Implantação de rede

Este tópico abrange a permissão de acesso aos comutadores TOR, atribuições de endereços IP e outras tarefas de implementação em rede.

Implementação de configuração de plano

As próximas secções abrangem permissões e atribuições de endereços IP.

Lista de controlo de acesso ao interruptor físico

Para proteger a solução Azure Stack, implementámos listas de controlo de acesso (ACLs) nos interruptores TOR. Esta secção descreve como esta segurança é implementada. A tabela abaixo mostra as fontes e destinos de cada rede dentro da solução Azure Stack:

Um diagrama de listas de controlo de acesso nos interruptores TOR

O quadro abaixo correlaciona as referências ACL com as redes Azure Stack.

Rede Descrição
BMC Mgmt Interno O tráfego está limitado apenas a internos.
BMC Mgmt Externa A ACL permite o acesso para além do dispositivo fronteiriço.
Armazenamento Mgmt alargado Interfaces de gestão dedicadas para o sistema de armazenamento alargado
Switch Mgmt Interfaces de gestão de Switch dedicadas.
"Infraestrutura de Pilha azul" Serviços de Infraestrutura Azure Stack e VM's, rede restrita
Infraestrutura de Azure Stack Pública (PEP/ERCS) Azure Stack Ponto Final Protegido, Servidor de Consola de Recuperação de Emergência. O cliente pode abrir a ACL para permitir o tráfego para a sua rede de gestão de datacenter.
Tor1,Tor2 RouterIP Interface loopback do interruptor utilizado para o espreguiços de BGP entre o SLB e o Switch/Router. O cliente terá a discrição de bloquear estes IPs na fronteira.
Armazenamento IPs privados não encaminhados para fora da Região
VIPs Internos IPs privados não encaminhados para fora da Região
VIPs públicos Espaço de endereço de rede de inquilinos gerido pelo controlador de rede.
Administradores públicos VIPs Pequeno subconjunto de endereços na piscina do inquilino que são obrigados a falar com Internal-VIPs e Infraestrutura de Pilha de Azure
Redes Permitidas Rede definida pelo cliente.
0.0.0.0 Do ponto de vista do Azure Stack 0.0.0.0 é o dispositivo de fronteira.
Licença O tráfego de licença está ativado, mas o acesso SSH está bloqueado por defeito.
Sem Rota As rotas não são propagadas fora do ambiente Azure Stack.
MUX ACL Azure Stack MUX ACLs são utilizados.
N/A Não faz parte de um VLAN ACL.

Atribuições de endereços IP

Na Folha de Implementação, é-lhe pedido que forneça os seguintes endereços de rede para suportar o processo de implementação da Pilha Azure. A equipa de implementação utiliza a ferramenta Folha de Distribuição para eliminar as redes IP em todas as redes mais pequenas exigidas pelo sistema.

Neste exemplo, preencheremos o separador Definições rede da Folha de Implantação com os seguintes valores:

  • Rede BMC: 10.193.132.0 /27

  • Rede Privada Armazenamento & VIPs Internos da Rede: 11.11.128.0 /20

  • Rede de Infraestruturas: 12.193.130.0 /24

  • Rede De IP Virtual Público (VIP): 13.200.132.0 /24

  • Rede de Infraestruturas switch: 10.193.132.128 /26

Quando executa a função Gerar a função 'Gerar' da ferramenta Folha de Função de Implantação, cria dois novos separadores na folha de cálculo. O primeiro separador é o Resumo da Subnet e mostra como as supernets foram divididas para criar todas as redes necessárias pelo sistema. No nosso exemplo abaixo existe apenas um subconjunto das colunas encontradas neste separador. O resultado real tem mais detalhes de cada rede listada:

Rack Tipo de sub-rede Nome Sub-rede IPv4 Endereços IPv4
Limite Ligação P2P P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30 4
Limite Ligação P2P P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30 4
Limite Ligação P2P P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30 4
Limite Ligação P2P P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30 4
Limite Ligação P2P P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30 4
Limite Ligação P2P P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30 4
Rack1 Loopback Loopback0_Rack1_TOR1 10.193.132.152/32 1
Rack1 Loopback Loopback0_Rack1_TOR2 10.193.132.153/32 1
Rack1 Loopback Loopback0_Rack1_BMC 10.193.132.154/32 1
Rack1 Ligação P2P P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30 4
Rack1 Ligação P2P P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30 4
Rack1 Rio VLAN BMCMgmt 10.193.132.0/27 32
Rack1 Rio VLAN SwitchMgmt 10.193.132.168/29 8
Rack1 Rio VLAN CL01-RG01-SU01-Armazenamento 11.11.128.0/25 128
Rack1 Rio VLAN CL01-RG01-SU01-Infra 12.193.130.0/24 256
Rack1 Outros CL01-RG01-SU01-VIPS 13.200.132.0/24 256
Rack1 Outros CL01-RG01-SU01-INTERNALVIPS 11.11.128.128/25 128

O segundo separador é o Uso de Endereço IP e mostra como os IPs são consumidos:

Rede BMC

A supernet para a rede BMC requer uma rede /26 no mínimo. O gateway utiliza o primeiro IP na rede seguido pelos dispositivos BMC na cremalheira. O anfitrião do ciclo de vida de hardware tem vários endereços atribuídos nesta rede e pode ser usado para implantar, monitorizar e suportar a cremalheira. Estes IPs são distribuídos em 3 grupos: DVM, InternalAccessible e ExternalAccecessible.

  • Cremalheira: Rack1
  • Nome: BMCMgmt
Atribuído a Endereço IPv4
Rede 10.193.132.0
Gateway 10.193.132.1
HLH-BMC 10.193.132.2
AzS-Node01 10.193.132.3
AzS-Node02 10.193.132.4
AzS-Node03 10.193.132.5
AzS-Node04 10.193.132.6
ExternalAccessible-1 10.193.132.19
ExternalAccessible-2 10.193.132.20
ExternalAccessible-3 10.193.132.21
ExternalAccessible-4 10.193.132.22
ExternalAccessible-5 10.193.132.23
InternalAccessible-1 10.193.132.24
InternalAccessible-2 10.193.132.25
InternalAccessible-3 10.193.132.26
InternalAccessible-4 10.193.132.27
InternalAccessible-5 10.193.132.28
CL01-RG01-SU01-DVM00 10.193.132.29
HLH-OS 10.193.132.30
Difusão 10.193.132.31

Rede de armazenamento

A rede Armazenamento é uma rede privada e não se destina a ser encaminhada para além da prateleira. É a primeira metade da supernet da Rede Privada e é usada pelo interruptor distribuído como mostrado na tabela abaixo. O portal é o primeiro IP na sub-rede. A segunda metade utilizada para os VIPs Internos é um conjunto privado de endereços que é gerido pelo Azure Stack SLB, não é mostrado no separador de Utilização de Endereços IP. Estas redes suportam o Azure Stack e existem ACLs nos interruptores TOR que impedem que estas redes sejam publicitadas e/ou acedidas fora da solução.

  • Cremalheira: Rack1
  • Nome: CL01-RG01-SU01-Armazenamento
Atribuído a Endereço IPv4
Rede 11.11.128.0
Gateway 11.11.128.1
TOR1 11.11.128.2
TOR2 11.11.128.3
Difusão 11.11.128.127

Rede de infraestruturas Azure Stack

A supernet da rede de infraestruturas requer uma rede /24 e esta continua a ser uma /24 após o funcionamento da ferramenta de folha de implantação. O portal será o primeiro IP na sub-rede.

