Nasazení sítě

Toto téma se věnuje oprávnění přístupu k přepínačům TOR, přiřazení IP adres a dalším úlohám nasazení sítě.

Plánování nasazení konfigurace

Další části zahrnují oprávnění a přiřazení IP adres.

Seznam fyzických přepínačů řízení přístupu

Abychom ochránili řešení Azure Stack, implementovali jsme seznamy řízení přístupu (ACL) na přepínačích TOR. Tato část popisuje, jak je toto zabezpečení implementováno. Následující tabulka ukazuje zdroje a cíle každé sítě v řešení Azure Stack:

A diagram of access control lists on the TOR switches

Následující tabulka koreluje odkazy seznamu ACL se sítěmi Azure Stack.

Síť Description
BMC Mgmt – interní Provoz je omezen pouze na interní.
BMC Mgmt – externí Seznam ACL umožňuje přístup k hraničnímu zařízení.
Rozšířené Storage Mgmt Vyhrazená rozhraní pro správu rozšířeného systému úložiště
Přepínač Mgmt Vyhrazená rozhraní pro správu přepínačů
"Infrastruktura služby Azure Stack" Služby infrastruktury služby Azure Stack a virtuální počítač s omezeným přístupem
Veřejná infrastruktura služby Azure Stack (PEP/ERCS) Koncový bod chráněný službou Azure Stack, konzolový server pro nouzové obnovení Zákazník může otevřít seznam ACL, aby umožnil provoz do sítě pro správu datacentra.
Tor1,Tor2 RouterIP Rozhraní zpětné smyčky přepínače používaného pro partnerský vztah protokolu BGP mezi SLB a přepínačem nebo směrovačem. Zákazník bude mít možnost brány firewall před těmito IP adresami na hranici.
Storage Privátní IP adresy nesměrované mimo oblast
Interní IP adresy Privátní IP adresy nesměrované mimo oblast
Veřejné IP adresy Adresní prostor sítě tenanta spravovaný síťovým adaptérem
Virtuální IP adresy veřejného správce Malá podmnožina adres ve fondu tenantů, které jsou potřeba ke komunikaci s Internal-VIPs a infrastrukturou služby Azure Stack
Povolené sítě Síť definovaná zákazníkem
0.0.0.0 Z pohledu služby Azure Stack 0.0.0.0 je hraniční zařízení.
Povolení Povolení provozu je povolené, ale přístup SSH je ve výchozím nastavení blokovaný.
Žádná trasa Trasy nejsou šířené mimo prostředí Služby Azure Stack.
MUX ACL Seznamy ACL služby Azure Stack MUX se využívají.
Není součástí seznamu ACL sítě VLAN.

Přiřazení IP adres

V listu nasazení se zobrazí výzva k zadání následujících síťových adres pro podporu procesu nasazení služby Azure Stack. Tým nasazení používá nástroj List nasazení k rozdělení IP sítí do všech menších sítí požadovaných systémem.

V tomto příkladu vyplníme kartu Síť Nastavení listu nasazení následujícími hodnotami:

  • Síť řadiče pro správu základní desky: 10.193.132.0 /27

  • Interní IP adresy sítě Storage privátní sítě&: 11.11.128.0 /20

  • Síť infrastruktury: 12.193.130.0 /24

  • Veřejná virtuální IP adresa (VIP): 13.200.132.0 /24

  • Síť infrastruktury přepínače: 10.193.132.128 /26

Když spustíte funkci Generovat nástroj List nasazení, vytvoří v tabulce dvě nové karty. První karta je Souhrn podsítě a ukazuje, jak byly supernety rozděleny, aby se vytvořily všechny sítě vyžadované systémem. V našem příkladu níže je pouze podmnožina sloupců nalezených na této kartě. Skutečný výsledek obsahuje další podrobnosti o jednotlivých sítích uvedených:

Stojan Typ podsítě Název Podsíť IPv4 Adresy IPv4
Ohraničení Odkaz P2P P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30 4
Ohraničení Odkaz P2P P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30 4
Ohraničení Odkaz P2P P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30 4
Ohraničení Odkaz P2P P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30 4
Ohraničení Odkaz P2P P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30 4
Ohraničení Odkaz P2P P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30 4
Rack1 Zpětné smyčky Loopback0_Rack1_TOR1 10.193.132.152/32 1
Rack1 Zpětné smyčky Loopback0_Rack1_TOR2 10.193.132.153/32 1
Rack1 Zpětné smyčky Loopback0_Rack1_BMC 10.193.132.154/32 1
Rack1 Odkaz P2P P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30 4
Rack1 Odkaz P2P P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30 4
Rack1 VLAN BMCMgmt 10.193.132.0/27 32
Rack1 VLAN SwitchMgmt 10.193.132.168/29 8
Rack1 VLAN CL01-RG01-SU01-Storage 11.11.128.0/25 128
Rack1 VLAN CL01-RG01-SU01-Infra 12.193.130.0/24 256
Rack1 Jiné CL01-RG01-SU01-VIPS 13.200.132.0/24 256
Rack1 Jiné CL01-RG01-SU01-InternalVIPS 11.11.128.128/25 128

Druhá karta je Využití IP adres a ukazuje, jak se ip adresy spotřebovávají:

Síť řadiče pro správu základní desky

Supernet pro síť řadiče pro správu základní desky vyžaduje minimálně síť /26. Brána používá první IP adresu v síti následovanou zařízeními řadiče pro správu základní desky v racku. Hostitel životního cyklu hardwaru má v této síti přiřazených více adres a dá se použít k nasazení, monitorování a podpoře racku. Tyto IP adresy se distribuují do 3 skupin: DVM, InternalAccessible a ExternalAccessible.

  • Rack: Rack1
  • Název: BMCMgmt
Přiřazeno Adresa IPv4
Síť 10.193.132.0
brána 10.193.132.1
HLH-BMC 10.193.132.2
AzS-Node01 10.193.132.3
AzS-Node02 10.193.132.4
AzS-Node03 10.193.132.5
AzS-Node04 10.193.132.6
Externí nepřístupný–1 10.193.132.19
Externí nepřístupný–2 10.193.132.20
Externí nepřístupný–3 10.193.132.21
Externí nepřístupný–4 10.193.132.22
Externí nepřístupný–5 10.193.132.23
Interní nepřístupný–1 10.193.132.24
Interní nepřístupný–2 10.193.132.25
Interní nepřístupný–3 10.193.132.26
Interní nepřístupný–4 10.193.132.27
Interní nepřístupný–5 10.193.132.28
CL01-RG01-SU01-DVM00 10.193.132.29
HLH-OS 10.193.132.30
Vysílání 10.193.132.31

Síť úložiště

Storage síť je privátní síť a není určená k směrování mimo rack. Jedná se o první polovinu supernetu privátní sítě, kterou používá přepínač distribuovaný, jak je znázorněno v tabulce níže. Brána je první IP adresa v podsíti. Druhá polovina použitá pro interní virtuální IP adresy je privátní fond adres spravovaných nástrojem Azure Stack SLB, který se nezobrazuje na kartě Využití IP adres. Tyto sítě podporují Službu Azure Stack a na přepínačích TOR existují seznamy ACL, které brání inzerování těchto sítí nebo přístupu mimo řešení.

  • Rack: Rack1
  • Název: CL01-RG01-SU01-Storage
Přiřazeno Adresa IPv4
Síť 11.11.128.0
brána 11.11.128.1
TOR1 11.11.128.2
TOR2 11.11.128.3
Vysílání 11.11.128.127

Síť infrastruktury služby Azure Stack

Supernet sítě infrastruktury vyžaduje síť /24 a po spuštění nástroje List nasazení se jedná o /24. Brána bude první IP adresou v podsíti.

  • Rack: Rack1
  • Název: CL01-RG01-SU01-Infra
Přiřazeno Adresa IPv4
Síť 12.193.130.0
brána 12.193.130.1
TOR1 12.193.130.2
TOR2 12.193.130.3
Vysílání 12.193.130.255

Přepnout síť infrastruktury

Síť infrastruktury je rozdělená do několika sítí používaných infrastrukturou fyzického přepínače. Liší se od infrastruktury služby Azure Stack, která podporuje pouze software Služby Azure Stack. Síť přepínačů podporuje pouze infrastrukturu fyzického přepínače. Sítě podporované infrastrukturou:

