要你没有任何迁移工作负载 VM，就可以按照不迁移工作负载 VM 时的 SDN 多站点负载均衡中所述使用软件负载均衡解决方案。

网关及其局限性

SDN 多站点不会在站点之间同步本地资源，如网关连接。 每个站点都有自己的网关虚拟机和网关连接。 当创建一个工作负载虚拟机或将其迁移到某个站点时，它会获取本地网关配置，如网关路由。 如果你在一个站点上为特定虚拟网络创建了一个网关连接，那么从该站点迁移到另一个站点的虚拟机将失去网关连接。 为了使虚拟机在迁移时保留网关连接，你必须在另一个站点上为同一虚拟网络配置一个单独的网关连接。

后续步骤