Hálózati üzembe helyezés
Ez a témakör a TOR-kapcsolókhoz, AZ IP-címek hozzárendeléséhez és más hálózattelepítési feladatokhoz való hozzáférési engedélyeket tartalmazza.
Konfiguráció üzembe helyezésének megterve
A következő szakaszok az engedélyeket és az IP-cím-hozzárendeléseket ismertetik.
Fizikai kapcsoló hozzáférés-vezérlési listája
A teljes Azure Stack érdekében hozzáférés-vezérlési listákat (ACL-eket) valósítottunk meg a TOR-kapcsolókon. Ez a szakasz a biztonság megvalósításait ismerteti. Az alábbi táblázat az összes hálózat forrását és célját mutatja a Azure Stack belül:
Az alábbi táblázat korrelál az ACL-hivatkozások és a Azure Stack között.
| Hálózat | Description |
|---|---|
| Belső BMC-kezelő | A forgalom csak belső forgalomra korlátozódik. |
| BMC-kezelő külső | Az ACL engedélyezi a hozzáférést a szegélyeszközön túlra. |
| Kiterjesztett Storage Mgmt | Dedikált felügyeleti felületek a kiterjesztett tárolórendszerhez |
| Switch Mgmt | Dedikált kapcsolók felügyeleti felületei. |
| "Azure Stack infrastruktúra" | Azure Stack infrastruktúra-szolgáltatások és virtuális gépek korlátozott hálózata |
| Azure Stack infrastruktúra nyilvános (PEP/ERCS) | Azure Stack végpont, vész-helyreállítási konzolkiszolgáló. Az ügyfél megnyithatja az ACL-t, hogy lehetővé teszi az adatközpont-felügyeleti hálózatra való forgalmat. |
| Tor1,Tor2 RouterIP | Az SLB és a kapcsoló/útválasztó közötti BGP-társviszony-létesítéshez használt kapcsoló visszacsatolási felülete. Az ügyfélnek saját belátása szerint tűzfalat kell majd tűzfalként kivetni a szegélyen ezektől az IP-ktől. |
| Tárolás | A régión kívülre nem irányítható privát IP-k |
| Belső VIP-k | A régión kívülre nem irányítható privát IP-k |
| Nyilvános VIP-k | A hálózati vezérlő által kezelt bérlői hálózati címtér. |
| Nyilvános rendszergazdai VIP-k | A bérlői készletben található címek kis részkészlete, amelyekre szükség van a Internal-VIPs és Azure Stack infrastruktúrával |
| Engedélyezett hálózatok | Ügyfél által meghatározott hálózat. |
| 0.0.0.0 | A 0.0.0.0 Azure Stack a szegélyeszköz. |
| Engedély | A forgalom engedélyezése engedélyezve van, de az SSH-hozzáférés alapértelmezés szerint le van tiltva. |
| Nincs útvonal | Az útvonalak nem propagálnak a Azure Stack kívül. |
| MUX ACL | Azure Stack MUX ACL-ek vannak használva. |
| N/A | Nem része egy VLAN ACL-nek. |
IP-cím-hozzárendelések
A Központi telepítési munkalapon meg kell adnia a következő hálózati címeket a Azure Stack támogatásához. Az üzembe helyezési csapat az Üzembe helyezési munkalap eszközzel bontja fel az IP-hálózatokat a rendszer által megkövetelt összes kisebb hálózatra.
