Wdrażanie sieci

Ten temat dotyczy uprawnień dostępu do przełączników TOR, przypisań adresów IP i innych zadań wdrażania sieci.

Planowanie wdrożenia konfiguracji

Następne sekcje obejmują uprawnienia i przypisania adresów IP.

Lista kontroli dostępu przełącznika fizycznego

Aby chronić Azure Stack rozwiązania, zaimplementowaliśmy listy kontroli dostępu (ACL) w przełącznikach TOR. W tej sekcji opisano, jak są implementowane te zabezpieczenia. W poniższej tabeli przedstawiono źródła i miejsca docelowe każdej sieci w Azure Stack rozwiązania:

Diagram list kontroli dostępu w przełącznikach TOR

W poniższej tabeli odwołania listy ACL są skorelowane z Azure Stack sieciami.

Sieć Opis
BMC Mgmt Internal Ruch jest ograniczony tylko do wewnętrznych.
BMC Mgmt External Listy ACL zezwalają na dostęp poza urządzeniem obramowania.
Rozszerzone Storage Mgmt Dedykowane interfejsy zarządzania dla rozszerzonego systemu magazynowania
Przełącznik Mgmt Dedykowane interfejsy zarządzania przełącznikami.
"Azure Stack infrastruktury" Azure Stack infrastruktury sieciowej i maszyn wirtualnych z ograniczeniami
Azure Stack infrastruktury publicznej (PEP/ERCS) Azure Stack chroniony punkt końcowy, serwer konsoli odzyskiwania awaryjnego. Klient może otworzyć listy ACL, aby zezwolić na ruch do sieci zarządzania centrum danych.
Tor1, Tor2 RouterIP Interfejs sprzężenia zwrotnego przełącznika używany do komunikacji równorzędnej BGP między SLB i przełącznik/router. Klient będzie mieć prawo do blokowania tych ip na granicy.
Storage Prywatne ip nie są kierowane poza region
Wewnętrzne vip Prywatne ip nie są kierowane poza region
Publiczne vip-y Przestrzeń adresowa sieci dzierżawy zarządzana przez kontroler sieci.
Publiczne konta VIP administratorów Mały podzbiór adresów w puli dzierżaw, które są wymagane do połączenia z Internal-VIPs i Azure Stack infrastruktury
Dozwolone sieci Sieć zdefiniowana przez klienta.
0.0.0.0 Z perspektywy Azure Stack urządzeniem obramowania jest 0.0.0.0.
Zezwala na Zezwalaj na ruch jest włączony, ale dostęp SSH jest domyślnie zablokowany.
Brak trasy Trasy nie są propagowane poza Azure Stack środowisku.
MUX ACL Azure Stack są używane Azure Stack ACL MUX.
N/A Nie jest częścią listy ACL sieci VLAN.

Przypisania adresów IP

W arkuszu wdrażania zostanie poproszony o podanie następujących adresów sieciowych w celu obsługi Azure Stack wdrażania. Zespół wdrożeniowy używa narzędzia Arkusz wdrażania, aby rozsyłać sieci IP na wszystkie mniejsze sieci wymagane przez system.

W tym przykładzie wypełnimy kartę Ustawienia arkusza wdrażania następującymi wartościami:

  • Sieć BMC: 10.193.132.0 /27

  • Wewnętrzne Storage VIP sieci & prywatnej: 11.11.128.0 /20

  • Sieć infrastruktury: 12.193.130.0 /24

  • Sieć publicznych wirtualnych adresów IP (VIP): 13.200.132.0 /24

  • Sieć infrastruktury przełączników: 10.193.132.128 /26

Po uruchomieniu funkcji Generuj narzędzia Arkusz wdrażania tworzy ona dwie nowe karty w arkuszu kalkulacyjnym. Pierwsza karta to Podsumowanie podsieci i pokazuje, jak zostały podzielone supersieci w celu utworzenia wszystkich sieci wymaganych przez system. W poniższym przykładzie na tej karcie znajduje się tylko podzbiór kolumn. Rzeczywisty wynik ma więcej szczegółowych informacji o każdej sieci:

