Развертывание сети износоустойчивое центра Azure StackAzure Stack Hub ruggedized network deployment

В этом разделе рассматривается разрешение на доступ к параметрам TOR, назначению IP-адресов и другим задачам сетевого развертывания.This topic covers access permission to the TOR switches, IP address assignments and other networking deployment tasks.

Планирование развертывания конфигурацииPlan configuration deployment

В следующих разделах рассматриваются разрешения и назначения IP-адресов.The next sections cover permissions and IP address assignments.

Список управления доступом к физическому коммутаторуPhysical switch access control list

Чтобы защитить решение Azure Stack, мы реализовали списки управления доступом (ACL) в параметрах TOR.To protect the Azure Stack solution, we have implemented access control lists (ACLs) on the TOR switches. В этом разделе описывается, как реализована эта безопасность.This section describes how this security is implemented. В таблице ниже показаны источники и назначения для каждой сети в решении Azure Stack.The table below shows the sources and destinations of every network inside the Azure Stack solution:

Схема списков управления доступом в параметрах TORA diagram of access control lists on the TOR switches

Приведенная ниже таблица сопоставляет ссылки ACL с Azure Stack сетями.The table below correlates the ACL references with the Azure Stack networks.

Управление BMCBMC Mgmt Виртуальные машины развертывания, интерфейс BMC, сервер NTP сервера HLH и IP-адрес сервера DNS, включенные в качестве разрешений на основе протокола и порта.Deployment VM, BMC Interface, HLH server NTP Server and DNS server IPs included as Permit based on the protocol and port.
Внутренние доступные HLH (PDU)HLH Internal Accessible (PDU) Трафик ограничивается коммутатором BMC.Traffic is limited to BMC Switch
HLH External доступный (виртуальная машина OEM-программы)HLH External Accessible (OEM Tool VM) ACL допускают доступ за пределы границ устройства.ACL permit access to beyond the border device.
Переключение для руководстваSwitch Mgmt Выделенные интерфейсы управления коммутатором.Dedicated Switch management interfaces.
Управление корешкойSpine Mgmt Выделенные интерфейсы управления корешки.Dedicated Spine management interfaces.
Azure StackAzure Stack Azure Stack службы инфраструктуры и виртуальные машины, ограниченная сетьAzure Stack Infrastructure services and VMs, restricted network
ИнфраструктураInfrastructure
Azure StackAzure Stack Защищенная конечная точка Azure Stack, сервер консоли аварийного восстановленияAzure Stack Protected Endpoint, Emergency Recovery Console Server
ИнфраструктураInfrastructure
Общедоступная (PEP/ERCS)Public (PEP/ERCS)
Tor1, Tor2 РаутерипTor1,Tor2 RouterIP Интерфейс замыкания на себя коммутатора, используемый для пиринга BGP между SLB и коммутатором/маршрутизатором.Loopback interface of the switch used for BGP peering between the SLB and Switch/Router.
ПамятьStorage Частные IP-адреса не направляются за пределы регионаPrivate IPs not routed outside of the Region
Внутренние виртуальные IP-адресаInternal VIPs Частные IP-адреса не направляются за пределы регионаPrivate IPs not routed outside of the Region
Public-VIPsPublic-VIPs Адресное пространство сети клиента, управляемое сетевым контроллером.Tenant network address space managed by the network controller.
Общедоступный-Admin-VIPPublic-Admin-VIPs Небольшое подмножество адресов в пуле клиентов, необходимое для взаимодействия Internal-VIPs и Azure Stack инфраструктурыSmall subset of addresses in the Tenant pool that are required to talk to Internal-VIPs and Azure Stack Infrastructure
Клиент/ИнтернетCustomer/Internet Сеть, определяемая клиентом.Customer defined network. С точки зрения Azure Stack 0.0.0.0 является устройством границы.From the perspective of Azure Stack 0.0.0.0 is the border device.
0.0.0.00.0.0.0
ЗапретитьDeny Клиент может обновить это поле, чтобы разрешить дополнительные сети для включения возможностей управления.Customer has the ability to update this field to permit additional networks to enable management capabilities.
ПустPermit Разрешить трафик включен, но по умолчанию доступ по протоколу SSH отключен.Permit traffic is enabled but SSH is access is disabled by default. Клиент может включить службу SSH.The customer can choose to enable SSH service.
Нет маршрутаNo Route Маршруты не распространяются вне среды Azure Stack.Routes are not propagated outside of the Azure Stack environment.
СПИСОК УПРАВЛЕНИЯ ДОСТУПОМ МУЛЬТИПЛЕКСОРАMUX ACL Используются Azure Stack списки управления доступом МУЛЬТИПЛЕКСОРа.Azure Stack MUX ACLs are utilized.
Н/ДN/A Не входит в список ACL виртуальной ЛС.Not a part of a VLAN ACL.

