Robust nätverksdistribution i Azure Stack Hub
Det här avsnittet beskriver åtkomstbehörighet till TOR-växlar, IP-adresstilldelningar och andra aktiviteter för nätverksdistribution.
Planera konfigurationsdistribution
I nästa avsnitt beskrivs behörigheter och IP-adresstilldelningar.
Åtkomstkontrollista för fysisk växel
För att skydda Azure Stack-lösningen har vi implementerat åtkomstkontrollistor (ACL: er) på TOR-växlarna. I det här avsnittet beskrivs hur den här säkerheten implementeras. Tabellen nedan visar källor och mål för varje nätverk i Azure Stack-lösningen:
Tabellen nedan korrelerar ACL-referenserna med Azure Stack-nätverken.
| BMC Mgmt | Virtuell distributionsdator, BMC-gränssnitt, HLH-server NTP-server och DNS-server-IP-adresser som ingår som Tillåt baserat på protokoll och port. |
|---|---|
| HLH Intern tillgänglig (PDU) | Trafiken är begränsad till BMC-växeln |
| Extern tillgänglig HLH (VIRTUELL OEM-verktygsdator) | ACL tillåter åtkomst till utanför gränsenheten. |
| Växla mgmt | Dedikerade switchhanteringsgränssnitt. |
| Rygg mgmt | Dedikerade gränssnitt för ryggradshantering. |
| Azure Stack | Azure Stack-infrastrukturtjänster och virtuella datorer, begränsat nätverk |
| Infrastruktur | |
| Azure Stack | Azure Stack-skyddad slutpunkt, konsolserver för nödåterställning |
| Infrastruktur | |
| Offentlig (PEP/ERCS) | |
| Tor1,Tor2 RouterIP | Loopback-gränssnittet för växeln som används för BGP-peering mellan SLB och Switch/Router. |
| Storage | Privata IP-adresser dirigeras inte utanför regionen |
| Interna VIP-adresser | Privata IP-adresser dirigeras inte utanför regionen |
| Public-VIPs | Klientnätverkets adressutrymme som hanteras av nätverksstyrenheten. |
| Public-Admin-VIP | En liten delmängd av adresserna i klientpoolen som krävs för att kommunicera med Internal-VIPs och Azure Stack-infrastrukturen |
| Kund/Internet | Kunddefinierat nätverk. Ur Azure Stack-perspektivet är 0.0.0.0 kantenheten. |
| 0.0.0.0 | |
| Neka | Kunden har möjlighet att uppdatera det här fältet för att tillåta ytterligare nätverk för att aktivera hanteringsfunktioner. |
| Tillstånd | Tillåt trafik är aktiverat, men SSH är åtkomst inaktiverat som standard. Kunden kan välja att aktivera SSH-tjänsten. |
| Ingen väg | Vägar sprids inte utanför Azure Stack-miljön. |
| MUX ACL | Azure Stack MUX-ACL:er används. |
| Ej tillämpligt | Inte en del av en VLAN-ACL. |
IP-adresstilldelningar
I kalkylbladet Distribution uppmanas du att ange följande nätverksadresser som stöd för Azure Stack-distributionsprocessen. Distributionsteamet använder verktyget Distributionskalkylblad för att dela upp IP-nätverken i alla mindre nätverk som krävs av systemet. Se avsnittet "NÄTVERKSDESIGN OCH INFRASTRUKTUR" ovan för detaljerade beskrivningar av varje nätverk.
I det här exemplet fyller vi fliken Nätverk Inställningar i kalkylbladet Distribution med följande värden:
BMC-nätverk: 10.193.132.0 /27
Privata nätverk Storage Interna VIP:er för nätverk&: 11.11.128.0 /24
Infrastrukturnätverk: 12.193.130.0 /24
Offentligt virtuellt IP-nätverk (VIP): 13.200.132.0 /24
Växla infrastrukturnätverk: 10.193.132.128 /26
När du kör funktionen Generera i verktyget Distributionskalkylblad skapas två nya flikar i kalkylbladet. Den första fliken är Sammanfattning av undernät och visar hur supernäten delades för att skapa alla nätverk som krävs av systemet. I vårt exempel nedan finns det bara en delmängd av kolumnerna som finns på den här fliken. Det faktiska resultatet innehåller mer information om varje nätverk i listan:
| Rack | Undernätstyp | Namn | IPv4-undernät | IPv4-adresser |
|---|---|---|---|---|
| Kantlinje | P2P-länk | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| Kantlinje | P2P-länk | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| Kantlinje | P2P-länk | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| Kantlinje | P2P-länk | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| Kantlinje | P2P-länk | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| Kantlinje | P2P-länk | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | Loopback | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | Loopback | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | Loopback | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | P2P-länk | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | P2P-länk | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN | CL01-RG01-SU01-Storage | 11.11.128.0/25 | 128 |
| Rack1 | VLAN | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | Övrigt | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | Övrigt | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
Den andra fliken är IP-adressanvändning och visar hur IP-adresserna används:
BMC-nätverk
Supernätet för BMC-nätverket kräver minst ett /26-nätverk. Gatewayen använder den första IP-adressen i nätverket följt av BMC-enheterna i racket. Maskinvarulivscykelvärden har flera adresser tilldelade i det här nätverket och kan användas för att distribuera, övervaka och stödja racket. Dessa IP-adresser distribueras till 3 grupper: DVM, InternalAccessible och ExternalAccessible.
- Rack: Rack1
- Namn: BMCMgmt
| Tilldelad till | IPv4-adress |
|---|---|
| Nätverk | 10.193.132.0 |
| Gateway | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccessible-1 | 10.193.132.19 |
| ExternalAccessible-2 | 10.193.132.20 |
| ExternalAccessible-3 | 10.193.132.21 |
| ExternalAccessible-4 | 10.193.132.22 |
| ExternalAccessible-5 | 10.193.132.23 |
| InternalAccessible-1 | 10.193.132.24 |
| InternalAccessible-2 | 10.193.132.25 |
| InternalAccessible-3 | 10.193.132.26 |
| InternalAccessible-4 | 10.193.132.27 |
| InternalAccessible-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| Sändning | 10.193.132.31 |
Lagringsnätverk
Det Storage nätverket är ett privat nätverk och är inte avsett att dirigeras utanför racket. Det är den första halvan av private network-supernätet och används av växeln som distribueras enligt tabellen nedan. Gatewayen är den första IP-adressen i undernätet. Den andra halvan som används för interna VIP-adresser är en privat adresspool som hanteras av Azure Stack SLB och som inte visas på fliken IP-adressanvändning. Dessa nätverk stöder Azure Stack och det finns ACL:er på TOR-växlarna som hindrar dessa nätverk från att annonseras och/eller nås utanför lösningen.
- Rack: Rack1
- Namn: CL01-RG01-SU01-Storage
| Tilldelad till | IPv4-adress |
|---|---|
| Nätverk | 11.11.128.0 |
| Gateway | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| Sändning | 11.11.128.127 |
Azure Stack-infrastrukturnätverk
Infrastrukturnätverkets supernät kräver ett /24-nätverk och detta fortsätter att vara en /24 när kalkylbladsverktyget för distribution körs. Gatewayen blir den första IP-adressen i undernätet.
- Rack: Rack1
- Namn: CL01-RG01-SU01-Infra
| Tilldelad till | IPv4-adress |
|---|---|
| Nätverk | 12.193.130.0 |
| Gateway | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| Sändning | 12.193.130.255 |
Växla infrastrukturnätverk
Infrastrukturnätverket är indelat i flera nätverk som används av den fysiska växelinfrastrukturen. Detta skiljer sig från Azure Stack-infrastrukturen som endast stöder Azure Stack-programvaran. Switch Infra Network stöder endast infrastrukturen för fysiska växlar. De nätverk som stöds av infra är:
| Namn | IPv4-undernät |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
Punkt-till-punkt (P2P): Dessa nätverk tillåter anslutning mellan alla växlar. Undernätsstorleken är ett /30-nätverk för varje P2P. Den lägsta IP-adressen tilldelas alltid till den överordnade (norra) enheten i stacken.
Loopback: Dessa adresser är /32-nätverk som tilldelas till varje växel som används i racket. Kantlinjeenheterna tilldelas inte en loopback eftersom de inte förväntas ingå i Azure Stack-lösningen.
Switch Mgmt eller Switch Management: Det här /29-nätverket stöder de dedikerade hanteringsgränssnitten för växlarna i racket. IP-adresserna tilldelas på följande sätt. Den här tabellen finns också på fliken IP-adressanvändning i distributionskalkylbladet:
Rack: Rack1
Namn: SwitchMgmt
| Tilldelad till | IPv4-adress |
|---|---|
| Nätverk | 10.193.132.168 |
| Gateway | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| Sändning | 10.193.132.175 |
Förbereda miljön
Värdavbildningen för maskinvarulivscykeln innehåller den Linux-container som krävs för att generera konfigurationen av den fysiska nätverksväxlingen.
Det senaste partnerdistributionsverktyget innehåller den senaste containeravbildningen. Containeravbildningen på maskinvarulivscykelvärden kan ersättas när det behövs för att generera en uppdaterad växelkonfiguration.
Här följer stegen för att uppdatera containeravbildningen:
Ladda ned containeravbildningen
Ersätt containeravbildningen på följande plats
Generera konfiguration
Här går vi igenom stegen för att generera JSON-filerna och konfigurationsfilerna för nätverksväxeln:
Öppna kalkylbladet Distribution
Fyll i alla obligatoriska fält på alla flikar
Anropa funktionen "Generera" i distributionskalkylbladet.
Två extra flikar skapas som visar de genererade IP-undernäten och tilldelningarna.Granska data och anropa funktionen "Exportera" när de har bekräftats.
Du uppmanas att ange en mapp där JSON-filerna ska sparas.Kör containern med hjälp av Invoke-SwitchConfigGenerator.ps1. Det här skriptet kräver en upphöjd PowerShell-konsol för att köras och följande parametrar krävs för att köras.
ContainerName – namnet på den container som genererar växelkonfigurationerna.
ConfigurationData – sökväg till filen ConfigurationData.json som exporterats från kalkylbladet Distribution.
OutputDirectory – Sökväg till utdatakatalogen.
Offline – Signalerar att skriptet körs i offlineläge.
C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
När skriptet har slutförts skapas en zip-fil med prefixet som används i kalkylbladet.
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
Anpassad konfiguration
Du kan ändra några miljöinställningar för din Azure Stack-växelkonfiguration. Du kan identifiera vilka av de inställningar som du kan ändra i mallen. Den här artikeln förklarar var och en av de anpassningsbara inställningarna och hur ändringarna kan påverka din Azure Stack. De här inställningarna omfattar lösenordsuppdatering, syslog-server, SNMP-övervakning, autentisering och åtkomstkontrollistan.
Under distributionen av Azure Stack-lösningen skapar och tillämpar OEM-tillverkaren växelkonfigurationen för både TOR och BMC. OEM-tillverkaren använder Automation-verktyget Azure Stack för att verifiera att de nödvändiga konfigurationerna är korrekt inställda på dessa enheter. Konfigurationen baseras på informationen i kalkylbladet för Azure Stack-distribution.
Anteckning
Ändra inte konfigurationen utan medgivande från oem- eller Microsoft Azure Stack-teknikteamet. En ändring av nätverksenhetens konfiguration kan avsevärt påverka åtgärden eller felsökningen av nätverksproblem i din Azure Stack-instans. Kontakta OEM-maskinvaruleverantören eller Microsoft-supporten om du vill ha mer information om dessa funktioner på din nätverksenhet, hur du gör dessa ändringar. OEM-tillverkaren har konfigurationsfilen som skapats av automatiseringsverktyget baserat på kalkylbladet för Azure Stack-distribution.
Det finns dock vissa värden som kan läggas till, tas bort eller ändras i konfigurationen av nätverksväxlarna.
Lösenordsuppdatering
Operatören kan när som helst uppdatera lösenordet för alla användare på nätverksväxlarna. Det finns inget krav på att ändra någon information i Azure Stack-systemet eller att använda stegen för Att rotera hemligheter i Azure Stack.
Syslog-server
Operatörer kan omdirigera switchloggarna till en syslog-server i sitt datacenter. Använd den här konfigurationen för att säkerställa att loggarna från en viss tidpunkt kan användas för felsökning. Som standard lagras loggarna på växlarna. deras kapacitet för att lagra loggar är begränsad. I avsnittet Uppdateringar av åtkomstkontrollistan finns en översikt över hur du konfigurerar behörigheter för åtkomst till växlingshantering.
SNMP-övervakning
Operatören kan konfigurera SNMP v2 eller v3 (Simple Network Management Protocol) för att övervaka nätverksenheterna och skicka traps till ett program för nätverksövervakning i datacentret. Av säkerhetsskäl använder du SNMPv3 eftersom det är säkrare än v2. Kontakta OEM-maskinvaruleverantören för de MIB:er och den konfiguration som krävs. I avsnittet Uppdateringar av åtkomstkontrollistan finns en översikt över hur du konfigurerar behörigheter för åtkomst till växlingshantering.
Autentisering
Operatören kan konfigurera antingen RADIUS eller TACACS för att hantera autentisering på nätverksenheterna. Kontakta OEM-maskinvaruleverantören om de metoder och den konfiguration som stöds. I avsnittet Uppdateringar av åtkomstkontrollistan finns en översikt över hur du konfigurerar behörigheterna för åtkomst till växlingshantering.
Uppdateringar av åtkomstkontrollistan
Operatören kan ändra vissa åtkomstkontrollistor (ACL) för att tillåta åtkomst till nätverksenhetens hanteringsgränssnitt och maskinvarulivscykelvärden (HLH) från ett betrott datacenternätverksintervall. Operatorn kan välja vilken komponent som ska kunna nås och varifrån. Med åtkomstkontrollistan kan operatören tillåta sina virtuella datorer i jumpbox-hanteringen inom ett visst nätverksintervall att komma åt gränssnittet för växelhantering, HLH-operativsystemet och HLH BMC.
Mer information finns i åtkomstkontrollistan för fysiska växlar.
TACACS, RADIUS och Syslog
Azure Stack-lösningen levereras inte med en TACACS- eller RADIUS-lösning för åtkomstkontroll av enheter som switchar och routrar, eller en Syslog-lösning för att avbilda switchloggar, men alla dessa enheter stöder dessa tjänster. För att integrera med en befintlig TACACS-, RADIUS- och/eller Syslog-server i din miljö tillhandahåller vi en extra fil med nätverksväxelkonfigurationen som gör att teknikern på plats kan anpassa växeln efter kundens behov.