Integrasi jaringan Azure Stack Hub ruggedized

Topik ini mencakup integrasi jaringan Azure Stack.

Konektivitas batas (uplink)

Perencanaan integrasi jaringan merupakan prasyarat penting untuk keberhasilan penyebaran, operasi, dan manajemen sistem terintegrasi Azure Stack. Perencanaan konektivitas batas dimulai dengan memilih apakah Anda ingin menggunakan perutean dinamis dengan protokol gateway batas (BGP). Hal ini memerlukan penetapan jumlah sistem otonom BGP 16-bit (publik atau privat) atau menggunakan perutean statik, tempat rute default statik ditetapkan ke perangkat batas.

Sakelar bagian atas rak (TOR) memerlukan Layer 3 uplink dengan IP Point-to-Point (/30 jaringan) dikonfigurasi pada antarmuka fisik. Uplink Layer 2 dengan sakelar TOR yang mendukung operasi Azure Stack tidak didukung.

Perutean BGP

Menggunakan protokol perutean dinamis seperti BGP menjamin bahwa sistem Anda selalu menyadari perubahan jaringan dan memfasilitasi administrasi. Untuk keamanan yang ditingkatkan, kata sandi dapat diatur pada BGP serekan antara TOR dan Border.

Seperti yang ditunjukkan pada diagram berikut, iklan ruang IP privat pada sakelar TOR diblokir menggunakan daftar awalan. Daftar awalan menyangkal iklan Jaringan Privat dan diterapkan sebagai peta rute pada koneksi antara TOR dan batas.

Penyeimbang Beban Perangkat Lunak (SLB) yang berjalan di dalam solusi Azure Stack melakukan peering ke perangkat TOR sehingga dapat secara dinamis mengiklankan alamat VIP.

Untuk memastikan bahwa lalu lintas pengguna segera dan secara transparan pulih dari kegagalan, VPC atau MLAG yang dikonfigurasi di antara perangkat TOR memungkinkan penggunaan agregasi link multi-chassis ke host dan HSRP atau VRRP yang menyediakan redundansi jaringan untuk jaringan IP.

Perutean statik

Perutean statik memerlukan konfigurasi tambahan ke perangkat batas. Perutean ini membutuhkan lebih banyak intervensi dan manajemen manual serta analisis menyeluruh sebelum melakukan perubahan apa pun. Masalah yang disebabkan oleh kesalahan konfigurasi mungkin membutuhkan waktu lebih lama untuk diputar kembali tergantung pada perubahan yang dibuat. Metode perutean ini tidak dianjurkan, tetapi didukung.

Untuk mengintegrasikan Azure Stack ke dalam lingkungan jaringan Anda menggunakan perutean statik, keempat link fisik antara batas dan perangkat TOR harus tersambung. Ketersediaan tinggi tidak dapat dijamin karena cara kerja perutean statik.

Perangkat batas harus dikonfigurasi dengan rute statik yang menunjuk ke masing-masing dari empat set IP P2P di antara TOR dan Border untuk lalu lintas yang ditujukan ke jaringan mana pun di dalam Azure Stack, tetapi hanya jaringan VIP Eksternal atau Publik yang diperlukan untuk operasi. Rute statik ke jaringan BMC dan Eksternal diperlukan untuk penyebaran awal. Operator dapat memilih untuk meninggalkan rute statik di batas untuk mengakses sumber daya manajemen yang berada di jaringan BMC dan Infrastruktur. Menambahkan rute statik untuk jaringan infrastruktur sakelar dan manajemen sakelar bersifat opsional.

Perangkat TOR dikonfigurasikan dengan rute default statis yang mengirimkan semua lalu lintas ke perangkat batas. Satu-satunya pengecualian lalu lintas untuk aturan default adalah untuk ruang privat, yang diblokir menggunakan Daftar Kontrol Akses yang diterapkan pada TOR untuk membatasi koneksi.

Perutean statik hanya berlaku untuk uplink antara sakelar TOR dan batas. Perutean dinamis BGP digunakan di dalam rak karena merupakan alat penting untuk SLB dan komponen lainnya dan tidak dapat dinonaktifkan atau dihapus.

