Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Планирование архитектуры сети — это ключевой элемент в разработке любой инфраструктуры приложений. Эта статья поможет вам разработать эффективную сетевую архитектуру для рабочих нагрузок, чтобы воспользоваться широкими возможностями Azure NetApp Files.
тома Azure NetApp Files предназначены для хранения в подсети специального назначения, называемой подсетью делегированной подсети в Azure Virtual Network. Таким образом, вы можете получить доступ к томам напрямую из Azure через пиринг виртуальной сети или из локальной сети через шлюз виртуальной сети (ExpressRoute или VPN-шлюз). Подсеть выделена для Azure NetApp Files и нет подключения к Интернету.
Опция для настройки стандартных сетевых функций на новых томах и для изменения сетевых функций на существующих томах поддерживается во всех регионах с поддержкой Azure NetApp Files.
Настраиваемые сетевые функции
Начиная с июля 2026 года можно создать новые тома или изменить существующие тома, чтобы использовать только сетевые функции уровня "Стандартный". Базовые сетевые функции больше не будут доступны для новых или измененных томов. Дополнительные сведения см. в разделе "Настройка сетевых функций".
Стандарт
Выбор этого параметра обеспечивает более высокие ограничения IP-адресов и стандартные функции виртуальной сети, такие как группы безопасности сети и определяемые пользователем маршруты в делегированных подсетях, а также дополнительные шаблоны подключения, как показано в этой статье.Основной
С июля 2026 г. вы больше не сможете создавать новые тома или изменять существующие тома для использования основных сетевых функций. После этой даты поддерживаются только стандартные сетевые функции. Существующие тома, в которых используются базовые сетевые функции, будут продолжать работать нормально; никаких действий не требуется.
Рекомендации
При планировании Azure NetApp Files сети следует понять несколько аспектов.
Ограничения
Внимание
Увеличение ограничения маршрута для основных сетевых функций больше не будет утверждено после 30 мая 2025 года. Чтобы избежать проблем с ограничением маршрута, следует модифицировать ваши тома для использования стандартных сетевых функций.
Внимание
Начиная с июля 2026 года базовые сетевые функции больше не доступны для новых томов и Azure NetApp Files тома начнут использовать стандартные сетевые функции по умолчанию. Все запросы, указывающие базовые сетевые функции, будут автоматически обновлены до стандартных сетевых функций. По умолчанию для этой функции нет дополнительных затрат. Плата применяется только в том случае, если вы включаете платные сетевые функции уровня "Стандартный". Существующие тома не затрагиваются, и никаких действий пользователей не требуется.
В следующей таблице описывается, что поддерживается для каждой конфигурации сетевых функций:
| Компоненты | Стандартные сетевые функции | Основные сетевые функции |
|---|---|---|
| Число IP-адресов в виртуальной сети (включая виртуальные сети, находящиеся в пиринговом соединении) для доступа к томам в виртуальной сети, на которой размещены Azure NetApp Files. | Те же стандартные ограничения, что и виртуальные машины | 1000 |
| Azure NetApp Files делегированные подсети в VNet | 1 | 1 |
| Группы сетевой безопасности на делегированных подсетях Azure NetApp Files | Да | Нет |
| Поддержка NSG для частных конечных точек | Да | Нет |
| Маршруты, определенные пользователем (UDR) на делегированных подсетях Azure NetApp Files | Да | Нет |
| Подключение к частным конечным точкам | Да | Нет |
| Подключение к конечным точкам службы | Да | Нет |
| политики платформы Azure (например, пользовательские политики именования) в интерфейсе Azure NetApp Files | Нет | Нет |
| Подсистемы балансировки нагрузки для трафика Azure NetApp Files | Нет | Нет |
| Виртуальная сеть с двумя стеками (IPv4 и IPv6) | Нет (поддерживается только IPv4) |
Нет (поддерживается только IPv4) |
| Трафик, направленный через NVA из одноранговой виртуальной сети | Да | Нет |
| Поддержка шлюза NAT стандартной версии V2 | Нет | Нет |
Поддерживаемые топологии сети
В следующей таблице описаны топологии сети, поддерживаемые каждой конфигурацией сетевых функций Azure NetApp Files.
| Топологии | Стандартные сетевые функции | Основные сетевые функции |
|---|---|---|
| Подключение к тому в локальной виртуальной сети | Да | Да |
| Подключение к тому в одноранговой виртуальной сети того же региона | Да | Да |
| Подключение к тому в виртуальной сети с одноранговым подключением (межрегиональный или глобальный пиринг) | Да* | Нет |
| Подключение к тому через шлюз ExpressRoute | Да | Да |
| ExpressRoute (ER) FastPath | Да | Нет |
| Подключение из локальной среды к тому в периферийной Виртуальной Сети через шлюз ExpressRoute и пи́ринговое соединение виртуальных сетей с использованием транзита через шлюз | Да | Да |
| Подключение из локальной среды к тому в спицевой виртуальной сети через шлюз VPN | Да | Да |
| Подключение из локальной среды к тому в периферийной виртуальной сети через шлюз VPN и пиринг виртуальных сетей с транзитом через шлюз | Да | Да |
| Подключение через активные и пассивные VPN-шлюзы | Да | Да |
| Подключение через активные и активные VPN-шлюзы | Да | Нет |
| Подключение через шлюзы с избыточностью активных и активных зон | Да | Нет |
| Подключение через шлюзы с избыточностью активных и пассивных зон | Да | Да |
| Подключение через виртуальную сеть WAN (VWAN) | Да | Нет |
* Этот параметр взимает плату за входящий и исходящий трафик, использующий пиринг виртуальной сети. Для получения дополнительной информации см. раздел Ценообразование виртуальных сетей. Дополнительные сведения см. в разделе Пиринг виртуальных сетей.
