Implantação de rede resistente ao Hub de Azure Stack

Este tópico aborda a permissão de acesso para as opções TOR, atribuições de endereço IP e outras tarefas de implantação de rede.

Implantação de configuração do plano

As seções a seguir abordam permissões e atribuições de endereço IP.

Lista de controle de acesso do comutador físico

Para proteger a solução de Azure Stack, implementamos ACLs (listas de controle de acesso) nos comutadores TOR. Esta seção descreve como essa segurança é implementada. A tabela a seguir mostra as origens e os destinos de cada rede dentro da solução de Azure Stack:

Um diagrama de listas de controle de acesso nas opções de TOR

A tabela a seguir correlaciona as referências de ACL com as redes Azure Stack.

Gerenciamento de BMC VM de implantação, interface do BMC, servidor NTP do HLH Server e IPs do servidor DNS incluídos como permissão com base no protocolo e na porta.
HLH interno acessível (PDU) O tráfego é limitado à opção do BMC
HLH externally Accessible (VM de ferramenta OEM) A ACL permite o acesso a além do dispositivo de borda.
Gerenciamento de comutador Interfaces de gerenciamento de comutador dedicado.
Gerenciamento de linhagem Interfaces de gerenciamento de linhagem dedicada.
Azure Stack Hub Serviços de infraestrutura Azure Stack e VMs, rede restrita
Infraestrutura
Azure Stack Hub Ponto de extremidade protegido Azure Stack, servidor do console de recuperação de emergência
Infraestrutura
Público (PEP/ERCS)
Tor1,Tor2 RouterIP Interface de loopback da opção usada para emparelhamento via protocolo BGP entre o SLB e o comutador/roteador.
Armazenamento IPs privados não roteados para fora da região
VIPs internos IPs privados não roteados para fora da região
Public-VIPs Espaço de endereço de rede de locatário gerenciado pelo controlador de rede.
Público-admin-VIPs Pequeno subconjunto de endereços no pool de locatários que são necessários para se comunicar com a infraestrutura de Internal-VIPs e Azure Stack
Cliente/Internet Rede definida pelo cliente. Da perspectiva do Azure Stack 0.0.0.0 é o dispositivo de borda.
0.0.0.0
Deny O cliente tem a capacidade de atualizar esse campo para permitir que outras redes habilitem os recursos de gerenciamento.
Oferecem Permitir que o tráfego esteja habilitado, mas o acesso SSH está desabilitado por padrão. O cliente pode optar por habilitar o serviço SSH.
Sem rota As rotas não são propagadas fora do ambiente de Azure Stack.
ACL DO MUX Azure Stack ACLs do MUX são utilizadas.
N/A Não faz parte de uma ACL de VLAN.

Atribuições de endereço IP

Na planilha de implantação, você será solicitado a fornecer os seguintes endereços de rede para dar suporte ao processo de implantação de Azure Stack. A equipe de implantação usa a ferramenta de planilha de implantação para dividir as redes IP em todas as redes menores exigidas pelo sistema. Veja a seção "DESIGN e infraestrutura de rede" acima para obter descrições detalhadas de cada rede.

neste exemplo, preencheremos a guia Network Configurações da planilha de implantação com os seguintes valores:

  • Rede BMC: 10.193.132.0/27

  • VIPs internos da rede Armazenamento rede privada & : 11.11.128.0/24

  • Rede de infraestrutura: 12.193.130.0/24

  • Rede IP virtual pública (VIP): 13.200.132.0/24

  • Alternar rede de infraestrutura: 10.193.132.128/26

Quando você executa a função Generate da ferramenta de planilha de implantação, ela cria duas novas guias na planilha. A primeira guia é o resumo da sub-rede e mostra como as superredes foram divididas para criar todas as redes exigidas pelo sistema. Em nosso exemplo abaixo, há apenas um subconjunto das colunas encontradas nessa guia. O resultado real tem mais detalhes de cada rede listada:

