Nasazení robustní sítě ve službě Azure Stack Hub
Toto téma se věnuje oprávnění přístupu k přepínačům TOR, přiřazení IP adres a dalším úlohám nasazení sítě.
Plánování nasazení konfigurace
Další části zahrnují oprávnění a přiřazení IP adres.
Seznam fyzických přepínačů řízení přístupu
Abychom ochránili řešení Azure Stack, implementovali jsme seznamy řízení přístupu (ACL) na přepínačích TOR. Tato část popisuje, jak je toto zabezpečení implementováno. Následující tabulka ukazuje zdroje a cíle každé sítě v řešení Azure Stack:
Následující tabulka koreluje odkazy seznamu ACL se sítěmi Azure Stack.
| BMC Mgmt | Virtuální počítač nasazení, rozhraní řadiče pro správu základní desky, server HLH NTP a IP adresy serveru DNS, které jsou součástí povolení na základě protokolu a portu. |
|---|---|
| Interní přístup k HLH (PDU) | Provoz je omezený na přepínač řadiče pro správu základní desky. |
| Externí přístup k HLH (virtuální počítač nástroje OEM) | Seznam ACL umožňuje přístup k hraničnímu zařízení. |
| Přepínač Mgmt | Vyhrazená rozhraní pro správu přepínačů |
| Páteř Mgmt | Vyhrazená rozhraní pro správu páteře. |
| Azure Stack | Služby infrastruktury služby Azure Stack a virtuální počítače, omezená síť |
| Infrastruktura | |
| Azure Stack | Koncový bod chráněný službou Azure Stack, konzolový server pro nouzové obnovení |
| Infrastruktura | |
| Veřejné (PEP/ERCS) | |
| Tor1,Tor2 RouterIP | Rozhraní zpětné smyčky přepínače používaného pro partnerský vztah protokolu BGP mezi SLB a přepínačem nebo směrovačem. |
| Storage | Privátní IP adresy nesměrované mimo oblast |
| Interní IP adresy | Privátní IP adresy nesměrované mimo oblast |
| Public-VIPs | Adresní prostor sítě tenanta spravovaný síťovým adaptérem |
| Public-Admin-VIPs | Malá podmnožina adres ve fondu tenantů, které jsou potřeba ke komunikaci s Internal-VIPs a infrastrukturou služby Azure Stack |
| Zákazník/ Internet | Síť definovaná zákazníkem Z pohledu služby Azure Stack 0.0.0.0 je hraniční zařízení. |
| 0.0.0.0 | |
| Deny | Zákazník může toto pole aktualizovat tak, aby povoloval další sítě pro povolení možností správy. |
| Povolení | Povolení provozu je povolené, ale přístup SSH je ve výchozím nastavení zakázaný. Zákazník se může rozhodnout povolit službu SSH. |
| Žádná trasa | Trasy nejsou šířené mimo prostředí Služby Azure Stack. |
| MUX ACL | Seznamy ACL služby Azure Stack MUX se využívají. |
| – | Není součástí seznamu ACL sítě VLAN. |
Přiřazení IP adres
V listu nasazení se zobrazí výzva k zadání následujících síťových adres pro podporu procesu nasazení služby Azure Stack. Tým nasazení používá nástroj List nasazení k rozdělení IP sítí do všech menších sítí požadovaných systémem. Podrobné popisy jednotlivých sítí najdete v části "NÁVRH SÍTĚ A INFRASTRUKTURA".
V tomto příkladu vyplníme kartu Síť Nastavení listu nasazení následujícími hodnotami:
Síť řadiče pro správu základní desky: 10.193.132.0 /27
Interní IP adresy sítě Storage privátní sítě&: 11.11.128.0 /24
Síť infrastruktury: 12.193.130.0 /24
Veřejná virtuální IP adresa (VIP): 13.200.132.0 /24
Síť infrastruktury přepínače: 10.193.132.128 /26
Když spustíte funkci Generovat nástroj List nasazení, vytvoří v tabulce dvě nové karty. První karta je Souhrn podsítě a ukazuje, jak byly supernety rozděleny, aby se vytvořily všechny sítě vyžadované systémem. V našem příkladu níže je pouze podmnožina sloupců nalezených na této kartě. Skutečný výsledek obsahuje další podrobnosti o jednotlivých sítích uvedených:
| Stojan | Typ podsítě | Název | Podsíť IPv4 | Adresy IPv4 |
|---|---|---|---|---|
| Ohraničení | Odkaz P2P | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| Ohraničení | Odkaz P2P | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| Ohraničení | Odkaz P2P | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| Ohraničení | Odkaz P2P | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| Ohraničení | Odkaz P2P | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| Ohraničení | Odkaz P2P | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | Zpětné smyčky | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | Zpětné smyčky | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | Zpětné smyčky | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | Odkaz P2P | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | Odkaz P2P | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN | CL01-RG01-SU01-Storage | 11.11.128.0/25 | 128 |
| Rack1 | VLAN | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | Jiné | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | Jiné | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
Druhá karta je Využití IP adres a ukazuje, jak se využívají IP adresy:
Síť řadiče pro správu základní desky
Supernet pro síť řadiče pro správu základní desky vyžaduje minimálně síť /26. Brána používá první IP adresu v síti následovanou zařízeními řadiče pro správu základní desky v racku. Hostitel životního cyklu hardwaru má v této síti přiřazených více adres a dá se použít k nasazení, monitorování a podpoře racku. Tyto IP adresy se distribuují do 3 skupin: DVM, InternalAccessible a ExternalAccessible.
- Rack: Rack1
- Název: BMCMgmt
| Přiřazeno | Adresa IPv4 |
|---|---|
| Síť | 10.193.132.0 |
| brána | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| Externí nepřístupný–1 | 10.193.132.19 |
| Externí nepřístupný–2 | 10.193.132.20 |
| Externí nepřístupný–3 | 10.193.132.21 |
| Externí nepřístupný–4 | 10.193.132.22 |
| Externí nepřístupný–5 | 10.193.132.23 |
| Interní nepřístupný–1 | 10.193.132.24 |
| Interní nepřístupný–2 | 10.193.132.25 |
| Interní nepřístupný–3 | 10.193.132.26 |
| Interní nepřístupný–4 | 10.193.132.27 |
| Interní nepřístupný–5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| Vysílání | 10.193.132.31 |
Síť úložiště
Síť Storage je privátní síť a není určená k směrování mimo rack. Jedná se o první polovinu supernetu privátní sítě, kterou používá přepínač distribuovaný, jak je znázorněno v tabulce níže. Brána je první IP adresa v podsíti. Druhá polovina použitá pro interní virtuální IP adresy je privátní fond adres spravovaných službou Azure Stack SLB, se nezobrazuje na kartě Využití IP adres. Tyto sítě podporují Službu Azure Stack a na přepínačích TOR existují seznamy ACL, které brání inzerování těchto sítí nebo přístupu mimo řešení.
- Rack: Rack1
- Název: CL01-RG01-SU01-Storage
| Přiřazeno | Adresa IPv4 |
|---|---|
| Síť | 11.11.128.0 |
| brána | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| Vysílání | 11.11.128.127 |
Síť infrastruktury služby Azure Stack
Supernet sítě infrastruktury vyžaduje síť /24 a po spuštění nástroje List nasazení to bude i nadále /24. Brána bude první IP adresou v podsíti.
- Rack: Rack1
- Název: CL01-RG01-SU01-Infra
| Přiřazeno | Adresa IPv4 |
|---|---|
| Síť | 12.193.130.0 |
| brána | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| Vysílání | 12.193.130.255 |
Přepnout síť infrastruktury
Síť infrastruktury je rozdělená do několika sítí používaných infrastrukturou fyzického přepínače. Liší se od infrastruktury služby Azure Stack, která podporuje pouze software Služby Azure Stack. Switch Infra Network podporuje pouze infrastrukturu fyzického přepínače. Sítě, které jsou podporovány infrastrukturou, jsou:
| Název | Podsíť IPv4 |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
Point-to-point (P2P): Tyto sítě umožňují připojení mezi všemi přepínači. Velikost podsítě je síť /30 pro každý P2P. Nejnižší IP adresa je vždy přiřazena k upstreamu (North) zařízení v zásobníku.
Zpětné smyčky: Tyto adresy jsou sítě /32, které jsou přiřazené ke každému přepínači použitému v racku. Hraniční zařízení nejsou přiřazena zpětná smyčka, protože se neočekává, že budou součástí řešení Azure Stack.
Switch Mgmt nebo Switch Management: Tato síť /29 podporuje vyhrazené rozhraní pro správu přepínačů v racku. IP adresy jsou přiřazeny následujícím způsobem; tuto tabulku najdete také na kartě Využití IP adres na listu nasazení:
Rack: Rack1
Název: SwitchMgmt
| Přiřazeno | Adresa IPv4 |
|---|---|
| Síť | 10.193.132.168 |
| brána | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| Vysílání | 10.193.132.175 |
Příprava prostředí
Image hostitele hardwarového životního cyklu obsahuje požadovaný kontejner Linuxu, který se používá k vygenerování konfigurace fyzického síťového přepínače.
Nejnovější sada nástrojů pro nasazení partnerů zahrnuje nejnovější image kontejneru. Image kontejneru na hostiteli hardwarového životního cyklu je možné nahradit, když je potřeba vygenerovat aktualizovanou konfiguraci přepínače.
Tady je postup aktualizace image kontejneru:
Stažení image kontejneru
Nahraďte image kontejneru v následujícím umístění.
Generování konfigurace
Tady vás provedeme kroky generování souborů JSON a konfiguračních souborů síťového přepínače:
Otevření listu nasazení
Vyplňte všechna požadovaná pole na všech kartách.
Vyvolání funkce Generate (Vygenerovat) na listu nasazení
Vytvoří se dvě další karty zobrazující vygenerované podsítě a přiřazení IP adres.Zkontrolujte data a po potvrzení vyvoláte funkci Export.
Zobrazí se výzva k zadání složky, ve které budou uloženy soubory JSON.Spusťte kontejner pomocí Invoke-SwitchConfigGenerator.ps1. Tento skript vyžaduje spuštění konzoly PowerShellu se zvýšenými oprávněními a vyžaduje spuštění následujících parametrů.
ContainerName – název kontejneru, který vygeneruje konfigurace přepínače.
ConfigurationData – cesta k souboru ConfigurationData.json exportovaného z listu nasazení
OutputDirectory – cesta k výstupnímu adresáři.
Offline – signály, že skript běží v offline režimu.
C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
Po dokončení skriptu vytvoří soubor ZIP s předponou použitou v listu.
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
Vlastní konfigurace
Pro konfiguraci přepínače služby Azure Stack můžete upravit několik nastavení prostředí. Můžete určit, která nastavení můžete v šabloně změnit. Tento článek vysvětluje každou z těchto přizpůsobitelných nastavení a způsob, jakým můžou změny ovlivnit službu Azure Stack. Mezi tato nastavení patří aktualizace hesel, server syslog, monitorování PROTOKOLU SNMP, ověřování a seznam řízení přístupu.
Během nasazování řešení Azure Stack vytvoří původní výrobce zařízení (OEM) a použije konfiguraci přepínače pro tors i BMC. OEM používá nástroj pro automatizaci služby Azure Stack k ověření správného nastavení požadovaných konfigurací na těchto zařízeních. Konfigurace je založená na informacích na listu nasazení služby Azure Stack.
Poznámka
Nemění konfiguraci bez souhlasu od technického týmu OEM nebo Microsoft Azure Stack. Změna konfigurace síťového zařízení může výrazně ovlivnit provoz nebo řešení potíží se sítí ve vaší instanci Služby Azure Stack. Další informace o těchto funkcích na síťovém zařízení najdete v tom, jak tyto změny provést, kontaktujte poskytovatele hardwaru OEM nebo podporu Microsoftu. Váš OEM obsahuje konfigurační soubor vytvořený nástrojem pro automatizaci na základě listu nasazení služby Azure Stack.
Existují však některé hodnoty, které je možné přidat, odebrat nebo změnit v konfiguraci síťových přepínačů.
Aktualizace hesla
Operátor může kdykoli aktualizovat heslo pro každého uživatele v síťových přepínačích. Není nutné změnit žádné informace v systému Azure Stack ani použít postup pro obměna tajných kódů ve službě Azure Stack.
Server syslogu
Operátoři můžou protokoly přepínače přesměrovat na server syslogu ve svém datacentru. Pomocí této konfigurace se ujistěte, že protokoly z určitého bodu v čase je možné použít k řešení potíží. Ve výchozím nastavení jsou protokoly uložené na přepínačích; jejich kapacita pro ukládání protokolů je omezená. V části Aktualizace seznamu řízení přístupu najdete přehled konfigurace oprávnění pro přístup ke správě přepínače.
Monitorování PROTOKOLU SNMP
Operátor může nakonfigurovat jednoduchý protokol SNMP (Network Management Protocol) v2 nebo v3 pro monitorování síťových zařízení a odesílat pasti do aplikace pro monitorování sítě v datacentru. Z bezpečnostních důvodů použijte protokol SNMPv3, protože je bezpečnější než verze 2. Obraťte se na poskytovatele hardwaru OEM a požádejte ho o požadované konfigurace. V části Aktualizace seznamu řízení přístupu najdete přehled konfigurace oprávnění pro přístup ke správě přepínače.
Authentication
Operátor může nakonfigurovat protokol RADIUS nebo TACACS pro správu ověřování na síťových zařízeních. Informace o podporovaných metodách a konfiguraci najdete v poskytovateli hardwaru OEM. V části Aktualizace seznamu řízení přístupu najdete přehled konfigurace oprávnění pro přístup ke správě přepínače.
Aktualizace seznamu řízení přístupu
Operátor může změnit seznam řízení přístupu (ACL) tak, aby umožňoval přístup k rozhraním pro správu síťových zařízení a hostiteli životního cyklu hardwaru (HLH) z rozsahu důvěryhodných sítí datacentra. Operátor může vybrat, která komponenta bude dosažitelná a odkud. Pomocí seznamu řízení přístupu může operátor povolit virtuálním počítačům jumpboxu pro správu v rámci konkrétního rozsahu sítě přístup k rozhraní pro správu přepínačů a operačnímu systému HLH a BMC HLH.
Další podrobnosti najdete v seznamu fyzických přepínačů řízení přístupu.
TACACS, RADIUS a Syslog
Řešení Azure Stack nebude dodáváno s řešením TACACS nebo RADIUS pro řízení přístupu zařízení, jako jsou přepínače a směrovače, ani řešení Syslog pro zachycení protokolů přepínačů, ale všechna tato zařízení podporují tyto služby. Abychom vám pomohli integrovat se stávajícím serverem TACACS, RADIUS nebo Syslog ve vašem prostředí, poskytneme další soubor s konfigurací síťového přepínače, který inženýrovi na místě umožní přizpůsobit přepínač potřebám zákazníka.