このトピックでは、TOR スイッチへのアクセス許可、IP アドレスの割り当て、およびその他のネットワーク デプロイ タスクについて説明します。
構成のデプロイを計画する
以下のセクションでは、アクセス許可と IP アドレスの割り当てについて説明します。
物理スイッチのアクセス制御リスト
Microsoft では、Azure Stack ソリューションを保護するために、TOR スイッチにアクセス制御リスト (ACL) を実装しました。 このセクションでは、このセキュリティの実装方法について説明します。 次の表は、Azure Stack ソリューション内のすべてのネットワークのソースと宛先を示しています。
次の表では、ACL の記載と Azure Stack ネットワークを関連付けています。
| BMC 管理 | プロトコルとポートに許可ベースで含まれるデプロイ VM、BMC インターフェイス、HLH サーバー NTP サーバーおよび DNS サーバーの IP。 |
|---|---|
| HLH 内部アクセス可能 (PDU) | トラフィックは BMC スイッチに限定されます |
| HLH 外部アクセス可能 (OEM ツール VM) | ACL によって境界デバイスを超えるアクセスが許可されます。 |
| スイッチ Mgmt | 専用のスイッチ管理インターフェイス。 |
| スパイン管理 | 専用のスパイン管理インターフェイス。 |
| Azure スタック | Azure Stack Infrastructure サービスと VM の制限付きネットワーク |
| インフラストラクチャ | |
| Azure スタック | Azure Stack Protected Endpoint、Emergency Recovery Console Server |
| インフラストラクチャ | |
| パブリック (PEP/ERCS) | |
| Tor1、Tor2 RouterIP | SLB とスイッチまたはルーター間の BGP ピアリングに使用されるスイッチのループバック インターフェイス。 |
| ストレージ | リージョン外にルーティングされないプライベート IP |
| 内部 VIP | リージョン外にルーティングされないプライベート IP |
| パブリック VIP | ネットワーク コントローラーによって管理されるテナント ネットワーク アドレス空間。 |
| パブリック管理者 VIP | 内部 VIP および Azure Stack インフラストラクチャとの通信に必要なテナント プール内のアドレスの少数のサブセット |
| お客様とインターネット | お客様が定義したネットワーク。 Azure Stack の観点からは、0.0.0.0 が境界デバイスです。 |
| 0.0.0.0 | |
| 打ち消す | お客様は、このフィールドを更新することで、追加のネットワークで管理機能を有効にすることができます。 |
| 許可 | 既定で Permit トラフィックは有効ですが、SSH アクセスは無効です。 お客様は、SSH サービスを有効にすることができます。 |
| ルートなし | ルートが Azure Stack 環境の外部に伝達されることはありません。 |
| MUX ACL | Azure Stack MUX ACL が使用されます。 |
| N/A | VLAN ACL の一部ではありません。 |
IP アドレスの割り当て
[Deployment Worksheet]\(デプロイ ワークシート\) では、Azure Stack のデプロイ プロセスをサポートするために次のネットワーク アドレスを指定するように求められます。 デプロイ チームは、[Deployment Worksheet]\(デプロイ ワークシート\) ツールを使用して、IP ネットワークをシステムに必要なすべての小さなネットワークに分割します。 各ネットワークの詳細な説明については、上記のネットワークの設計とインフラストラクチャのセクションを参照してください。
この例では、[Deployment Worksheet]\(デプロイ ワークシート\) の [ネットワーク設定] タブに次の値を入力します。
BMC ネットワーク: 10.193.132.0 /27
プライベート ネットワーク ストレージ ネットワークと内部 VIP: 11.11.128.0 /24
インフラストラクチャ ネットワーク: 12.193.130.0 /24
パブリック仮想 IP (VIP) ネットワーク: 13.200.132.0 /24
スイッチ インフラストラクチャ ネットワーク: 10.193.132.128 /26
[Deployment Worksheet]\(デプロイ ワークシート\) ツールで Generate 関数を実行すると、スプレッドシートに 2 つの新しいタブが作成されます。 1 つ目のタブは [Subnet Summary]\(サブネットの概要\) であり、システムに必要なすべてのネットワークを作成するためにスーパーネットがどのように分割されたかが示されます。 次の例では、このタブにある列のサブセットのみが表示されます。実際の結果には、各ネットワークの詳細が表示されます。
| 棚 | サブネットの種類 | 名前 | IPv4 サブネット | IPv4 アドレス |
|---|---|---|---|---|
