Hálózati üzembe helyezés

Ez a témakör a TOR-kapcsolókhoz, AZ IP-címek hozzárendeléséhez és más hálózattelepítési feladatokhoz való hozzáférési engedélyeket tartalmazza.

Konfiguráció üzembe helyezésének megterve

A következő szakaszok az engedélyeket és az IP-cím-hozzárendeléseket ismertetik.

Fizikai kapcsoló hozzáférés-vezérlési listája

A teljes Azure Stack érdekében hozzáférés-vezérlési listákat (ACL-eket) valósítottunk meg a TOR-kapcsolókon. Ez a szakasz a biztonság megvalósításait ismerteti. Az alábbi táblázat az összes hálózat forrását és célját mutatja a Azure Stack belül:

A TOR-kapcsolók hozzáférés-vezérlési listáit ábrázoló diagram

Az alábbi táblázat korrelál az ACL-hivatkozások és a Azure Stack között.

Hálózat Description
Belső BMC-kezelő A forgalom csak belső forgalomra korlátozódik.
BMC-kezelő külső Az ACL engedélyezi a hozzáférést a szegélyeszközön túlra.
Kiterjesztett Storage Mgmt Dedikált felügyeleti felületek a kiterjesztett tárolórendszerhez
Switch Mgmt Dedikált kapcsolók felügyeleti felületei.
"Azure Stack infrastruktúra" Azure Stack infrastruktúra-szolgáltatások és virtuális gépek korlátozott hálózata
Azure Stack infrastruktúra nyilvános (PEP/ERCS) Azure Stack végpont, vész-helyreállítási konzolkiszolgáló. Az ügyfél megnyithatja az ACL-t, hogy lehetővé teszi az adatközpont-felügyeleti hálózatra való forgalmat.
Tor1,Tor2 RouterIP Az SLB és a kapcsoló/útválasztó közötti BGP-társviszony-létesítéshez használt kapcsoló visszacsatolási felülete. Az ügyfélnek saját belátása szerint tűzfalat kell majd tűzfalként kivetni a szegélyen ezektől az IP-ktől.
Tárolás A régión kívülre nem irányítható privát IP-k
Belső VIP-k A régión kívülre nem irányítható privát IP-k
Nyilvános VIP-k A hálózati vezérlő által kezelt bérlői hálózati címtér.
Nyilvános rendszergazdai VIP-k A bérlői készletben található címek kis részkészlete, amelyekre szükség van a Internal-VIPs és Azure Stack infrastruktúrával
Engedélyezett hálózatok Ügyfél által meghatározott hálózat.
0.0.0.0 A 0.0.0.0 Azure Stack a szegélyeszköz.
Engedély A forgalom engedélyezése engedélyezve van, de az SSH-hozzáférés alapértelmezés szerint le van tiltva.
Nincs útvonal Az útvonalak nem propagálnak a Azure Stack kívül.
MUX ACL Azure Stack MUX ACL-ek vannak használva.
N/A Nem része egy VLAN ACL-nek.

IP-cím-hozzárendelések

A Központi telepítési munkalapon meg kell adnia a következő hálózati címeket a Azure Stack támogatásához. Az üzembe helyezési csapat az Üzembe helyezési munkalap eszközzel bontja fel az IP-hálózatokat a rendszer által megkövetelt összes kisebb hálózatra.

Ebben a példában a Központi telepítési munkalap Hálózati Gépház lapján a következő értékeket adhatja meg:

  • BMC-hálózat: 10.193.132.0 /27

  • Private Network Storage Network & Belső VIP-k: 11.11.128.0 /20

  • Infrastruktúra-hálózat: 12.193.130.0 /24

  • Nyilvános virtuális IP-cím (VIP) hálózat: 13.200.132.0 /24

  • Switch Infrastructure Network: 10.193.132.128 /26

Az Üzembe helyezési munkalap eszköz Generate függvényének futtatásakor az két új lapot hoz létre a táblázatban. Az első lap az Alhálózat összegzése, amely bemutatja, hogyan vannak felosztva a szuperhálózatok a rendszerhez szükséges összes hálózat létrehozásához. Az alábbi példában csak az oszlopok egy része található ezen a lapon. A tényleges eredmény további részleteket tartalmaz az egyes hálózatokról:

Kiszolgálószekrény Alhálózat típusa Név IPv4-alhálózat IPv4-címek
Szegély P2P-hivatkozás P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30 4
Szegély P2P-hivatkozás P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30 4
Szegély P2P-hivatkozás P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30 4
Szegély P2P-hivatkozás P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30 4
Szegély P2P-hivatkozás P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30 4
Szegély P2P-hivatkozás P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30 4
Rack1 Visszacsatolási Loopback0_Rack1_TOR1 10.193.132.152/32 1
Rack1 Visszacsatolási Loopback0_Rack1_TOR2 10.193.132.153/32 1
Rack1 Visszacsatolási Loopback0_Rack1_BMC 10.193.132.154/32 1
Rack1 P2P-hivatkozás P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30 4
Rack1 P2P-hivatkozás P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30 4
Rack1 VLAN BMCMgmt 10.193.132.0/27 32
Rack1 VLAN SwitchMgmt 10.193.132.168/29 8
Rack1 VLAN CL01-RG01-SU01-Storage 11.11.128.0/25 128
Rack1 VLAN CL01-RG01-SU01-Infra 12.193.130.0/24 256
Rack1 Egyéb CL01-RG01-SU01-VIPS 13.200.132.0/24 256
Rack1 Egyéb CL01-RG01-SU01-InternalVIPS 11.11.128.128/25 128

A második lap az IP-címhasználat, amely bemutatja, hogyan vannak felhasználva az IP-címek:

BMC-hálózat

A BMC-hálózat szuperhálózatának legalább /26 hálózatra van szüksége. Az átjáró a hálózat első IP-címét, majd az állványon található BMC-eszközöket használja. A hardveres életciklus-állomáshoz több cím van hozzárendelve ezen a hálózaton, és az állvány üzembe helyezésére, figyelése és támogatása is használható. Ezek az IP-k három csoportba vannak osztva: DVM, InternalAccessible és ExternalAccessible.

  • Állvány: Rack1
  • Név: BMCMgmt
A jog birtokosa IPv4-cím
Hálózat 10.193.132.0
Átjáró 10.193.132.1
HLH-BMC 10.193.132.2
AzS-Node01 10.193.132.3
AzS-Node02 10.193.132.4
AzS-Node03 10.193.132.5
AzS-Node04 10.193.132.6
ExternalAccessible-1 10.193.132.19
ExternalAccessible-2 10.193.132.20
ExternalAccessible-3 10.193.132.21
ExternalAccessible-4 10.193.132.22
ExternalAccessible-5 10.193.132.23
InternalAccessible-1 10.193.132.24
InternalAccessible-2 10.193.132.25
InternalAccessible-3 10.193.132.26
InternalAccessible-4 10.193.132.27
InternalAccessible-5 10.193.132.28
CL01-RG01-SU01-DVM00 10.193.132.29
HLH-OS 10.193.132.30
Adás 10.193.132.31

Tárolóhálózat

A Storage hálózat egy magánhálózat, és nem az állványon kívülre irányítható. Ez a Magánhálózati szuperhálózat első fele, és az elosztott kapcsoló használja, ahogy az alábbi táblázatban látható. Az átjáró az alhálózat első IP-címe. A belső VIP-k második fele az Azure Stack SLB által kezelt privát címkészlet, amely nem jelenik meg az IP-címhasználat lapon. Ezek a hálózatok támogatják Azure Stack és ACL-ek vannak a TOR-kapcsolókban, amelyek megakadályozzák ezen hálózatok meghirdetését és/vagy hozzáférését a megoldáson kívül.

  • Állvány: Rack1
  • Név: CL01-RG01-SU01-Storage
A jog birtokosa IPv4-cím
Hálózat 11.11.128.0
Átjáró 11.11.128.1
TOR1 11.11.128.2
TOR2 11.11.128.3
Adás 11.11.128.127

Azure Stack infrastruktúra-hálózat

Az infrastruktúra-hálózat szuperhálózatának /24 hálózatra van szüksége, és ez az üzembe helyezési munkalap eszköz futtatása után is /24 lesz. Az átjáró lesz az alhálózat első IP-címe.