* Jaringan BMC bersifat opsional setelah penyebaran.

** Jaringan Infrastruktur Sakelar bersifat opsional, karena seluruh jaringan dapat disertakan dalam jaringan Manajemen Sakelar.

*** Jaringan Manajemen Switch diperlukan dan dapat ditambahkan secara terpisah dari jaringan Infrastruktur Sakelar.

Proksi transparan

Jika pusat data Anda mengharuskan semua lalu lintas untuk menggunakan proksi, Anda harus mengonfigurasi proksi transparan untuk memproses semua lalu lintas dari rak untuk ditangani sesuai dengan kebijakan, yang memisahkan lalu lintas antara zona di jaringan Anda.

Solusi Azure Stack tidak mendukung proksi web normal

Proksi transparan (juga dikenal sebagai intercepting, inline, atau forced proxy) mencegat komunikasi normal pada lapisan jaringan tanpa memerlukan konfigurasi klien khusus apa pun. Klien tidak perlu menyadari keberadaan proksi.

Intersepsi lalu lintas SSL tidak didukung dan dapat menyebabkan kegagalan layanan saat mengakses titik akhir. Batas waktu maksimum yang didukung untuk berkomunikasi dengan titik akhir yang diperlukan untuk identitas adalah 60-an dengan 3 upaya coba ulang.

Sistem Nama Domain (DNS)

Bagian ini mencakup konfigurasi Sistem Nama Domain (DNS).

Mengonfigurasi penerusan DNS bersyarat

Hal ini hanya berlaku untuk penyebaran AD FS.

Untuk mengaktifkan resolusi nama dengan infrastruktur DNS yang ada, konfigurasikan penerusan bersyarat.

Untuk menambahkan penerusan bersyarat, Anda harus menggunakan titik akhir istimewa.

Untuk prosedur ini, gunakan komputer di jaringan pusat data Anda yang dapat berkomunikasi dengan titik akhir istimewa di Azure Stack.

Buka sesi Windows PowerShell yang ditingkatkan (jalankan sebagai administrator), dan sambungkan ke alamat IP titik akhir istimewa. Gunakan info masuk untuk autentikasi CloudAdmin.
```
\$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
```
Setelah Anda tersambung ke titik akhir istimewa, jalankan perintah PowerShell berikut. Ganti nilai sampel yang disediakan dengan nama domain dan alamat IP server DNS yang ingin Anda gunakan.
```
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
```

Menyelesaikan nama DNS Azure Stack dari luar Azure Stack

Server otoritatif adalah server yang menyimpan informasi zona DNS eksternal, dan zona yang dibuat pengguna. Integrasikan server ini untuk mengaktifkan delegasi zona atau penerusan bersyarat untuk menyelesaikan nama DNS Azure Stack dari luar Azure Stack.

Mendapatkan informasi titik akhir eksternal Server DNS

Untuk mengintegrasikan penyebaran Azure Stack dengan infrastruktur DNS, Anda memerlukan informasi berikut:

FQDN server DNS
Alamat IP server DNS

FQDN untuk server DNS Azure Stack memiliki format berikut:

<NAMINGPREFIX-ns01>.<REGION>.<EXTERNALDOMAINNAME>

<NAMINGPREFIX-ns02>.<REGION>.<EXTERNALDOMAINNAME>

Menggunakan nilai sampel, FQDN untuk server DNS adalah:

azs-ns01.east.cloud.fabrikam.com

azs-ns02.east.cloud.fabrikam.com

Informasi ini tersedia di portal administrator, tetapi juga dibuat pada akhir semua penyebaran Azure Stack dalam file bernama AzureStackStampInformation.json. File ini terletak di folder C:\CloudDeployment\logs di mesin virtual Penyebaran. Jika Anda tidak yakin nilai apa yang digunakan untuk penyebaran Azure Stack, Anda dapat mendapatkannya di sini.

Jika mesin virtual Penyebaran tidak tersedia lagi atau tidak dapat diakses, Anda dapat memperoleh nilai tersebut dengan menyambungkan ke titik akhir istimewa dan menjalankan cmdlet PowerShell Get-AzureStackStampInformation. Untuk informasi selengkapnya, lihat titik akhir istimewa.

