Mettre à jour et valider des ressources Network Fabric

Actuellement, les ressources Nexus Network Fabric nécessitent de désactiver une ressource parente (comme un domaine L3Isolation), puis de reconfigurer la ressource parente ou enfant avec des valeurs mises à jour, et d'exécuter l'action administrative postérieure pour activer et configurer les appareils. Le nouveau flux de mise à jour des ressources de Network Fabric vous permet de traiter et de mettre à jour un ensemble de ressources Network Fabric via une commitConfiguration action POST lorsque les ressources sont activées. Il n’y a aucune modification si vous choisissez le flux de travail actuel de désactivation du domaine d’isolation L3, en apportant des modifications et en activant le domaine d’isolation L3.

Vue d’ensemble de la mise à jour des ressources Network Fabric

Toute opération de création, de mise à jour, de suppression (CUD) sur une ressource enfant liée à une ressource parente activée existante ou à une mise à jour d’une propriété de ressource parente activée est considérée comme une opération de mise à jour . Quelques exemples seraient un nouveau réseau interne, ou un nouveau sous-réseau doit être ajouté à un domaine d’isolation de couche 3 activé existant (le réseau interne est une ressource enfant de domaine d’isolation de couche 3). Une nouvelle stratégie de routage doit être attachée au réseau interne existant ; ces deux scénarios sont éligibles pour une opération de mise à jour .

Toute opération de mise à jour effectuée sur les ressources Network Fabric prises en charge indiquées dans le tableau suivant place l’infrastructure dans un état de validation en attente (actuellement accepté dans l’état configuration) où vous devez lancer une action de configuration de validation de structure pour appliquer les modifications souhaitées. Toutes les mises à jour des ressources Network Fabric (y compris les ressources enfants) dans la structure fabric suivent le même flux de travail.

L’action de validation/les mises à jour des ressources ne doivent être valides et applicables que lorsque la structure fabric est dans un état approvisionné et que les ressources Network Fabric sont dans un état administratif Enabled (Activé). Les mises à jour des ressources parentes et enfants peuvent être traitées par lots (sur différentes ressources Network Fabric), et une action commitConfiguration peut être effectuée pour exécuter toutes les modifications en une seule action POST.

La création de ressources parentes et leur activation via une action administrative sont indépendantes du flux de travail de la mise à jour ou de l’action de validation. En outre, toutes les actions administratives permettant d’activer/désactiver sont indépendantes et ne nécessitent pas de déclencheur d’action commitConfiguration pour l’exécution. L’action CommitConfiguration s’applique uniquement à un scénario lorsque l’opérateur souhaite mettre à jour les ressources et la structure Azure Resource Manager existantes, la ressource parente est activée. Tous les scripts d’automatisation ou fichiers Bicep utilisés par les opérateurs pour créer une ressource Network Fabric et activer ne nécessitent aucune modification.

Flux de travail utilisateur

Pour exécuter avec succès la mise à jour des ressources, l’infrastructure doit être dans l’état provisionné. Les étapes suivantes sont impliquées dans la mise à jour des ressources Network Fabric.

1. L’opérateur met à jour les ressources Network Fabric requises (plusieurs mises à jour de ressources peuvent être traitées par lots) qui ont déjà été activées (configuration appliquées aux appareils) à l’aide de l’appel de mise à jour sur les ressources Network Fabric via AzCli, Azure Resource Manager, Portal. (Reportez-vous aux scénarios, ressources et paramètres pris en charge dans le tableau suivant).

   Dans l’exemple suivant, un nouveau internalnetwork est ajouté à un domaine L3Isolation l3domain101523-sm existant.

   az networkfabric internalnetwork create --subscription 5ffad143-8f31-4e1e-b171-fa1738b14748 --resource-group "Fab3Lab-4-1-PROD" --l3-isolation-domain-name "l3domain101523-sm" --resource-name "internalnetwork101523" --vlan-id 789 --mtu 1432 --connected-ipv4-subnets "[{prefix:'10.252.11.0/24'},{prefix:'10.252.12.0/24'}]
   

2. Une fois l’appel de mise à jour d’Azure Resource Manager réussi, la ressource ConfigurationState spécifique est définie sur Accepté et lorsqu’elle échoue, elle est définie sur Rejeté. Fabric ConfigurationState est défini sur Accepté indépendamment de la réussite/de l’échec de l’appel PATCH.

   Si une ressource Azure Resource Manager sur l’infrastructure (par exemple, réseau interne ou RoutePolicy) est dans l’état Rejeté , l’opérateur doit corriger la configuration et vérifier que l’état ConfigurationState de la ressource spécifique est défini sur Accepté avant de continuer.

3. L’opérateur exécute l’action COMMITConfiguration POST sur la ressource Fabric.

   az networkfabric fabric commit-configuration --subscription 5ffad143-8f31-4e1e-b171-fa1738b14748 --resource-group "FabLAB-4-1-PROD" --resource-name "nffab3-4-1-prod"
   

4. Le service valide si toutes les mises à jour de ressources ont réussi et valide les entrées. Il valide également les ressources logiques connectées pour garantir un comportement et une configuration cohérents. Une fois toutes les validations réussies, la nouvelle configuration est générée et envoyée (push) aux appareils.

5. Une ressource configurationState spécifique est réinitialisée sur Réussi et Fabric configurationState est configurée sur Approvisionné.

6. Si l’action commitConfiguration échoue, le service affiche le message d’erreur approprié et avertit l’opérateur de l’échec potentiel de la mise à jour des ressources Network Fabric.

État	Définition	Avant la mise à jour des ressources d'Azure Resource Manager	Avant CommitConfiguration et après la mise à jour Azure Resource Manager	Après CommitConfiguration
État administratif	État pour représenter l’action administrative effectuée sur la ressource	Enabled (seul l’état activé est pris en charge)	Enabled (seul l’état activé est pris en charge)	Activé (l’utilisateur peut désactiver)
État de configuration	État pour représenter des actions d’opérateur/configurations pilotées par le service	État de la ressource – Succeeded, État de Fabric Provisioned	État de la ressource - Accepté (réussite) - Rejeté (échec) État de Fabric -Accepté	État de la ressource - Accepté (échec), - Réussi (Succès) État de Fabric – Provisioned
État d’approvisionnement	État pour représenter l’état d’approvisionnement d’Azure Resource Manager des ressources	approvisionné	approvisionné	approvisionné

Ressources et scénarios Network Fabric pris en charge

Network Fabric Update Prend en charge les ressources Network Fabric (Network Fabric 4.1, Nexus 2310.1)

Ressource Service Fabric	Catégorie	Scénarios pris en charge	Scénarios non pris en charge	Remarques
Domaine d’isolation de couche 2	Parent	– Mise à jour des propriétés – MTU - Ajout/mise à jour des balises	Nouvelle opération PUT sur la ressource
Domaine d’isolation de couche 3	Parent	Mise à jour des propriétés – Redistribuer les éléments connectés. - redistribuer des itinéraires statiques. – Agréger la configuration des routes - Stratégie d’itinéraire de sous-réseau connecté.  Ajout/mise à jour de balises	Nouvelle opération PUT sur la ressource
Réseau interne	Enfant (de ISD L3)	Ajout d’un nouveau réseau interne Mise à jour des propriétés -MTU - Ajout/mise à jour des sous-réseaux IPv4/IPv6 connectés - Ajout/mise à jour d’IPv4/IPv6 RoutePolicy - Ajout/Mise à jour des ACL de Sortie/Entrée - Mettre à jour le drapeau isMonitoringEnabled - Ajout/Mise à jour des itinéraires statiques – Configuration BGP Ajout/mise à jour de balises	- de ressource re-PUT. - Suppression d’un réseau interne lorsque le domaine d’isolation de couche 3 parent est activé.	Pour supprimer la ressource, la ressource parente doit être désactivée
Réseau externe	Enfant (de ISD L3)	Mise à jour des propriétés - Ajout/mise à jour d’IPv4/IPv6 RoutePolicy – Propriétés de l’option A MTU, ajout/mise à jour des ACL d’entrée et de sortie, - Propriétés de l’option A – Configuration BFD – Propriétés de l’option B – Cibles de routage Ajout/Mise à jour des balises	- de ressource re-PUT.  - Création d’un réseau externe - Suppression d’un réseau externe lorsque le domaine d’isolation de couche 3 parent est activé.	Pour supprimer la ressource, la ressource parente doit être désactivée.  REMARQUE : un seul réseau externe est pris en charge par ISD.
Stratégie de routage	Parent	– Mise à jour de l’intégralité de l’instruction, notamment le numéro seq, la condition, l’action. - Ajout/mise à jour des balises	- de ressource re-PUT.  - Mise à jour de la stratégie de routage liée à une ressource d’interconnexion réseau à réseau.	Pour supprimer la ressource, l’interconnexion connectedResource (IsolationDomain ou N-à-N) ne doit contenir aucune référence.
IPCommunity	Parent	– Mise à jour de l’intégralité de la règle ipCommunity, notamment le numéro seq, l’action, les membres de la communauté, les communautés connues.	Nouvelle opération PUT sur la ressource	Pour supprimer la ressource, la ressource connectée RoutePolicy ne doit contenir aucune référence.
IPPrefixes	Parent	– Mise à jour de l’intégralité de la règle IPPrefix, notamment le numéro seq, networkPrefix, la condition, la longueur de subnetMask.  - Ajout/mise à jour des balises	Nouvelle opération PUT sur la ressource	Pour supprimer la ressource, la ressource connectée RoutePolicy ne doit contenir aucune référence.
IPExtendedCommunity	Parent	- Mettez à jour l’ensemble de la règle de la communauté IPExtended, notamment le numéro seq, l’action, les cibles de routage.  - Ajout/mise à jour des balises	Nouvelle opération PUT sur la ressource	Pour supprimer la ressource, la ressource connectée RoutePolicy ne doit contenir aucune référence.
ACL	Parent	– Ajout/mise à jour pour faire correspondre les configurations et les configurations de correspondance dynamique. - Mettre à jour le type de configuration - URL d’ajout/mise à jour des listes de contrôle d’accès - Ajout/mise à jour des balises	- de ressource re-PUT.  - Mettre à jour les listes de contrôle d’accès liées à une ressource d’interconnexion réseau à réseau.	Pour supprimer la ressource, l’interconnexion connectedResource (comme IsolationDomain ou N-à-N) ne doit contenir aucune référence.

Notes de comportement et contraintes

• Si une ressource parente est dans un état administratif Disabled (Désactivé) et que des modifications sont apportées à la ressource parent ou aux ressources enfants, l’action commitConfiguration n’est pas applicable. L’activation de la ressource envoie (push) la configuration. Le chemin de validation de ces ressources n'est déclenché que lorsque la ressource parente est dans l’état administratif Activé.

• Si commitConfiguration échoue, la structure fabric reste dans l’état de configuration Accepted jusqu’à ce que l’utilisateur résolve les problèmes et exécute un commitConfiguration réussi. Actuellement, seuls des mécanismes de restauration par progression sont fournis en cas d’échec.

• Si la configuration de l’infrastructure est dans un état accepté et qu'elle contient des mises à jour des ressources Azure Resource Manager qui ne sont pas encore validées, aucune action d’administration n’est permise sur les ressources.

• Si la configuration de l’infrastructure est dans un état accepté et que les mises à jour des ressources Azure Resource Manager ne sont pas encore validées, l’opération de suppression sur les ressources prises en charge ne peut pas être déclenchée.

• La création de ressources parentes est indépendante de commitConfiguration et du flux de mise à jour. Une nouvelle opération PUT n’est prise en charge sur aucune ressource.

• La mise à jour des ressources Network Fabric est prise en charge pour les déploiements Greenfield et les déploiements Brownfield, mais avec certaines contraintes.

  • Dans le déploiement Greenfield, l’état de configuration de l’infrastructure est accepté une fois que des mises à jour ont été effectuées pour les ressources Network Fabric. Une fois l’action commitConfiguration déclenchée, elle passe à l’état Provisionné ou Accepté en fonction de la réussite ou de l’échec de l’action.

  • Dans le déploiement Brownfield, l’action commitConfiguration est prise en charge, mais les ressources Network Fabric prises en charge (par exemple, domaines d’isolation, réseaux internes, RoutePolicy et listes de contrôle d’accès) doivent être créées à l’aide de la version de production de l’API (2023-06-15). Cette restriction temporaire est assouplie suite à la migration de toutes les ressources vers la dernière version.

  • Dans le déploiement Brownfield, l’état de configuration de l’infrastructure reste dans un état provisionné lorsqu’il existe des modifications apportées aux ressources Network Fabric prises en charge ou à l’action commitConfiguration est déclenchée. Ce comportement est temporaire jusqu’à la migration de toutes les structures vers la dernière version.

• Les mises à jour de la stratégie de routage et d’autres ressources associées (communauté IP, communauté étendue IP, liste de préfixes IP) sont considérées comme une opération de remplacement de liste. Toutes les instructions existantes sont supprimées et seules les nouvelles instructions mises à jour sont configurées.

• La mise à jour ou la suppression de sous-réseaux, d’itinéraires, de configurations BGP et d’autres paramètres réseau pertinents dans la configuration réseau interne ou externe peuvent entraîner une interruption du trafic et doivent être effectuées à la discrétion des opérateurs.

• La mise à jour des nouvelles stratégies de routage et des listes de contrôle d’accès peut entraîner une interruption du trafic en fonction des règles appliquées.

• Utilisez une commande list sur le type de ressource spécifique (lister toutes les ressources d’un type de réseau interne) pour vérifier les ressources qui sont mises à jour et qui ne sont pas validées sur l’appareil. Les ressources qui ont un état de configuration accepté ou rejeté peuvent être filtrées et identifiées comme des ressources qui ne sont pas encore validées ou où la validation sur l’appareil échoue.

Par exemple:

az networkfabric internalnetwork list --resource-group "example-rg" --l3domain  "example-l3domain"