  • Állvány: Rack1
  • Név: CL01-RG01-SU01-Infra
A jog birtokosa IPv4-cím
Hálózat 12.193.130.0
Átjáró 12.193.130.1
TOR1 12.193.130.2
TOR2 12.193.130.3
Adás 12.193.130.255

Infrastruktúra-hálózat váltása

Az infrastruktúra-hálózat több hálózatra van bontva, amelyet a fizikai kapcsoló infrastruktúrája használ. Ez eltér a Azure Stack infrastruktúrától, amely csak az Azure Stack szoftvereket támogatja. A Switch Infra Network csak a fizikai kapcsoló infrastruktúráját támogatja. Az infrastruktúra által támogatott hálózatok a következőek:

Név IPv4-alhálózat
P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30
P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30
P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30
P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30
P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30
P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30
Loopback0_Rack1_TOR1 10.193.132.152/32
Loopback0_Rack1_TOR2 10.193.132.153/32
Loopback0_Rack1_BMC 10.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30
SwitchMgmt 10.193.132.168/29
  • Pont–pont (P2P): Ezek a hálózatok lehetővé teszik az összes kapcsoló közötti kapcsolatot. Az alhálózat mérete P2P-enként /30 hálózat. A legalacsonyabb IP-cím mindig a verem alsó (északi) eszközéhez van rendelve.

  • Visszacsatolás: Ezek a címek /32 hálózatok, amelyek az állványon használt egyes kapcsolókhoz vannak rendelve. A szegélyeszközökhöz nincs visszacsatolás rendelve, mivel várhatóan nem fognak a Azure Stack részét.

  • Switch Mgmt vagy Switch Management: Ez a /29 hálózat támogatja az állványon a kapcsolók dedikált felügyeleti adapterét. Az IP-k hozzárendelése a következő: Ez a táblázat az Üzembe helyezési munkalap IP-címhasználat lapján is megtalálható:

  • Állvány: Rack1

  • Név: SwitchMgmt

A jog birtokosa IPv4-cím
Hálózat 10.193.132.168
Átjáró 10.193.132.169
TOR1 10.193.132.170
TOR2 10.193.132.171
Adás 10.193.132.175

A környezet előkészítése

A hardveres életciklus gazdagépének rendszerképe tartalmazza a fizikai hálózati kapcsoló konfigurációjának létrehozásához szükséges Linux-tárolót.

A legújabb partnertelepítési eszközkészlet tartalmazza a legújabb tárolórendszerképet. A hardveres életciklus-gazdagépen található tároló rendszerképe lecserélhető, ha egy frissített kapcsolókonfiguráció létrehozása szükséges.

A tároló rendszerképének frissítési lépései a következőek:

  1. A tároló rendszerképének letöltése

  2. Cserélje le a tároló rendszerképét a következő helyen

Konfiguráció létrehozása

Az alábbi lépések végigveszik a JSON-fájlok és a hálózati kapcsoló konfigurációs fájljainak létrehozásán:

  1. Az Üzembe helyezés munkalap megnyitása

  2. Az összes kötelező mező kitöltése az összes lapon

  3. Hívja meg a "Generate" függvényt az Üzembe helyezési munkalapon.
    Két további lap jön létre, amelyek a létrehozott IP-alhálózatokat és -hozzárendeléseket jelenítik meg.

  4. Tekintse át az adatokat, majd a megerősítés után hívja meg az "Exportálás" függvényt.
    A rendszer kérni fogja, hogy adjon meg egy mappát, amelybe a JSON-fájlokat menteni fogja.

  5. Hajtsa végre a tárolót a Invoke-SwitchConfigGenerator.ps1. A szkript végrehajtásához rendszergazda jogú PowerShell-konzol szükséges, és a következő paramétereket kell végrehajtani.

    • ContainerName – A kapcsoló konfigurációit generáló tároló neve.

    • ConfigurationData – Az Üzembe helyezési munkalapról exportált ConfigurationData.json fájl elérési útja.

    • OutputDirectory – A kimeneti könyvtár elérési útja.

    • Offline – Azt jelzi, hogy a szkript offline módban fut.

    C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
    

Amikor a szkript befejeződik, egy zip-fájlt hoz létre a munkalapon használt előtaggal.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Egyéni konfiguráció

Módosíthatja a konfiguráció néhány környezeti beállítását Azure Stack kapcsoló konfigurációját. Azonosíthatja, hogy a sablonban mely beállításokat módosíthatja. Ez a cikk ismerteti az egyes testreszabható beállításokat, valamint azt, hogy a módosítások milyen hatással lehetnek a Azure Stack. Ezek a beállítások közé tartozik a jelszófrissítés, a syslog-kiszolgáló, az SNMP-figyelés, a hitelesítés és a hozzáférés-vezérlési lista.

A megoldás üzembe helyezése Azure Stack eredeti hardvergyártó (OEM) létrehozza és alkalmazza a kapcsoló konfigurációját a tor és a BMC esetében is. Az OEM a Azure Stack automatizálási eszközzel ellenőrzi, hogy a szükséges konfigurációk megfelelően vannak-e beállítva ezeken az eszközökön. A konfiguráció az üzembe helyezési munkalapon található Azure Stack alapul.