Menyiapkan penerusan bersyarat ke Azure Stack

Cara paling sederhana dan paling aman untuk mengintegrasikan Azure Stack dengan infrastruktur DNS adalah dengan melakukan penerusan bersyarat pada zona dari server yang menghosting zona induk. Pendekatan ini direkomendasikan jika Anda memiliki kontrol langsung atas server DNS yang menghosting zona induk untuk kumpulan nama DNS eksternal Azure Stack Anda.

Jika Anda tidak terbiasa melakukan penerusan kondisional dengan DNS, lihat artikel TechNet berikut: Menetapkan Penerus Kondisional untuk Nama Domain, atau dokumentasi khusus untuk solusi DNS Anda.

Jika Anda mengkhususkan Zona DNS Azure Stack eksternal agar terlihat seperti domain turunan dari nama domain perusahaan, penerusan bersyarat tidak dapat digunakan. Delegasi DNS harus dikonfigurasikan.

Contoh:

Nama Domain DNS Perusahaan: contoso.com
Nama Domain DNS Eksternal Azure Stack: azurestack.contoso.com

Mengedit IP Penerus DNS

IP Penerus DNS diatur selama penyebaran Azure Stack. Namun, jika IP Penerus perlu diperbarui karena alasan apa pun, Anda dapat mengedit nilai dengan menghubungkan ke titik akhir istimewa dan menjalankan cmdlet PowerShell Get-AzSDnsForwarder dan Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>]. Untuk informasi selengkapnya, lihat titik akhir istimewa.

Mendelegasikan zona DNS eksternal ke Azure Stack

Agar nama DNS dapat diselesaikan dari luar penyebaran Azure Stack, Anda harus menyiapkan delegasi DNS.

Setiap registrar memiliki alat pengelolaan DNS masing-masing untuk mengubah data server nama untuk domain. Di halaman pengelolaan DNS pendaftar, edit catatan NS dan ganti catatan NS pada zona itu dengan catatan yang ada di Azure Stack.

Sebagian besar pendaftar DNS mengharuskan Anda untuk menyediakan minimal dua server DNS untuk menyelesaikan delegasi.

dinding api (Firewall)

Azure Stack menyiapkan alamat IP virtual (VIP) untuk peran infrastrukturnya. VIP ini dialokasikan dari kumpulan alamat IP publik. Setiap VIP diamankan menggunakan daftar kontrol akses (ACL) di lapisan jaringan yang ditentukan perangkat lunak. ACL juga digunakan di seluruh pengalih fisik (TOR dan BMC) untuk lebih memperkuat solusi. Entri DNS dibuat untuk setiap titik akhir di zona DNS eksternal yang ditentukan pada saat penyebaran. Misalnya, portal pengguna diberi entri host DNS dari portal. <wilayah>.<fqdn>.

Diagram arsitektural berikut menunjukkan lapisan jaringan dan ACL yang berbeda:

diagram arsitektur menunjukkan lapisan jaringan dan ACL yang berbeda

Port dan URL

Untuk membuat layanan Azure Stack (seperti portal, Azure Resource Manager, DNS, dan sebagainya) tersedia untuk jaringan eksternal, Anda harus mengizinkan lalu lintas masuk ke titik akhir ini untuk URL, port, dan protokol tertentu.

Dalam penyebaran tempat proksi transparan terhubung ke server proksi tradisional atau firewall melindungi solusi, Anda harus mengizinkan port dan URL tertentu untuk komunikasimasuk dan keluar. Termasuk port dan URL untuk identitas, marketplace, patch dan pembaruan, pendaftaran, dan data penggunaan.

Komunikasi keluar

Azure Stack hanya mendukung server proksi transparan. Pada penyebaran dengan uplink proksi transparan ke server proksi tradisional, Anda harus mengizinkan port dan URL dalam tabel berikut untuk melakukan komunikasi keluar saat menyebarkan dalam mode terhubung.

Catatan

Azure Stack tidak mendukung penggunaan ExpressRoute untuk menjangkau layanan Azure yang tercantum dalam tabel berikut karena ExpressRoute mungkin tidak dapat merutekan lalu lintas ke semua titik akhir.