Назначение IP-адресовIP address assignments

На листе развертывания вам будет предложено предоставить следующие сетевые адреса для поддержки процесса развертывания Azure Stack.In the Deployment Worksheet, you are asked to provide the following network addresses to support the Azure Stack deployment process. Группа развертывания использует средство «журнал развертывания», чтобы разбить IP-сети на все меньшие сети, необходимые системе.The deployment team uses the Deployment Worksheet tool to break out the IP networks into all the smaller networks required by the system. Подробное описание каждой сети см. в разделе "структура и инфраструктура сети" выше.Please refer to the "NETWORK DESIGN AND INFRASTRUCTURE" section above for detailed descriptions of each network.

В этом примере вкладка Параметры сети на листе развертывания будет заполнена следующими значениями:In this example, we will fill the Network Settings tab of the Deployment Worksheet with the following values:

  • Сеть BMC: 10.193.132.0/27BMC Network: 10.193.132.0 /27

  • Сетевое хранилище частной сети & внутренние виртуальные IP-адреса: 11.11.128.0/24.Private Network Storage Network & Internal VIPs: 11.11.128.0 /24

  • Сеть инфраструктуры: 12.193.130.0/24.Infrastructure Network: 12.193.130.0 /24

  • Общедоступная виртуальная IP-сеть (VIP): 13.200.132.0/24.Public Virtual IP (VIP) Network: 13.200.132.0 /24

  • Переключение сети инфраструктуры: 10.193.132.128/26Switch Infrastructure Network: 10.193.132.128 /26

При выполнении функции Generate средства создания журнала развертывания в электронной таблице создаются две новые вкладки.When you run the Generate function of the Deployment Worksheet tool, it creates two new tabs on the spreadsheet. Первая вкладка — это сводка подсети, в которой показано разделение, чтобы создать все сети, необходимые системе.The first tab is the Subnet Summary and it shows how the supernets were split to create all the networks required by the system. В нашем примере ниже имеется только подмножество столбцов, найденных на этой вкладке. Фактический результат содержит дополнительные сведения о каждой из перечисленных сетей.In our example below there is only a subset of the columns found on this tab. The actual result has more details of each network listed:

СтойкаRack Тип подсетиSubnet Type имя;Name Подсеть IPv4IPv4 Subnet IPv4-адресаIPv4 Addresses
ГраницаBorder Ссылка P2PP2P Link P2P_Border и Border1_To_Rack1/TOR1P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/3010.193.132.128/30 44
ГраницаBorder Ссылка P2PP2P Link P2P_Border и Border1_To_Rack1/TOR2P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/3010.193.132.132/30 44
ГраницаBorder Ссылка P2PP2P Link P2P_Border и Border2_To_Rack1/TOR1P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/3010.193.132.136/30 44
ГраницаBorder Ссылка P2PP2P Link P2P_Border и Border2_To_Rack1/TOR2P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/3010.193.132.140/30 44
ГраницаBorder Ссылка P2PP2P Link P2P_Rack1 и TOR1_To_Rack1/БМКP2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/3010.193.132.144/30 44
ГраницаBorder Ссылка P2PP2P Link P2P_Rack1 и TOR2_To_Rack1/БМКP2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/3010.193.132.148/30 44
Rack1Rack1 Замыкание на себяLoopback Loopback0_Rack1_TOR1Loopback0_Rack1_TOR1 10.193.132.152/3210.193.132.152/32 11
Rack1Rack1 Замыкание на себяLoopback Loopback0_Rack1_TOR2Loopback0_Rack1_TOR2 10.193.132.153/3210.193.132.153/32 11
Rack1Rack1 Замыкание на себяLoopback Loopback0_Rack1_BMCLoopback0_Rack1_BMC 10.193.132.154/3210.193.132.154/32 11
Rack1Rack1 Ссылка P2PP2P Link P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/3010.193.132.156/30 44
Rack1Rack1 Ссылка P2PP2P Link P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/3010.193.132.160/30 44
Rack1Rack1 Виртуальная локальная сетьVLAN бмкмгмтBMCMgmt 10.193.132.0/2710.193.132.0/27 3232
Rack1Rack1 Виртуальная локальная сетьVLAN свитчмгмтSwitchMgmt 10.193.132.168/2910.193.132.168/29 88
Rack1Rack1 Виртуальная локальная сетьVLAN CL01-RG01-SU01 — хранилищеCL01-RG01-SU01-Storage 11.11.128.0/2511.11.128.0/25 128128
Rack1Rack1 Виртуальная локальная сетьVLAN CL01-RG01-SU01 — взаиморепликацияCL01-RG01-SU01-Infra 12.193.130.0/2412.193.130.0/24 256256
Rack1Rack1 ДругиеOther CL01-RG01-SU01-VIPCL01-RG01-SU01-VIPS 13.200.132.0/2413.200.132.0/24 256256
Rack1Rack1 ДругиеOther CL01-RG01-SU01-ИнтерналвипсCL01-RG01-SU01-InternalVIPS 11.11.128.128/2511.11.128.128/25 128128

Вторая вкладка — Использование IP-адреса , и она показывает, как потребляются адреса.The second tab is IP Address Usage and it shows how the IPs are consumed:

Сеть BMCBMC network

Для Суперсеть для сети BMC требуется по меньшей мере сеть (/26).The supernet for the BMC network requires a /26 network at a minimum. Шлюз использует первый IP-адрес в сети, за которым следуют устройства BMC в стойке.The gateway uses the first IP in the network followed by the BMC devices in the rack. Узлу жизненного цикла оборудования назначено несколько адресов в этой сети. их можно использовать для развертывания, мониторинга и поддержки стойки.The hardware lifecycle host has multiple addresses assigned on this network and can be used to deploy, monitor, and support the rack. Эти IP-адреса распределяются по трем группам: DVM, Интерналакцессибле и Екстерналакцессибле.These IPs are distributed into 3 groups: DVM, InternalAccessible and ExternalAccessible.

  • Стойка: Rack1Rack: Rack1
  • Имя: БмкмгмтName: BMCMgmt
Кому назначеноAssigned To IPv4-адресIPv4 Address
СетьNetwork 10.193.132.010.193.132.0
ШлюзGateway 10.193.132.110.193.132.1
HLH-BMCHLH-BMC 10.193.132.210.193.132.2
AzS-Node01AzS-Node01 10.193.132.310.193.132.3
AzS-Node02AzS-Node02 10.193.132.410.193.132.4
AzS-Node03AzS-Node03 10.193.132.510.193.132.5
AzS-Node04AzS-Node04 10.193.132.610.193.132.6
Екстерналакцессибле-1ExternalAccessible-1 10.193.132.1910.193.132.19
Екстерналакцессибле-2ExternalAccessible-2 10.193.132.2010.193.132.20
Екстерналакцессибле-3ExternalAccessible-3 10.193.132.2110.193.132.21
Екстерналакцессибле-4ExternalAccessible-4 10.193.132.2210.193.132.22
Екстерналакцессибле-5ExternalAccessible-5 10.193.132.2310.193.132.23
Интерналакцессибле-1InternalAccessible-1 10.193.132.2410.193.132.24
Интерналакцессибле-2InternalAccessible-2 10.193.132.2510.193.132.25
Интерналакцессибле-3InternalAccessible-3 10.193.132.2610.193.132.26
Интерналакцессибле-4InternalAccessible-4 10.193.132.2710.193.132.27
Интерналакцессибле-5InternalAccessible-5 10.193.132.2810.193.132.28
CL01-RG01-SU01-DVM00CL01-RG01-SU01-DVM00 10.193.132.2910.193.132.29
HLH-OSHLH-OS 10.193.132.3010.193.132.30
ШироковещательноеBroadcast 10.193.132.3110.193.132.31

