Penyebaran jaringan

Topik ini mencakup izin akses ke pengalih TOR, penugasan alamat IP, dan tugas penyebaran jaringan lainnya.

Merencanakan penyebaran konfigurasi

Sesi selanjutnya mencakup izin akses dan penugasan alamat IP.

Daftar kontrol akses pengalih fisik

Untuk melindungi solusi Azure Stack, kami telah menerapkan daftar kontrol akses (ACL) pada pengalih TOR. Sesi ini menjelaskan cara sistem keamanan ini diterapkan. Tabel di bawah ini menunjukkan sumber dan tujuan dari setiap jaringan di dalam solusi Azure Stack:

A diagram of access control lists on the TOR switches

Tabel di bawah ini menunjukkan hubungan antara referensi ACL dan jaringan Azure Stack.

Jaringan Deskripsi
Internal Mnjmn BMC Lalu lintas terbatas khusus untuk internal.
Eksternal Mnjmn BMC Akses izin ACL ke luar perangkat batas.
Mnjmn Penyimpanan Tambahan Antarmuka manajemen khusus untuk sistem penyimpanan tambahan
Mnjmn Pengalih Antarmuka manajemen Pengalih Khusus.
"Infrastruktur Azure Stack" Layanan dan mesin virtual Infrastruktur Azure Stack, jaringan terbatas
Publik Infrastruktur Azure Stack (PEP/ERCS) Titik Akhir Azure Stack Terlindungi, Server Konsol Pemulihan Darurat. Pelanggan dapat membuka ACL untuk mengizinkan lalu lintas ke jaringan manajemen pusat data.
Tor1,Tor2 RouterIP Antarmuka loopback dari pengalih yang digunakan untuk peering BGP antara SLB dan Pengalih/Perute. Pelanggan akan diberi kebijakan untuk menggunakan firewall pada IP ini di batas.
Penyimpanan IP privat tidak dialihkan ke luar Wilayah
VIP Internal IP privat tidak dialihkan ke luar Wilayah
VIP publik Ruang alamat jaringan penyewa dikelola oleh pengontrol jaringan.
VIP Admin Publik Subset kecil dari alamat-alamat dalam kumpulan Penyewa wajib dihubungkan ke VIP-Internal dan Infrastruktur Azure Stack
Jaringan Diizinkan Jaringan yang ditentukan pelanggan.
0.0.0.0 Dari perspektif Azure Stack, 0.0.0.0 adalah perangkat batas.
Izin Lalu lintas izin diaktifkan, tetapi akses SSH diblokir secara default.
Tidak Ada Rute Rute tidak disebarkan di luar lingkungan Azure Stack.
MUX ACL Azure Stack MUX ACL digunakan.
T/A Bukan bagian dari ACL VLAN.

Penugasan alamat IP

Dalam Lembar Kerja Penyebaran, Anda diminta untuk menyediakan alamat jaringan berikut untuk mendukung proses penyebaran Azure Stack. Tim penyebaran menggunakan alat Lembar Kerja Penyebaran untuk membagi jaringan IP ke seluruh jaringan lebih kecil yang diperlukan oleh sistem.

Dalam contoh ini, kami akan mengisi tab Pengaturan Jaringan pada Lembar Kerja Penyebaran dengan nilai berikut:

  • Jaringan BMC: 10.193.132.0 /27

  • Jaringan Privat Jaringan Penyimpanan & VIP Internal: 11.11.128.0 /20

  • Jaringan Infrastruktur: 12.193.130.0 /24

  • Jaringan IP Virtual Publik (VIP): 13.200.132.0 /24

  • Jaringan Infrastruktur Pengalih: 10.193.132.128 /26

Saat Anda menjalankan fungsi Hasilkan pada alat Lembar Kerja Penyebaran, alat tersebut akan membuat dua tab baru di lembar bentang. Tab pertama berisi Ringkasan Subnet dan menunjukkan cara pemisahan supernet untuk membuat semua jaringan yang diperlukan oleh sistem. Dalam contoh di bawah ini, hanya terdapat satu subset kolom yang ditemukan di tab ini. Hasil yang sebenarnya memiliki lebih banyak detail dari setiap jaringan yang terdaftar:

Rak Tipe Subnet Nama Subnet IPv4 Alamat IPv4
Batas Tautan P2P P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30 4
Batas Tautan P2P P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30 4
Batas Tautan P2P P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30 4
Batas Tautan P2P P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30 4
Batas Tautan P2P P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30 4
Batas Tautan P2P P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30 4
Rak1 Loopback Loopback0_Rack1_TOR1 10.193.132.152/32 1
Rak1 Loopback Loopback0_Rack1_TOR2 10.193.132.153/32 1
Rak1 Loopback Loopback0_Rack1_BMC 10.193.132.154/32 1
Rak1 Tautan P2P P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30 4
Rak1 Tautan P2P P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30 4
Rak1 VLAN MnjmnBMC 10.193.132.0/27 32
Rak1 VLAN MnjmnPengalih 10.193.132.168/29 8
Rak1 VLAN CL01-RG01-SU01-Storage 11.11.128.0/25 128
Rak1 VLAN CL01-RG01-SU01-Infra 12.193.130.0/24 256
Rak1 Lainnya CL01-RG01-SU01-VIPS 13.200.132.0/24 256
Rak1 Lainnya CL01-RG01-SU01-InternalVIPS 11.11.128.128/25 128

Tab kedua berisi Penggunaan Alamat IP dan menunjukkan bagaimana IP digunakan:

Jaringan BMC

Supernet untuk jaringan BMC memerlukan minimal jaringan /26. Gateway-nya menggunakan IP pertama dalam jaringan yang diikuti perangkat BMC dalam rak. Host siklus hidup perangkat keras memiliki beberapa alamat yang ditetapkan di jaringan ini dan dapat digunakan untuk menyebarkan, mengawasi, dan mendukung rak. Sekumpulan IP ini dibagi menjadi 3 grup: DVM, InternalAccessible dan ExternalAccessible.

  • Rak: Rak1
  • Nama: MnjmnBMC
Ditetapkan Ke Alamat IPv4
Jaringan 10.193.132.0
Gateway 10.193.132.1
HLH-BMC 10.193.132.2
AzS-Node01 10.193.132.3
AzS-Node02 10.193.132.4
AzS-Node03 10.193.132.5
AzS-Node04 10.193.132.6
ExternalAccessible-1 10.193.132.19
ExternalAccessible-2 10.193.132.20
ExternalAccessible-3 10.193.132.21
ExternalAccessible-4 10.193.132.22
ExternalAccessible-5 10.193.132.23
InternalAccessible-1 10.193.132.24
InternalAccessible-2 10.193.132.25
InternalAccessible-3 10.193.132.26
InternalAccessible-4 10.193.132.27
InternalAccessible-5 10.193.132.28
CL01-RG01-SU01-DVM00 10.193.132.29
HLH-OS 10.193.132.30
Siaran 10.193.132.31

Jaringan penyimpanan

Jaringan Penyimpanan merupakan jaringan privat dan tidak ditujukan untuk dialihkan ke luar rak. Jaringan tersebut merupakan paruh pertama dari supernet Jaringan Privat dan digunakan oleh pengalih yang didistribusikan seperti pada tabel di bawah ini. Gateway-nya adalah IP pertama dalam subnet. Paruh kedua yang digunakan untuk VIP Internal adalah kumpulan alamat pribadi yang dikelola oleh Azure Stack SLB dan tidak ditampilkan pada tab Penggunaan Alamat IP. Jaringan ini mendukung Azure Stack dan terdapat ACL pada pengalih TOR yang berfungsi agar jaringan ini tidak diiklankan dan/atau diakses di luar solusi.

  • Rak: Rak1
  • Nama: CL01-RG01-SU01-Storage
Ditetapkan Ke Alamat IPv4
Jaringan 11.11.128.0
Gateway 11.11.128.1
TOR1 11.11.128.2
TOR2 11.11.128.3
Siaran 11.11.128.127

Jaringan infrastruktur Azure Stack

Supernet jaringan infrastruktur memerlukan jaringan /24 dan terus dipertahankan setelah alat Lembar Kerja Penyebaran berjalan. Gateway-nya adalah IP pertama dalam subnet.