Megjegyzés

Ne változtassa meg a konfigurációt az OEM vagy az Microsoft Azure Stack mérnöki csapata beleegyezése nélkül. A hálózati eszköz konfigurációjának módosítása jelentős hatással lehet a hálózati problémák működésére vagy elhárítására a Azure Stack példányban. Ha további információra van szükség a hálózati eszközén található funkciókról, illetve a módosításokról, forduljon az OEM hardverszolgáltatójához vagy a Microsoft ügyfélszolgálatához. Az OEM rendelkezik az automatizálási eszköz által létrehozott konfigurációs fájllal a Azure Stack munkalap alapján.

Vannak azonban olyan értékek, amelyek hozzáadhatók, eltávolíthatók vagy módosíthatók a hálózati kapcsolók konfigurációjában.

Jelszófrissítés

Az operátor bármikor frissítheti a hálózati kapcsolók bármelyik felhasználója jelszavát. Nem követelmény a titkos kulcsok Azure Stack módosítása vagy a titkos kulcsok elforgatása a Azure Stack.

Syslog-kiszolgáló

Az operátorok átirányítják a kapcsolónaplókat egy syslog-kiszolgálóra az adatközpontjukban. Ezzel a konfigurációval biztosíthatja, hogy az adott időpontból származó naplók használhatók-e a hibaelhárításhoz. Alapértelmezés szerint a naplók a kapcsolókban vannak tárolva; a naplók tárolására szolgáló kapacitásuk korlátozott. A hozzáférés-vezérlési lista frissítéseit ismertető szakaszban áttekintheti, hogyan konfigurálhatja a kapcsolókezelési hozzáféréshez szükséges engedélyeket.

SNMP-figyelés

Az operátor konfigurálhatja az SNMP v2 vagy v3 protokollt a hálózati eszközök figyelése és trapek küldése egy hálózatfigyelő alkalmazásnak az adatközpontban. Biztonsági okokból használja az SNMPv3 protokollt, mivel biztonságosabb, mint a v2. A MIBs-ekkel és a szükséges konfigurációval kapcsolatban forduljon az OEM hardverszolgáltatójához. A hozzáférés-vezérlési lista frissítéseit ismertető szakaszban áttekintheti, hogyan konfigurálhatja a kapcsolókezelési hozzáféréshez szükséges engedélyeket.

Hitelesítés

Az operátor konfigurálhatja a RADIUS-t vagy a RADIUSACS-t a hálózati eszközök hitelesítésének kezeléséhez. A támogatott módszerekről és a szükséges konfigurációról az OEM hardverszolgáltatójánál kell tájékozódnia. A Hozzáférés-vezérlési lista frissítései szakaszban áttekintheti, hogyan konfigurálhatja a kapcsolókezelési hozzáféréshez szükséges engedélyeket.

Hozzáférés-vezérlési lista frissítései

Az operátor módosíthatja a hozzáférés-vezérlési listát (ACL-eket) a hálózati eszközök felügyeleti adapteréhez és a hardveres életciklus-gazdagéphez (HLH) való hozzáférés engedélyezése érdekében a megbízható adatközpont hálózati tartományából. Az operátor választhatja ki, hogy melyik összetevő legyen elérhető, és honnan. A hozzáférés-vezérlési listával az operátor engedélyezheti, hogy a felügyeleti jumpbox virtuális gépei egy adott hálózati tartományban hozzáférjenek a kapcsolókezelési felülethez, a HLH operációs rendszerhez és a HLH BMC-hez.

További részletekért lásd a fizikai kapcsoló hozzáférés-vezérlési listáját.

ANDACS, RADIUS és Syslog

A Azure Stack megoldás nem lesz szállítva az olyan eszközök hozzáférés-vezérlésére, mint a kapcsolók és útválasztók hozzáférés-vezérlésére, sem a kapcsolónaplók rögzítésére használható Syslog-megoldás, de ezek az eszközök támogatják ezeket a szolgáltatásokat. Annak érdekében, hogy segítséget nyújtson a környezetében található meglévő ONACS-, RADIUS- és/vagy Syslog-kiszolgálóval való integrációhoz, egy további fájlt biztosítunk a hálózati kapcsoló konfigurációjának segítségével, amely lehetővé teszi a helyszínen a mérnök számára, hogy testre szabja a kapcsolót az ügyfél igényeihez.

Következő lépések

Hálózatintegráció