Ebben a példában a Központi telepítési munkalap Hálózati Gépház lapján a következő értékeket adhatja meg:
BMC-hálózat: 10.193.132.0 /27
Private Network Storage Network & Belső VIP-k: 11.11.128.0 /20
Infrastruktúra-hálózat: 12.193.130.0 /24
Nyilvános virtuális IP-cím (VIP) hálózat: 13.200.132.0 /24
Switch Infrastructure Network: 10.193.132.128 /26
Az Üzembe helyezési munkalap eszköz Generate függvényének futtatásakor az két új lapot hoz létre a táblázatban. Az első lap az Alhálózat összegzése, amely bemutatja, hogyan vannak felosztva a szuperhálózatok a rendszerhez szükséges összes hálózat létrehozásához. Az alábbi példában csak az oszlopok egy része található ezen a lapon. A tényleges eredmény további részleteket tartalmaz az egyes hálózatokról:
| Kiszolgálószekrény | Alhálózat típusa | Név | IPv4-alhálózat | IPv4-címek |
|---|---|---|---|---|
| Szegély | P2P-hivatkozás | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| Szegély | P2P-hivatkozás | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| Szegély | P2P-hivatkozás | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| Szegély | P2P-hivatkozás | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| Szegély | P2P-hivatkozás | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| Szegély | P2P-hivatkozás | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | Visszacsatolási | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | Visszacsatolási | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | Visszacsatolási | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | P2P-hivatkozás | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | P2P-hivatkozás | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN | CL01-RG01-SU01-Storage | 11.11.128.0/25 | 128 |
| Rack1 | VLAN | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | Egyéb | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | Egyéb | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
A második lap az IP-címhasználat, amely bemutatja, hogyan vannak felhasználva az IP-címek:
BMC-hálózat
A BMC-hálózat szuperhálózatának legalább /26 hálózatra van szüksége. Az átjáró a hálózat első IP-címét, majd az állványon található BMC-eszközöket használja. A hardveres életciklus-állomáshoz több cím van hozzárendelve ezen a hálózaton, és az állvány üzembe helyezésére, figyelése és támogatása is használható. Ezek az IP-k három csoportba vannak osztva: DVM, InternalAccessible és ExternalAccessible.
- Állvány: Rack1
- Név: BMCMgmt
| A jog birtokosa | IPv4-cím |
|---|---|
| Hálózat | 10.193.132.0 |
| Átjáró | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccessible-1 | 10.193.132.19 |
| ExternalAccessible-2 | 10.193.132.20 |
| ExternalAccessible-3 | 10.193.132.21 |
| ExternalAccessible-4 | 10.193.132.22 |
| ExternalAccessible-5 | 10.193.132.23 |
| InternalAccessible-1 | 10.193.132.24 |
| InternalAccessible-2 | 10.193.132.25 |
| InternalAccessible-3 | 10.193.132.26 |
| InternalAccessible-4 | 10.193.132.27 |
| InternalAccessible-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| Adás | 10.193.132.31 |
Tárolóhálózat
A Storage hálózat egy magánhálózat, és nem az állványon kívülre irányítható. Ez a Magánhálózati szuperhálózat első fele, és az elosztott kapcsoló használja, ahogy az alábbi táblázatban látható. Az átjáró az alhálózat első IP-címe. A belső VIP-k második fele az Azure Stack SLB által kezelt privát címkészlet, amely nem jelenik meg az IP-címhasználat lapon. Ezek a hálózatok támogatják Azure Stack és ACL-ek vannak a TOR-kapcsolókban, amelyek megakadályozzák ezen hálózatok meghirdetését és/vagy hozzáférését a megoldáson kívül.
- Állvány: Rack1
- Név: CL01-RG01-SU01-Storage
| A jog birtokosa | IPv4-cím |
|---|---|
| Hálózat | 11.11.128.0 |
| Átjáró | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| Adás | 11.11.128.127 |
Azure Stack infrastruktúra-hálózat
Az infrastruktúra-hálózat szuperhálózatának /24 hálózatra van szüksége, és ez az üzembe helyezési munkalap eszköz futtatása után is /24 lesz. Az átjáró lesz az alhálózat első IP-címe.
- Állvány: Rack1
- Név: CL01-RG01-SU01-Infra
| A jog birtokosa | IPv4-cím |
|---|---|
| Hálózat | 12.193.130.0 |
| Átjáró | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| Adás | 12.193.130.255 |
Infrastruktúra-hálózat váltása
Az infrastruktúra-hálózat több hálózatra van bontva, amelyet a fizikai kapcsoló infrastruktúrája használ. Ez eltér a Azure Stack infrastruktúrától, amely csak az Azure Stack szoftvereket támogatja. A Switch Infra Network csak a fizikai kapcsoló infrastruktúráját támogatja. Az infrastruktúra által támogatott hálózatok a következőek:
| Név | IPv4-alhálózat |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
Pont–pont (P2P): Ezek a hálózatok lehetővé teszik az összes kapcsoló közötti kapcsolatot. Az alhálózat mérete P2P-enként /30 hálózat. A legalacsonyabb IP-cím mindig a verem alsó (északi) eszközéhez van rendelve.