  • Rak: Rak1
  • Nama: CL01-RG01-SU01-Infra
Ditetapkan Ke Alamat IPv4
Jaringan 12.193.130.0
Gateway 12.193.130.1
TOR1 12.193.130.2
TOR2 12.193.130.3
Siaran 12.193.130.255

Jaringan infrastruktur pengalih

Jaringan infrastruktur dibagi menjadi beberapa jaringan yang digunakan oleh infrastruktur pengalih fisik. Jaringan ini berbeda dari Infrastruktur Azure Stack yang hanya mendukung perangkat lunak Azure Stack. Jaringan Infrastruktur Pengalih hanya mendukung infrastruktur pengalih fisik. Jaringan yang didukung oleh infrastruktur adalah:

Nama Subnet IPv4
P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30
P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30
P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30
P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30
P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30
P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30
Loopback0_Rack1_TOR1 10.193.132.152/32
Loopback0_Rack1_TOR2 10.193.132.153/32
Loopback0_Rack1_BMC 10.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30
MnjmnPengalih 10.193.132.168/29
  • Point-to-point (P2P): Jaringan ini memungkinkan konektivitas antar setiap pengalih. Ukuran subnet-nya merupakan jaringan /30 untuk setiap P2P. IP terendah selalu ditetapkan ke perangkat upstram (North) pada tumpukan.

  • Loopback: Alamat ini merupakan jaringan /32 yang ditugaskan ke setiap pengalih yang digunakan di rak. Perangkat batas tidak diberi loopback karena tidak diperkirakan menjadi bagian dari solusi Azure Stack.

  • Mnjmn Pengalih atau Manajemen Pengalih: Jaringan /29 ini mendukung antarmuka manajemen khusus dari pengalih dalam rak. IP-nya ditetapkan sebagai berikut; tabel ini dapat ditemukan juga pada tab Penggunaan Alamat IP di Lembar Kerja Penyebaran:

  • Rak: Rak1

  • Nama: MnjmnPengalih

Ditetapkan Ke Alamat IPv4
Jaringan 10.193.132.168
Gateway 10.193.132.169
TOR1 10.193.132.170
TOR2 10.193.132.171
Siaran 10.193.132.175

Menyiapkan lingkungan

Gambar host siklus hidup perangkat keras berisi kontainer Linux yang diperlukan dan digunakan untuk menghasilkan konfigurasi pengalih jaringan fisik.

Toolkit penyebaran mitra terbaru memasukkan gambar kontainer terbaru. Gambar kontainer pada host siklus hidup perangkat keras dapat diganti jika diperlukan untuk menghasilkan konfigurasi pengalih yang diperbarui.

Berikut adalah langkah-langkah untuk memperbarui gambar kontainer:

  1. Unduh gambar kontainer

  2. Ganti gambar kontainer di lokasi berikut

Hasilkan konfigurasi

Pada bagian ini, kami akan memandu Anda untuk mengikuti langkah-langkah menghasilkan file JSON dan file Konfigurasi Pengalih Jaringan:

  1. Buka Lembar Kerja Penyebaran

  2. Isi seluruh bidang yang diperlukan pada semua tab

  3. Terapkan fungsi "Hasilkan" pada Lembar Kerja Penyebaran.
    Dua tab tambahan akan dibuat dan menampilkan subnet dan penugasan IP yang dihasilkan.

  4. Tinjau data dan setelah dikonfirmasi, terapkan fungsi "Ekspor".
    Anda akan diminta untuk menyediakan folder tempat file JSON akan disimpan.

  5. Jalankan kontainer menggunakan Invoke-SwitchConfigGenerator.ps1. Skrip ini membutuhkan konsol PowerShell yang tinggi untuk dapat dijalankan dan membutuhkan parameter berikut.

    • ContainerName – Nama kontainer yang akan menghasilkan konfigurasi pengalih.

    • ConfigurationData – Jalur ke file ConfigurationData.json yang diekspor dari Lembar Kerja Penyebaran.

    • OutputDirectory – Jalur ke direktori output.

    • Offline – Sinyal yang menunjukkan skrip berjalan dalam mode offline.

    C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
    

Setelah skrip selesai, file zip akan dihasilkan dengan prefiks yang digunakan dalam lembar kerja.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Konfigurasi kustom

Anda dapat mengubah beberapa pengaturan lingkungan untuk konfigurasi pengalih Azure Stack. Anda dapat mengidentifikasi pengaturan mana saja yang dapat Anda ubah dalam templat. Artikel ini menjelaskan setiap pengaturan yang dapat disesuaikan, dan pengaruh perubahan tersebut terhadap Azure Stack Anda. Pengaturan ini meliputi penggantian kata sandi, server syslog, pengawasan SNMP, autentikasi, dan daftar kontrol akses.