| 境界 | P2P リンク | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| 境界 | P2P リンク | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| 境界 | P2P リンク | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| 境界 | P2P リンク | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| 境界 | P2P リンク | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| 境界 | P2P リンク | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | ループバック | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | ループバック | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | ループバック | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | P2P リンク | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | P2P リンク | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN (仮想ローカルエリアネットワーク) | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN (仮想ローカルエリアネットワーク) | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN (仮想ローカルエリアネットワーク) | CL01-RG01-SU01-Storage | 11.11.128.0/25 | 128 |
| Rack1 | VLAN (仮想ローカルエリアネットワーク) | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | その他 | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | その他 | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
2 つ目のタブは [IP Address Usage]\(IP アドレスの使用状況\) であり、IP がどのように消費されているかが示されます。
BMC ネットワーク
BMC ネットワークのスーパーネットには、少なくとも /26 ネットワークが必要です。 ゲートウェイには、まずネットワーク内の最初の IP、次にラック内の BMC デバイスが使用されます。 ハードウェア ライフサイクル ホストには、このネットワークに割り当てられた複数のアドレスがあり、ラックの配置、監視、およびサポートに使用できます。 これらの IP は、DVM、InternalAccessible、ExternalAccessible の 3 つのグループに配布されます。
- ラック: Rack1
- 名前: BMCMgmt
| 割当先 | [IPv4 アドレス] |
|---|---|
| ネットワーク | 10.193.132.0 |
| ゲートウェイ | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccessible-1 | 10.193.132.19 |
| ExternalAccessible-2 | 10.193.132.20 |
| ExternalAccessible-3 | 10.193.132.21 |
| ExternalAccessible-4 | 10.193.132.22 |
| ExternalAccessible-5 | 10.193.132.23 |
| InternalAccessible-1 | 10.193.132.24 |
| InternalAccessible-2 | 10.193.132.25 |
| InternalAccessible-3 | 10.193.132.26 |
| InternalAccessible-4 | 10.193.132.27 |
| InternalAccessible-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| 放送 | 10.193.132.31 |
記憶域ネットワーク
ストレージ ネットワークはプライベート ネットワークであり、ラックを超えてルーティングするためのものではありません。 これはプライベート ネットワーク スーパーネットの前半であり、次の表に示すように分散されたスイッチによって使用されます。 このゲートウェイは、サブネット内の最初の IP です。 内部 VIP に使用される後半は、Azure Stack SLB によって管理されるアドレスのプライベート プールであり、[IP アドレスの使用状況] タブには表示されません。これらのネットワークは Azure Stack をサポートしており、TOR スイッチには ACL があり、これらのネットワークがソリューションの外部でアドバタイズまたはアクセスされないようにします。