Stojak Typ podsieci Nazwa Podsieć IPv4 Adresy IPv4
Obramowanie P2P Link P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30 4
Obramowanie P2P Link P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30 4
Obramowanie P2P Link P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30 4
Obramowanie P2P Link P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30 4
Obramowanie P2P Link P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30 4
Obramowanie P2P Link P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30 4
Stojak 1 Sprzężenia zwrotnego Loopback0_Rack1_TOR1 10.193.132.152/32 1
Stojak 1 Sprzężenia zwrotnego Loopback0_Rack1_TOR2 10.193.132.153/32 1
Stojak 1 Sprzężenia zwrotnego Loopback0_Rack1_BMC 10.193.132.154/32 1
Stojak 1 P2P Link P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30 4
Stojak 1 P2P Link P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30 4
Stojak 1 SIECI VLAN BMCMgmt 10.193.132.0/27 32
Stojak 1 SIECI VLAN SwitchMgmt 10.193.132.168/29 8
Stojak 1 SIECI VLAN CL01-RG01-SU01-Storage 11.11.128.0/25 128
Stojak 1 SIECI VLAN CL01-RG01-SU01-Infra 12.193.130.0/24 256
Stojak 1 Inne CL01-RG01-SU01-VIPS 13.200.132.0/24 256
Stojak 1 Inne CL01-RG01-SU01-InternalVIPS 11.11.128.128/25 128

Druga karta to Użycie adresu IP i pokazuje sposób używania adresów IP:

Sieć BMC

Supersieć dla sieci BMC wymaga co najmniej sieci /26. Brama używa pierwszego adresu IP w sieci, a następnie urządzeń BMC w stojaku. Host cyklu życia sprzętu ma wiele adresów przypisanych w tej sieci i może służyć do wdrażania, monitorowania i obsługi stojaka. Te ip są dystrybuowane do 3 grup: DVM, InternalAccessible i ExternalAccessible.

  • Stojak: Rack1
  • Nazwa: BMCMgmt
Przypisano do Adres IPv4
Sieć 10.193.132.0
Brama 10.193.132.1
HLH-BMC 10.193.132.2
AzS-Node01 10.193.132.3
AzS-Node02 10.193.132.4
AzS-Node03 10.193.132.5
AzS-Node04 10.193.132.6
ExternalAccessible-1 10.193.132.19
ExternalAccessible-2 10.193.132.20
ExternalAccessible-3 10.193.132.21
ExternalAccessible-4 10.193.132.22
ExternalAccessible-5 10.193.132.23
InternalAccessible-1 10.193.132.24
InternalAccessible-2 10.193.132.25
InternalAccessible-3 10.193.132.26
InternalAccessible-4 10.193.132.27
InternalAccessible-5 10.193.132.28
CL01-RG01-SU01-DVM00 10.193.132.29
HLH-OS 10.193.132.30
Emisja 10.193.132.31

Sieć magazynu

Sieć Storage jest siecią prywatną i nie jest przeznaczona do rozsyłania poza stojak. Jest to pierwsza połowa supersieci sieci prywatnej i jest używana przez przełącznik rozproszony, jak pokazano w poniższej tabeli. Brama jest pierwszym adresem IP w podsieci. Druga połowa używana dla wewnętrznych adresów VIP to prywatna pula adresów, która jest zarządzana przez usługę Azure Stack SLB, nie jest wyświetlana na karcie Użycie adresu IP. Te sieci obsługują Azure Stack a w przełącznikach TOR znajdują się adresy ACL, które uniemożliwiają anonsowanie tych sieci i/lub dostęp do nich poza rozwiązaniem.

  • Stojak: Rack1
  • Nazwa: CL01-RG01-SU01-Storage
Przypisano do Adres IPv4
Sieć 11.11.128.0
Brama 11.11.128.1
TOR1 11.11.128.2
TOR2 11.11.128.3
Emisja 11.11.128.127

Azure Stack infrastruktury sieciowej

Supersieć sieci infrastruktury wymaga sieci /24 i nadal będzie /24 po uruchomienia narzędzia arkusza wdrożenia. Brama będzie pierwszym adresem IP w podsieci.