Tujuan	URL Tujuan	Protokol	Port	Jaringan Sumber
Identitas	Azure login.windows.net login.microsoftonline.com graph.windows.net https://secure.aadcdn.microsoftonline-p.com www.office.com ManagementServiceUri = https://management.core.windows.net ARMUri = https://management.azure.com https://.msftauth.net https://.msauth.net https://.msocdn.com Azure Government* https://login.microsoftonline.us/ https://graph.windows.net/ Azure Tiongkok 21Vianet https://login.chinacloudapi.cn/ https://graph.chinacloudapi.cn/ Azure Jerman https://login.microsoftonline.de/ https://graph.cloudapi.de/	HTTP HTTPS	80 443	VIP Publik - /27 Jaringan Infrastruktur Publik
Sindikasi marketplace	Azure https://management.azure.com https://.blob.core.windows.net https://.azureedge.net Azure Government https://management.usgovcloudapi.net/ https://.blob.core.usgovcloudapi.net/ Azure Tiongkok 21Vianet* https://management.chinacloudapi.cn/ http://*.blob.core.chinacloudapi.cn	HTTPS	443	VIP Publik - /27
Patch & Perbarui	https://*.azureedge.net https://aka.ms/azurestackautomaticupdate	HTTPS	443	VIP Publik - /27
Pendaftaran	Azure https://management.azure.com Azure Government https://management.usgovcloudapi.net/ Azure Tiongkok 21Vianet https://management.chinacloudapi.cn	HTTPS	443	VIP Publik - /27
Penggunaan	Azure https://.trafficmanager.net Azure Government* https://.usgovtrafficmanager.net Azure Tiongkok 21Vianet* https://*.trafficmanager.cn	HTTPS	443	VIP Publik - /27
Pertahanan Windows	.wdcp.microsoft.com .wdcpalt.microsoft.com .wd.microsoft.com .update.microsoft.com *.download.microsoft.com https://www.microsoft.com/pkiops/crl https://www.microsoft.com/pkiops/certs https://crl.microsoft.com/pki/crl/products https://www.microsoft.com/pki/certs https://secure.aadcdn.microsoftonline-p.com	HTTPS	80 443	VIP Publik - /27 Jaringan Infrastruktur Publik
Protokol Waktu Jaringan (NTP)	(IP server NTP disediakan untuk penyebaran)	UDP	123	VIP Publik - /27
Sistem Nama Domain (DNS)	(IP server DNS disediakan untuk penyebaran)	TCP UDP	53	VIP Publik - /27
CRL	(URL di bawah Titik Distribusi CRL pada sertifikat Anda)	HTTP	80	VIP Publik - /27
LDAP	Active Directory Forest disediakan untuk integrasi Graph	TCP UDP	389	VIP Publik - /27
LDAP SSL	Active Directory Forest disediakan untuk integrasi Graph	TCP	636	VIP Publik - /27
LDAP GC	Active Directory Forest disediakan untuk integrasi Graph	TCP	3268	VIP Publik - /27
LDAP GC SSL	Active Directory Forest disediakan untuk integrasi Graph	TCP	3269	VIP Publik - /27
Layanan Federasi Direktori Aktif	Titik akhir metadata AD FS yang disediakan untuk integrasi AD FS	TCP	443	VIP Publik - /27
Layanan pengumpulan Log Diagnostik	URL SAS Blob yang disediakan Microsoft Azure Storage	HTTPS	443	VIP Publik - /27

Komunikasi masuk

Set VIP infrastruktur diperlukan untuk menerbitkan titik akhir Azure Stack ke jaringan eksternal. Tabel Titik akhir (VIP) menampilkan setiap titik akhir, port yang diperlukan, dan protokol. Lihat dokumentasi penyebaran penyedia sumber tertentu untuk titik akhir yang memerlukan penyedia sumber tambahan, seperti penyedia sumber SQL.

VIP infrastruktur internal tidak terdaftar karena tidak diperlukan untuk menerbitkan Azure Stack. VIP pengguna bersifat dinamis dan ditentukan oleh pengguna itu sendiri, tanpa kontrol operator Azure Stack