- ラック: Rack1
- 名前: CL01-RG01-SU01-Storage
| 割当先 | [IPv4 アドレス] |
|---|---|
| ネットワーク | 11.11.128.0 |
| ゲートウェイ | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| 放送 | 11.11.128.127 |
Azure Stack インフラストラクチャ ネットワーク
インフラストラクチャ ネットワーク スーパーネットには /24 ネットワークが必要であり、これは [Deployment Worksheet]\(デプロイ ワークシート\) ツールの実行後も引き続き /24 です。 このゲートウェイは、サブネットの最初の IP になります。
- ラック: Rack1
- 名前: CL01-RG01-SU01-Infra
| 割当先 | [IPv4 アドレス] |
|---|---|
| ネットワーク | 12.193.130.0 |
| ゲートウェイ | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| 放送 | 12.193.130.255 |
スイッチ インフラストラクチャ ネットワーク
インフラストラクチャ ネットワークは、物理スイッチ インフラストラクチャによって使用される複数のネットワークに分割されます。 これは、Azure Stack ソフトウェアのみをサポートする Azure Stack インフラストラクチャとは異なります。 Switch Infra Network は、物理スイッチ インフラストラクチャのみをサポートします。 インフラストラクチャでサポートされるネットワークは次のとおりです。
| 名前 | IPv4 サブネット |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
ポイントツーポイント (P2P): これらのネットワークは、すべてのスイッチ間の接続を可能にします。 サブネットのサイズは、P2P あたり /30 ネットワークです。 最下位の IP は、スタック上のアップストリーム (North) デバイスに常に割り当てられます。
ループバック: これらのアドレスは、ラックで使用される各スイッチに割り当てられる /32 ネットワークです。 境界デバイスは、Azure Stack ソリューションの一部であるとは想定されていないため、ループバックは割り当てられません。
スイッチ Mgmt またはスイッチ管理: この /29 ネットワークは、ラック内のスイッチの専用管理インターフェイスをサポートします。 IP は次のように割り当てられます。この表は、[Deployment Worksheet]\(デプロイ ワークシート\) の [IP Address Usage]\(IP アドレスの使用状況\) タブにも表示されます。
ラック: Rack1
名前: SwitchMgmt
| 割当先 | [IPv4 アドレス] |
|---|---|
| ネットワーク | 10.193.132.168 |
| ゲートウェイ | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| 放送 | 10.193.132.175 |
環境を準備する
ハードウェア ライフサイクル ホスト イメージには、物理ネットワーク スイッチ構成の生成に使用される必要な Linux コンテナーが含まれています。
最新のパートナー デプロイ ツールキットには、最新のコンテナー イメージが含まれています。 更新されたスイッチ構成を生成する必要がある場合は、ハードウェア ライフサイクル ホスト上のコンテナー イメージを置き換えることができます。
コンテナー イメージを更新する手順は次のとおりです。
コンテナー イメージをダウンロードします
次の場所にあるコンテナー イメージを置き換えます
構成を生成する
ここでは、JSON ファイルとネットワーク スイッチ構成ファイルを生成する手順について説明します。
[Deployment Worksheet]\(デプロイ ワークシート\) を開きます
すべてのタブのすべての必須フィールドに入力します
[Deployment Worksheet]\(デプロイ ワークシート\) 上で "Generate" 関数を呼び出します。
生成された IP サブネットと割り当てが表示される 2 つの追加のタブが作成されます。データを確認し、確認したら、"Export" 関数を呼び出します。
JSON ファイルを保存するフォルダーを指定するように求められます。Invoke-SwitchConfigGenerator.ps1 を使用してコンテナーを実行します。 このスクリプトを実行するには、管理者特権の PowerShell コンソールが必要であり、実行するには次のパラメーターが必要です。
ContainerName - スイッチ構成を生成するコンテナーの名前。
ConfigurationData - [Deployment Worksheet]\(デプロイ ワークシート\) からエクスポートされた ConfigurationData.json ファイルのパス。
OutputDirectory - 出力ディレクトリのパス。
Offline - スクリプトがオフライン モードで実行されることを通知します。
C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
スクリプトが完了すると、ワークシートで使用されているプレフィックスを含む zip ファイルが生成されます。
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
カスタム構成
Azure Stack スイッチ構成について、いくつかの環境設定を変更できます。 テンプレートで変更できる設定を特定できます。 この記事では、それらのカスタマイズ可能な各設定と、変更が Azure Stack に与える可能性のある影響について説明します。 これらの設定には、パスワード更新、syslog サーバー、SNMP 監視、認証、およびアクセス制御リストが含まれます。
Azure Stack ソリューションのデプロイ時に、OEM (相手先ブランド供給) によって、TOR と BMC の両方のスイッチ構成が作成され、適用されます。 OEM は、Azure Stack オートメーション ツールを使用して、これらのデバイスで必要な構成が正しく設定されていることを検証します。 構成は、Azure Stack デプロイ ワークシートの情報に基づきます。
注
OEM または Microsoft Azure Stack エンジニアリング チームからの同意なしに構成を変更しないでください。 ネットワーク デバイスの構成を変更すると、Azure Stack インスタンスのネットワークの問題の操作やトラブルシューティングに大きな影響を与える可能性があります。 ネットワーク デバイスのこれらの機能の詳細、これらの変更を行う方法については、OEM ハードウェアプロバイダーまたは Microsoft サポートにお問い合わせください。 OEM には、Azure Stack デプロイ ワークシートに基づいた、オートメーション ツールによって作成された構成ファイルがあります。
しかし、ネットワーク スイッチの構成で追加、削除、または変更できる値がいくつかあります。
パスワードの更新
オペレーターは、ネットワークスイッチ上の任意のユーザーのパスワードをいつでも更新できます。 Azure Stack システムの情報を変更したり、Azure Stack でシークレットをローテーションする手順を使用したりする必要はありません。
Syslog サーバー
オペレーターは、データセンターの syslog サーバーにスイッチ ログをリダイレクトできます。 この構成を使用することで、特定の時点のログをトラブルシューティングに使用できるようにします。 既定で、ログはスイッチに格納されます。ログを格納するためのそれらの容量は限られています。 スイッチ管理アクセスのアクセス許可を構成する方法の概要については、「アクセス制御リストの更新」セクションを参照してください。
SNMP の監視
オペレーターは、ネットワーク デバイスを監視し、データセンターのネットワーク監視アプリケーションにトラップを送信するように簡易ネットワーク管理プロトコル (SNMP) v2 または v3 を構成できます。 セキュリティ上の理由から、v2 より安全であるため、SNMPv3 を使用してください。 必要な MIB と構成については、OEM ハードウェア プロバイダーに問い合わせてください。 スイッチ管理アクセスのアクセス許可を構成する方法の概要については、「アクセス制御リストの更新」セクションを参照してください。
認証
オペレーターは、RADIUS または TACACS を構成して、ネットワークデバイスの認証を管理できます。 サポートされている方法と必要な構成については、OEM ハードウェア プロバイダーに問い合わせてください。 スイッチ管理アクセスのアクセス許可を構成する方法の概要については、「アクセス制御リストの更新」セクションを参照してください。
アクセス制御リストの更新
オペレーターは、いくつかのアクセス制御リスト (ACL) を変更して、信頼されたデータセンター ネットワーク範囲から、ネットワークデバイス管理インターフェイスおよびハードウェア ライフサイクル ホスト (HLH) にアクセスできるようにすることができます。 オペレーターは、到達可能にするコンポーネントおよびどこから到達可能にするかを選択できます。 アクセス制御リストによって、オペレーターは、特定のネットワーク範囲内の管理ジャンプボックス VM に、スイッチ管理インターフェイス、HLH OS、HLH BMC へのアクセスを許可することができます。
詳細については、「物理スイッチのアクセス制御リスト」を参照してください。
TACACS、RADIUS、Syslog
Azure Stack ソリューションには、スイッチやルーターなどのデバイスのアクセス制御に対応する TACACS または RADIUS ソリューションや、スイッチ ログをキャプチャする Syslog ソリューションは含まれていませんが、このようなすべてのデバイスでは、これらのサービスがサポートされています。 お使いの環境にある既存の TACACS、RADIUS、Syslog サーバーとの統合を支援するために、ネットワーク スイッチ構成を含む追加のファイルが用意されています。オンサイトのエンジニアはこれを利用して、お客様のニーズに合わせてスイッチをカスタマイズすることができます。