Selama penyebaran solusi Azure Stack, produsen perlengkapan asli (OEM) membuat dan menerapkan konfigurasi pengalih baik TOR maupun BMC. OEM menggunakan alat automasi Azure Stack untuk memvalidasi bahwa konfigurasi yang diperlukan telah diatur dengan tepat di perangkat ini. Konfigurasi tersebut berdasarkan pada informasi di Lembar Kerja Penyebaran Azure Stack Anda.

Catatan

Jangan mengubah konfigurasi tanpa persetujuan dari OEM maupun tim rekayasa Microsoft Azure Stack. Sebuah perubahan pada konfigurasi perangkat jaringan dapat menyebabkan dampak besar pada operasi atau pemecahan masalah jaringan di instans Azure Stack Anda. Untuk informasi selengkapnya mengenai fungsi ini di perangkat jaringan Anda dan cara melakukan perubahannya, hubungi penyedia perangkat keras OEM atau bantuan Microsoft. OEM Anda memiliki file konfigurasi yang dibuat oleh alat automasi berdasarkan pada lembar kerja penyebaran Azure Stack Anda.

Namun, ada beberapa nilai yang dapat ditambahkan, dihapus, atau diubah pada konfigurasi pengalih jaringan.

Penggantian kata sandi

Operator dapat setiap saat mengganti kata sandi pengguna pada pengalih jaringan. Tidak ada persyaratan untuk mengubah informasi apa pun pada sistem Azure Stack, atau menggunakan langkah-langkah untuk Merotasi rahasia di Azure Stack.

Server Syslog

Operator dapat mengalihkan log pengalih ke server syslog di pusat data. Gunakan konfigurasi ini untuk memastikan bahwa log dari titik waktu tertentu dapat digunakan untuk pemecahan masalah. Secara default, log disimpan pada pengalih; kapasitas untuk menyimpan log terbatas. Periksa bagian pembaruan Daftar kontrol akses untuk melihat ringkasan cara mengonfigurasi izin akses manajemen pengalih.

Pengawasan SNMP

Operator dapat mengonfigurasi protokol manajemen jaringan sederhana (SNMP) v2 atau v3 untuk mengawasi perangkat jaringan dan mengirimkan perangkap ke aplikasi pengawasan jaringan pada pusat data. Untuk alasan keamanan, gunakan SNMPv3 karena lebih aman daripada v2. Konsultasikan dengan penyedia perangkat keras OEM untuk mengetahui MIB dan konfigurasi yang diperlukan. Periksa bagian pembaruan Daftar kontrol akses untuk melihat ringkasan cara mengonfigurasi izin akses manajemen pengalih.

Autentikasi

Operator dapat mengonfigurasi RADIUS atau TACACS untuk mengelola autentikasi pada perangkat jaringan. Konsultasikan dengan penyedia perangkat keras OEM untuk mengetahui metode yang didukung dan konfigurasi yang diperlukan. Periksa bagian pembaruan Daftar kontrol akses untuk melihat ringkasan cara mengonfigurasi izin akses Manajemen Pengalih.

Pembaruan daftar kontrol akses

Operator dapat mengubah beberapa daftar kontrol akses (ACL) untuk mengizinkan akses ke antarmuka manajemen perangkat jaringan dan host siklus hidup perangkat keras (HLH) dari rentang jaringan pusat data yang tepercaya. Operator dapat memilih komponen apa dan dari mana saja yang dapat dijangkau. Dengan daftar kontrol akses, Operator dapat mengizinkan mesin virtual jumpbox manajemen dalam rentang jaringan tertentu untuk mengakses antarmuka manajemen pengalih, OS HLH, dan BMC HLH.

Untuk mengetahui detail lebih lanjut, lihat Daftar kontrol akses pengalih fisik.

TACACS, RADIUS, dan Syslog

Solusi Azure Stack tidak dapat dikirimkan dengan solusi TACACS atau RADIUS untuk kontrol akses perangkat seperti pengalih dan perute, begitu pula dengan solusi Syslog yang tidak dapat menangkap log pengalih, tetapi semua perangkat ini mendukung layanan tersebut. Untuk membantu mengintegrasikan server TACACS, RADIUS, dan/atau Syslog yang ada di lingkungan Anda, kami akan menyediakan file tambahan pada Konfigurasi Pengalih Jaringan yang akan memungkinkan teknisi untuk menyesuaikan pengalih tersebut terhadap kebutuhan pelanggan.

Langkah berikutnya

Integrasi Jaringan