Ağ tümleştirmesiNetwork integration

• 01/02/2020
• Okumak için 10 dakika
• • P
  • o

Bu makalede, Azure modüler veri merkezi için Azure Stack Ağ tümleştirmesi ele alınmaktadır.This article covers Azure Stack network integration for Azure Modular Datacenter.

Sınır bağlantısı (yukarı bağlantı)Border connectivity (uplink)

Ağ tümleştirme planlaması, başarılı Azure Stack tümleşik sistemler dağıtımı, işlemi ve yönetimi için önemli bir önkoşuldur.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. Sınır bağlantı planlaması, Sınır Ağ Geçidi Protokolü (BGP) veya statik yönlendirme ile dinamik yönlendirmeyi kullanmak istiyorsanız öğesini seçerek başlar.Border connectivity planning begins by choosing if you want to use dynamic routing with the Border Gateway Protocol (BGP) or static routing. Dinamik yönlendirme için bir 16 bit BGP otonom sistem numarası (genel veya özel) atamanız gerekir.Dynamic routing requires that you assign a 16-bit BGP autonomous system number (public or private). Statik yönlendirme, kenarlık cihazlarına atanan statik bir varsayılan yol kullanır.Static routing uses a static default route that's assigned to the border devices.

Edge anahtarları, fiziksel arabirimlerde yapılandırılmış noktadan noktaya IP 'Ler (/30 ağ) ile katman 3 yukarı bağlantılar gerektirir.The edge switches require Layer 3 uplinks with point-to-point IPs (/30 networks) configured on the physical interfaces. Azure Stack işlemleri destekleyen kenar anahtarları olan katman 2 yukarı bağlantılar desteklenmez.Layer 2 uplinks with edge switches supporting Azure Stack operations isn't supported.

BGP yönlendirmeBGP routing

BGP gibi dinamik bir yönlendirme protokolü kullanmak sisteminizin ağ değişikliklerinin her zaman farkında olmasını sağlar ve yönetimini kolaylaştırır.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. Gelişmiş güvenlik için, uç ve kenarlık arasındaki BGP eşleme üzerinde bir parola ayarlayabilirsiniz.For enhanced security, you can set a password on the BGP peering between the edge and the border.

Aşağıdaki diyagramda gösterildiği gibi, raf üstü (TOR) anahtarındaki özel IP alanının tanıtılması bir ön ek listesi kullanılarak engellenir.As shown in the following diagram, advertising of the private IP space on the top-of-rack (TOR) switch is blocked by using a prefix list. Ön ek listesi özel ağın tanıtımını reddeder ve bu, TOR ile kenar arasındaki bağlantıda bir yol haritası olarak uygulanır.The prefix list denies the advertisement of the private network, and it's applied as a route map on the connection between the TOR and the edge.

Azure Stack çözümü içinde çalışan yazılım yük dengeleyici (SLB), sanal cihaz adreslerini dinamik olarak tanıtmak için TOR cihazlarına eşler.The software load balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Kullanıcı trafiğinin hatadan hemen ve şeffaf bir şekilde kurtarılmasından emin olmak için, TOR cihazları arasında yapılandırılan sanal özel bulut veya çok kasali bağlantı toplama (MLAG), IP ağları için ağ artıklığı sağlayan ana bilgisayarlar ve HSRP veya VRRP için MLAG kullanılmasına izin verir.To ensure that user traffic immediately and transparently recovers from failure, the virtual private cloud or multi-chassis link aggregation (MLAG) configured between the TOR devices allows the use of MLAG to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Statik yönlendirmeStatic routing

Statik yönlendirme, sınır cihazlara ek yapılandırma gerektirir.Static routing requires additional configuration to the border devices. Bu, herhangi bir değişiklikten önce daha el ile müdahale ve yönetimin yanı sıra kapsamlı analizler de gerektirir.It requires more manual intervention and management as well as thorough analysis before any change. Yapılandırma hatasından kaynaklanan sorunlar, yapılan değişikliklere bağlı olarak geri almak daha fazla zaman alabilir.Issues caused by a configuration error might take more time to roll back depending on the changes made. Bu yönlendirme yöntemini önermeyiz, ancak desteklenir.We don't recommend this routing method, but it's supported.

Statik yönlendirmeyi kullanarak Azure Stack ağ ortamınıza bütünleştirmek için, kenarlık ve kenar aygıtı arasındaki dört fiziksel bağlantı bağlanmalıdır.To integrate Azure Stack into your networking environment by using static routing, all four physical links between the border and the edge device must be connected. Statik yönlendirmenin nasıl çalıştığı ile yüksek kullanılabilirlik garanti edilemez.High availability can't be guaranteed because of how static routing works.

