Azure Stack Hub nasazení odolné sítě

Toto téma popisuje přístupová oprávnění k přepínačům TOR, přiřazování IP adres a dalším úlohám síťového nasazení.

Plánování nasazení konfigurace

Další části se popisují oprávnění a přiřazení IP adres.

Seznam řízení přístupu fyzického přepínače

Pro ochranu Azure Stack jsme do přepínačů TOR implementovali seznamy řízení přístupu (ACL). Tato část popisuje, jak je toto zabezpečení implementováno. Následující tabulka ukazuje zdroje a cíle každé sítě uvnitř Azure Stack řešení:

Diagram seznamů řízení přístupu na přepínačích TOR

Následující tabulka koreluje odkazy seznamu ACL s Azure Stack sítěmi.

BMC Mgmt Virtuální počítač nasazení, rozhraní BMC, SERVER HLH NTP a IP adresy serveru DNS zahrnuté jako Povolení na základě protokolu a portu.
HLH Internal Accessible (PDU) Provoz je omezený na přepínač BMC.
HLH External Accessible (virtuální počítač nástroje OEM) Seznam ACL povoluje přístup mimo hraniční zařízení.
Switch Mgmt Vyhrazená rozhraní pro správu přepínačů.
Spine Mgmt Vyhrazená rozhraní pro správu
Azure Stack Azure Stack služby infrastruktury a virtuální počítače, omezená síť
Infrastruktura
Azure Stack Azure Stack chráněný koncový bod, server konzoly pro nouzové obnovení
Infrastruktura
Veřejný (BUZ/ERCS)
Tor1,Tor2 RouterIP Rozhraní zpětné smyčky přepínače používaného pro partnerský vztah protokolu BGP mezi SLB a přepínačem nebo směrovačem.
Storage Privátní IP adresy nesídlované mimo oblast
Interní virtuální IP adresy Privátní IP adresy nesídlované mimo oblast
Public-VIPs Adresní prostor sítě tenanta spravovaný síťovým adaptérem.
Public-Admin-VIPs Malá podmnožina adres ve fondu tenantů, které jsou potřeba ke Internal-VIPs a Azure Stack infrastruktuře
Zákazník nebo internet Síť definovaná zákazníkem. Z pohledu Azure Stack hraniční zařízení 0.0.0.0.
0.0.0.0
Deny Zákazník může toto pole aktualizovat, aby umožnil další sítě, aby bylo možné povolit možnosti správy.
Povolení Povolit provoz je povolené, ale přístup SSH je ve výchozím nastavení zakázaný. Zákazník se může rozhodnout povolit službu SSH.
Žádná trasa Trasy se nešířely mimo Azure Stack prostředí.
MUX ACL Azure Stack se využívají seznamy ACL mux.
N/A Není součástí seznamu ACL sítě VLAN.

Přiřazení IP adres

V listu Nasazení budete vyzváni k poskytnutí následujících síťových adres pro podporu procesu Azure Stack nasazení. Tým nasazení používá nástroj List pro nasazení k přerušení sítí IP do všech menších sítí, které systém vyžaduje. Podrobný popis jednotlivých sítí najdete výše v části NÁVRH SÍTĚ A INFRASTRUKTURA.

V tomto příkladu vyplníme kartu Network Nastavení listu Deployment (Nasazení) následujícími hodnotami:

  • Síť BMC: 10.193.132.0 /27

  • Interní virtuální Storage privátní & sítě: 11.11.128.0 /24

  • Síť infrastruktury: 12.193.130.0 /24

  • Veřejná virtuální IP adresa (VIP): 13.200.132.0 /24

  • Přepnout síť infrastruktury: 10.193.132.128 /26

Když spustíte funkci Generovat nástroje List nasazení, vytvoří se v tabulce dvě nové karty. První karta je Souhrn podsítě a ukazuje, jak byly supernety rozděleny, aby se vytvořily všechny sítě vyžadované systémem. V následujícím příkladu je jenom podmnožina sloupců, které najdete na této kartě. Skutečný výsledek obsahuje další podrobnosti o každé uvedené síti:

Stojan Typ podsítě Název Podsíť IPv4 IPv4 adresy
Ohraničení Odkaz P2P P2P_Border, Border1_To_Rack1 nebo TOR1 10.193.132.128/30 4
Ohraničení Odkaz P2P P2P_Border/ Border1_To_Rack1/ TOR2 10.193.132.132/30 4
Ohraničení Odkaz P2P P2P_Border, Border2_To_Rack1 nebo TOR1 10.193.132.136/30 4
Ohraničení Odkaz P2P P2P_Border, Border2_To_Rack1 nebo TOR2 10.193.132.140/30 4
Ohraničení Odkaz P2P P2P_Rack1, TOR1_To_Rack1 nebo BMC 10.193.132.144/30 4
Ohraničení Odkaz P2P P2P_Rack1, TOR2_To_Rack1 nebo BMC 10.193.132.148/30 4
Rack1 Zpětné smyčky Loopback0_Rack1_TOR1 10.193.132.152/32 1
Rack1 Zpětné smyčky Loopback0_Rack1_TOR2 10.193.132.153/32 1
Rack1 Zpětné smyčky Loopback0_Rack1_BMC 10.193.132.154/32 1
Rack1 Propojení P2P P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30 4
Rack1 Propojení P2P P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30 4
Rack1 REŽIM BMCMgmt 10.193.132.0/27 32
Rack1 REŽIM SwitchMgmt 10.193.132.168/29 8
Rack1 REŽIM CL01-RG01-SU01-Storage 11.11.128.0/25 128
Rack1 REŽIM CL01-RG01-SU01 – infračervené 12.193.130.0/24 256
Rack1 Jiné CL01-RG01-SU01-VIP 13.200.132.0/24 256
Rack1 Jiné CL01-RG01-SU01-InternalVIPS 11.11.128.128/25 128

Druhá karta využívá využití IP adres a ukazuje, jak se spotřebovávají IP adresy:

Síť řadiče pro správu základní desky

Tuto nadsíť pro síť řadiče pro správu základní desky vyžaduje minimálně síť/26. Brána používá první IP adresu v síti, po které následuje zařízení řadiče pro správu základní desky v racku. Hostitel životního cyklu hardwaru má k této síti přiřazeno několik adres a dá se použít k nasazení, monitorování a podpoře racku. Tyto IP adresy jsou distribuované do 3 skupin: DVM, InternalAccessible a ExternalAccessible.

  • Stojan: Rack1
  • Název: BMCMgmt
Přiřazený pro Adresa IPv4
Síť 10.193.132.0
brána 10.193.132.1
HLH – BMC 10.193.132.2
AzS-Node01 10.193.132.3
AzS-Node02 10.193.132.4
AzS-Node03 10.193.132.5
AzS-Node04 10.193.132.6
ExternalAccessible-1 10.193.132.19
ExternalAccessible – 2 10.193.132.20
ExternalAccessible-3 10.193.132.21
ExternalAccessible-4 10.193.132.22
ExternalAccessible-5 10.193.132.23
InternalAccessible-1 10.193.132.24
InternalAccessible – 2 10.193.132.25
InternalAccessible-3 10.193.132.26
InternalAccessible-4 10.193.132.27
InternalAccessible-5 10.193.132.28
CL01-RG01-SU01-DVM00 10.193.132.29
HLH-OS 10.193.132.30
Vysílání 10.193.132.31

Síť úložiště

Síť Storage je privátní síť a není určena ke směrování mimo rack. Jedná se o první polovinu supernetu privátní sítě a používá ji přepínač distribuovaný, jak je znázorněno v následující tabulce. Brána je první IP adresa v podsíti. Druhá polovina použitá pro interní virtuální IP adresy je privátní fond adres spravovaný službou Azure Stack SLB, který se nezobrazí na kartě Využití IP adres. Tyto sítě podporují Azure Stack a na přepínačích TOR existují seznamy ACL, které brání inzerování těchto sítí nebo přístupu mimo řešení.

  • Rack: Rack1
  • Název: CL01-RG01-SU01-Storage
Přiřazený pro Adresa IPv4
Síť 11.11.128.0
brána 11.11.128.1
TOR1 11.11.128.2
TOR2 11.11.128.3
Vysílání 11.11.128.127

Azure Stack sítě infrastruktury

Supernet sítě infrastruktury vyžaduje síť /24 a po spuštění nástroje List nasazení to bude i nadále /24. Brána bude první IP adresou v podsíti.