Název Podsíť IPv4
P2P_Border/Border1_To_Rack1/TOR1 10.193.132.128/30
P2P_Border/Border1_To_Rack1/TOR2 10.193.132.132/30
P2P_Border/Border2_To_Rack1/TOR1 10.193.132.136/30
P2P_Border/Border2_To_Rack1/TOR2 10.193.132.140/30
P2P_Rack1/TOR1_To_Rack1/BMC 10.193.132.144/30
P2P_Rack1/TOR2_To_Rack1/BMC 10.193.132.148/30
Loopback0_Rack1_TOR1 10.193.132.152/32
Loopback0_Rack1_TOR2 10.193.132.153/32
Loopback0_Rack1_BMC 10.193.132.154/32
P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 10.193.132.156/30
P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 10.193.132.160/30
SwitchMgmt 10.193.132.168/29
  • Point-to-point (P2P): Tyto sítě umožňují připojení mezi všemi přepínači. Velikost podsítě je síť /30 pro každý P2P. Nejnižší IP adresa je vždy přiřazena k upstreamu (North) zařízení v zásobníku.

  • Zpětná smyčka: Tyto adresy jsou sítě /32, které jsou přiřazeny ke každému přepínači používanému v racku. Hraničním zařízením není přiřazena zpětná smyčka, protože se neočekává, že budou součástí řešení Azure Stack.

  • Switch Mgmt nebo Switch Management: Tato síť /29 podporuje vyhrazená rozhraní pro správu přepínačů v racku. IP adresy jsou přiřazeny následujícím způsobem; tuto tabulku najdete také na kartě Využití IP adres listu Nasazení:

  • Rack: Rack1

  • Název: SwitchMgmt

Přiřazeno Adresa IPv4
Síť 10.193.132.168
brána 10.193.132.169
TOR1 10.193.132.170
TOR2 10.193.132.171
Vysílání 10.193.132.175

Příprava prostředí

Image hostitele životního cyklu hardwaru obsahuje požadovaný kontejner Linuxu, který se používá k vygenerování konfigurace fyzického síťového přepínače.

Nejnovější sada nástrojů pro nasazení partnerů obsahuje nejnovější image kontejneru. Image kontejneru na hostiteli životního cyklu hardwaru je možné nahradit, když je potřeba vygenerovat aktualizovanou konfiguraci přepínače.

Tady je postup aktualizace image kontejneru:

  1. Stažení image kontejneru

  2. Nahraďte image kontejneru v následujícím umístění.

Generování konfigurace

Tady vás provedeme postupem generování souborů JSON a konfiguračních souborů síťového přepínače:

  1. Otevření listu nasazení

  2. Vyplňte všechna požadovaná pole na všech kartách.

  3. Vyvolání funkce Generate (Vygenerovat) na listu nasazení
    Vytvoří se dvě další karty zobrazující vygenerované podsítě a přiřazení IP adres.

  4. Zkontrolujte data a po potvrzení vyvoláte funkci Export.
    Zobrazí se výzva k zadání složky, ve které budou uloženy soubory JSON.

  5. Spusťte kontejner pomocí Invoke-SwitchConfigGenerator.ps1. Tento skript vyžaduje spuštění konzoly PowerShellu se zvýšenými oprávněními a vyžaduje spuštění následujících parametrů.

    • ContainerName – název kontejneru, který vygeneruje konfigurace přepínače.

    • ConfigurationData – cesta k souboru ConfigurationData.json exportovaného z listu nasazení

    • OutputDirectory – cesta k výstupnímu adresáři.

    • Offline – signály, že skript běží v offline režimu.

    C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
    

Po dokončení skriptu vytvoří soubor ZIP s předponou použitou v listu.

C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
Seconds : 2
Section : Validation
Step    : WindowsRequirement
Status  : True
Detail  : @{CurrentImage=10.0.18363.0}


Seconds : 2
Section : Validation
Step    : DockerService
Status  : True
Detail  : @{Status=Running}


Seconds : 9
Section : Validation
Step    : DockerSetup
Status  : True
Detail  : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}


Seconds : 9
Section : Validation
Step    : DockerImage
Status  : True
Detail  : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}


Seconds : 10
Section : Run
Step    : Container
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}


Seconds : 38
Section : Generate
Step    : Config
Status  : True
Detail  : @{OutputFile=c:\temp\N22R19.zip}


Seconds : 38
Section : Exit
Step    : StopContainer
Status  : True
Detail  : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}

Vlastní konfigurace

Pro konfiguraci přepínače služby Azure Stack můžete upravit několik nastavení prostředí. Můžete určit, která nastavení můžete v šabloně změnit. Tento článek vysvětluje každou z těchto přizpůsobitelných nastavení a způsob, jakým můžou změny ovlivnit službu Azure Stack. Mezi tato nastavení patří aktualizace hesel, server syslog, monitorování PROTOKOLU SNMP, ověřování a seznam řízení přístupu.