Montável Tipo de sub-rede Nome Sub-rede IPv4 Endereços IPv4
Borda Link P2P P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30 4
Borda Link P2P P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30 4
Borda Link P2P P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30 4
Borda Link P2P P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30 4
Borda Link P2P P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30 4
Borda Link P2P P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30 4
Rack1 Loopback Loopback0_Rack1_TOR1 10.193.132.152/32 1
Rack1 Loopback Loopback0_Rack1_TOR2 10.193.132.153/32 1
Rack1 Loopback Loopback0_Rack1_BMC 10.193.132.154/32 1
Rack1 Link P2P P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30 4
Rack1 Link P2P P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30 4
Rack1 VLAN BMCMgmt 10.193.132.0/27 32
Rack1 VLAN SwitchMgmt 10.193.132.168/29 8
Rack1 VLAN CL01-RG01-SU01-Armazenamento 11.11.128.0/25 128
Rack1 VLAN CL01-RG01-SU01-infraestrutura 12.193.130.0/24 256
Rack1 Outro CL01-RG01-SU01-VIPS 13.200.132.0/24 256
Rack1 Outro CL01-RG01-SU01-InternalVIPS 11.11.128.128/25 128

A segunda guia é o uso de endereço IP e mostra como os IPs são consumidos:

Rede BMC

O super-rede para a rede do BMC requer uma rede/26 no mínimo. O gateway usa o primeiro IP na rede seguido pelos dispositivos BMC no rack. O host de ciclo de vida de hardware tem vários endereços atribuídos nessa rede e pode ser usado para implantar, monitorar e dar suporte ao rack. Esses IPs são distribuídos em 3 grupos: DVM, InternalAccessible e ExternalAccessible.

  • Rack: Rack1
  • Nome: BMCMgmt
Atribuído a Endereço IPv4
Rede 10.193.132.0
Gateway 10.193.132.1
HLH-BMC 10.193.132.2
AzS-Node01 10.193.132.3
AzS-Node02 10.193.132.4
AzS-Node03 10.193.132.5
AzS-Node04 10.193.132.6
ExternalAccessible-1 10.193.132.19
ExternalAccessible-2 10.193.132.20
ExternalAccessible-3 10.193.132.21
ExternalAccessible-4 10.193.132.22
ExternalAccessible-5 10.193.132.23
InternalAccessible-1 10.193.132.24
InternalAccessible-2 10.193.132.25
InternalAccessible-3 10.193.132.26
InternalAccessible-4 10.193.132.27
InternalAccessible-5 10.193.132.28
CL01-RG01-SU01-DVM00 10.193.132.29
HLH-OS 10.193.132.30
Transmissão 10.193.132.31

Rede de armazenamento

A Armazenamento rede é uma rede privada e não se destina a ser roteada além do rack. É a primeira metade da super-rede de Rede Privada e é usada pela opção distribuída, conforme mostrado na tabela abaixo. O gateway é o primeiro IP na sub-rede. A segunda metade usada para os VIPs internos é um pool privado de endereços gerenciados pelo Azure Stack SLB, não é mostrado na guia Uso de Endereço IP. Essas redes são Azure Stack e há ACLs nos comutadores TOR que impedem que essas redes sejam anunciadas e/ou acessadas fora da solução.

  • Rack: Rack1
  • Nome: CL01-RG01-SU01-Armazenamento
Atribuído a Endereço IPv4
Rede 11.11.128.0
Gateway 11.11.128.1
TOR1 11.11.128.2
TOR2 11.11.128.3
Transmissão 11.11.128.127

Azure Stack de infraestrutura

A super-rede de rede de infraestrutura requer uma rede /24 e continua sendo /24 depois que a ferramenta Planilha de Implantação é executado. O gateway será o primeiro IP na sub-rede.

