このトピックでは、TOR スイッチへのアクセス許可、IP アドレスの割り当て、およびその他のネットワーク デプロイ タスクについて説明します。
構成のデプロイを計画する
以下のセクションでは、アクセス許可と IP アドレスの割り当てについて説明します。
物理スイッチのアクセス制御リスト
Microsoft では、Azure Stack ソリューションを保護するために、TOR スイッチにアクセス制御リスト (ACL) を実装しました。 このセクションでは、このセキュリティの実装方法について説明します。 次の表は、Azure Stack ソリューション内のすべてのネットワークのソースと宛先を示しています。
次の表は、ACL 参照と Azure Stack ネットワークを関連付けます。
| ネットワーク | 説明 |
|---|---|
| BMC Mgmt Internal | トラフィックは内部のみに制限されます。 |
| BMC Mgmt External | ACL によって境界デバイスを超えるアクセスが許可されます。 |
| 拡張されたストレージ管理 | 拡張ストレージ システムの専用管理インターフェイス |
| スイッチ管理 | 専用のスイッチ管理インターフェイス。 |
| "Azure Stack Infrastructure" | Azure Stack Infrastructure サービスと VM の制限付きネットワーク |
| Azure Stack Infrastructure Public (PEP/ERCS) | Azure Stack Protected Endpoint、Emergency Recovery Console Server。 お客様は、ACL を開いて、データセンター管理ネットワークへのトラフィックを許可することができます。 |
| Tor1、Tor2 RouterIP | SLB とスイッチまたはルーター間の BGP ピアリングに使用されるスイッチのループバック インターフェイス。 顧客は、境界でこれらの IP をファイアウォールオフする裁量権を持っています。 |
| ストレージ | リージョン外にルーティングされないプライベート IP |
| 内部 VIP | リージョン外にルーティングされないプライベート IP |
| 公共の著名人 | ネットワーク コントローラーによって管理されるテナント ネットワーク アドレス空間。 |
| Public Admin VIPs | 内部 VIP および Azure Stack インフラストラクチャとの通信に必要なテナント プール内のアドレスの少数のサブセット |
| 許可されているネットワーク | お客様が定義したネットワーク。 |
| 0.0.0.0 | Azure Stack の観点からは、0.0.0.0 が境界デバイスです。 |
| 許可 | トラフィックの許可は有効になっていますが、SSH アクセスは既定でブロックされています。 |
| ルートなし | ルートが Azure Stack 環境の外部に伝達されることはありません。 |
| MUX ACL | Azure Stack MUX ACL が使用されます。 |
| N/A | VLAN ACL の一部ではありません。 |
IP アドレスの割り当て
[Deployment Worksheet]\(デプロイ ワークシート\) では、Azure Stack のデプロイ プロセスをサポートするために次のネットワーク アドレスを指定するように求められます。 デプロイ チームは、[Deployment Worksheet]\(デプロイ ワークシート\) ツールを使用して、IP ネットワークをシステムに必要なすべての小さなネットワークに分割します。
この例では、展開ワークシートの [ネットワーク設定] タブに次の値を入力します。
- BMC ネットワーク: 10.193.132.0 /27
- Private Network Storage Network & Internal VIPs (プライベート ネットワーク ストレージ ネットワークと内部 VIP): 11.11.128.0/20
- インフラストラクチャとネットワーク: 12.193.130.0 /24
- Public Virtual IP (VIP) Network (パブリック仮想 IP (VIP) ネットワーク): 13.200.132.0 /24
- Switch Infrastructure Network (スイッチ インフラストラクチャ ネットワーク): 10.193.132.128 /26
[Deployment Worksheet]\(デプロイ ワークシート\) ツールで Generate 関数を実行すると、スプレッドシートに 2 つの新しいタブが作成されます。 1 つ目のタブは [Subnet Summary]\(サブネットの概要\) であり、システムに必要なすべてのネットワークを作成するためにスーパーネットがどのように分割されたかが示されます。 次の例では、このタブにある列の一部のみが表示されています。実際の結果には、各ネットワークのより詳細な情報が表示されます。
| ラック | サブネットの種類 | 名前 | IPv4 サブネット | IPv4 アドレス |
|---|---|---|---|---|
| 境界線 | P2P リンク | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| 境界線 | P2P リンク | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| 境界線 | P2P リンク | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| 境界線 | P2P リンク | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| 境界線 | P2P リンク | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| 境界線 | P2P リンク | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | ループバック | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | ループバック | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | ループバック | Loopback0 Rack1 BMC (ループバック0 ラック1 BMC) | 10.193.132.154/32 | 1 |
| Rack1 | P2P リンク | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | P2P リンク | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN (仮想ローカルエリアネットワーク) | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN (仮想ローカルエリアネットワーク) | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN (仮想ローカルエリアネットワーク) | CL01-RG01-SU01-Storage | 11.11.128.0/25 | 128 |
| Rack1 | VLAN (仮想ローカルエリアネットワーク) | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | その他 | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | その他 | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
2 つ目のタブは [IP Address Usage]\(IP アドレスの使用状況\) であり、IP がどのように消費されているかが示されます。
BMC ネットワーク
BMC ネットワークのスーパーネットには、少なくとも /26 ネットワークが必要です。 ゲートウェイには、まずネットワーク内の最初の IP、次にラック内の BMC デバイスが使用されます。 ハードウェア ライフサイクル ホストには、このネットワークに割り当てられた複数のアドレスがあり、ラックの配置、監視、およびサポートに使用できます。 これらの IP は、DVM、InternalAccessible、ExternalAccessible の 3 つのグループに分散されます。
- ラック: Rack1
- 名前: BMCMgmt
| 割当先 | IPv4 アドレス |
|---|---|
| ネットワーク | 10.193.132.0 |
| ゲートウェイ | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccessible-1 | 10.193.132.19 |
| ExternalAccessible-2 | 10.193.132.20 |
| ExternalAccessible-3 (外部アクセス可能-3) | 10.193.132.21 |
| ExternalAccessible-4 | 10.193.132.22 |
| ExternalAccessible-5 | 10.193.132.23 |
| InternalAccessible-1 | 10.193.132.24 |
| InternalAccessible-2 | 10.193.132.25 |
| InternalAccessible-3 | 10.193.132.26 |
| InternalAccessible-4 | 10.193.132.27 |
| InternalAccessible-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| 放送 | 10.193.132.31 |
記憶域ネットワーク
ストレージ ネットワークはプライベート ネットワークであり、ラックを越えてルーティングされることを意図していません。 これはプライベート ネットワーク スーパーネットの前半であり、次の表に示すように、分散されたスイッチによって使用されます。 このゲートウェイは、サブネット内の最初の IP です。 内部 VIP に使用される残りの半分は、Azure Stack SLB によって管理されるプライベート アドレス プールであり、[IP アドレス使用状況] タブには表示されません。これらのネットワークは Azure Stack をサポートしており、TOR スイッチには ACL が設定されているため、これらのネットワークがソリューション外部にアドバタイズされたりアクセスされたりすることはありません。
- ラック: Rack1
- 名前: CL01-RG01-SU01-Storage
| 割当先 | IPv4 アドレス |
|---|---|
| ネットワーク | 11.11.128.0 |
| ゲートウェイ | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| 放送 | 11.11.128.127 |
Azure Stack インフラストラクチャ ネットワーク
インフラストラクチャ ネットワーク スーパーネットには /24 ネットワークが必要であり、これは [Deployment Worksheet]\(デプロイ ワークシート\) ツールの実行後も引き続き /24 です。 このゲートウェイは、サブネット内の最初の IP です。
- ラック: Rack1
- 名前: CL01-RG01-SU01-Infra
| 割当先 | IPv4 アドレス |
|---|---|
| ネットワーク | 12.193.130.0 |
| ゲートウェイ | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| 放送 | 12.193.130.255 |
スイッチ インフラストラクチャ ネットワーク
インフラストラクチャ ネットワークは、物理スイッチ インフラストラクチャによって使用される複数のネットワークに分割されます。 これは、Azure Stack ソフトウェアのみをサポートする Azure Stack インフラストラクチャとは異なります。 Switch Infra Network は、物理スイッチ インフラストラクチャのみをサポートします。 インフラストラクチャでサポートされるネットワークは次のとおりです。
| 名前 | IPv4 サブネット |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
- ポイントツーポイント (P2P): これらのネットワークでは、すべてのスイッチ間の接続が可能です。 サブネットのサイズは、P2P あたり /30 ネットワークです。 最下位の IP は、スタック上のアップストリーム (North) デバイスに常に割り当てられます。
- Loopback: これらのアドレスは、ラック内で使用される各スイッチに割り当てられた /32 ネットワークです。 境界デバイスは、Azure Stack ソリューションの一部であるとは限らないため、ループバックは割り当てられません。
- スイッチ Mgmt またはスイッチ管理: この /29 ネットワークは、ラック内のスイッチの専用管理インターフェイスをサポートします。 IP は次のように割り当てられます。この表は、[Deployment Worksheet]\(デプロイ ワークシート\) の [IP Address Usage]\(IP アドレスの使用状況\) タブにも表示されます。
- ラック: Rack1
- 名前: SwitchMgmt
| 割当先 | [IPv4 アドレス] |
|---|---|
| ネットワーク | 10.193.132.168 |
| ゲートウェイ | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| 放送 | 10.193.132.175 |
環境を準備する
ハードウェア ライフサイクル ホスト イメージには、物理ネットワーク スイッチ構成の生成に使用される必要な Linux コンテナーが含まれています。
最新のパートナー デプロイ ツールキットには、最新のコンテナー イメージが含まれています。 更新されたスイッチ構成を生成する必要がある場合は、ハードウェア ライフサイクル ホスト上のコンテナー イメージを置き換えることができます。
次の手順では、コンテナー イメージを更新します。
- コンテナー イメージをダウンロードします
- 次の場所にあるコンテナー イメージを置き換えます
構成を生成する
このセクションでは、JSON ファイルとネットワーク スイッチ構成ファイルを生成する手順を示します。
[Deployment Worksheet]\(デプロイ ワークシート\) を開きます
すべてのタブのすべての必須フィールドに入力します
配置ワークシートで Generate 関数を呼び出します。 2 つの追加タブが作成され、生成された IP サブネットと割り当てが表示されます。
データを確認し、確認したら、"Export" 関数を呼び出します。 JSON ファイルを保存するフォルダーを指定するように求められます。
Invoke-SwitchConfigGenerator.ps1 を使用してコンテナーを実行します。 このスクリプトを実行するには、管理者特権の PowerShell コンソールが必要であり、実行するには次のパラメーターが必要です。
- ContainerName – スイッチ構成を生成するコンテナーの名前。
- ConfigurationData - [Deployment Worksheet]\(デプロイ ワークシート\) からエクスポートされた ConfigurationData.json ファイルのパス。
- OutputDirectory - 出力ディレクトリのパス。
- Offline - スクリプトがオフライン モードで実行されることを通知します。
Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
スクリプトが完了すると、ワークシートで使用されるプレフィックスを持つ .zip ファイルが生成されます。
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
カスタム構成
Azure Stack スイッチ構成について、いくつかの環境設定を変更できます。 テンプレートで変更できる設定を特定できます。 この記事では、それらのカスタマイズ可能な各設定と、変更が Azure Stack に与える可能性のある影響について説明します。 これらの設定には、パスワード更新、syslog サーバー、SNMP 監視、認証、およびアクセス制御リストが含まれます。
Azure Stack ソリューションのデプロイ時に、OEM (相手先ブランド供給) によって、TOR と BMC の両方のスイッチ構成が作成され、適用されます。 OEM は、Azure Stack オートメーション ツールを使用して、これらのデバイスで必要な構成が正しく設定されていることを検証します。 構成は、Azure Stack デプロイ ワークシートの情報に基づきます。
注
OEM または Microsoft Azure Stack エンジニアリング チームの同意なしに構成を変更しないでください。 ネットワーク デバイスの構成を変更すると、Azure Stack インスタンスのネットワークの問題の操作やトラブルシューティングに大きな影響を与える可能性があります。 ネットワーク デバイスのこれらの機能の詳細、これらの変更を行う方法については、OEM ハードウェアプロバイダーまたは Microsoft サポートにお問い合わせください。 OEM には、Azure Stack デプロイ ワークシートに基づいた、オートメーション ツールによって作成された構成ファイルがあります。
しかし、ネットワーク スイッチの構成で追加、削除、または変更できる値がいくつかあります。
パスワードの更新
オペレーターは、ネットワークスイッチ上の任意のユーザーのパスワードをいつでも更新できます。 Azure Stack システムの情報を変更したり、Azure Stack でシークレットをローテーションする手順を使用したりする必要はありません。
Syslog サーバー
オペレーターは、データセンターの syslog サーバーにスイッチ ログをリダイレクトできます。 この構成を使用することで、特定の時点のログをトラブルシューティングに使用できるようにします。 既定で、ログはスイッチに格納されます。ログを格納するためのそれらの容量は限られています。 スイッチ管理アクセスのアクセス許可を構成する方法の概要については、「アクセス制御リストの更新」セクションを参照してください。
SNMP の監視
オペレーターは、ネットワーク デバイスを監視し、データセンターのネットワーク監視アプリケーションにトラップを送信するように簡易ネットワーク管理プロトコル (SNMP) v2 または v3 を構成できます。 セキュリティ上の理由から、v2 より安全であるため、SNMPv3 を使用してください。 必要な MIB と構成については、OEM ハードウェア プロバイダーに問い合わせてください。 スイッチ管理アクセスのアクセス許可を構成する方法の概要については、「アクセス制御リストの更新」セクションを参照してください。
認証
オペレーターは、RADIUS または TACACS を構成して、ネットワークデバイスの認証を管理できます。 サポートされている方法と必要な構成については、OEM ハードウェア プロバイダーに問い合わせてください。 スイッチ管理アクセスのアクセス許可を構成する方法の概要については、「アクセス制御リストの更新」セクションを参照してください。
アクセス制御リストの更新
オペレーターは、いくつかのアクセス制御リスト (ACL) を変更して、信頼されたデータセンター ネットワーク範囲から、ネットワークデバイス管理インターフェイスおよびハードウェア ライフサイクル ホスト (HLH) にアクセスできるようにすることができます。 オペレーターは、到達可能なコンポーネントと場所を選択できます。 アクセス制御リストによって、オペレーターは、特定のネットワーク範囲内の管理ジャンプボックス VM に、スイッチ管理インターフェイス、HLH OS、HLH BMC へのアクセスを許可することができます。
詳細については、 物理スイッチのアクセス制御リストを参照してください。
TACACS、RADIUS、Syslog
Azure Stack ソリューションには、スイッチやルーターなどのデバイスのアクセス制御用の RADIUS ソリューションや、スイッチ ログをキャプチャするための Syslog ソリューションは付属していませんが、これらのデバイスはすべてこれらのサービスをサポートしています。 環境上の既存の RADIUS、RADIUS、Syslog サーバーとの統合を支援するために、ネットワーク スイッチ構成に追加のファイルを提供します。これにより、エンジニアはオンサイトで顧客のニーズに合わせてスイッチをカスタマイズできます。