  • Stojak: Rack1
  • Nazwa: CL01-RG01-SU01-Infra
Przypisano do Adres IPv4
Sieć 12.193.130.0
Brama 12.193.130.1
TOR1 12.193.130.2
TOR2 12.193.130.3
Emisja 12.193.130.255

Przełączanie sieci infrastruktury

Sieć infrastruktury jest łamana na wiele sieci używanych przez infrastrukturę przełączników fizycznych. Różni się to od infrastruktury Azure Stack, która obsługuje tylko Azure Stack oprogramowania. Przełącznik infra network obsługuje tylko infrastrukturę przełącznika fizycznego. Sieci obsługiwane przez infrastrukturę to:

Nazwa Podsieć IPv4
P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30
P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30
P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30
P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30
P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30
P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30
Loopback0_Rack1_TOR1 10.193.132.152/32
Loopback0_Rack1_TOR2 10.193.132.153/32
Loopback0_Rack1_BMC 10.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30
SwitchMgmt 10.193.132.168/29
  • Punkt-punkt (P2P): te sieci umożliwiają łączność między wszystkimi przełącznikami. Rozmiar podsieci to sieć /30 dla każdego połączenia P2P. Najniższy adres IP jest zawsze przypisywany do urządzenia nadrzędnego (północ) na stosie.

  • Sprzężenia zwrotnego: Te adresy są /32 sieci, które są przypisane do każdego przełącznika używanego w stojaku. Urządzenia obramowania nie mają przypisanego sprzężenia zwrotnego, ponieważ nie powinny być częścią Azure Stack rozwiązania.

  • Zarządzanie przełącznikiem mgmt lub przełącznikiem: ta sieć /29 obsługuje dedykowane interfejsy zarządzania przełączników w stojaku. Te ip są przypisywane w następujący sposób: Tę tabelę można również znaleźć na karcie Użycie adresu IP arkusza wdrażania:

  • Stojak: Rack1

  • Nazwa: SwitchMgmt

Przypisano do Adres IPv4
Sieć 10.193.132.168
Brama 10.193.132.169
TOR1 10.193.132.170
TOR2 10.193.132.171
Emisja 10.193.132.175

Przygotowywanie środowiska

Obraz hosta cyklu życia sprzętu zawiera wymagany kontener systemu Linux używany do generowania konfiguracji przełącznika sieci fizycznej.

Najnowszy zestaw narzędzi wdrażania partnera zawiera najnowszy obraz kontenera. Obraz kontenera na hoście cyklu życia sprzętu można zastąpić, gdy jest to konieczne do wygenerowania zaktualizowanej konfiguracji przełącznika.

Poniżej podano kroki aktualizowania obrazu kontenera:

  1. Pobieranie obrazu kontenera

  2. Zastąp obraz kontenera w następującej lokalizacji

Generowanie konfiguracji

W tym miejscu zostaną opisane kroki generowania plików JSON i plików konfiguracji przełącznika sieciowego:

  1. Otwieranie arkusza wdrażania

  2. Wypełnij wszystkie wymagane pola na wszystkich kartach

  3. Wywołaj funkcję "Generuj" w arkuszu wdrażania.
    Zostaną utworzone dwie dodatkowe karty wyświetlające wygenerowane podsieci IP i przypisania.

  4. Przejrzyj dane i po potwierdzeniu wywołaj funkcję "Eksportuj".
    Zostanie wyświetlony monit o podanie folderu, w którym będą zapisywane pliki JSON.

  5. Wykonaj kontener przy użyciu Invoke-SwitchConfigGenerator.ps1. Ten skrypt wymaga do wykonania konsoli programu PowerShell z podwyższonym poziomem uprawnień i wykonania następujących parametrów.

    • ContainerName — nazwa kontenera, który będzie generować konfiguracje przełącznika.

    • ConfigurationData — ścieżka do pliku ConfigurationData.json wyeksportowanego z arkusza wdrożenia.

    • OutputDirectory — ścieżka do katalogu wyjściowego.

    • Offline — sygnalizuje, że skrypt działa w trybie offline.

    C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
    

Po zakończeniu skrypt wyprodukuje plik zip z prefiksem używanym w arkuszu.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Konfiguracja niestandardowa

Możesz zmodyfikować kilka ustawień środowiska dla konfiguracji Azure Stack przełącznika. Możesz określić, które ustawienia można zmienić w szablonie. W tym artykule opisano każde z tych ustawień, które można dostosowywać, oraz sposób, w jaki zmiany mogą wpłynąć na Azure Stack. Te ustawienia obejmują aktualizację haseł, serwer syslog, monitorowanie SNMP, uwierzytelnianie i listę kontroli dostępu.

Podczas wdrażania rozwiązania Azure Stack producent oryginalnego sprzętu (OEM) tworzy i stosuje konfigurację przełącznika zarówno dla tors, jak i kontrolera BMC. Producent OEM używa narzędzia Azure Stack do sprawdzania, czy wymagane konfiguracje są prawidłowo ustawione na tych urządzeniach. Konfiguracja jest oparta na informacjach w arkuszu Azure Stack wdrażania.