Виртуальная сеть для томов Azure NetApp Files
В этом разделе объясняются основные понятия, которые помогут в планировании виртуальных сетей.
виртуальные сети Azure
Перед подготовкой тома Azure NetApp Files необходимо создать виртуальную сеть Azure или использовать ту, которая уже существует в той же подписке. Эта виртуальная сеть (VNet) определяет сетевую границу тома. Дополнительные сведения о создании виртуальных сетей см. в документации Azure Virtual Network.
подсети;
Подсети сегментируют виртуальную сеть на отдельные адресные пространства, которые могут использоваться ресурсами Azure. Тома Azure NetApp Files содержатся в подсети специального назначения, называемой делегированной подсетью delegated subnet.
Делегирование подсети предоставляет явные разрешения службе Azure NetApp Files для создания ресурсов, относящихся к службе, в подсети. При развертывании службы используется уникальный идентификатор. В этом случае создается сетевой интерфейс для включения подключения к Azure NetApp Files.
При использовании новой виртуальной сети (VNet) вы можете создать подсеть и делегировать её Azure NetApp Files, следуя инструкциям в разделе Делегирование подсети для Azure NetApp Files. Вы также можете делегировать существующую пустую подсеть, которая не делегирована другим службам.
Если виртуальная сеть связана с другой виртуальной сетью, невозможно расширить адресное пространство виртуальной сети. Это означает, что делегированную подсеть нужно создавать в уже имеющемся адресном пространстве виртуальной сети. Если адресное пространство необходимо расширить, сначала удалите пиринг виртуальной сети.
Примечание.
Рекомендуется, чтобы размер делегированной подсети был по крайней мере /25 для рабочих нагрузок SAP и /26 для других сценариев рабочей нагрузки.
Определяемые пользователем маршруты (UDR) и группы безопасности сети (NSG)
Если подсеть имеет сочетание томов со стандартными и базовыми сетевыми функциями, определяемые пользователем маршруты (UDR) и группы безопасности сети (NSG), примененные к делегированным подсетям, будут применяться только к томам с помощью стандартных сетевых функций.
Примечание.
Связывание групп безопасности сети на уровне сетевого интерфейса не поддерживается для сетевых интерфейсов Azure NetApp Files.
Настройка UDR в исходных подсетях виртуальной машины с префиксом адреса делегированной подсети и следующим прыжком, так как NVA не поддерживается для томов с базовыми сетевыми функциями. Такой параметр приведет к проблемам с подключением.
Примечание.
Чтобы получить доступ к томам Azure NetApp Files из локальной сети через брандмауэр и шлюз виртуальной сети (ExpressRoute или VPN), настройте таблицу маршрутов, назначенную шлюзу виртуальной сети, чтобы включить IPv4-адрес тома Azure NetApp Files и указать брандмауэр в качестве следующего скачка. Использование агрегированного адресного пространства, включающего IP-адрес тома Azure NetApp Files, не перенаправляет трафик для Azure NetApp Files в брандмауэр.
Примечание.
Если вы хотите настроить таблицу маршрутизации (маршрут UDR) для управления маршрутизацией пакетов через сетевое виртуальное устройство или брандмауэр, которые предназначены для стандартного тома Azure NetApp Files из источника в той же виртуальной сети или в подключённой виртуальной сети, префикс UDR должен быть более конкретным или равным размеру делегированной подсети тома Azure NetApp Files. Если префикс UDR меньше, чем размер делегированной подсети, он не действует.
Например, если ваша делегированная подсеть — x.x.x.x/24, необходимо настроить UDR на x.x.x.x/24 (равно) или x.x.x.x (более конкретно). Если вы настроите маршрут UDR как x.x.x.x/16, непредсказуемое поведение, например асимметричная маршрутизация, может привести к потере соединения в брандмауэре.
В родных средах Azure
На следующей схеме показана среда, нативная для Azure:
Локальная виртуальная сеть
Базовый сценарий заключается в создании или подключении к тому Azure NetApp Files с виртуальной машины в той же виртуальной сети. Для виртуальной сети 2 на схеме том 1 создаётся в делегированной подсети и может быть подключён на виртуальной машине 1 в подсети по умолчанию.
Пиринговое соединение VNet
Если у вас есть другие виртуальные сети в том же регионе, для которого требуется доступ к ресурсам друг друга, виртуальные сети можно подключить с помощью пиринга VNet для обеспечения безопасного подключения через инфраструктуру Azure.
