Share via

Konfigurieren von L2- und L3-Isolationsdomänen mithilfe von verwalteten Netzwerk-Fabric-Diensten

  • Artikel

Die Isolationsdomänen (ISDs) ermöglichen die Kommunikation zwischen Workloads, die in demselben Rack (rackinterne Kommunikation) oder in unterschiedlichen Racks (rackübergreifende Kommunikation) gehostet werden. In dieser Schrittanleitung wird beschrieben, wie Sie Ihre Layer 2 (L2)- und Layer 3 (L3)-Isolationsdomänen mithilfe der Azure-Befehlszeilenschnittstelle (Command Line Interface, Azure CLI) verwalten können. Sie können Layer 2- und Layer 3-Isolationsdomänen erstellen, aktualisieren und löschen sowie ihren Status überprüfen.

Voraussetzungen

  1. Stellen Sie sicher, dass der Netzwerk-Fabric Controller (NFC) und das Netzwerk-Fabric erstellt wurden.

  2. Installieren Sie die aktuelle Version der erforderlichen CLI-Erweiterungen.

  3. Verwenden Sie den folgenden Befehl, um sich bei Ihrem Azure-Konto anzumelden und das Abonnement auf Ihre Azure-Abonnement-ID festzulegen. Es sollte sich dabei um die Abonnement-ID handeln, die Sie für alle Ressourcen in einer Azure Operator Nexus-Instanz verwenden.

    az login
    az account set --subscription ********-****-****-****-*********
  1. Registrieren Sie Anbieter für ein verwaltetes Netzwerk-Fabric:

    1. Geben Sie in der Azure CLI den Befehl az provider register --namespace Microsoft.ManagedNetworkFabric ein.

    2. Überwachen Sie den Registrierungsprozess mithilfe des Befehls az provider show -n Microsoft.ManagedNetworkFabric -o table.

      Die Registrierung kann bis zu zehn Minuten dauern. Nach Abschluss der Registrierung ändert sich RegistrationState in der Ausgabe in Registered.

Isolationsdomänen werden verwendet, um Layer 2- oder Layer 3-Konnektivität zwischen Workloads zu ermöglichen, die in der Azure Operator Nexus-Instanz und in externen Netzwerken gehostet werden.

Hinweis

Operator Nexus reserviert VLANs <=500 für die Plattformnutzung. VLANs in diesem Bereich können daher nicht für Ihre Workloadnetzwerke (Mandantennetzwerke) verwendet werden. Verwenden Sie VLAN-Werte zwischen 501 und 4095.

Parameter für die Verwaltung von Isolationsdomänen

Parameter BESCHREIBUNG Beispiel Erforderlich
resource-group Verwenden Sie einen geeigneten Ressourcengruppennamen speziell für die Isolationsdomäne Ihrer Wahl. ResourceGroupName True
resource-name Ressourcenname der L2-Isolationsdomäne (l2isolationDomain) example-l2domain True
location Azure Operator Distributed Services (AODS)-Azure-Region, die während der NFC-Erstellung verwendet wurde eastus True
nf-Id Netzwerk-Fabric-ID „/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFresourcegroupname/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFname“ True
Vlan-id VLAN-Bezeichnerwert. Die VLANs 1 – 500 sind reserviert und können nicht verwendet werden. Der VLAN-Bezeichnerwert kann nicht mehr geändert werden, nachdem er angegeben wurde. Die Isolationsdomäne muss gelöscht und neu erstellt werden, wenn der VLAN-Bezeichnerwert geändert werden muss. Der zulässige Bereich ist 501 – 4095. 501 True
mtu Die maximale Übertragungseinheit ist standardmäßig 1500, sofern kein Wert angegeben wird. 1500
administrativeState „Enable“ bzw. „Disable“ gibt den Verwaltungsstatus der Isolationsdomäne (isolationDomain) an. Aktivieren
subscriptionId Die Azure-Abonnement-ID (subscriptionId) für Ihre Operator Nexus-Instanz
provisioningState Gibt den Bereitstellungsstatus an.

L2-Isolationsdomäne

Sie verwenden eine L2-Isolationsdomäne, um Layer 2-Konnektivität zwischen Workloads herzustellen, die auf Operator Nexus-Computeknoten ausgeführt werden.

Erstellen einer L2-Isolationsdomäne

Erstellen Sie eine L2-Isolationsdomäne:

az networkfabric l2domain create \
--resource-group "ResourceGroupName" \
--resource-name "example-l2domain" \
--location "eastus" \
--nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFname" \
--vlan-id  750\
--mtu 1501

Erwartete Ausgabe:

{
  "administrativeState": "Disabled",		 
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
  "location": "eastus",
  "mtu": 1501,
  "name": "example-l2domain",
  "networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFresourcegroupname/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2023-XX-XXT14:57:59.167177+00:00",
    "createdBy": "email@address.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
    "lastModifiedBy": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
    "lastModifiedByType": "Application"
  },			   
  "type": "microsoft.managednetworkfabric/l2isolationdomains",
  "vlanId": 750
}

Anzeigen von L2-Isolationsdomänen

Dieser Befehl zeigt Details zu L2-Isolationsdomänen an, einschließlich ihres Verwaltungsstatus:

az networkfabric l2domain show --resource-group "ResourceGroupName" --resource-name "example-l2domain"

Erwartete Ausgabe

{
  "administrativeState": "Disabled",					 
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
  "location": "eastus",
  "mtu": 1501,
  "name": "example-l2domain",
  "networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2023-XX-XXT14:57:59.167177+00:00",
    "createdBy": "email@address.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
    "lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e1078890",
    "lastModifiedByType": "Application"
  },			   
  "type": "microsoft.managednetworkfabric/l2isolationdomains",
  "vlanId": 750
}

Auflisten aller L2-Isolationsdomänen

Dieser Befehl listet alle L2-Isolationsdomänen auf, die in der Ressourcengruppe verfügbar sind.

az networkfabric l2domain list --resource-group "ResourceGroupName"

Erwartete Ausgabe

 {
    "administrativeState": "Enabled",
    "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
    "location": "eastus",
    "mtu": 1501,
    "name": "example-l2domain",
    "networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxxxxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
    "provisioningState": "Succeeded",
    "resourceGroup": "ResourceGroupName",
    "systemData": {
      "createdAt": "2022-XX-XXT22:26:33.065672+00:00",
      "createdBy": "email@address.com",
      "createdByType": "User",
      "lastModifiedAt": "2022-XX-XXT14:46:45.753165+00:00",
      "lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e107873d7",
      "lastModifiedByType": "Application"
    },
    "type": "microsoft.managednetworkfabric/l2isolationdomains",
    "vlanId": 750
  }

Ändern des Verwaltungsstatus einer L2-Isolationsdomäne

Sie müssen eine Isolationsdomäne aktivieren, um die Konfiguration an die Netzwerk-Fabric-Geräte zu pushen. Verwenden Sie den folgenden Befehl, um den Verwaltungsstatus einer L2-Isolationsdomäne zu ändern:

az networkfabric l2domain update-admin-state --resource-group "ResourceGroupName" --resource-name "example-l2domain" --state Enable/Disable

Erwartete Ausgabe

{
  "administrativeState": "Enabled",
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
  "location": "eastus",
  "mtu": 1501,
  "name": "example-l2domain",
  "networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2023-XX-XXT14:57:59.167177+00:00",
    "createdBy": "email@address.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
    "lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e107873d7",
    "lastModifiedByType": "Application"
  },
  "type": "microsoft.managednetworkfabric/l2isolationdomains",
  "vlanId": 501
}

Löschen einer L2-Isolationsdomäne

Verwenden Sie diesen Befehl, um eine L2-Isolationsdomäne zu löschen:

az networkfabric l2domain delete --resource-group "ResourceGroupName" --resource-name "example-l2domain"

Erwartete Ausgabe:

Please use show or list command to validate that isolation-domain is deleted. Deleted resources will not appear in result

Konfigurieren einer L3-Isolationsdomäne

Eine Layer 3-Isolationsdomäne ermöglicht Layer 3-Konnektivität zwischen Workloads, die auf Operator Nexus-Computeknoten ausgeführt werden. Die L3-Isolationsdomäne ermöglicht es den Workloads, Layer 3-Informationen mit Netzwerk-Fabric-Geräten auszutauschen.

Die Layer 3-Isolationsdomäne umfasst zwei Komponenten:

  • Ein internes Netzwerk definiert die Layer 3-Konnektivität zwischen Netzwerk-Fabrics, die auf Azure Operator Nexus-Computeknoten ausgeführt werden, und einem optionalen externen Netzwerk. Sie müssen mindestens ein internes Netzwerk erstellen.
  • Ein externes Netzwerk stellt über Ihre privaten Endpunkte (PEs) Konnektivität zwischen dem Internet und internen Netzwerken bereit.

Die L3-Isolationsdomäne ermöglicht die Bereitstellung von Workloads, die IP-Adressen von Diensten über BGP (Border Gateway Protocol) ankündigen.

Eine L3-Isolationsdomäne verfügt über zwei autonome Systemnummern (Autonomous System Number, ASN):

  • Die Fabric-ASN bezieht sich auf die ASN der Netzwerkgeräte im Fabric. Die Fabric-ASN wurde beim Erstellen der Netzwerk-Fabric angegeben.
  • Die Peer-ASN bezieht sich auf die ASN der Netzwerkfunktionen in Operator Nexus und kann nicht mit der Fabric-ASN identisch sein.

Der Workflow für die erfolgreiche Bereitstellung einer L3-Isolationsdomäne ist wie folgt:

  • Erstellen Sie eine L3-Isolationsdomäne.
  • Erstellen eines oder mehrerer interner Netzwerke
  • Aktivieren einer L3-Isolationsdomäne

Wenn Sie Änderungen an der L3-Isolationsdomäne vornehmen möchten, müssen Sie sie zuerst deaktivieren (Verwaltungsstatus). Sobald die Änderungen abgeschlossen sind, aktivieren Sie die L3-Isolationsdomäne wieder (AdministrativeState-Status):

  • Deaktivieren der L3-Isolationsdomäne
  • Ändern der L3-Isolationsdomäne
  • Erneutes Aktivieren der L3-Isolationsdomäne

Das Verfahren zum Anzeigen, Aktivieren/Deaktivieren und Löschen von IPv6-basierten Isolationsdomänen ist identisch mit dem für IPv4. Der VLAN-Bereich für die Erstellung der Isolationsdomäne ist 501 – 4095.

Die folgenden Parameter sind für die Konfiguration von L3-Isolationsdomänen verfügbar.

Parameter BESCHREIBUNG Beispiel Erforderlich
resource-group Verwenden Sie einen geeigneten Ressourcengruppennamen speziell für die Isolationsdomäne Ihrer Wahl. ResourceGroupName True
resource-name Ressourcenname der L3-Isolationsdomäne (l3isolationDomain) example-l3domain True
location Azure Operator Distributed Services (AODS)-Azure-Region, die während der NFC-Erstellung verwendet wurde eastus True
nf-Id Azure-Abonnement-ID (subscriptionId), die während der NFC-Erstellung verwendet wurde „/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFName“ True

Die folgenden Parameter für Isolationsdomänen sind optional.

Parameter BESCHREIBUNG Beispiel Erforderlich
redistributeConnectedSubnet Der Standardwert für die Ankündigung verbundener Subnetze ist „true“. True
redistributeStaticRoutes Der Wert für die Ankündigung statischer Routen kann „true“ oder „false“ lauten. Der Standardwert ist „false“. False
aggregateRouteConfiguration Liste von IPv4- und IPv6-Routenkonfigurationen
connectedSubnetRoutePolicy Routenrichtlinienkonfiguration für verbundene Subnetze der IPv4- oder IPv6-L3-Isolationsdomäne. Informationen zur korrekten Syntax finden Sie in der Hilfedatei.

Erstellen einer L3-Isolationsdomäne

Verwenden Sie diesen Befehl, um eine L3-Isolationsdomäne zu erstellen:

az networkfabric l3domain create 
--resource-group "ResourceGroupName" 
--resource-name "example-l3domain"
--location "eastus" 
--nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFName"

Hinweis

Für die Konnektivität über die MPLS-Option 10 (B) mit externen Netzwerken über PE-Geräte können Sie beim Erstellen einer Isolationsdomäne Parameter für Option (B) angeben.

Erwartete Ausgabe

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",								 
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
  "location": "eastus",
  "name": "example-l3domain",
  "networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
  "provisioningState": "Succeeded",
  "redistributeConnectedSubnets": "True",
  "redistributeStaticRoutes": "False",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2022-XX-XXT06:23:43.372461+00:00",
    "createdBy": "email@example.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT09:40:38.815959+00:00",
    "lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787367",
    "lastModifiedByType": "Application"
  },			   
  "type": "microsoft.managednetworkfabric/l3isolationdomains"
}

Erstellen einer nicht vertrauenswürdigen L3-Isolationsdomäne

az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3untrust" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"

Erstellen einer vertrauenswürdigen L3-Isolationsdomäne

az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3trust" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"

Erstellen einer L3-Isolationsdomäne für die Verwaltung

az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3mgmt" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"

Anzeigen von L3-Isolationsdomänen

Sie können Details zu den L3-Isolationsdomänen und ihren Verwaltungsstatus abrufen.

az networkfabric l3domain show --resource-group "ResourceGroupName" --resource-name "example-l3domain"

Erwartete Ausgabe

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",				 								 
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
  "location": "eastus",
  "name": "example-l3domain",
  "networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
  "provisioningState": "Succeeded",
  "redistributeConnectedSubnets": "True",
  "redistributeStaticRoutes": "False",
  "resourceGroup": "2023-XX-XXT09:40:38.815959+00:00",
  "systemData": {
    "createdAt": "2023-XX-XXT09:40:38.815959+00:00",
    "createdBy": "email@example.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT09:40:46.923037+00:00",
    "lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787456",
    "lastModifiedByType": "Application"
  },			   
  "type": "microsoft.managednetworkfabric/l3isolationdomains"
}

Auflisten aller L3-Isolationsdomänen

Verwenden Sie diesen Befehl, um alle L3-Isolationsdomänen aufzulisten, die in der Ressourcengruppe verfügbar sind:

az networkfabric l3domain list --resource-group "ResourceGroupName"

Erwartete Ausgabe

{
    "administrativeState": "Disabled",
    "configurationState": "Succeeded",					 							 
    "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
    "location": "eastus",
    "name": "example-l3domain",
    "networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
    "provisioningState": "Succeeded",
    "redistributeConnectedSubnets": "True",
    "redistributeStaticRoutes": "False",
    "resourceGroup": "ResourceGroupName",
    "systemData": {
      "createdAt": "2023-XX-XXT09:40:38.815959+00:00",
      "createdBy": "email@example.com",
      "createdByType": "User",
      "lastModifiedAt": "2023-XX-XXT09:40:46.923037+00:00",
      "lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787890",
      "lastModifiedByType": "Application"
    },			   
    "type": "microsoft.managednetworkfabric/l3isolationdomains"
  }

Ändern des Verwaltungsstatus einer L3-Isolationsdomäne

Verwenden Sie den folgenden Befehl, um den Verwaltungsstatus einer L3-Isolationsdomäne in „aktiviert“ oder „deaktiviert“ zu ändern:

##Hinweis: Zum Ändern des Verwaltungsstatus einer L3-Isolationsdomäne sollte mindestens ein internes Netzwerk verfügbar sein.

az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "example-l3domain" --state Enable/Disable

Erwartete Ausgabe

{
  "administrativeState": "Enabled",
  "configurationState": "Succeeded",		
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/ResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",				 
  "location": "eastus",
  "name": "example-l3domain",
  "networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/NFresourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
  "provisioningState": "Succeeded",
  "redistributeConnectedSubnets": "True",
  "redistributeStaticRoutes": "False",
  "resourceGroup": "NFResourceGroupName",
  "systemData": {
    "createdAt": "2023-XX-XXT06:23:43.372461+00:00",
    "createdBy": "email@address.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT06:25:53.240975+00:00",
    "lastModifiedBy": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
    "lastModifiedByType": "Application"
  },				 
  "type": "microsoft.managednetworkfabric/l3isolationdomains"
}

Überprüfen Sie mit dem Befehl az show, ob der Verwaltungsstatus in Enabled geändert wurde.

Löschen einer L3-Isolationsdomäne

Verwenden Sie diesen Befehl, um eine L3-Isolationsdomäne zu löschen:

 az networkfabric l3domain delete --resource-group "ResourceGroupName" --resource-name "example-l3domain"

Überprüfen Sie mit dem Befehl show oder list, ob die Isolationsdomäne gelöscht wurde.

Erstellen eines internen Netzwerks

Nachdem Sie erfolgreich eine L3-Isolationsdomäne erstellt haben, besteht der nächste Schritt darin, ein internes Netzwerk zu erstellen. Interne Netzwerke ermöglichen durch den Austausch von Routen mit dem Fabric die rackinterne oder rackübergreifende Layer 3-Kommunikation zwischen Workloads. Eine L3-Isolationsdomäne kann mehrere interne Netzwerke unterstützen, die sich jeweils in einem separaten VLAN befinden.

Das folgende Diagramm zeigt eine Beispielnetzwerkfunktion mit drei internen Netzwerken: vertrauenswürdiges Netzwerk, nicht vertrauenswürdiges Netzwerk und Verwaltungsnetzwerk. Jedes der internen Netzwerke wird in einer eigenen L3-Isolationsdomäne erstellt.

Diagramm einer Netzwerkfunktion mit drei internen Netzwerken.

Die IPv4-Präfixe für diese Netzwerke lauten wie folgt:

  • Vertrauenswürdiges Netzwerk: 10.151.1.11/24
  • Verwaltungsnetzwerk: 10.151.2.11/24
  • Nicht vertrauenswürdiges Netzwerk: 10.151.3.11/24

Die folgenden Parameter sind für die Erstellung von internen Netzwerken verfügbar.

Parameter BESCHREIBUNG Beispiel Erforderlich
vlan-Id VLAN-Bezeichner in einem Bereich von 501 bis 4095 1001 True
resource-group Verwenden Sie den entsprechenden NFC-Ressourcengruppennamen. NFCresourcegroupname True
l3-isolation-domain-name Ressourcenname der L3-Isolationsdomäne (l3isolationDomain) example-l3domain True
location Azure Operator Distributed Services (AODS)-Azure-Region, die während der NFC-Erstellung verwendet wurde eastus True

Die folgenden Parameter sind für die Erstellung von internen Netzwerken optional.

Parameter BESCHREIBUNG Beispiel Erforderlich
connectedIPv4Subnets IPv4-Subnetz, das von den Workloads des HAKS-Clusters verwendet wird 10.0.0.0/24
connectedIPv6Subnets IPv6-Subnetz, das von den Workloads des HAKS-Clusters verwendet wird 10:101:1::1/64
staticRouteConfiguration IPv4-/IPv6-Präfix der statischen Route IPv4 10.0.0.0/24 und Ipv6 10:101:1::1/64
staticRouteConfiguration->extension Erweiterungsflag für die statische Route des internen Netzwerks NoExtension/NPB
bgpConfiguration IPv4-Adresse des nächsten Hops 10.0.0.0/24
defaultRouteOriginate True/False. Ermöglicht die Verwendung der Standardroute, wenn Routen über BGP angekündigt werden. True
peerASN Peer-ASN der Netzwerkfunktion 65047
allowAS Ermöglicht das Empfangen und Verarbeiten von Routen, auch wenn der Router seine eigene ASN im AS-Pfad erkennt. Die Eingabe 0 entspricht „Deaktivieren“. Mögliche Werte sind 1 – 10, der Standardwert ist 2. 2
allowASOverride Aktivieren oder Deaktivieren (Enable/Disable) von allowAS Aktivieren
extension Erweiterungsflag für das interne Netzwerk NoExtension/NPB
ipv4ListenRangePrefixes BGP-IPv4-Lauschbereich, maximal zulässiger Bereich in /28 10.1.0.0/26
ipv6ListenRangePrefixes BGP-IPv6-Lauschbereich, maximal zulässiger Bereich in /127 3FFE:FFFF:0:CD30::/127
ipv4ListenRangePrefixes BGP-IPv4-Lauschbereich, maximal zulässiger Bereich in /28 10.1.0.0/26
ipv4NeighborAddress IPv4-Nachbaradresse 10.0.0.11
ipv6NeighborAddress IPv6-Nachbaradresse 10:101:1::11
isMonitoringEnabled Aktivieren oder Deaktivieren der Überwachung im internen Netzwerk False

Sie müssen ein internes Netzwerk erstellen, bevor Sie eine L3-Isolationsdomäne aktivieren. Dieser Befehl erstellt ein internes Netzwerk mit BGP-Konfiguration und einer angegebenen Peeringadresse:

az networkfabric internalnetwork create 
--resource-group "ResourceGroupName" 
--l3-isolation-domain-name "example-l3domain" 
--resource-name "example-internalnetwork" 
--vlan-id 805 
--connected-ipv4-subnets '[{"prefix":"10.1.2.0/24"}]' 
--mtu 1500 
--bgp-configuration  '{"defaultRouteOriginate": "True", "allowAS": 2, "allowASOverride": "Enable", "PeerASN": 65535, "ipv4ListenRangePrefixes": ["10.1.2.0/28"]}'

Erwartete Ausgabe

{
  "administrativeState": "Enabled",
  "bgpConfiguration": {
    "allowAS": 2,
    "allowASOverride": "Enable",
    "defaultRouteOriginate": "True",
    "fabricASN": 65050,
    "ipv4ListenRangePrefixes": [
      "10.1.2.0/28"
    ],
    "peerASN": 65535
  },
  "configurationState": "Succeeded",
  "connectedIPv4Subnets": [
    {
      "prefix": "10.1.2.0/24"
    }
  ],
  "extension": "NoExtension",
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/internalNetworks/example-internalnetwork",
  "isMonitoringEnabled": "True",
  "mtu": 1500,
  "name": "example-internalnetwork",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2023-XX-XXT04:32:00.8159767Z",
    "createdBy": "email@example.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT04:32:00.8159767Z",
    "lastModifiedBy": "email@example.com",
    "lastModifiedByType": "User"
  },
  "type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
  "vlanId": 805
}

Erstellen eines nicht vertrauenswürdigen internen Netzwerks für eine L3-Isolationsdomäne

az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3untrust --resource-name untrustnetwork --location "eastus" --vlan-id 502 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.3.11/24" --mtu 1500

Erstellen eines vertrauenswürdigen internen Netzwerks für eine L3-Isolationsdomäne

az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3trust --resource-name trustnetwork --location "eastus" --vlan-id 503 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.1.11/24" --mtu 1500

Erstellen eines internen Verwaltungsnetzwerks für eine L3-Isolationsdomäne

az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3mgmt --resource-name mgmtnetwork --location "eastus" --vlan-id 504 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.2.11/24" --mtu 1500

Erstellen mehrerer statischer Routen mit einem einzelnen nächsten Hop

az networkfabric internalnetwork create --resource-group "fab2nfrg180723" --l3-isolation-domain-name "example-l3domain" --resource-name "example-internalNetwork" --vlan-id 2600 --mtu 1500 --connected-ipv4-subnets "[{prefix:'10.2.0.0/24'}]" --static-route-configuration '{extension:NPB,bfdConfiguration:{multiplier:5,intervalInMilliSeconds:300},ipv4Routes:[{prefix:'10.3.0.0/24',nextHop:['10.5.0.1']},{prefix:'10.4.0.0/24',nextHop:['10.6.0.1']}]}'

Erwartete Ausgabe

{
  "administrativeState": "Enabled",
  "configurationState": "Succeeded",
  "connectedIPv4Subnets": [
    {
      "prefix": "10.2.0.0/24"
    }
  ],
  "extension": "NoExtension",
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/internalNetworks/example-internalnetwork",
  "isMonitoringEnabled": "True",
  "mtu": 1500,
  "name": "example-internalNetwork",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "staticRouteConfiguration": {
    "bfdConfiguration": {
      "administrativeState": "Disabled",
      "intervalInMilliSeconds": 300,
      "multiplier": 5
    },
    "extension": "NoExtension",
    "ipv4Routes": [
      {
        "nextHop": [
          "10.5.0.1"
        ],
        "prefix": "10.3.0.0/24"
      },
      {
        "nextHop": [
          "10.6.0.1"
        ],
        "prefix": "10.4.0.0/24"
      }
    ]
  },
  "systemData": {
    "createdAt": "2023-XX-XXT13:46:26.394343+00:00",
    "createdBy": "email@example.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT13:46:26.394343+00:00",
    "lastModifiedBy": "email@example.com",
    "lastModifiedByType": "User"
  },
  "type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
  "vlanId": 2600
}

Erstellen eines internen Netzwerks mit IPv6

az networkfabric internalnetwork create --resource-group "fab2nfrg180723" --l3-isolation-domain-name "example-l3domain" --resource-name "example-internalnetwork" --vlan-id 2800 --connected-ipv6-subnets '[{"prefix":"10:101:1::0/64"}]' --mtu 1500

Erwartete Ausgabe

{
  "administrativeState": "Enabled",
  "configurationState": "Succeeded",
  "connectedIPv6Subnets": [
    {
      "prefix": "10:101:1::0/64"
    }
  ],
  "extension": "NoExtension",
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/l3domain2/internalNetworks/example-internalnetwork",
  "isMonitoringEnabled": "True",
  "mtu": 1500,
  "name": "example-internalnetwork",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2023-XX-XXT10:34:33.933814+00:00",
    "createdBy": "email@example.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT10:34:33.933814+00:00",
    "lastModifiedBy": "email@example.com",
    "lastModifiedByType": "User"
  },
  "type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
  "vlanId": 2800
}

Erstellen externer Netzwerke

Externe Netzwerke ermöglichen Workloads Layer 3-Konnektivität mit Ihrem Anbieter-Edge. Zudem ermöglichen sie Workloads die Interaktion mit externen Diensten wie Firewalls und DNS (Domain Name System). Sie benötigen die Fabric-ASN (wird während der Erstellung des Netzwerk-Fabric erstellt), um externe Netzwerke zu erstellen.

Die Befehle zum Erstellen eines externen Netzwerks mithilfe der Azure CLI enthalten die folgenden Parameter.

Parameter BESCHREIBUNG Beispiel Erforderlich
peeringOption Peering mit OptionA oder OptionB. Mögliche Werte sind OptionA und OptionB. OptionB True
optionBProperties Konfiguration von OptionB-Eigenschaften. Hiermit können Sie die Verwendung von exportIPv4/IPv6RouteTargets oder importIpv4/Ipv6RouteTargets angeben. exportIpv4/Ipv6RouteTargets: ["1234:1234"]}}
optionAProperties Konfiguration von OptionA-Eigenschaften. Informationen hierzu finden Sie weiter unten im Beispiel zu OptionA.
external Dies ist ein optionaler Parameter für die Eingabe von MPLS-Option 10 (B) für die Konnektivität mit externen Netzwerken über Anbieter-Edgegeräte. Mit dieser Option kann ein Benutzer wie im Beispiel gezeigt Routenziele importieren und exportieren.

Für Option A müssen Sie ein internes Netzwerk erstellen, bevor Sie die L3-Isolationsdomäne aktivieren. Ein externes Netzwerk ist von einem internen Netzwerk abhängig und kann daher nicht ohne ein internes Netzwerk aktiviert werden. Der VLAN-ID-Wert muss zwischen 501 und 4095 liegen.

Erstellen eines externen Netzwerks mit Option B

az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "examplel3-externalnetwork" --resource-name "examplel3-externalnetwork" --peering-option "OptionB" --option-b-properties "{routeTargets:{exportIpv4RouteTargets:['65045:2001'],importIpv4RouteTargets:['65045:2001']}}"

Erwartete Ausgabe


{
  "administrativeState": "Enabled",
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/examplel3-externalnetwork",
  "name": "examplel3-externalnetwork",
  "optionBProperties": {
    "exportRouteTargets": [
      "65045:2001"
    ],
    "importRouteTargets": [
      "65045:2001"
    ],
    "routeTargets": {
      "exportIpv4RouteTargets": [
        "65045:2001"
      ],
      "importIpv4RouteTargets": [
        "65045:2001"
      ]
    }
  },
  "peeringOption": "OptionB",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2023-XX-XXT15:45:31.938216+00:00",
    "createdBy": "email@address.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-XX-XXT15:45:31.938216+00:00",
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User"
  },
  "type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}

Erstellen eines externen Netzwerks mit Option A

az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "example-l3domain" --resource-name "example-externalipv4network" --peering-option "OptionA" --option-a-properties '{"peerASN": 65026,"vlanId": 2423, "mtu": 1500, "primaryIpv4Prefix": "10.18.0.148/30", "secondaryIpv4Prefix": "10.18.0.152/30"}'

Erwartete Ausgabe

{
  "administrativeState": "Enabled",
  "id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/example-externalipv4network",
  "name": "example-externalipv4network",
  "optionAProperties": {
    "fabricASN": 65050,
    "mtu": 1500,
    "peerASN": 65026,
    "primaryIpv4Prefix": "10.21.0.148/30",
    "secondaryIpv4Prefix": "10.21.0.152/30",
    "vlanId": 2423
  },
  "peeringOption": "OptionA",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2023-07-19T09:54:00.4244793Z",
    "createdAt": "2023-XX-XXT07:23:54.396679+00:00", 
    "createdBy": "email@address.com",
    "lastModifiedAt": "2023-XX-XX1T07:23:54.396679+00:00", 
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User"
  },
  "type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}

Erstellen eines externen Netzwerks mit IPv6

az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "example-l3domain" --resource-name "example-externalipv6network" --peering-option "OptionA" --option-a-properties '{"peerASN": 65026,"vlanId": 2423, "mtu": 1500, "primaryIpv6Prefix": "fda0:d59c:da16::/127", "secondaryIpv6Prefix": "fda0:d59c:da17::/127"}'

Die unterstützte Größe des primären und sekundären IPv6-Präfixes ist /127.

Erwartete Ausgabe

{
  "administrativeState": "Enabled",
  "id": "/subscriptions//xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/example-externalipv6network",
  "name": "example-externalipv6network",
  "optionAProperties": {
    "fabricASN": 65050,
    "mtu": 1500,
    "peerASN": 65026,
    "primaryIpv6Prefix": "fda0:d59c:da16::/127",
    "secondaryIpv6Prefix": "fda0:d59c:da17::/127",
    "vlanId": 2423
  },
  "peeringOption": "OptionA",
  "provisioningState": "Succeeded",
  "resourceGroup": "ResourceGroupName",
  "systemData": {
    "createdAt": "2022-XX-XXT07:52:26.366069+00:00",
    "createdBy": "email@address.com",
    "createdByType": "User",
    "lastModifiedAt": "2022-XX-XXT07:52:26.366069+00:00",
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User"
  },
  "type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}

Aktivieren einer L2-Isolationsdomäne

az networkfabric l2domain update-administrative-state --resource-group "ResourceGroupName" --resource-name "l2HAnetwork" --state Enable

Aktivieren einer L3-Isolationsdomäne

Verwenden Sie diesen Befehl, um eine nicht vertrauenswürdige L3-Isolationsdomäne zu aktivieren:

az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3untrust" --state Enable

Verwenden Sie diesen Befehl, um eine vertrauenswürdige L3-Isolationsdomäne zu aktivieren:

az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3trust" --state Enable

Verwenden Sie diesen Befehl, um eine L3-Isolationsdomäne für die Verwaltung zu aktivieren:

az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3mgmt" --state Enable