Сетевое хранилищеStorage network

Сеть хранения — это частная сеть, которая не направляется за пределы стойки.The Storage network is a private network and isn’t intended to be routed beyond the rack. Это первая половина Суперсеть частной сети, которая используется коммутатором, как показано в таблице ниже.It’s the first half of the Private Network supernet and it’s used by the switch distributed as shown on the table below. Шлюз является первым IP-адресом в подсети.The gateway is the first IP in the subnet. Вторая половина, используемая для внутренних виртуальных IP-адресов, — это частный пул адресов, который управляется Azure Stack SLB, не отображается на вкладке Использование IP-адреса. Эти сети поддерживают Azure Stack и существуют списки ACL для коммутаторов TOR, которые предотвращают объявление этих сетей и/или доступ к ним за пределами решения.The second half used for the Internal VIPs is a private pool of addresses that is managed by Azure Stack SLB, is not shown on the IP Address Usage tab. These networks support Azure Stack and there are ACLs on the TOR switches that prevent these networks from been advertised and/or accessed outside the solution.

  • Стойка: Rack1Rack: Rack1
  • Имя: CL01-RG01-SU01-Storage.Name: CL01-RG01-SU01-Storage
Кому назначеноAssigned To IPv4-адресIPv4 Address
СетьNetwork 11.11.128.011.11.128.0
ШлюзGateway 11.11.128.111.11.128.1
TOR1TOR1 11.11.128.211.11.128.2
TOR2TOR2 11.11.128.311.11.128.3
ШироковещательноеBroadcast 11.11.128.12711.11.128.127

Сеть инфраструктуры Azure StackAzure Stack infrastructure network

Для сетевой Суперсеть инфраструктуры требуется сеть/24, а после запуска средства листа развертывания — значение/24.The infrastructure network supernet requires a /24 network and this continues to be a /24 after the Deployment Worksheet tool runs. Шлюз будет первым IP-адресом в подсети.The gateway will be the first IP in the subnet.

  • Стойка: Rack1Rack: Rack1
  • Имя: CL01-RG01-SU01-некотораяName: CL01-RG01-SU01-Infra
Кому назначеноAssigned To IPv4-адресIPv4 Address
СетьNetwork 12.193.130.012.193.130.0
ШлюзGateway 12.193.130.112.193.130.1
TOR1TOR1 12.193.130.212.193.130.2
TOR2TOR2 12.193.130.312.193.130.3
ШироковещательноеBroadcast 12.193.130.25512.193.130.255

Сеть инфраструктуры коммутаторовSwitch infrastructure network

Сеть инфраструктуры разбивается на несколько сетей, используемых инфраструктурой физического коммутатора.The infrastructure network is broken into multiple networks used by the physical switch infrastructure. Это отличается от инфраструктуры Azure Stack, которая поддерживает только Azure Stack программное обеспечение.This is different from the Azure Stack Infrastructure which only supports the Azure Stack software. Коммутатор сети коммутации поддерживает только инфраструктуру физического коммутатора.The Switch Infra Network supports only the physical switch infrastructure. Поддерживаются следующие сети:The networks that are supported by infra are:

имя;Name Подсеть IPv4IPv4 Subnet
P2P_Border и Border1_To_Rack1/TOR1P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/3010.193.132.128/30
P2P_Border и Border1_To_Rack1/TOR2P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/3010.193.132.132/30
P2P_Border и Border2_To_Rack1/TOR1P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/3010.193.132.136/30
P2P_Border и Border2_To_Rack1/TOR2P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/3010.193.132.140/30
P2P_Rack1 и TOR1_To_Rack1/БМКP2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/3010.193.132.144/30
P2P_Rack1 и TOR2_To_Rack1/БМКP2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/3010.193.132.148/30
Loopback0_Rack1_TOR1Loopback0_Rack1_TOR1 10.193.132.152/3210.193.132.152/32
Loopback0_Rack1_TOR2Loopback0_Rack1_TOR2 10.193.132.153/3210.193.132.153/32
Loopback0_Rack1_BMCLoopback0_Rack1_BMC 10.193.132.154/3210.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/3010.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/3010.193.132.160/30
свитчмгмтSwitchMgmt 10.193.132.168/2910.193.132.168/29
  • Точка-точка (P2P). Эти сети обеспечивают подключение между всеми коммутаторами.Point-to-point (P2P): These networks allow connectivity between all switches. Размер подсети — a/30 сеть для каждого P2P.The subnet size is a /30 network for each P2P. Самый низкий IP-адрес всегда назначается вышестоящему (северному) устройству в стеке.The lowest IP is always assigned to the upstream (North) device on the stack.

  • Петлевой: эти адреса —/32 сети, назначенные каждому коммутатору, используемому в стойке.Loopback: These addresses are /32 networks that are assigned to each switch used in the rack. Устройствам с границами не назначается замыкание на себя, так как они не должны входить в состав решения Azure Stack.The border devices are not assigned a loopback since they aren’t expected to be part of the Azure Stack solution.

  • Переключение или управление коммутаторами: Эта/29 сеть поддерживает выделенные интерфейсы управления коммутаторами в стойке.Switch Mgmt or Switch Management: This /29 network supports the dedicated management interfaces of the switches in the rack. IP-адреса присваиваются следующим образом. эту таблицу также можно найти на вкладке Использование IP-адреса на листе развертывания:The IPs are assigned as follows; this table can also be found on the IP Address Usage tab of the Deployment Worksheet:

  • Стойка: Rack1Rack: Rack1

  • Имя: СвитчмгмтName: SwitchMgmt

Кому назначеноAssigned To IPv4-адресIPv4 Address
СетьNetwork 10.193.132.16810.193.132.168
ШлюзGateway 10.193.132.16910.193.132.169
TOR1TOR1 10.193.132.17010.193.132.170
TOR2TOR2 10.193.132.17110.193.132.171
ШироковещательноеBroadcast 10.193.132.17510.193.132.175

Подготовка средыPrepare environment

Образ узла жизненного цикла оборудования содержит необходимый контейнер Linux, который используется для создания конфигурации физического сетевого коммутатора.The hardware lifecycle host image does contain the required Linux container that is used to generate the physical network switch configuration.

Последний набор средств для развертывания партнеров включает последний образ контейнера.The latest partner deployment toolkit does include the latest container image. Образ контейнера на узле жизненного цикла оборудования можно заменить, если необходимо создать обновленную конфигурацию коммутатора.The container image on the hardware lifecycle host can be replaced when it is necessary to generate an updated switch configuration.

Ниже приведены действия по обновлению образа контейнера.Here are the steps to update the container image:

  1. Скачивание образа контейнераDownload the container image

  2. Замените образ контейнера в следующем расположении.Replace the container image at the following location

Создать конфигурациюGenerate configuration

Здесь мы рассмотрим шаги по созданию JSON-файлов и файлов конфигурации сетевого коммутатора.Here we will walk you through the steps of generating the JSON files and the Network Switch Configuration files:

  1. Открыть лист развертыванияOpen the Deployment Worksheet

  2. Заполнить все обязательные поля на всех вкладкахFill all the required fields on all tabs

  3. Вызов функции "Generate" на листе развертывания.Invoke the "Generate" function on the Deployment Worksheet.
    Будут созданы две дополнительные вкладки, в которых отображаются созданные IP-подсети и назначения.Two extra tabs will be created displaying the generated IP subnets and assignments.

  4. Проверьте данные и после подтверждения вызовите функцию "Export".Review the data and once confirmed, invoke the "Export" function.
    Вам будет предложено указать папку, в которой будут сохраняться JSON-файлы.You will be prompted to provide a folder in which the JSON files will be saved.

