Robust nätverksdistribution i Azure Stack Hub

Det här avsnittet beskriver åtkomstbehörighet till TOR-växlar, IP-adresstilldelningar och andra aktiviteter för nätverksdistribution.

Planera konfigurationsdistribution

I nästa avsnitt beskrivs behörigheter och IP-adresstilldelningar.

Åtkomstkontrollista för fysisk växel

För att skydda Azure Stack-lösningen har vi implementerat åtkomstkontrollistor (ACL: er) på TOR-växlarna. I det här avsnittet beskrivs hur den här säkerheten implementeras. Tabellen nedan visar källor och mål för varje nätverk i Azure Stack-lösningen:

A diagram of access control lists on the TOR switches

Tabellen nedan korrelerar ACL-referenserna med Azure Stack-nätverken.

BMC Mgmt Virtuell distributionsdator, BMC-gränssnitt, HLH-server NTP-server och DNS-server-IP-adresser som ingår som Tillåt baserat på protokoll och port.
HLH Intern tillgänglig (PDU) Trafiken är begränsad till BMC-växeln
Extern tillgänglig HLH (VIRTUELL OEM-verktygsdator) ACL tillåter åtkomst till utanför gränsenheten.
Växla mgmt Dedikerade switchhanteringsgränssnitt.
Rygg mgmt Dedikerade gränssnitt för ryggradshantering.
Azure Stack Azure Stack-infrastrukturtjänster och virtuella datorer, begränsat nätverk
Infrastruktur
Azure Stack Azure Stack-skyddad slutpunkt, konsolserver för nödåterställning
Infrastruktur
Offentlig (PEP/ERCS)
Tor1,Tor2 RouterIP Loopback-gränssnittet för växeln som används för BGP-peering mellan SLB och Switch/Router.
Storage Privata IP-adresser dirigeras inte utanför regionen
Interna VIP-adresser Privata IP-adresser dirigeras inte utanför regionen
Public-VIPs Klientnätverkets adressutrymme som hanteras av nätverksstyrenheten.
Public-Admin-VIP En liten delmängd av adresserna i klientpoolen som krävs för att kommunicera med Internal-VIPs och Azure Stack-infrastrukturen
Kund/Internet Kunddefinierat nätverk. Ur Azure Stack-perspektivet är 0.0.0.0 kantenheten.
0.0.0.0
Neka Kunden har möjlighet att uppdatera det här fältet för att tillåta ytterligare nätverk för att aktivera hanteringsfunktioner.
Tillstånd Tillåt trafik är aktiverat, men SSH är åtkomst inaktiverat som standard. Kunden kan välja att aktivera SSH-tjänsten.
Ingen väg Vägar sprids inte utanför Azure Stack-miljön.
MUX ACL Azure Stack MUX-ACL:er används.
Ej tillämpligt Inte en del av en VLAN-ACL.

IP-adresstilldelningar

I kalkylbladet Distribution uppmanas du att ange följande nätverksadresser som stöd för Azure Stack-distributionsprocessen. Distributionsteamet använder verktyget Distributionskalkylblad för att dela upp IP-nätverken i alla mindre nätverk som krävs av systemet. Se avsnittet "NÄTVERKSDESIGN OCH INFRASTRUKTUR" ovan för detaljerade beskrivningar av varje nätverk.

I det här exemplet fyller vi fliken Nätverk Inställningar i kalkylbladet Distribution med följande värden:

  • BMC-nätverk: 10.193.132.0 /27

  • Privata nätverk Storage Interna VIP:er för nätverk&: 11.11.128.0 /24

  • Infrastrukturnätverk: 12.193.130.0 /24

  • Offentligt virtuellt IP-nätverk (VIP): 13.200.132.0 /24

  • Växla infrastrukturnätverk: 10.193.132.128 /26

När du kör funktionen Generera i verktyget Distributionskalkylblad skapas två nya flikar i kalkylbladet. Den första fliken är Sammanfattning av undernät och visar hur supernäten delades för att skapa alla nätverk som krävs av systemet. I vårt exempel nedan finns det bara en delmängd av kolumnerna som finns på den här fliken. Det faktiska resultatet innehåller mer information om varje nätverk i listan:

Rack Undernätstyp Namn IPv4-undernät IPv4-adresser
Kantlinje P2P-länk P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30 4
Kantlinje P2P-länk P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30 4
Kantlinje P2P-länk P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30 4
Kantlinje P2P-länk P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30 4
Kantlinje P2P-länk P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30 4
Kantlinje P2P-länk P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30 4
Rack1 Loopback Loopback0_Rack1_TOR1 10.193.132.152/32 1
Rack1 Loopback Loopback0_Rack1_TOR2 10.193.132.153/32 1
Rack1 Loopback Loopback0_Rack1_BMC 10.193.132.154/32 1
Rack1 P2P-länk P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30 4
Rack1 P2P-länk P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30 4
Rack1 VLAN BMCMgmt 10.193.132.0/27 32
Rack1 VLAN SwitchMgmt 10.193.132.168/29 8
Rack1 VLAN CL01-RG01-SU01-Storage 11.11.128.0/25 128
Rack1 VLAN CL01-RG01-SU01-Infra 12.193.130.0/24 256
Rack1 Övrigt CL01-RG01-SU01-VIPS 13.200.132.0/24 256
Rack1 Övrigt CL01-RG01-SU01-InternalVIPS 11.11.128.128/25 128

Den andra fliken är IP-adressanvändning och visar hur IP-adresserna används:

BMC-nätverk

Supernätet för BMC-nätverket kräver minst ett /26-nätverk. Gatewayen använder den första IP-adressen i nätverket följt av BMC-enheterna i racket. Maskinvarulivscykelvärden har flera adresser tilldelade i det här nätverket och kan användas för att distribuera, övervaka och stödja racket. Dessa IP-adresser distribueras till 3 grupper: DVM, InternalAccessible och ExternalAccessible.

  • Rack: Rack1
  • Namn: BMCMgmt
Tilldelad till IPv4-adress
Nätverk 10.193.132.0
Gateway 10.193.132.1
HLH-BMC 10.193.132.2
AzS-Node01 10.193.132.3
AzS-Node02 10.193.132.4
AzS-Node03 10.193.132.5
AzS-Node04 10.193.132.6
ExternalAccessible-1 10.193.132.19
ExternalAccessible-2 10.193.132.20
ExternalAccessible-3 10.193.132.21
ExternalAccessible-4 10.193.132.22
ExternalAccessible-5 10.193.132.23
InternalAccessible-1 10.193.132.24
InternalAccessible-2 10.193.132.25
InternalAccessible-3 10.193.132.26
InternalAccessible-4 10.193.132.27
InternalAccessible-5 10.193.132.28
CL01-RG01-SU01-DVM00 10.193.132.29
HLH-OS 10.193.132.30
Sändning 10.193.132.31

Lagringsnätverk

Det Storage nätverket är ett privat nätverk och är inte avsett att dirigeras utanför racket. Det är den första halvan av private network-supernätet och används av växeln som distribueras enligt tabellen nedan. Gatewayen är den första IP-adressen i undernätet. Den andra halvan som används för interna VIP-adresser är en privat adresspool som hanteras av Azure Stack SLB och som inte visas på fliken IP-adressanvändning. Dessa nätverk stöder Azure Stack och det finns ACL:er på TOR-växlarna som hindrar dessa nätverk från att annonseras och/eller nås utanför lösningen.

  • Rack: Rack1
  • Namn: CL01-RG01-SU01-Storage
Tilldelad till IPv4-adress
Nätverk 11.11.128.0
Gateway 11.11.128.1
TOR1 11.11.128.2
TOR2 11.11.128.3
Sändning 11.11.128.127

Azure Stack-infrastrukturnätverk

Infrastrukturnätverkets supernät kräver ett /24-nätverk och detta fortsätter att vara en /24 när kalkylbladsverktyget för distribution körs. Gatewayen blir den första IP-adressen i undernätet.