Sınır cihazı, Azure Stack içindeki herhangi bir ağa giden trafik için kenar ve kenarlık arasında ayarlanan dört noktadan noktaya IP 'nin her birini işaret eden statik yollarla yapılandırılmalıdır.The border device must be configured with static routes pointing to each one of the four point-to-point IPs set between the edge and the border for traffic destined to any network inside Azure Stack. Ancak, işlem için yalnızca dış veya genel VIP ağı gereklidir.But, only the external or public VIP network is required for operation. İlk dağıtım için BMC 'ye ve dış ağlara yönelik statik yollar gereklidir.Static routes to the BMC and the external networks are required for initial deployment. İşleçler, BMC ve altyapı ağı üzerinde bulunan yönetim kaynaklarına erişmek için, kenarlıkta statik yollardan ayrılmamaya izin verebilir.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the infrastructure network. Anahtar altyapısına ve anahtar yönetim ağlarına statik yollar eklemek isteğe bağlıdır.Adding static routes to switch infrastructure and switch management networks is optional.

TOR cihazları, tüm trafiği kenarlık cihazlarına gönderen statik bir varsayılan yol ile yapılandırılır.The TOR devices are configured with a static default route sending all traffic to the border devices. Varsayılan kural için tek trafik özel durumu, TOR-to-Border bağlantısına uygulanan bir erişim denetim listesi kullanılarak engellenen özel alana yöneliktir.The one traffic exception to the default rule is for the private space, which is blocked by using an access control list applied on the TOR-to-border connection.

Statik yönlendirme yalnızca kenar ve kenarlık anahtarları arasındaki yukarı bağlantılar için geçerlidir.Static routing applies only to the uplinks between the edge and border switches. BGP dinamik yönlendirmesi, SLB ve diğer bileşenler için gerekli bir araç olduğundan ve devre dışı bırakılacağından veya kaldırılacağından raf içinde kullanılır.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* BMC ağı dağıtımdan sonra isteğe bağlıdır.* The BMC network is optional after deployment.

** Tüm ağ anahtar yönetim ağına dahil edilebilir olduğundan anahtar altyapısı ağı isteğe bağlıdır.** The switch infrastructure network is optional because the whole network can be included in the switch management network.

*** Anahtar yönetimi ağı gereklidir ve anahtar altyapısı ağından ayrı olarak eklenebilir.*** The switch management network is required and can be added separately from the switch infrastructure network.

Saydam proxyTransparent proxy

Veri merkeziniz tüm trafiğin bir proxy kullanmasını gerektiriyorsa, bir saydam proxy 'yi ilkeye göre işlemek için raftaki tüm trafiği işleyecek şekilde yapılandırmanız gerekir.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy. Ağınızdaki bölgeler arasında trafiği ayırmanız gerekir.You must separate traffic between the zones on your network.

Azure Stack çözümü normal web proxy 'lerini desteklemez.The Azure Stack solution doesn't support normal web proxies.

Saydam bir ara sunucu (kesme, satır içi veya zorlamalı ara sunucu olarak da bilinir), herhangi bir özel istemci yapılandırması gerekmeden Ağ katmanında normal iletişimi keser.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. İstemcilerin proxy varlığını farkında olması gerekmez.Clients don't need to be aware of the existence of the proxy.

SSL trafik yakaalımı desteklenmez ve uç noktalara erişirken hizmet hatalarına neden olabilir.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Kimlik için gereken en fazla desteklenen zaman aşımı süresi, üç yeniden deneme girişimi olan 60 saniyedir.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds with three retry attempts.

DNSDNS

Bu bölüm, etki alanı adı sistemi (DNS) yapılandırmasını içerir.This section covers Domain Name System (DNS) configuration.

Koşullu DNS iletmeyi yapılandırmaConfigure conditional DNS forwarding

Bu kılavuz yalnızca bir Active Directory Federasyon Hizmetleri (AD FS) (AD FS) dağıtımı için geçerlidir.This guidance only applies to an Active Directory Federation Services (AD FS) deployment.

Mevcut DNS altyapınızla ad çözümlemesini etkinleştirmek için koşullu iletme yapılandırın.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Koşullu iletici eklemek için ayrıcalıklı uç noktasını kullanmanız gerekir.To add a conditional forwarder, you must use the privileged endpoint.

Bu yordamda, veri merkezi ağınızda Azure Stack ayrıcalıklı uç noktayla iletişim kurabilen bir bilgisayar kullanın.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

1. Yükseltilmiş bir Windows PowerShell oturumu açın (yönetici olarak çalıştır).Open an elevated Windows PowerShell session (run as administrator). Ayrıcalıklı uç noktanın IP adresine bağlanın.Connect to the IP address of the privileged endpoint. CloudAdmin kimlik doğrulaması için kimlik bilgilerini kullanın.Use the credentials for CloudAdmin authentication.