Během nasazování řešení Azure Stack vytvoří původní výrobce zařízení (OEM) a použije konfiguraci přepínače pro tors i BMC. OEM používá nástroj pro automatizaci služby Azure Stack k ověření správného nastavení požadovaných konfigurací na těchto zařízeních. Konfigurace je založená na informacích na listu nasazení služby Azure Stack.

Poznámka

Nemění konfiguraci bez souhlasu od technického týmu OEM nebo Microsoft Azure Stack. Změna konfigurace síťového zařízení může výrazně ovlivnit provoz nebo řešení potíží se sítí ve vaší instanci Služby Azure Stack. Další informace o těchto funkcích na síťovém zařízení najdete v tom, jak tyto změny provést, kontaktujte poskytovatele hardwaru OEM nebo podporu Microsoftu. Váš OEM obsahuje konfigurační soubor vytvořený nástrojem pro automatizaci na základě listu nasazení služby Azure Stack.

Existují však některé hodnoty, které je možné přidat, odebrat nebo změnit v konfiguraci síťových přepínačů.

Aktualizace hesla

Operátor může kdykoli aktualizovat heslo pro každého uživatele v síťových přepínačích. Není nutné změnit žádné informace v systému Azure Stack ani použít postup pro obměna tajných kódů ve službě Azure Stack.

Server syslogu

Operátoři můžou protokoly přepínače přesměrovat na server syslogu ve svém datacentru. Pomocí této konfigurace se ujistěte, že protokoly z určitého bodu v čase je možné použít k řešení potíží. Ve výchozím nastavení jsou protokoly uložené na přepínačích; jejich kapacita pro ukládání protokolů je omezená. V části Aktualizace seznamu řízení přístupu najdete přehled konfigurace oprávnění pro přístup ke správě přepínače.

Monitorování PROTOKOLU SNMP

Operátor může nakonfigurovat jednoduchý protokol SNMP (Network Management Protocol) v2 nebo v3 pro monitorování síťových zařízení a odesílat pasti do aplikace pro monitorování sítě v datacentru. Z bezpečnostních důvodů použijte protokol SNMPv3, protože je bezpečnější než verze 2. Obraťte se na poskytovatele hardwaru OEM a požádejte ho o požadované konfigurace. V části Aktualizace seznamu řízení přístupu najdete přehled konfigurace oprávnění pro přístup ke správě přepínače.

Authentication

Operátor může nakonfigurovat protokol RADIUS nebo TACACS pro správu ověřování na síťových zařízeních. Informace o podporovaných metodách a konfiguraci najdete v poskytovateli hardwaru OEM. V části Aktualizace seznamu řízení přístupu najdete přehled konfigurace oprávnění pro přístup ke správě přepínače.

Aktualizace seznamu řízení přístupu

Operátor může změnit seznam řízení přístupu (ACL) tak, aby umožňoval přístup k rozhraním pro správu síťových zařízení a hostiteli životního cyklu hardwaru (HLH) z rozsahu důvěryhodných sítí datacentra. Operátor může vybrat, která komponenta bude dosažitelná a odkud. Pomocí seznamu řízení přístupu může operátor povolit virtuálním počítačům jumpboxu pro správu v rámci konkrétního rozsahu sítě přístup k rozhraní pro správu přepínačů a operačnímu systému HLH a BMC HLH.

Další podrobnosti najdete v seznamu fyzických přepínačů řízení přístupu.

TACACS, RADIUS a Syslog

Řešení Azure Stack nebude dodáváno s řešením TACACS nebo RADIUS pro řízení přístupu zařízení, jako jsou přepínače a směrovače, ani řešení Syslog pro zachycení protokolů přepínačů, ale všechna tato zařízení podporují tyto služby. Abychom vám pomohli integrovat se stávajícím serverem TACACS, RADIUS nebo Syslog ve vašem prostředí, poskytneme další soubor s konfigurací síťového přepínače, který inženýrovi na místě umožní přizpůsobit přepínač potřebám zákazníka.

Další kroky

Integrace sítě