Distribuzione di rete
Questo argomento illustra l'autorizzazione di accesso alle opzioni TOR, alle assegnazioni di indirizzi IP e ad altre attività di distribuzione di rete.
Pianificare la distribuzione della configurazione
Le sezioni successive illustrano le autorizzazioni e le assegnazioni di indirizzi IP.
Elenco di controllo di accesso del commutatore fisico
Per proteggere la soluzione Azure Stack, sono stati implementati elenchi di controllo di accesso (ACL) nelle opzioni TOR. Questa sezione descrive come viene implementata questa sicurezza. La tabella seguente mostra le origini e le destinazioni di ogni rete all'interno della soluzione Azure Stack:
La tabella seguente correla i riferimenti ACL alle reti di Azure Stack.
| Rete | Descrizione |
|---|---|
| BMC Mgmt Internal | Il traffico è limitato solo all'interno. |
| BMC Mgmt External | ACL consente l'accesso a oltre il dispositivo di bordo. |
| Mgmt archiviazione estesa | Interfacce di gestione dedicate per il sistema di archiviazione esteso |
| Switch Mgmt | Interfacce di gestione del commutatore dedicate. |
| "Infrastruttura di Azure Stack" | Servizi di infrastruttura di Azure Stack e rete con restrizioni della macchina virtuale |
| Infrastruttura di Azure Stack Public (PEP/ERCS) | Endpoint protetto di Azure Stack, server console di ripristino di emergenza. Il cliente può aprire ACL per consentire il traffico alla rete di gestione dei data center. |
| Tor1,Tor2 RouterIP | Interfaccia di loopback dell'opzione usata per il peering BGP tra SLB e Switch/Router. Il cliente avrà la discrezione di firewall su questi INDIRIZZI IP al bordo. |
| Archiviazione | Indirizzi IP privati non indirizzati all'esterno dell'area |
| INDIRIZZI VIP interni | Indirizzi IP privati non indirizzati all'esterno dell'area |
| INDIRIZZI VIP pubblici | Spazio indirizzi di rete tenant gestito dal controller di rete. |
| INDIRIZZI VIP pubblici Amministrazione | Piccolo subset di indirizzi nel pool di tenant necessari per comunicare con Internal-VIPs e infrastruttura di Azure Stack |
| Reti consentite | Rete definita dal cliente. |
| 0.0.0.0 | Dal punto di vista di Azure Stack 0.0.0.0 è il dispositivo di bordo. |
| Permesso | Il traffico consentito è abilitato, ma l'accesso SSH viene bloccato per impostazione predefinita. |
| Nessuna route | Le route non vengono propagate all'esterno dell'ambiente Azure Stack. |
| MUX ACL | Gli ACL MUX di Azure Stack vengono usati. |
| N/D | Non una parte di un ACL VLAN. |
Assegnazioni di indirizzi IP
Nel foglio di lavoro di distribuzione viene chiesto di fornire gli indirizzi di rete seguenti per supportare il processo di distribuzione di Azure Stack. Il team di distribuzione usa lo strumento Foglio di lavoro di distribuzione per suddividere le reti IP in tutte le reti più piccole richieste dal sistema.
In questo esempio verrà compilata la scheda Impostazioni di rete del foglio di lavoro di distribuzione con i valori seguenti:
Rete BMC: 10.193.132.0 /27
IP interni della rete di archiviazione di rete & privata: 11.11.128.0 /20
Rete infrastruttura: 12.193.130.0 /24
Rete IP virtuale pubblico (VIP): 13.200.132.0 /24
Rete infrastruttura switch: 10.193.132.128 /26
Quando si esegue la funzione Genera dello strumento Foglio di lavoro di distribuzione, vengono create due nuove schede nel foglio di calcolo. La prima scheda è il Riepilogo subnet e mostra come le supernet sono state suddivise per creare tutte le reti necessarie dal sistema. Nell'esempio seguente è presente solo un subset delle colonne presenti in questa scheda. Il risultato effettivo include altri dettagli di ogni rete elencata:
| Rack | Tipo di subnet | Nome | IPv4 Subnet | Indirizzi IPv4 |
|---|---|---|---|---|
| Bordo | Collegamento P2P | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| Bordo | Collegamento P2P | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| Bordo | Collegamento P2P | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| Bordo | Collegamento P2P | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| Bordo | Collegamento P2P | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| Bordo | Collegamento P2P | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | Loopback | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | Loopback | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | Loopback | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | Collegamento P2P | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | Collegamento P2P | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN | CL01-RG01-SU01-Storage | 11.11.128.0/25 | 128 |
| Rack1 | VLAN | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | Altro | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | Altro | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
La seconda scheda è Utilizzo indirizzi IP e mostra come vengono usati gli INDIRIZZI IP:
Rete BMC
La supernet per la rete BMC richiede almeno una rete /26. Il gateway usa il primo INDIRIZZO IP nella rete seguito dai dispositivi BMC nel rack. L'host del ciclo di vita dell'hardware ha più indirizzi assegnati in questa rete e può essere usato per distribuire, monitorare e supportare il rack. Questi INDIRIZZI IP vengono distribuiti in 3 gruppi: DVM, InternalAccess e ExternalAccess.
- Rack: Rack1
- Nome: BMCMgmt
| Assegnato a | Indirizzo IPv4 |
|---|---|
| Rete | 10.193.132.0 |
| Gateway | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccess-1 | 10.193.132.19 |
| ExternalAccess-2 | 10.193.132.20 |
| ExternalAccess-3 | 10.193.132.21 |
| ExternalAccess-4 | 10.193.132.22 |
| ExternalAccess-5 | 10.193.132.23 |
| InternalAccess-1 | 10.193.132.24 |
| InternalAccess-2 | 10.193.132.25 |
| InternalAccess-3 | 10.193.132.26 |
| InternalAccess-4 | 10.193.132.27 |
| InternalAccess-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| Trasmissione | 10.193.132.31 |
Rete di archiviazione
La rete di archiviazione è una rete privata e non deve essere instradata oltre il rack. È la prima metà della supernet di rete privata e viene usata dall'opzione distribuita come illustrato nella tabella seguente. Il gateway è il primo INDIRIZZO IP nella subnet. La seconda metà usata per gli indirizzi VIP interni è un pool privato di indirizzi gestiti da Azure Stack SLB, non viene visualizzato nella scheda Utilizzo indirizzi IP. Queste reti supportano Azure Stack e sono presenti elenchi di controllo di accesso nei commutatori TOR che impediscono che queste reti siano state annunciate e/o accessibili all'esterno della soluzione.
- Rack: Rack1
- Nome: CL01-RG01-SU01-Storage
| Assegnato a | Indirizzo IPv4 |
|---|---|
| Rete | 11.11.128.0 |
| Gateway | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| Trasmissione | 11.11.128.127 |
Rete dell'infrastruttura di Azure Stack
La rete di rete di infrastruttura supernet richiede una rete /24 e continua a essere una /24 dopo l'esecuzione dello strumento Foglio di lavoro di distribuzione. Il gateway sarà il primo IP nella subnet.
- Rack: Rack1
- Nome: CL01-RG01-SU01-Infra
| Assegnato a | Indirizzo IPv4 |
|---|---|
| Rete | 12.193.130.0 |
| Gateway | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| Trasmissione | 12.193.130.255 |
Commutare la rete dell'infrastruttura
La rete infrastruttura viene suddivisa in più reti usate dall'infrastruttura del commutatore fisico. Questo è diverso dall'infrastruttura di Azure Stack che supporta solo il software Azure Stack. Switch Infra Network supporta solo l'infrastruttura del commutatore fisico. Le reti supportate dall'infrastruttura sono:
| Nome | IPv4 Subnet |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
Punto a punto (P2P): queste reti consentono la connettività tra tutti i commutatori. Le dimensioni della subnet sono una rete /30 per ogni P2P. L'INDIRIZZO IP più basso viene sempre assegnato al dispositivo upstream (Nord) nello stack.
Loopback: questi indirizzi sono reti /32 assegnate a ogni commutatore usato nel rack. I dispositivi di bordo non vengono assegnati a un loopback perché non sono previsti come parte della soluzione Azure Stack.
Switch Mgmt o Gestione switch: questa rete /29 supporta le interfacce di gestione dedicate dei commutatori nel rack. Gli INDIRIZZI IP vengono assegnati come indicato di seguito; questa tabella è disponibile anche nella scheda Utilizzo indirizzi IP del foglio di lavoro distribuzione:
Rack: Rack1
Nome: SwitchMgmt
| Assegnato a | Indirizzo IPv4 |
|---|---|
| Rete | 10.193.132.168 |
| Gateway | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| Trasmissione | 10.193.132.175 |
Preparare l'ambiente
L'immagine host del ciclo di vita dell'hardware contiene il contenitore Linux richiesto usato per generare la configurazione del commutatore di rete fisica.
Il toolkit di distribuzione partner più recente include l'immagine del contenitore più recente. L'immagine del contenitore nell'host del ciclo di vita hardware può essere sostituita quando è necessario generare una configurazione del commutatore aggiornata.
Ecco i passaggi per aggiornare l'immagine del contenitore:
Scaricare l'immagine del contenitore
Sostituire l'immagine del contenitore nella posizione seguente
Generare la configurazione
Di seguito verranno illustrati i passaggi per la generazione dei file JSON e dei file di configurazione del commutatore di rete:
Aprire il foglio di lavoro distribuzione
Compilare tutti i campi obbligatori in tutte le schede
Richiamare la funzione "Genera" nel foglio di lavoro di distribuzione.
Verranno create due schede aggiuntive che visualizzano le subnet e le assegnazioni IP generate.Esaminare i dati e, una volta confermati, richiamare la funzione "Export".
Verrà richiesto di specificare una cartella in cui verranno salvati i file JSON.Eseguire il contenitore usando il Invoke-SwitchConfigGenerator.ps1. Questo script richiede l'esecuzione di una console di PowerShell con privilegi elevati e richiede l'esecuzione dei parametri seguenti.
ContainerName: nome del contenitore che genererà le configurazioni del commutatore.
ConfigurationData: percorso del file ConfigurationData.json esportato dal foglio di lavoro della distribuzione.
OutputDirectory: percorso della directory di output.
Offline: segnala che lo script viene eseguito in modalità offline.
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Al termine dello script, verrà generato un file ZIP con il prefisso usato nel foglio di lavoro.
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
Configurazione personalizzata
È possibile modificare alcune impostazioni ambientali per la configurazione del commutatore di Azure Stack. È possibile identificare le impostazioni che è possibile modificare nel modello. Questo articolo illustra ognuna di queste impostazioni personalizzabili e come le modifiche possono influire su Azure Stack. Queste impostazioni includono l'aggiornamento delle password, il server syslog, il monitoraggio SNMP, l'autenticazione e l'elenco di controllo di accesso.
Durante la distribuzione della soluzione Azure Stack, l'OEM (Original Equipment Manufacturer) crea e applica la configurazione del commutatore sia per le tor che per BMC. L'OEM usa lo strumento di automazione di Azure Stack per verificare che le configurazioni necessarie siano impostate correttamente in questi dispositivi. La configurazione è basata sulle informazioni nel foglio di lavoro della distribuzione di Azure Stack.
Nota
Non modificare la configurazione senza il consenso dell'OEM o del team di progettazione di Microsoft Azure Stack. Una modifica alla configurazione del dispositivo di rete può influire in modo significativo sull'operazione o sulla risoluzione dei problemi di rete nell'istanza di Azure Stack. Per altre informazioni su queste funzioni nel dispositivo di rete, su come apportare queste modifiche, contattare il provider hardware OEM o il supporto tecnico Microsoft. L'OEM ha il file di configurazione creato dallo strumento di automazione in base al foglio di lavoro della distribuzione di Azure Stack.
Esistono tuttavia alcuni valori che è possibile aggiungere, rimuovere o modificare nella configurazione dei commutatori di rete.
Aggiornamento della password
L'operatore può aggiornare la password per qualsiasi utente nei commutatori di rete in qualsiasi momento. Non è necessario modificare le informazioni sul sistema Di Azure Stack o usare la procedura per Ruotare i segreti in Azure Stack.
Server Syslog
Gli operatori possono reindirizzare i log degli switch a un server syslog nel data center. Usare questa configurazione per assicurarsi che i log di un determinato punto nel tempo possano essere usati per la risoluzione dei problemi. Per impostazione predefinita, i log vengono archiviati nelle opzioni; la capacità di archiviazione dei log è limitata. Vedere la sezione Aggiornamenti dell'elenco di controllo di accesso per una panoramica di come configurare le autorizzazioni per l'accesso alla gestione dei commutatori.
Monitoraggio SNMP
L'operatore può configurare un protocollo SNMP (Network Management Protocol) v2 o v3 semplice per monitorare i dispositivi di rete e inviare trap a un'applicazione di monitoraggio di rete nel data center. Per motivi di sicurezza, usare SNMPv3 perché è più sicuro di v2. Consultare il provider hardware OEM per i MIB e la configurazione necessari. Vedere la sezione Aggiornamenti dell'elenco di controllo di accesso per una panoramica di come configurare le autorizzazioni per l'accesso alla gestione dei commutatori.
Authentication
L'operatore può configurare RADIUS o TACACS per gestire l'autenticazione nei dispositivi di rete. Per informazioni su metodi e configurazione supportati, consultare il provider hardware OEM. Vedere la sezione Aggiornamenti dell'elenco di controllo di accesso per una panoramica di come configurare le autorizzazioni per l'accesso a Gestione switch.
Aggiornamenti dell'elenco di controllo di accesso
L'operatore può modificare alcuni elenchi di controllo di accesso (ACL) per consentire l'accesso alle interfacce di gestione dei dispositivi di rete e all'host del ciclo di vita hardware (HLH) da un intervallo di rete di data center attendibile. L'operatore può scegliere quale componente sarà raggiungibile e da dove. Con l'elenco di controllo di accesso, l'operatore può consentire alle macchine virtuali jumpbox di gestione all'interno di un intervallo di rete specifico di accedere all'interfaccia di gestione dei commutatori e al sistema operativo HLH e al BMC HLH.
Per altri dettagli, vedere Elenco di controllo di accesso del commutatore fisico.
TACACS, RADIUS e Syslog
La soluzione Azure Stack non verrà fornita con una soluzione TACACS o RADIUS per il controllo di accesso di dispositivi come commutatori e router, né una soluzione Syslog per acquisire i log dei commutatori, ma tutti questi dispositivi supportano tali servizi. Per facilitare l'integrazione con un server TACACS, RADIUS e/o Syslog esistente nell'ambiente, verrà fornito un file aggiuntivo con la configurazione del commutatore di rete che consentirà al tecnico in loco di personalizzare il passaggio alle esigenze del cliente.