   \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
   

2. Ayrıcalıklı uç noktaya bağlandıktan sonra aşağıdaki PowerShell komutunu çalıştırın.After you connect to the privileged endpoint, run the following PowerShell command. Kullanmak istediğiniz DNS sunucularının etki alanı adınız ve IP adresleriyle birlikte sunulan örnek değerleri değiştirin.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

   Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
   

Azure Stack dışından Azure Stack DNS adlarını çözümlemeResolve Azure Stack DNS names from outside Azure Stack

Yetkili sunucular, dış DNS bölge bilgilerini ve Kullanıcı tarafından oluşturulan tüm bölgeleri tutan olanlardır.The authoritative servers are the ones that hold the external DNS zone information and any user-created zones. Bölge temsilcisini veya koşullu yönlendirmeyi etkinleştirmek için bu sunucularla tümleştirin Azure Stack dışından Azure Stack DNS adlarını çözün.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

DNS sunucusu dış uç nokta bilgilerini alGet DNS Server external endpoint information

Azure Stack dağıtımınızı DNS altyapınızla tümleştirmek için aşağıdaki bilgilere ihtiyacınız vardır:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

• DNS sunucusu tam etki alanı adları (FQDN)DNS server fully qualified domain names (FQDNs)
• DNS sunucusu IP adresleriDNS server IP addresses

Azure Stack DNS sunucuları için FQDN 'Ler aşağıdaki biçimdedir:The FQDNs for the Azure Stack DNS servers have the following format:

• <NAMINGPREFIX>-ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
• <NAMINGPREFIX>-ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Örnek değerleri kullanarak DNS sunucuları için FQDN 'Ler şunlardır:Using the sample values, the FQDNs for the DNS servers are:

• azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com
• azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Bu bilgiler, yönetim portalı 'nda bulunur, ancak AzureStackStampInformation.js adlı bir dosyadaki tüm Azure Stack dağıtımlarının sonunda da oluşturulur.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Bu dosya, dağıtım sanal makinesinin C: \ clouddeployment \ logs klasöründe bulunur.This file is located in the C:\CloudDeployment\logs folder of the deployment virtual machine. Azure Stack dağıtımınız için hangi değerlerin kullanıldığından emin değilseniz, değerleri buradan edinebilirsiniz.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Dağıtım sanal makinesi artık kullanılabilir değilse veya erişilebilir durumda değilse, ayrıcalıklı uç noktaya bağlanarak ve Get-Azurestackstampınformation PowerShell cmdlet 'ini çalıştırarak değerleri elde edebilirsiniz.If the deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Daha fazla bilgi için bkz. ayrıcalıklı uç nokta.For more information, see privileged endpoint.

Azure Stack koşullu iletmeyi ayarlamaSet up conditional forwarding to Azure Stack

DNS altyapınızla Azure Stack tümleştirme yapmanın en kolay ve en güvenli yolu, bölgenin üst bölgeyi barındıran sunucudan koşullu olarak iletilmesidir.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Azure Stack dış DNS ad alanınız için üst bölgeyi barındıran DNS sunucuları üzerinde doğrudan denetiminiz varsa bu yaklaşımı öneririz.We recommend this approach if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

DNS ile koşullu iletme yapma konusunda bilgi sahibi değilseniz, "bir etki alanı adı için koşullu Iletici atama" veya DNS çözümünüz için özel belgeler başlıklı TechNet makalesine bakın.If you're not familiar with how to do conditional forwarding with DNS, see the TechNet article "Assign a Conditional Forwarder for a Domain Name" or the documentation specific to your DNS solution.

Dış Azure Stack DNS bölgenizin şirket etki alanı adınızın alt etki alanı gibi görünmesini istediğiniz senaryolarda koşullu iletme kullanılamaz.In scenarios where you specified your external Azure Stack DNS zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. DNS temsilcisinin yapılandırılması gerekir.DNS delegation must be configured.

Örnek:Example:

• Şirket DNS etki alanı adı: contoso.comCorporate DNS domain name: contoso.com
• Azure Stack dış DNS etki alanı adı: azurestack.contoso.comAzure Stack external DNS domain name: azurestack.contoso.com

DNS ileticisi IP 'lerini DüzenleEdit DNS forwarder IPs

DNS ileticisi IP 'Leri Azure Stack dağıtımı sırasında ayarlanır.DNS forwarder IPs are set during deployment of Azure Stack. İleticinin IP 'Lerinin herhangi bir nedenden dolayı güncellenmesi gerekiyorsa, ayrıcalıklı uç noktaya bağlanarak ve Get-azsdnsforwarder ve set-azsdnsforwarder [[-IPAddress] <IPAddress[]> ] PowerShell cmdlet 'lerini çalıştırarak değerleri düzenleyebilirsiniz.If the forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Daha fazla bilgi için bkz. ayrıcalıklı uç nokta.For more information, see privileged endpoint.