  5. Выполните контейнер с помощью Invoke-SwitchConfigGenerator.ps1.Execute the container using the Invoke-SwitchConfigGenerator.ps1. Для выполнения этого скрипта требуется консоль PowerShell с повышенными привилегиями, которая требует выполнения следующих параметров.This script requires an elevated PowerShell console to execute and requires the following parameters to execute.

    • ContainerName — имя контейнера, который будет формировать конфигурации коммутаторов.ContainerName – Name of the container that will generate the switch configs.

    • ConfigurationData — путь к ConfigurationData.jsу файла, экспортированного из листа развертывания.ConfigurationData – Path to the ConfigurationData.json file exported from the Deployment Worksheet.

    • OutputDirectory — путь к выходному каталогу.OutputDirectory – Path to the output directory.

    • Вне сети — сигнализирует, что сценарий выполняется в автономном режиме.Offline – Signals that the script runs in offline mode.

    C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
    

По завершении скрипта создается ZIP-файл с префиксом, используемым на листе.When the script completes, it will produce a zip file with the prefix used in the worksheet.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Настраиваемая конфигурацияCustom configuration

Для конфигурации коммутатора Azure Stack можно изменить несколько параметров среды.You can modify a few environmental settings for your Azure Stack switch configuration. Можно выбрать параметры, которые можно изменить в шаблоне.You can identify which of the settings you can change in the template. В этой статье описывается каждый из этих настраиваемых параметров и объясняется, как изменения могут повлиять на Azure Stack.This article explains each of those customizable settings, and how the changes can affect your Azure Stack. Эти параметры охватывают обновление паролей, сервер системного журнала, мониторинг SNMP, аутентификацию и список управления доступом.These settings include password update, syslog server, SNMP monitoring, authentication, and the access control list.

При развертывании решения Azure Stack изготовитель оборудования создает конфигурацию коммутатора и применяет ее к точкам выхода TOR и контроллеру BMC.During deployment of the Azure Stack solution, the original equipment manufacturer (OEM) creates and applies the switch configuration for both TORs and BMC. Изготовитель оборудования использует средство автоматизации Azure Stack для проверки правильности настройки требуемых конфигураций на этих устройствах.The OEM uses the Azure Stack automation tool to validate that the required configurations are properly set on these devices. Конфигурация основывается на данных из листа сведений о развертывании Azure Stack.The configuration is based the information in your Azure Stack Deployment Worksheet.

Примечание

Не изменяйте конфигурацию без согласия изготовителя оборудования или группы разработчиков Microsoft Azure Stack.Do not alter the configuration without consent from either the OEM or the Microsoft Azure Stack engineering team. Изменение конфигурации сетевого устройства может значительно повлиять на работу или устранение сетевых неполадок в экземпляре Azure Stack.A change to the network device configuration can significantly impact the operation or troubleshooting of network issues in your Azure Stack instance. Чтобы получить дополнительные сведения об этих функциях сетевого устройства и о том, как внести изменения, обратитесь к поставщику оборудования от изготовителя оборудования или в службу поддержки Майкрософт.For more information about these functions on your network device, how to make these changes, please contact your OEM hardware provider or Microsoft support. Изготовитель оборудования предоставляет файл конфигурации, созданный средством автоматизации на основе листа сведений о развертывании Azure Stack.Your OEM has the configuration file created by the automation tool based on your Azure Stack deployment worksheet.

Однако некоторые значения в конфигурации сетевых коммутаторов можно добавлять, удалять или изменять.However, there are some values that can be added, removed, or changed on the configuration of the network switches.

Обновление пароляPassword update

Оператор может обновить пароль любого пользователя сетевых коммутаторов в любое время.The operator may update the password for any user on the network switches at any time. Нет необходимости изменять какие-либо данные в системе Azure Stack или выполнять действия по смене секретов в Azure Stack.There isn't a requirement to change any information on the Azure Stack system, or to use the steps for Rotate secrets in Azure Stack.