Visszacsatolás: Ezek a címek /32 hálózatok, amelyek az állványon használt egyes kapcsolókhoz vannak rendelve. A szegélyeszközökhöz nincs visszacsatolás rendelve, mivel várhatóan nem fognak a Azure Stack részét.
Switch Mgmt vagy Switch Management: Ez a /29 hálózat támogatja az állványon a kapcsolók dedikált felügyeleti adapterét. Az IP-k hozzárendelése a következő: Ez a táblázat az Üzembe helyezési munkalap IP-címhasználat lapján is megtalálható:
Állvány: Rack1
Név: SwitchMgmt
| A jog birtokosa | IPv4-cím |
|---|---|
| Hálózat | 10.193.132.168 |
| Átjáró | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| Adás | 10.193.132.175 |
A környezet előkészítése
A hardveres életciklus gazdagépének rendszerképe tartalmazza a fizikai hálózati kapcsoló konfigurációjának létrehozásához szükséges Linux-tárolót.
A legújabb partnertelepítési eszközkészlet tartalmazza a legújabb tárolórendszerképet. A hardveres életciklus-gazdagépen található tároló rendszerképe lecserélhető, ha egy frissített kapcsolókonfiguráció létrehozása szükséges.
A tároló rendszerképének frissítési lépései a következőek:
A tároló rendszerképének letöltése
Cserélje le a tároló rendszerképét a következő helyen
Konfiguráció létrehozása
Az alábbi lépések végigveszik a JSON-fájlok és a hálózati kapcsoló konfigurációs fájljainak létrehozásán:
Az Üzembe helyezés munkalap megnyitása
Az összes kötelező mező kitöltése az összes lapon
Hívja meg a "Generate" függvényt az Üzembe helyezési munkalapon.
Két további lap jön létre, amelyek a létrehozott IP-alhálózatokat és -hozzárendeléseket jelenítik meg.Tekintse át az adatokat, majd a megerősítés után hívja meg az "Exportálás" függvényt.
A rendszer kérni fogja, hogy adjon meg egy mappát, amelybe a JSON-fájlokat menteni fogja.Hajtsa végre a tárolót a Invoke-SwitchConfigGenerator.ps1. A szkript végrehajtásához rendszergazda jogú PowerShell-konzol szükséges, és a következő paramétereket kell végrehajtani.
ContainerName – A kapcsoló konfigurációit generáló tároló neve.
ConfigurationData – Az Üzembe helyezési munkalapról exportált ConfigurationData.json fájl elérési útja.
OutputDirectory – A kimeneti könyvtár elérési útja.
Offline – Azt jelzi, hogy a szkript offline módban fut.
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Amikor a szkript befejeződik, egy zip-fájlt hoz létre a munkalapon használt előtaggal.
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
Egyéni konfiguráció
Módosíthatja a konfiguráció néhány környezeti beállítását Azure Stack kapcsoló konfigurációját. Azonosíthatja, hogy a sablonban mely beállításokat módosíthatja. Ez a cikk ismerteti az egyes testreszabható beállításokat, valamint azt, hogy a módosítások milyen hatással lehetnek a Azure Stack. Ezek a beállítások közé tartozik a jelszófrissítés, a syslog-kiszolgáló, az SNMP-figyelés, a hitelesítés és a hozzáférés-vezérlési lista.
A megoldás üzembe helyezése Azure Stack eredeti hardvergyártó (OEM) létrehozza és alkalmazza a kapcsoló konfigurációját a tor és a BMC esetében is. Az OEM a Azure Stack automatizálási eszközzel ellenőrzi, hogy a szükséges konfigurációk megfelelően vannak-e beállítva ezeken az eszközökön. A konfiguráció az üzembe helyezési munkalapon található Azure Stack alapul.
Megjegyzés
Ne változtassa meg a konfigurációt az OEM vagy az Microsoft Azure Stack mérnöki csapata beleegyezése nélkül. A hálózati eszköz konfigurációjának módosítása jelentős hatással lehet a hálózati problémák működésére vagy elhárítására a Azure Stack példányban. Ha további információra van szükség a hálózati eszközén található funkciókról, illetve a módosításokról, forduljon az OEM hardverszolgáltatójához vagy a Microsoft ügyfélszolgálatához. Az OEM rendelkezik az automatizálási eszköz által létrehozott konfigurációs fájllal a Azure Stack munkalap alapján.
Vannak azonban olyan értékek, amelyek hozzáadhatók, eltávolíthatók vagy módosíthatók a hálózati kapcsolók konfigurációjában.
Jelszófrissítés
Az operátor bármikor frissítheti a hálózati kapcsolók bármelyik felhasználója jelszavát. Nem követelmény a titkos kulcsok Azure Stack módosítása vagy a titkos kulcsok elforgatása a Azure Stack.
Syslog-kiszolgáló
Az operátorok átirányítják a kapcsolónaplókat egy syslog-kiszolgálóra az adatközpontjukban. Ezzel a konfigurációval biztosíthatja, hogy az adott időpontból származó naplók használhatók-e a hibaelhárításhoz. Alapértelmezés szerint a naplók a kapcsolókban vannak tárolva; a naplók tárolására szolgáló kapacitásuk korlátozott. A hozzáférés-vezérlési lista frissítéseit ismertető szakaszban áttekintheti, hogyan konfigurálhatja a kapcsolókezelési hozzáféréshez szükséges engedélyeket.
SNMP-figyelés
Az operátor konfigurálhatja az SNMP v2 vagy v3 protokollt a hálózati eszközök figyelése és trapek küldése egy hálózatfigyelő alkalmazásnak az adatközpontban. Biztonsági okokból használja az SNMPv3 protokollt, mivel biztonságosabb, mint a v2. A MIBs-ekkel és a szükséges konfigurációval kapcsolatban forduljon az OEM hardverszolgáltatójához. A hozzáférés-vezérlési lista frissítéseit ismertető szakaszban áttekintheti, hogyan konfigurálhatja a kapcsolókezelési hozzáféréshez szükséges engedélyeket.
Hitelesítés
Az operátor konfigurálhatja a RADIUS-t vagy a RADIUSACS-t a hálózati eszközök hitelesítésének kezeléséhez. A támogatott módszerekről és a szükséges konfigurációról az OEM hardverszolgáltatójánál kell tájékozódnia. A Hozzáférés-vezérlési lista frissítései szakaszban áttekintheti, hogyan konfigurálhatja a kapcsolókezelési hozzáféréshez szükséges engedélyeket.
Hozzáférés-vezérlési lista frissítései
Az operátor módosíthatja a hozzáférés-vezérlési listát (ACL-eket) a hálózati eszközök felügyeleti adapteréhez és a hardveres életciklus-gazdagéphez (HLH) való hozzáférés engedélyezése érdekében a megbízható adatközpont hálózati tartományából. Az operátor választhatja ki, hogy melyik összetevő legyen elérhető, és honnan. A hozzáférés-vezérlési listával az operátor engedélyezheti, hogy a felügyeleti jumpbox virtuális gépei egy adott hálózati tartományban hozzáférjenek a kapcsolókezelési felülethez, a HLH operációs rendszerhez és a HLH BMC-hez.
További részletekért lásd a fizikai kapcsoló hozzáférés-vezérlési listáját.
ANDACS, RADIUS és Syslog
A Azure Stack megoldás nem lesz szállítva az olyan eszközök hozzáférés-vezérlésére, mint a kapcsolók és útválasztók hozzáférés-vezérlésére, sem a kapcsolónaplók rögzítésére használható Syslog-megoldás, de ezek az eszközök támogatják ezeket a szolgáltatásokat. Annak érdekében, hogy segítséget nyújtson a környezetében található meglévő ONACS-, RADIUS- és/vagy Syslog-kiszolgálóval való integrációhoz, egy további fájlt biztosítunk a hálózati kapcsoló konfigurációjának segítségével, amely lehetővé teszi a helyszínen a mérnök számára, hogy testre szabja a kapcsolót az ügyfél igényeihez.