Dış DNS bölgesini Azure Stack devretmekDelegate the external DNS zone to Azure Stack

Azure Stack dağıtımı dışında çözümlenebilmeniz için DNS adları için, DNS temsilcisini ayarlamanız gerekir.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Her kayıt şirketi, bir etki alanının ad sunucusu kayıtlarını değiştirmek için kendi DNS yönetim araçlarına sahiptir.Each registrar has their own DNS management tools to change the name server records for a domain. Kayıt sahibinin DNS yönetimi sayfasında, NS kayıtlarını düzenleyin ve bölgeye ait NS kayıtlarını Azure Stack sahip olanlarla değiştirin.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

Çoğu DNS kayıt şirketlerinde, temsilciyi tamamlaması için en az iki DNS sunucusu sağlamanızı gerektirir.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

Güvenlik DuvarıFirewall

Azure Stack altyapı rolleri için sanal IP adresleri (VIP) ayarlar.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Bu VIP 'ler genel IP adresi havuzundan ayrılır.These VIPs are allocated from the public IP address pool. Her VIP, yazılım tanımlı ağ katmanında bir erişim denetim listesi (ACL) ile güvenli hale getirilir.Each VIP is secured with an access control list (ACL) in the software-defined network layer. ACL 'Ler, çözümün daha fazla olması için fiziksel anahtarlar (lar ve BMC) genelinde da kullanılır.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Dağıtım zamanında belirtilen dış DNS bölgesindeki her bir uç nokta için bir DNS girişi oluşturulur.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Örneğin, Kullanıcı portalına portalın DNS ana bilgisayar girişi atanır. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

Aşağıdaki mimari diyagramda farklı ağ katmanları ve ACL 'Ler gösterilmektedir.The following architectural diagram shows the different network layers and ACLs.

Bağlantı noktaları ve URL 'LerPorts and URLs

Portallar, Azure Resource Manager ve DNS gibi dış ağlarda kullanılabilir Azure Stack hizmetleri oluşturmak için belirli URL 'Ler, bağlantı noktaları ve protokoller için bu uç noktalara gelen trafiğe izin vermeniz gerekir.To make Azure Stack services like portals, Azure Resource Manager, and DNS available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Geleneksel bir ara sunucu veya bir güvenlik duvarının, çözümü koruduğu bir dağıtımda, hem gelen hem de giden iletişim için belirli bağlantı noktalarına ve URL 'Lere izin vermeniz gerekir.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Kimlik bağlantı noktaları ve URL 'Ler, Azure Stack hub Marketi, düzeltme eki ve güncelleştirme, kayıt ve kullanım verileri verilebilir.Examples include ports and URLs for identity, Azure Stack Hub Marketplace, patch and update, registration, and usage data.

Giden iletişimOutbound communication

Azure Stack yalnızca saydam proxy sunucuları destekler.Azure Stack supports only transparent proxy servers. Geleneksel bir ara sunucuya şeffaf bir ara sunucu yukarı bağlantısı olan dağıtımda, bağlı modda dağıtırken giden iletişim için aşağıdaki tablodaki bağlantı noktalarına ve URL 'Lere izin vermeniz gerekir.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when you deploy in connected mode.

SSL trafik yakaalımı desteklenmez ve uç noktalara erişirken hizmet hatalarına neden olabilir.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Kimlik için gerekli olan uç noktalarla iletişim kurmak için desteklenen en fazla zaman aşımı süresi 60 saniyedir.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds.

Gelen iletişimInbound communication

Dış ağlara Azure Stack uç noktaları yayımlamak için bir altyapı VIP kümesi gereklidir.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. Uç nokta (VIP) tablosunda her uç nokta, gerekli bağlantı noktası ve protokol gösterilmektedir.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. SQL kaynak sağlayıcısı gibi ek kaynak sağlayıcıları gerektiren uç noktalar için, belirli kaynak sağlayıcısı dağıtım belgelerine bakın.For endpoints that require additional resource providers, like the SQL resource provider, see the specific resource provider deployment documentation.

Azure Stack yayımlamak için gerekli olmadıklarından iç altyapı VIP 'leri listelenmez.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Kullanıcı VIP 'leri, Azure Stack işleci tarafından denetim olmadan dinamik ve kullanıcılar tarafından tanımlanır.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator.