Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Ihr Netzwerk für getrennte Vorgänge in Azure Local planen. Es behandelt wichtige Entwurfsüberlegungen und -anforderungen, um eine zuverlässige Integration und Leistung in einer getrennten Umgebung zu gewährleisten.
Grundlegendes zu Netzwerkanforderungen
Getrennte Vorgänge werden auf Azure Local ausgeführt. Überprüfen Sie die Anforderungen an das lokale Azure-Netzwerk, bevor Sie Ihre Bereitstellung planen, um sicherzustellen, dass Ihr Netzwerk diese Anforderungen erfüllt, ist für die nahtlose Integration und optimale Leistung unerlässlich. Ausführlichere Informationen finden Sie unter physische Netzwerkanforderungen für Azure Local.
Azure Local unterstützt flexible Netzwerkkonfigurationen. Stellen Sie die getrennten Vorgänge als VM-Appliance (Virtual Machine) bereit, die in das lokale Azure-Netzwerk integriert ist. Dieses Setup unterstützt stabile und zuverlässige Vorgänge, auch wenn die Internetverbindung unterbrochen oder nicht verfügbar ist.
Netzwerkprüfliste
Verwenden Sie diese Checkliste, um Ihr Netzwerk für getrennte Vorgänge in Azure Local zu planen:
Überprüfen Sie die Physischen Netzwerkanforderungen für Azure Local.
Überprüfen Sie die Systemanforderungen für Azure Local.
Entwickeln Sie den Azure Local Network Plan für getrennte Vorgänge:
Erstellen Sie den Hostnetzwerkplan (Absichten und Switches).
Reservieren Sie den Verwaltungs-IP-Adresspool.
Richten Sie das Netzwerk für getrennte Vorgänge ein (Ein- und Verwaltungsnetzwerk):
Weisen Sie eine Zugriffs-IP im Subnetz des Verwaltungs-IP-Adresspools zu. Stellen Sie sicher, dass sie sich nicht mit dem IP-Bereich überschneidet, der während der Bereitstellung verwendet wird.
Überprüfen Sie, ob der Containernetzwerkbereich nicht mit dem externen Netzwerk in Konflikt kommt.
Stellen Sie sicher, dass auf den DNS-Server (Domain Name System) für getrennte Vorgänge zugegriffen werden kann. Richten Sie es während der Bereitstellung ein, damit es über den Eingangs-vNIC/IP fließt.
Überprüfen Sie, ob der DNS-Server die Endpunkte für die eingehende IP auflösen kann.
Überprüfen Sie, ob das Appliance für getrennte Vorgänge die Endpunkte über die Eingangs-vNIC/IP (IP und Port) erreichen kann.
Stellen Sie sicher, dass ein Identitätsanbieter routingfähig und über die nicht verbundene Operations Appliance im Verwaltungsnetzwerk (Intent) zugänglich ist.
Richten Sie das externe Netzwerk so ein, dass Dienste außerhalb von Azure Local den Datenverkehr auf die Eingangs-IP-Adresse für getrennte Vorgänge (Port 443) auflösen und weiterleiten können.
Karten für virtuelle Netzwerkschnittstellen und Netzwerkintegration
Die VM-Appliance im Offline-Betrieb verwendet zwei virtuelle Netzwerkschnittstellenkarten (vNICs), die eine Verbindung zum Netzwerkzweck herstellen.
Diese vNICs sind:
- Management vNIC
- Ingress vNIC
Hier sehen Sie einen allgemeinen Workflow für die vNIC-Verwaltung und -Bereitstellung:
- Verbinden Sie die vNICs mit dem virtuellen Switch für die Verwaltung, der mit Ihrem physischen Netzwerk verknüpft ist.
- Legen Sie während der Bereitstellung eine IP-Adresse für die vNICs fest.
- Verwenden Sie die vNIC-Schnittstellen für Bootstrapping, Fehlerbehebung, Betrieb und regelmäßige Verwendung über das Portal oder die CLI.
Planen Ihrer Eingangs-IP
Stellen Sie bei der Planung der eingehenden IP sicher, dass sie sich im selben Subnetz wie die lokale Azure-Instanz befindet, aber außerhalb des reservierten IP-Bereichs. Wenn der Subnetzbereich Ihres Clusters beispielsweise 192.168.1.0/24 ist und der reservierte IP-Bereich 192.168.1.1-192.168.1.10 ist, wählen Sie eine Eingangs-IP wie 192.168.1.11 oder höher aus, sodass sie sich nicht mit dem reservierten Bereich überschneidet.
Hinweis
Bei unterbrochenen Betriebsmodi gibt es einen integrierten Containernetzwerkbereich, der einen Konflikt mit Ihrem vorhandenen Netzwerkbereich verursachen kann. Wenn Sie den Bereich 10.131.19.19.0/24 bereits verwenden, isolieren Sie diesen Bereich aus Ihrer Umgebung für getrennte Vorgänge.
- Sie können den integrierten Containernetzwerkbereich nicht neu konfigurieren.
IP-Prüfliste für die getrennte Appliance
Verwenden Sie diese Checkliste, um Ihre IP-Adressen für die Appliance für den Offline-Betrieb zu planen.
Ingress-IP:
- Stellt eine Verbindung zur Verwaltungsabsicht her.
- Verwendet den standardmäßigen Netzwerkpfad für die Steuerungsebene und Azure-spezifische lokale Features.
- Erfordert die DNS-Auflösung für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).
- Muss sich im gleichen Subnetz wie die lokale Azure-Instanz befinden, aber außerhalb des reservierten Bereichs, der für die Instanzbereitstellung verwendet wird.
Verwaltungs-IP:
- Stellt eine Verbindung zur Verwaltungsabsicht her.
- Muss eine gültige, nicht verwendete IP im lokalen Netzwerk sein.
- Sie müssen erreichbar sein, wenn Sie von außerhalb des Clusters auf niedrigere Verwaltungsanwendungsprogrammierschnittstellen (APPLICATION Programming Interfaces, APIs) zugreifen.
Konfigurieren Sie virtuelle lokale Netzwerke für Eingangs- oder Verwaltungsnetzwerke.
Wenn Ihr Eingangs- oder Verwaltungsnetzwerk (Control Plane Appliance) ein virtuelles Lokales Netzwerk (VLAN) erfordert, konfigurieren Sie es wie im folgenden Beispiel gezeigt:
# List network adapters
Get-VMNetworkAdapter
# Set the network adapter default vlan and to allow untagged.
Set-VMNetworkAdapterIsolation -ManagementOS -VMNetworkAdapterName "vManagement(ManagementCompute)" -DefaultIsolationID 2259 -IsolationMode Vlan -AllowUntaggedTraffic $true
Planen der DNS- und Public Key-Infrastruktur (PKI)
Während der Bereitstellung von Offline-Operationen benötigen Sie einen FQDN für Ihre Appliance, der auf die Ingress-IP-Adresse aufgelöst wird. Planen Sie Ihre DNS- und Public Key-Infrastruktur (PKI), bevor Sie getrennte Vorgänge bereitstellen. Überlegen Sie außerdem, wie Sie diese verwenden möchten, um Clients in Ihrer Umgebung zu bedienen.
Das Eingangsnetzwerk verfügt über mehrere Endpunkte basierend auf dem konfigurierten FQDN. Sie müssen in der Lage sein, diese Endpunkte aufzulösen und in Ihrem Netzwerk sicher zu halten. Eine Liste der Endpunkte finden Sie unter PKI für getrennte Vorgänge.
Hinweis
Wildcard-Endpunkte unterstützen Sicherungsdienste, die Benutzer dynamisch erstellen, z. B. Azure Key Vault oder Azure Container Registry. Ihre Infrastruktur muss ein Wildcard für diese bestimmten Endpunkte auflösen.
Wenn Sie beabsichtigen, die Appliance mit Azure zu verbinden, stellen Sie sicher, dass Ihre DNS-Infrastruktur die erforderlichen Microsoft-Endpunkte auflöst. Lassen Sie DNS-Anfragen von der Appliance für getrennte Vorgänge zu und stellen Sie sicher, dass ein Netzwerkpfad vom Bereich der getrennten Vorgänge zum Ingress-Netzwerk vorhanden ist, sodass die externen Endpunkte erreicht werden können.
Weitere Informationen finden Sie unter Firewallanforderungen für Azure Local.
DNS-Anforderungen
Sie benötigen eine explizite Zone in Ihrem DNS für den FQDN, der für Ihre vom Netzwerk getrennte Umgebung vorgesehen ist. Der FQDN kann nicht auf derselben Ebene wie der Domänencontroller sein.
Konfigurieren Des DNS-Servers (Ausführen der Windows Server-DNS-Rolle)
Ein Beispiel:
$externalFqdn = 'autonomous.cloud.private'
$IngressIPAddress = '192.168.200.115'
Add-DnsServerPrimaryZone -Name $externalFqdn -ReplicationScope Domain
Add-DnsServerResourceRecordA -Name "*" -IPv4Address $IngressIPAddress -ZoneName $externalFqdn
Hinweis
Sie benötigen eine explizite Zone in Ihrem DNS für Ihre Umgebung für getrennte Betriebsvorgänge. Diese Zone kann nicht auf derselben Ebene wie der Domänencontroller sein.
Überprüfen Des DNS-Setups
Ein Beispiel:
nslookup portal.autonomous.cloud.private
Hier ist eine Beispielausgabe:
Name: portal.autonomous.cloud.private
Address: 192.168.200.115
Ausführen der Appliance mit eingeschränkter Konnektivität
Führen Sie die Appliance im eingeschränkten Verbindungsmodus aus, um die Unterstützung zu vereinfachen und vom System generierte Protokolle direkt an Microsoft zu übertragen, ohne dass Export- oder Importaufträge erforderlich sind. Die getrennte Appliance muss nur eine Teilmenge dieser Endpunkte auflösen, zur Ermöglichung von Observability und Diagnosen.
Im eingeschränkten Verbindungsmodus löst die Appliance bestimmte Microsoft-Endpunkte zur Überwachung und Diagnose auf.
Hier sind die Endpunkte, die die Appliance auflösen muss:
| Überwachbarkeit und Diagnose | Endpunkt |
|---|---|
| Geneva Observability Services | gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
| Verwaltete Identität des Azure Connected Machine Agent | login.windows.net login.microsoftonline.com pas.windows.net management.azure.com *.his.arc.azure.com *.guestconfiguration.azure.com |
Verwandte Inhalte
Dieses Feature ist nur in Azure Local 2602 oder höher verfügbar.