  • Rack: Rack1
  • Namn: CL01-RG01-SU01-Infra
Tilldelad till IPv4-adress
Nätverk 12.193.130.0
Gateway 12.193.130.1
TOR1 12.193.130.2
TOR2 12.193.130.3
Sändning 12.193.130.255

Växla infrastrukturnätverk

Infrastrukturnätverket är indelat i flera nätverk som används av den fysiska växelinfrastrukturen. Detta skiljer sig från Azure Stack-infrastrukturen som endast stöder Azure Stack-programvaran. Switch Infra Network stöder endast infrastrukturen för fysiska växlar. De nätverk som stöds av infra är:

Namn IPv4-undernät
P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30
P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30
P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30
P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30
P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30
P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30
Loopback0_Rack1_TOR1 10.193.132.152/32
Loopback0_Rack1_TOR2 10.193.132.153/32
Loopback0_Rack1_BMC 10.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30
SwitchMgmt 10.193.132.168/29
  • Punkt-till-punkt (P2P): Dessa nätverk tillåter anslutning mellan alla växlar. Undernätsstorleken är ett /30-nätverk för varje P2P. Den lägsta IP-adressen tilldelas alltid till den överordnade (norra) enheten i stacken.

  • Loopback: Dessa adresser är /32-nätverk som tilldelas till varje växel som används i racket. Kantlinjeenheterna tilldelas inte en loopback eftersom de inte förväntas ingå i Azure Stack-lösningen.

  • Switch Mgmt eller Switch Management: Det här /29-nätverket stöder de dedikerade hanteringsgränssnitten för växlarna i racket. IP-adresserna tilldelas på följande sätt. Den här tabellen finns också på fliken IP-adressanvändning i distributionskalkylbladet:

  • Rack: Rack1

  • Namn: SwitchMgmt

Tilldelad till IPv4-adress
Nätverk 10.193.132.168
Gateway 10.193.132.169
TOR1 10.193.132.170
TOR2 10.193.132.171
Sändning 10.193.132.175

Förbereda miljön

Värdavbildningen för maskinvarulivscykeln innehåller den Linux-container som krävs för att generera konfigurationen av den fysiska nätverksväxlingen.

Det senaste partnerdistributionsverktyget innehåller den senaste containeravbildningen. Containeravbildningen på maskinvarulivscykelvärden kan ersättas när det behövs för att generera en uppdaterad växelkonfiguration.

Här följer stegen för att uppdatera containeravbildningen:

  1. Ladda ned containeravbildningen

  2. Ersätt containeravbildningen på följande plats

Generera konfiguration

Här går vi igenom stegen för att generera JSON-filerna och konfigurationsfilerna för nätverksväxeln:

  1. Öppna kalkylbladet Distribution

  2. Fyll i alla obligatoriska fält på alla flikar

  3. Anropa funktionen "Generera" i distributionskalkylbladet.
    Två extra flikar skapas som visar de genererade IP-undernäten och tilldelningarna.

  4. Granska data och anropa funktionen "Exportera" när de har bekräftats.
    Du uppmanas att ange en mapp där JSON-filerna ska sparas.

  5. Kör containern med hjälp av Invoke-SwitchConfigGenerator.ps1. Det här skriptet kräver en upphöjd PowerShell-konsol för att köras och följande parametrar krävs för att köras.

    • ContainerName – namnet på den container som genererar växelkonfigurationerna.

    • ConfigurationData – sökväg till filen ConfigurationData.json som exporterats från kalkylbladet Distribution.

    • OutputDirectory – Sökväg till utdatakatalogen.

    • Offline – Signalerar att skriptet körs i offlineläge.

    C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
    

När skriptet har slutförts skapas en zip-fil med prefixet som används i kalkylbladet.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Anpassad konfiguration

Du kan ändra några miljöinställningar för din Azure Stack-växelkonfiguration. Du kan identifiera vilka av de inställningar som du kan ändra i mallen. Den här artikeln förklarar var och en av de anpassningsbara inställningarna och hur ändringarna kan påverka din Azure Stack. De här inställningarna omfattar lösenordsuppdatering, syslog-server, SNMP-övervakning, autentisering och åtkomstkontrollistan.