  • Rack: Rack1
  • Název: CL01-RG01-SU01-Infra
Přiřazený pro Adresa IPv4
Síť 12.193.130.0
brána 12.193.130.1
TOR1 12.193.130.2
TOR2 12.193.130.3
Vysílání 12.193.130.255

Přepnutí sítě infrastruktury

Síť infrastruktury je rozdělená do několika sítí používaných infrastrukturou fyzického přepínače. To se liší od infrastruktury Azure Stack, která podporuje pouze Azure Stack software. Síť Switch Infra Network podporuje pouze infrastrukturu fyzického přepínače. Infra podporuje tyto sítě:

Název Podsíť IPv4
P2P_Border, Border1_To_Rack1 nebo TOR1 10.193.132.128/30
P2P_Border, Border1_To_Rack1 nebo TOR2 10.193.132.132/30
P2P_Border, Border2_To_Rack1 nebo TOR1 10.193.132.136/30
P2P_Border, Border2_To_Rack1 nebo TOR2 10.193.132.140/30
P2P_Rack1, TOR1_To_Rack1 nebo BMC 10.193.132.144/30
P2P_Rack1, TOR2_To_Rack1 nebo BMC 10.193.132.148/30
Loopback0_Rack1_TOR1 10.193.132.152/32
Loopback0_Rack1_TOR2 10.193.132.153/32
Loopback0_Rack1_BMC 10.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30
SwitchMgmt 10.193.132.168/29
  • Point-to-Point (P2P): Tyto sítě umožňují připojení mezi všemi přepínači. Velikost podsítě je síť /30 pro každý P2P. Nejnižší IP adresa je vždy přiřazena nadřazenému (severnímu) zařízení v zásobníku.

  • Zpětná smyčka: Tyto adresy jsou sítě /32, které jsou přiřazené ke každému přepínači použitému v racku. Hraničním zařízením není přiřazena zpětná smyčka, protože se neočekává, že budou součástí Azure Stack řešení.

  • Správa přepínačů nebo správa přepínačů: Tato síť /29 podporuje vyhrazená rozhraní pro správu přepínačů v racku. IP adresy jsou přiřazeny následujícím způsobem. Tuto tabulku najdete také na kartě Využití IP adres na listu Nasazení:

  • Rack: Rack1

  • Název: SwitchMgmt

Přiřazený pro Adresa IPv4
Síť 10.193.132.168
brána 10.193.132.169
TOR1 10.193.132.170
TOR2 10.193.132.171
Vysílání 10.193.132.175

Příprava prostředí

Image hostitele životního cyklu hardwaru obsahuje požadovaný kontejner Linuxu, který se používá ke generování konfigurace fyzického síťového přepínače.

Nejnovější sada nástrojů pro nasazení partnerů zahrnuje nejnovější image kontejneru. Image kontejneru na hostiteli životního cyklu hardwaru se může nahradit, když je potřeba vygenerovat aktualizovanou konfiguraci přepínače.

Tady je postup aktualizace image kontejneru:

  1. Stažení image kontejneru

  2. Nahraďte image kontejneru v následujícím umístění.

Generování konfigurace

Tady vás provedeme kroky pro vygenerování souborů JSON a konfiguračních souborů síťového přepínače:

  1. Otevření listu Nasazení

  2. Vyplňte všechna požadovaná pole na všech kartách.

  3. Na listu Nasazení vygenerování vygeneruje funkci .
    Vytvoří se dvě další karty zobrazující vygenerované podsítě a přiřazení PROTOKOLU IP.

  4. Zkontrolujte data a po potvrzení vyvolate funkci Export.
    Zobrazí se výzva k zadání složky, do které se budou ukládat soubory JSON.

  5. Kontejner spusťte pomocí Invoke-SwitchConfigGenerator.ps1. Tento skript vyžaduje spuštění konzoly PowerShellu se zvýšenými oprávněními a ke spuštění vyžaduje následující parametry.

    • ContainerName – název kontejneru, který vygeneruje konfigurace přepínače.

    • ConfigurationData – cesta k souboru ConfigurationData.json exportovaného z listu nasazení.

    • OutputDirectory – cesta k výstupnímu adresáři.

    • Offline – signalizuje, že skript běží v offline režimu.