  • Cremalheira: Rack1
  • Nome: CL01-RG01-SU01-Infra
Atribuído a Endereço IPv4
Rede 12.193.130.0
Gateway 12.193.130.1
TOR1 12.193.130.2
TOR2 12.193.130.3
Difusão 12.193.130.255

Rede de infraestruturas de comutação

A rede de infraestruturas é dividida em várias redes utilizadas pela infraestrutura de comutação física. Isto é diferente da Infraestrutura Azure Stack que suporta apenas o software Azure Stack. A Rede Infra Switch suporta apenas a infraestrutura do interruptor físico. As redes suportadas por infra são:

Nome Sub-rede IPv4
P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30
P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30
P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30
P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30
P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30
P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30
Loopback0_Rack1_TOR1 10.193.132.152/32
Loopback0_Rack1_TOR2 10.193.132.153/32
Loopback0_Rack1_BMC 10.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30
SwitchMgmt 10.193.132.168/29
  • Ponto a ponto (P2P): Estas redes permitem a conectividade entre todos os interruptores. O tamanho da sub-rede é uma rede /30 para cada P2P. O IP mais baixo é sempre atribuído ao dispositivo a montante (Norte) na pilha.

  • Loopback: Estes endereços são redes /32 que são atribuídas a cada interruptor utilizado na cremalheira. Os dispositivos fronteiriços não são atribuídos um loopback, uma vez que não se espera que sejam parte da solução Azure Stack.

  • Switch Mgmt ou Switch Management: Esta rede /29 suporta as interfaces de gestão dedicadas dos interruptores na cremalheira. Os IPs são atribuídos da seguinte forma; esta tabela também pode ser encontrada no separador de utilização do endereço IP da Folha de Trabalho de Implantação:

  • Cremalheira: Rack1

  • Nome: SwitchMgmt

Atribuído a Endereço IPv4
Rede 10.193.132.168
Gateway 10.193.132.169
TOR1 10.193.132.170
TOR2 10.193.132.171
Difusão 10.193.132.175

Preparar o ambiente

A imagem do anfitrião do ciclo de vida do hardware contém o recipiente Linux necessário que é utilizado para gerar a configuração do interruptor de rede física.

O mais recente conjunto de ferramentas de implementação de parceiros inclui a mais recente imagem do recipiente. A imagem do recipiente no anfitrião do ciclo de vida do hardware pode ser substituída quando é necessário gerar uma configuração atualizada do interruptor.

Aqui estão os passos para atualizar a imagem do recipiente:

  1. Descarregue a imagem do recipiente

  2. Substitua a imagem do recipiente no local seguinte

Gerar configuração

Aqui iremos acompanhá-lo através dos passos de geração dos ficheiros JSON e dos ficheiros de Configuração da Switch de Rede:

  1. Abra a folha de funções de implantação

  2. Preencha todos os campos necessários em todos os separadores

  3. Invocar a função "Gerar" na folha de funções de implantação.
    Serão criados dois separadores extra que exibem as sub-redes e atribuições IP geradas.

  4. Reveja os dados e, uma vez confirmados, invoque a função "Exportação".
    Será solicitado que forneça uma pasta na qual os ficheiros JSON serão guardados.

  5. Execute o recipiente utilizando o Invoke-SwitchConfigGenerator.ps1. Este script requer que uma consola PowerShell elevada seja executada e requer que os seguintes parâmetros executem.

    • Nome de recipiente – Nome do recipiente que gerará o interruptor configs.

    • ConfigurationData – Caminho para o ficheiro ConfigurationData.json exportado da Folha de Distribuição.

    • OutputDirectory – Caminho para o diretório de saída.

    • Offline – Sinaliza que o script funciona em modo offline.

    C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
    

Quando o script estiver concluído, produzirá um ficheiro zip com o prefixo utilizado na folha de cálculo.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Configuração personalizada

Pode modificar algumas definições ambientais para a configuração do interruptor Azure Stack. Pode identificar quais das definições que pode alterar no modelo. Este artigo explica cada uma dessas definições personalizáveis e como as alterações podem afetar a sua Pilha de Azure. Estas definições incluem a atualização de passwords, servidor syslog, monitorização SNMP, autenticação e a lista de controlo de acesso.