  • Rack: Rack1
  • Nome: CL01-RG01-SU01-Infra
Atribuído a Endereço IPv4
Rede 12.193.130.0
Gateway 12.193.130.1
TOR1 12.193.130.2
TOR2 12.193.130.3
Transmissão 12.193.130.255

Alternar rede de infraestrutura

A rede de infraestrutura é dividida em várias redes usadas pela infraestrutura de comu switch físico. Isso é diferente da infraestrutura Azure Stack que dá suporte apenas ao Azure Stack software. A Opção Infraestrutura de Rede dá suporte apenas à infraestrutura de comu switch físico. As redes com suporte pelo infra são:

Nome Sub-rede IPv4
P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30
P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30
P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30
P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30
P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30
P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30
Loopback0_Rack1_TOR1 10.193.132.152/32
Loopback0_Rack1_TOR2 10.193.132.153/32
Loopback0_Rack1_BMC 10.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30
SwitchMgmt 10.193.132.168/29
  • P2P (ponto a ponto): essas redes permitem conectividade entre todos os comutadores. O tamanho da sub-rede é uma rede /30 para cada P2P. O IP mais baixo sempre é atribuído ao dispositivo upstream (Norte) na pilha.

  • Loopback: esses endereços são redes /32 que são atribuídas a cada opção usada no rack. Os dispositivos de borda não são atribuídos a um loopback, pois eles não devem fazer parte da solução Azure Stack segurança.

  • Alternar Gerenciamento de Comutadores ou Mgmt: essa rede /29 dá suporte às interfaces de gerenciamento dedicadas dos comutadores no rack. Os IPs são atribuídos da seguinte forma; esta tabela também pode ser encontrada na guia Uso de Endereço IP da Planilha de Implantação:

  • Rack: Rack1

  • Nome: SwitchMgmt

Atribuído a Endereço IPv4
Rede 10.193.132.168
Gateway 10.193.132.169
TOR1 10.193.132.170
TOR2 10.193.132.171
Transmissão 10.193.132.175

Preparar o ambiente

A imagem do host do ciclo de vida de hardware contém o contêiner do Linux necessário que é usado para gerar a configuração do com opção de rede física.

O kit de ferramentas de implantação de parceiro mais recente inclui a imagem de contêiner mais recente. A imagem de contêiner no host do ciclo de vida de hardware pode ser substituída quando for necessário gerar uma configuração de com opção atualizada.

Aqui estão as etapas para atualizar a imagem do contêiner:

  1. Baixar a imagem do contêiner

  2. Substituir a imagem de contêiner no seguinte local

Gerar configuração

Aqui, vamos orientá-lo pelas etapas de geração dos arquivos JSON e dos arquivos de configuração do comutador de rede:

  1. Abrir a planilha de implantação

  2. Preencher todos os campos obrigatórios em todas as guias

  3. Invoque a função "Generate" na planilha de implantação.
    Duas guias extras serão criadas exibindo as sub-redes IP e atribuições geradas.

  4. Examine os dados e, depois de confirmar, invoque a função de "exportação".
    Você será solicitado a fornecer uma pasta na qual os arquivos JSON serão salvos.

  5. Execute o contêiner usando o Invoke-SwitchConfigGenerator.ps1. Esse script requer um console do PowerShell com privilégios elevados para executar e requer os seguintes parâmetros para ser executado.

    • ContainerName – nome do contêiner que irá gerar as configurações do comutador.

    • ConfigurationData – caminho para o arquivo ConfigurationData. JSON exportado da planilha de implantação.

    • OutputDirectory – caminho para o diretório de saída.

    • Offline – sinaliza que o script é executado no modo offline.

    C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
    

Quando o script for concluído, ele produzirá um arquivo zip com o prefixo usado na planilha.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Configuração personalizada

Você pode modificar algumas configurações ambientais para a configuração do comutador Azure Stack. Você pode identificar quais das configurações podem ser alteradas no modelo. Este artigo explica cada uma dessas configurações personalizáveis e como as alterações podem afetar o Azure Stack. Essas configurações incluem atualização de senha, servidor syslog, monitoramento SNMP, autenticação e lista de controle de acesso.