    C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
    

Po dokončení skriptu se vytvoří soubor ZIP s předponou použitou v listu.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Vlastní konfigurace

Můžete upravit několik nastavení prostředí pro konfiguraci Azure Stack přepínače. Můžete určit, která nastavení můžete v šabloně změnit. Tento článek vysvětluje každé z těchto přizpůsobitelných nastavení a to, jak tyto změny mohou ovlivnit Azure Stack. Mezi tato nastavení patří aktualizace hesla, server syslog, monitorování SNMP, ověřování a seznam řízení přístupu.

Během nasazování Azure Stack zařízení vytvoří výrobce OEM konfiguraci přepínače jak pro tory, tak pro BMC. Výrobce OEM pomocí Azure Stack automatiky ověří, že jsou na těchto zařízeních správně nastavené požadované konfigurace. Konfigurace je založená na informacích v listu Azure Stack nasazení.

Poznámka

Neměňte konfiguraci bez souhlasu výrobce OEM ani od týmu Microsoft Azure Stack. Změna konfigurace síťového zařízení může výrazně ovlivnit provoz nebo řešení potíží se sítí ve vaší Azure Stack instanci. Další informace o těchto funkcích na síťovém zařízení a o tom, jak tyto změny provést, získáte od svého poskytovatele hardwaru OEM nebo podpory Microsoftu. Váš výrobce OEM má konfigurační soubor vytvořený nástrojem pro automatizaci na základě listu Azure Stack nasazení.

V konfiguraci síťových přepínačů je však možné přidat, odebrat nebo změnit některé hodnoty.

Aktualizace hesla

Operátor může heslo kdykoli aktualizovat pro libovolného uživatele v síťových přepínačích. Není potřeba měnit žádné informace v systému Azure Stack ani používat postup obměně tajných kódů v Azure Stack.

Server syslogu

Operátoři mohou přesměrovat protokoly přepínačů na server syslog ve svém datacentru. Pomocí této konfigurace můžete zajistit, aby se protokoly z konkrétního bodu v čase použily k řešení potíží. Ve výchozím nastavení se protokoly ukládají do přepínačů. Jejich kapacita pro ukládání protokolů je omezená. Přehled konfigurace oprávnění pro přístup ke správě přepínačů najdete v části Aktualizace seznamu řízení přístupu.

Monitorování SNMP

Operátor může nakonfigurovat protokol SNMP (Simple Network Management Protocol) v2 nebo v3 pro monitorování síťových zařízení a odesílání depeší do aplikace pro monitorování sítě v datacentru. Z bezpečnostních důvodů použijte SNMPv3, protože je bezpečnější než v2. Požádejte poskytovatele hardwaru OEM o požadované databáze MIB a konfiguraci. Přehled konfigurace oprávnění pro přístup ke správě přepínačů najdete v části Aktualizace seznamu řízení přístupu.

Authentication

Operátor může nakonfigurovat ověřování na síťových zařízeních pomocí protokolu RADIUS nebo NTLMACS. O podporovaných metodách a požadované konfiguraci se obraťte na svého poskytovatele hardwaru OEM. Přehled konfigurace oprávnění pro přístup ke správě přepínačů najdete v části Aktualizace seznamu řízení přístupu.

Aktualizace seznamu řízení přístupu

Operátor může změnit některé seznam řízení přístupu (ACL) tak, aby povoloval přístup k rozhraním pro správu síťových zařízení a hostiteli životního cyklu hardwaru (HLH) z rozsahu sítě důvěryhodného datacentra. Operátor může vybrat, která komponenta bude dosažitelná a odkud. Pomocí seznamu řízení přístupu může operátor povolit, aby jejich virtuální počítače jumpboxu pro správu v určitém rozsahu sítě přistupovaly k rozhraní pro správu přepínačů a k operačnímu systému HLH a KMC HLH.

Další podrobnosti najdete v tématu Seznam řízení přístupu fyzického přepínače.

FUNKCEACS, RADIUS a Syslog

Řešení Azure Stack nebude dodáváno s řešením POACS ani RADIUS pro řízení přístupu k zařízením, jako jsou přepínače a směrovače, ani s řešením Syslog pro zaznamenávání protokolů přepínačů, ale všechna tato zařízení tyto služby podporují. Aby bylo možné zajistit integraci s existujícím serverem POACS, RADIUS nebo Syslog ve vašem prostředí, poskytneme vám další soubor s konfigurací síťového přepínače, který technikovi umožní přizpůsobit přepnutí na potřeby zákazníka.

Další kroky

Integrace sítě