Сервер системного журналаSyslog server

Операторы могут перенаправлять журналы коммутатора на сервер системного журнала в центре обработки данных.Operators can redirect the switch logs to a syslog server on their datacenter. Используйте эту конфигурацию, чтобы журналы для определенной точки во времени можно было использовать для устранения неполадок.Use this configuration to ensure that the logs from a particular point in time can be used for troubleshooting. По умолчанию журналы хранятся на коммутаторах, а их емкость для хранения журналов ограничена.By default, the logs are stored on the switches; their capacity for storing logs is limited. В разделе Обновления списка управления доступом ознакомьтесь с общими сведениями о настройке разрешений на доступ для управления коммутатором.Check the Access control list updates section for an overview of how to configure the permissions for switch management access.

Мониторинг SNMPSNMP monitoring

Оператор может настроить протокол SNMP версии 2 или 3 для мониторинга сетевых устройств и отправки ловушек в приложение мониторинга сети в центре обработки данных.The operator can configure simple network management protocol (SNMP) v2 or v3 to monitor the network devices and send traps to a network monitoring application on the datacenter. Из соображений безопасности следует использовать протокол SNMP версии 3, так как он более надежный, чем протокол версии 2.For security reasons, use SNMPv3 since it is more secure than v2. Обратитесь к поставщику оборудования от изготовителя оборудования, чтобы получить сведения о MIB и обязательной конфигурации.Consult your OEM hardware provider for the MIBs and configuration required. В разделе Обновления списка управления доступом ознакомьтесь с общими сведениями о настройке разрешений на доступ для управления коммутатором.Check the Access control list updates section for an overview of how to configure the permissions for switch management access.

АутентификацияAuthentication

Оператор может настроить RADIUS или TACACS для управления аутентификацией на сетевых устройствах.The operator can configure either RADIUS or TACACS to manage authentication on the network devices. Обратитесь к поставщику оборудования от изготовителя оборудования, чтобы получить сведения о поддерживаемых методах и обязательной конфигурации.Consult your OEM hardware provider for supported methods and configuration required. В разделе Обновления списка управления доступом ознакомьтесь с общими сведениями о настройке разрешений на доступ для управления коммутатором.Check the Access control list updates section for an overview of how to configure the permissions for Switch Management access.

Обновления списка управления доступомAccess control list updates

Оператор может изменить некоторые списки управления доступом (ACL), чтобы разрешить доступ к интерфейсам управления сетевыми устройствами и узлу жизненного цикла оборудования (HLH) из доверенного диапазона номеров сети центра обработки данных.The operator can change some access control list (ACL)s to allow access to network device management interfaces and the hardware lifecycle host (HLH) from a trusted datacenter network range. Оператор может выбрать, какой компонент будет доступен и откуда.The operator can pick which component will be reachable and from where. С помощью списка управления доступом оператор может разрешить виртуальным машинам управления Jumpbox в определенном диапазоне номеров сети доступ к интерфейсу управления коммутатором, а также ОС и BMC узла жизненного цикла оборудования (HLH).With the access control list, The operator can allow their management jumpbox VMs within a specific network range to access the switch management interface, and the HLH OS, and the HLH BMC.

Дополнительные сведения см. в разделе физический коммутатор список управления доступом.For further details see Physical switch access control list.

Аутентификация TACACS, RADIUS и syslogTACACS, RADIUS and Syslog

Решение Azure Stack не будет поставлено в решение аутентификации TACACS или RADIUS для управления доступом к устройствам, таким как коммутаторы и маршрутизаторы, а также решение syslog для записи журналов коммутатора, но все эти устройства поддерживают эти службы.The Azure Stack solution will not be shipped with a TACACS or RADIUS solution for access control of devices like the switches and routers, nor a Syslog solution to capture switch logs, but all these devices support those services. Для интеграции с существующим сервером TACACS, RADIUS и/или syslog в вашей среде мы предложим дополнительный файл с конфигурацией сетевого коммутатора, который позволит инженерам настроить коммутатор в соответствии с потребностями клиента.To help integrate with an existing TACACS, RADIUS and/or Syslog server on your environment, we will provide an extra file with the Network Switch Configuration which will allow the engineer onsite to customize the switch to the customer’s needs.

Дальнейшие действияNext steps

Сетевая интеграцияNetwork integration