Durante a implantação da solução de Azure Stack, o OEM (fabricante original do equipamento) cria e aplica a configuração do comutador para tores e BMC. O OEM usa a ferramenta de automação de Azure Stack para validar que as configurações necessárias estão definidas corretamente nesses dispositivos. A configuração baseia-se nas informações em sua planilha de implantação do Azure Stack.

Observação

não altere a configuração sem autorização do OEM ou da equipe de engenharia do Microsoft Azure Stack. Uma alteração na configuração do dispositivo de rede pode afetar significativamente a operação ou a solução de problemas de rede em sua instância de Azure Stack. Para obter mais informações sobre essas funções em seu dispositivo de rede, como fazer essas alterações, entre em contato com seu provedor de hardware OEM ou com o suporte da Microsoft. O OEM tem o arquivo de configuração criado pela ferramenta de automação com base em sua planilha de implantação do Azure Stack.

No entanto, há alguns valores que podem ser adicionados, removidos ou alterados na configuração dos comutadores de rede.

Atualização de senha

O operador pode atualizar a senha para qualquer usuário em comutadores de rede a qualquer momento. Não há necessidade de alterar nenhuma informação no sistema Azure Stack ou usar as etapas para girar segredos no Azure Stack.

Servidor syslog

Os operadores podem redirecionar os logs de comutador para um servidor syslog em seu datacenter. Use essa configuração para garantir que os logs de um determinado ponto no tempo possam ser usados para solução de problemas. Por padrão, os logs são armazenados nos comutadores; sua capacidade de armazenamento de logs é limitada. Verifique a seção atualizações da lista de controle de acesso para obter uma visão geral de como configurar as permissões para acesso de gerenciamento de comutação.

Monitoramento de SNMP

O operador pode configurar o protocolo SNMP v2 ou V3 para monitorar os dispositivos de rede e enviar interceptações para um aplicativo de monitoramento de rede no datacenter. Por motivos de segurança, use o SNMPv3, pois ele é mais seguro do que a v2. Consulte seu provedor de hardware OEM para obter as MIBs e a configuração necessárias. Verifique a seção atualizações da lista de controle de acesso para obter uma visão geral de como configurar as permissões para acesso de gerenciamento de comutação.

Autenticação

O operador pode configurar RADIUS ou TACACS para gerenciar a autenticação nos dispositivos de rede. Consulte o provedor de hardware OEM para obter os métodos com suporte e a configuração necessária. Verifique a seção atualizações da lista de controle de acesso para obter uma visão geral de como configurar as permissões para acesso de gerenciamento de comutação.

Atualizações da lista de controle de acesso

O operador pode alterar algumas ACLs (lista de controle de acesso) para permitir o acesso a interfaces de gerenciamento de dispositivo de rede e o HLH (host de ciclo de vida de hardware) de um intervalo de rede de datacenter confiável. O operador pode escolher qual componente será acessível e de onde. Com a lista de controle de acesso, o operador pode permitir que suas VMs Jumpbox de gerenciamento em um intervalo de rede específico acessem a interface de gerenciamento de comutador e o sistema operacional HLH e o HLH BMC.

Para obter mais detalhes, consulte lista de controle de acesso de comutador físico.

TACACS, RADIUS e syslog

A solução Azure Stack não será enviada com uma solução TACACS ou RADIUS para controle de acesso de dispositivos como os switches e roteadores, nem uma solução de syslog para capturar logs de switch, mas todos esses dispositivos dão suporte a esses serviços. Para ajudar a integrar com um servidor TACACS, RADIUS e/ou syslog existente em seu ambiente, forneceremos um arquivo extra com a configuração do comutador de rede que permitirá que o engenheiro no local Personalize o comutador para as necessidades do cliente.

Próximas etapas

Integração de rede