Under distributionen av Azure Stack-lösningen skapar och tillämpar OEM-tillverkaren växelkonfigurationen för både TOR och BMC. OEM-tillverkaren använder Automation-verktyget Azure Stack för att verifiera att de nödvändiga konfigurationerna är korrekt inställda på dessa enheter. Konfigurationen baseras på informationen i kalkylbladet för Azure Stack-distribution.

Anteckning

Ändra inte konfigurationen utan medgivande från oem- eller Microsoft Azure Stack-teknikteamet. En ändring av nätverksenhetens konfiguration kan avsevärt påverka åtgärden eller felsökningen av nätverksproblem i din Azure Stack-instans. Kontakta OEM-maskinvaruleverantören eller Microsoft-supporten om du vill ha mer information om dessa funktioner på din nätverksenhet, hur du gör dessa ändringar. OEM-tillverkaren har konfigurationsfilen som skapats av automatiseringsverktyget baserat på kalkylbladet för Azure Stack-distribution.

Det finns dock vissa värden som kan läggas till, tas bort eller ändras i konfigurationen av nätverksväxlarna.

Lösenordsuppdatering

Operatören kan när som helst uppdatera lösenordet för alla användare på nätverksväxlarna. Det finns inget krav på att ändra någon information i Azure Stack-systemet eller att använda stegen för Att rotera hemligheter i Azure Stack.

Syslog-server

Operatörer kan omdirigera switchloggarna till en syslog-server i sitt datacenter. Använd den här konfigurationen för att säkerställa att loggarna från en viss tidpunkt kan användas för felsökning. Som standard lagras loggarna på växlarna. deras kapacitet för att lagra loggar är begränsad. I avsnittet Uppdateringar av åtkomstkontrollistan finns en översikt över hur du konfigurerar behörigheter för åtkomst till växlingshantering.

SNMP-övervakning

Operatören kan konfigurera SNMP v2 eller v3 (Simple Network Management Protocol) för att övervaka nätverksenheterna och skicka traps till ett program för nätverksövervakning i datacentret. Av säkerhetsskäl använder du SNMPv3 eftersom det är säkrare än v2. Kontakta OEM-maskinvaruleverantören för de MIB:er och den konfiguration som krävs. I avsnittet Uppdateringar av åtkomstkontrollistan finns en översikt över hur du konfigurerar behörigheter för åtkomst till växlingshantering.

Autentisering

Operatören kan konfigurera antingen RADIUS eller TACACS för att hantera autentisering på nätverksenheterna. Kontakta OEM-maskinvaruleverantören om de metoder och den konfiguration som stöds. I avsnittet Uppdateringar av åtkomstkontrollistan finns en översikt över hur du konfigurerar behörigheterna för åtkomst till växlingshantering.

Uppdateringar av åtkomstkontrollistan

Operatören kan ändra vissa åtkomstkontrollistor (ACL) för att tillåta åtkomst till nätverksenhetens hanteringsgränssnitt och maskinvarulivscykelvärden (HLH) från ett betrott datacenternätverksintervall. Operatorn kan välja vilken komponent som ska kunna nås och varifrån. Med åtkomstkontrollistan kan operatören tillåta sina virtuella datorer i jumpbox-hanteringen inom ett visst nätverksintervall att komma åt gränssnittet för växelhantering, HLH-operativsystemet och HLH BMC.

Mer information finns i åtkomstkontrollistan för fysiska växlar.

TACACS, RADIUS och Syslog

Azure Stack-lösningen levereras inte med en TACACS- eller RADIUS-lösning för åtkomstkontroll av enheter som switchar och routrar, eller en Syslog-lösning för att avbilda switchloggar, men alla dessa enheter stöder dessa tjänster. För att integrera med en befintlig TACACS-, RADIUS- och/eller Syslog-server i din miljö tillhandahåller vi en extra fil med nätverksväxelkonfigurationen som gör att teknikern på plats kan anpassa växeln efter kundens behov.

Nästa steg

Nätverksintegrering