Durante a implantação da solução Azure Stack, o fabricante de equipamento original (OEM) cria e aplica a configuração do interruptor tanto para TORs como para BMC. O OEM utiliza a ferramenta de automatização Azure Stack para validar que as configurações necessárias estão corretamente definidas nestes dispositivos. A configuração baseia-se na informação na sua Folha de Implementação da Pilha de Azure.

Nota

Não altere a configuração sem o consentimento da equipa de engenharia OEM ou Microsoft Azure Stack. Uma alteração na configuração do dispositivo de rede pode ter um impacto significativo na operação ou resolução de problemas de problemas de rede na sua instância Azure Stack. Para obter mais informações sobre estas funções no seu dispositivo de rede, como efec se estas alterações, contacte o seu fornecedor de hardware OEM ou o suporte da Microsoft. O seu OEM tem o ficheiro de configuração criado pela ferramenta de automatização com base na sua folha de implantação Azure Stack.

No entanto, existem alguns valores que podem ser adicionados, removidos ou alterados na configuração dos interruptores de rede.

Atualização de palavra-passe

O operador pode atualizar a palavra-passe para qualquer utilizador nos interruptores de rede a qualquer momento. Não existe um requisito para alterar qualquer informação sobre o sistema Azure Stack, ou para usar os passos para segredos rotativos em Azure Stack.

Syslog server

Os operadores podem redirecionar os registos do Switch para um servidor syslog no seu centro de dados. Utilize esta configuração para garantir que os troncos de um determinado ponto do tempo podem ser utilizados para a resolução de problemas. Por predefinição, os registos são armazenados nos interruptores; a sua capacidade de armazenar troncos é limitada. Consulte a secção de atualizações da lista de controlo do Access para obter uma visão geral de como configurar as permissões de acesso à gestão da switch.

Monitorização do SNMP

O operador pode configurar um protocolo simples de gestão da rede (SNMP) v2 ou V3 para monitorizar os dispositivos de rede e enviar armadilhas para uma aplicação de monitorização da rede no datacenter. Por razões de segurança, utilize o SNMPv3 uma vez que é mais seguro do que v2. Consulte o seu fornecedor de hardware OEM para os MIBs e configuração necessárias. Consulte a secção de atualizações da lista de controlo do Access para obter uma visão geral de como configurar as permissões de acesso à gestão da switch.

Autenticação

O operador pode configurar o RADIUS ou o TACACS para gerir a autenticação nos dispositivos de rede. Consulte o seu fornecedor de hardware OEM para obter métodos e configurações suportados. Consulte a secção de atualizações da lista de controlo do Access para obter uma visão geral de como configurar as permissões de acesso à Switch Management.

Atualizações da lista de controlo de acesso

O operador pode alterar algumas listas de controlo de acesso (ACL)s para permitir o acesso às interfaces de gestão de dispositivos de rede e ao anfitrião do ciclo de vida de hardware (HLH) a partir de uma gama de rede de datacenter fidedigna. O operador pode escolher qual o componente que será acessível e de onde. Com a lista de controlo de acesso, o operador pode permitir que os seus VMs de caixa de salto de gestão de gestão dentro de uma gama de rede específica aceda à interface de gestão do comutador, e ao HLH OS e ao HLH BMC.

Para mais detalhes consulte a lista de controlo de acesso ao switch físico.

TACACS, RADIUS e Syslog

A solução Azure Stack não será enviada com uma solução TACACS ou RADIUS para controlo de acesso de dispositivos como os comutadores e routers, nem uma solução Syslog para capturar registos de comutadores, mas todos estes dispositivos suportam esses serviços. Para ajudar a integrar-se com um servidor TACACS, RADIUS e/ou Syslog existente no seu ambiente, forneceremos um ficheiro extra com a Configuração do Switch de Rede que permitirá ao engenheiro no local personalizar o interruptor às necessidades do cliente.

Passos seguintes

Integração da rede