Uwaga

Nie zmieniaj konfiguracji bez zgody producentów OEM ani zespołu inżynierów Microsoft Azure Stack. Zmiana konfiguracji urządzenia sieciowego może znacząco wpłynąć na działanie lub rozwiązywanie problemów z siecią w Azure Stack wystąpienia. Aby uzyskać więcej informacji na temat tych funkcji na urządzeniu sieciowym oraz sposobu ich zmiany, skontaktuj się z dostawcą sprzętu OEM lub pomocą techniczną firmy Microsoft. Producent OEM ma plik konfiguracji utworzony przez narzędzie automatyzacji na podstawie Azure Stack wdrożenia.

Istnieją jednak pewne wartości, które można dodawać, usuwać lub zmieniać w konfiguracji przełączników sieciowych.

Aktualizacja hasła

Operator może zaktualizować hasło dla dowolnego użytkownika przełączników sieciowych w dowolnym momencie. Nie ma potrzeby zmiany żadnych informacji w systemie Azure Stack ani używania procedury Rotacja wpisów tajnych w Azure Stack.

Serwer Syslog

Operatorzy mogą przekierowywać dzienniki przełącznika na serwer syslog w swoim centrum danych. Użyj tej konfiguracji, aby upewnić się, że dzienniki z określonego punktu w czasie mogą być używane do rozwiązywania problemów. Domyślnie dzienniki są przechowywane na przełącznikach; ich pojemność do przechowywania dzienników jest ograniczona. Zapoznaj się z sekcją Aktualizacje listy kontroli dostępu, aby uzyskać omówienie sposobu konfigurowania uprawnień dostępu do zarządzania przełącznikiem.

Monitorowanie SNMP

Operator może skonfigurować prosty protokół zarządzania siecią (SNMP) w wersji 2 lub 3 w celu monitorowania urządzeń sieciowych i wysyłania pułapek do aplikacji do monitorowania sieci w centrum danych. Ze względów bezpieczeństwa użyj protokołu SNMPv3, ponieważ jest on bezpieczniejszy niż wersja 2. Skontaktuj się z dostawcą sprzętu OEM, aby uzyskać informacje o wymaganych plikach MIB i wymaganej konfiguracji. Zapoznaj się z sekcją Aktualizacje listy kontroli dostępu, aby uzyskać omówienie sposobu konfigurowania uprawnień dostępu do zarządzania przełącznikiem.

Authentication

Operator może skonfigurować usługę RADIUS lub TACACS do zarządzania uwierzytelnianiem na urządzeniach sieciowych. Aby uzyskać informacje o obsługiwanych metodach i wymaganej konfiguracji, skontaktuj się z dostawcą sprzętu OEM. Zapoznaj się z sekcją Aktualizacje listy kontroli dostępu, aby uzyskać omówienie sposobu konfigurowania uprawnień dostępu do zarządzania przełącznikiem.

Aktualizacje listy kontroli dostępu

Operator może zmienić niektóre listy kontroli dostępu (ACL), aby zezwolić na dostęp do interfejsów zarządzania urządzeniami sieciowymi i hosta cyklu życia sprzętu (HLH) z zakresu zaufanych sieci centrów danych. Operator może wybrać, który składnik będzie dostępny i z którego miejsca. Na liście kontroli dostępu operator może zezwolić swoim maszynom wirtualnych z serwerami przeskokami zarządzania w określonym zakresie sieci na dostęp do interfejsu zarządzania przełącznikiem, systemu operacyjnego HLH i kontrolera BMC HLH.

Aby uzyskać więcej informacji, zobacz Lista kontroli dostępu przełącznika fizycznego.

TACACS, RADIUS i Syslog

Rozwiązanie Azure Stack nie zostanie dostarczone z rozwiązaniem TACACS lub RADIUS do kontroli dostępu urządzeń, takich jak przełączniki i routery, ani rozwiązania Syslog do przechwytywania dzienników przełączników, ale wszystkie te urządzenia obsługują te usługi. Aby ułatwić integrację z istniejącym serwerem TACACS, RADIUS i/lub Syslog w twoim środowisku, udostępnimy dodatkowy plik z konfiguracją przełącznika sieciowego, która umożliwi inżynierowi w miejscu pracy dostosowanie przełącznika do potrzeb klienta.

Następne kroki

Integracja sieci