Обратите внимание на виртуальные сети 2 и 3 на приведенной выше схеме. Если виртуальной машине 1 нужно подключиться к виртуальной машине 2 или тому 2, или виртуальной машине 2 нужно подключиться к виртуальной машине 1 или тому 1, включите пиринг виртуальных сетей между виртуальными сетями 2 и 3.
Кроме того, рассмотрим сценарий, в котором виртуальная сеть 1 имеет пиринг с виртуальной сетью 2, а виртуальная сеть 2 выполняет пиринг с виртуальной сетью 3 в том же регионе. Ресурсы из виртуальной сети 1 могут подключаться к ресурсам в виртуальной сети 2, но не могут подключаться к ресурсам в виртуальной сети 3, если только виртуальная сеть 1 и виртуальная сеть 3 не имеют пиринговой связи.
На приведенной выше схеме, хотя виртуальная машина 3 может подключиться к тому 1, виртуальная машина 4 не может подключиться к тому 2. Причина этого в том, что спицевые виртуальные сети не пирингованы, и транзитная маршрутизация не поддерживается через пиринг виртуальной сети.
Глобальный или межрегиональный VNet-пиринг
На следующей схеме показана нативная для Azure среда с межрегиональным пирингом VNet.
С помощью стандартных сетевых функций виртуальные машины могут подключаться к томам в другом регионе через глобальный или межрегионального пиринга виртуальной сети. На приведенной выше схеме в конфигурацию в разделе пиринга локальной виртуальной сети добавляется второй регион. Для виртуальной сети 4 на этой схеме создается том Azure NetApp Files в делегированной подсети и может быть подключен к VM5 в подсети приложения.
На схеме VM2 в Регионе 1 может соединяться с Томом 3 в Регионе 2. VM5 в регионе 2 может подключаться к тому 2 в регионе 1 через пиринг виртуальной сети между регионом 1 и регионом 2.
Гибридные среды
На следующей схеме представлена гибридная среда.
В гибридном сценарии приложения из локальных центров обработки данных нуждаются в доступе к ресурсам в Azure. Это касается того, хотите ли вы расширить центр обработки данных в Azure, использовать собственные службы Azure или использовать Azure для аварийного восстановления. Дополнительные сведения о подключении нескольких локальных ресурсов в Azure через VPN-соединение «сайт-сайт» или ExpressRoute см. в разделе параметры планирования VPN-шлюз.
В гибридной топологии «концентратор-спица» виртуальная сеть концентратора в Azure выступает в качестве центральной точки подключения к вашей сети на месте. Спицы — это виртуальные сети (VNets), настроенные на пиринг с узловой сетью, и они могут быть использованы для изоляции рабочих нагрузок.
В зависимости от конфигурации это позволяет подключать локальные ресурсы к ресурсам в центральной и периферийных виртуальных сетях.
В приведенной выше топологии локальная сеть подключена к центральной виртуальной сети в Azure, и в одном регионе есть 2 периферийные виртуальные сети, пиринговые с виртуальной сетью концентратора. В этом сценарии параметры подключения, поддерживаемые для томов Azure NetApp Files, приведены ниже.
- Локальные ресурсы ВМ 1 и ВМ 2 могут подключаться к Тому 1 в центральной виртуальной сети через VPN-подключение типа "сеть-сеть" или канал ExpressRoute.
- Локальные ресурсы виртуальных машин 1 и 2 могут подключаться к Volume 2 или Volume 3 через межсайтовой VPN и через региональную пиринговую VNet.
- виртуальная машина 3 в центральной виртуальной сети может подключаться к тому 2 в периферийной виртуальной сети 1 и тому 3 в периферийной виртуальной сети 2;
- виртуальная машина 4 в периферийной виртуальной сети 1 и виртуальная машина 5 в периферийной виртуальной сети 2 могут подключаться к тому 1 в центральной виртуальной сети;
- Виртуальная машина 4 в периферийной виртуальной сети 1 не может подключиться к тому 3 в периферийной виртуальной сети 2. Кроме того, ВМ 5 в виртуальной сети spoke VNet2 не может подключиться к Volume 2 в виртуальной сети spoke VNet1. Это связано с тем, что спицевые виртуальные сети не имеют пиринговых связей, и транзитная маршрутизация не поддерживается через пиринг виртуальной сети.
- В приведенной выше архитектуре, если в периферийной VNet также есть шлюз, то подключение к ANF-тома из локальной сети через шлюз в Hub будет потеряно. По задумке, предпочтение отдается шлюзу в периферийной виртуальной сети, и поэтому только компьютеры, подключенные через этот шлюз, могут получить доступ к ANF том.
Следующие шаги
- Делегирование подсети в Azure NetApp Files
- Настройка сетевых функций для тома Azure NetApp Files Configure
- Пиринг между виртуальными сетями
- Настройте виртуальную WAN для Azure NetApp Files
- хранилище Azure NetApp Files с холодным доступом
- Управление хранилищем Azure NetApp Files с холодным уровнем доступа