Implantação de rede robusta do Azure Stack Hub
Este tópico aborda a permissão de acesso para as opções TOR, atribuições de endereço IP e outras tarefas de implantação de rede.
Planejar implantação de configuração
As próximas seções abrangem permissões e atribuições de endereço IP.
Lista de controle de acesso de comutador físico
Para proteger a solução do Azure Stack, implementamos ACLs (listas de controle de acesso) nas opções TOR. Esta seção descreve como essa segurança é implementada. A tabela a seguir mostra as fontes e destinos de cada rede dentro da solução do Azure Stack:
A tabela a seguir correlaciona as referências de ACL com as redes do Azure Stack.
| BMC Mgmt | VM de implantação, interface BMC, servidor HLH NTP Server e IPs de servidor DNS incluídos como Permissão com base no protocolo e na porta. |
|---|---|
| HLH Internal Accessible (PDU) | O tráfego é limitado ao Comutador do BMC |
| HLH External Accessible (VM da Ferramenta OEM) | A ACL permite acesso além do dispositivo de borda. |
| Alternar Mgmt | Interfaces de gerenciamento do Comutador Dedicado. |
| Spine Mgmt | Interfaces de gerenciamento de Coluna Dedicadas. |
| Azure Stack Hub | Serviços e VMs da Infraestrutura do Azure Stack, rede restrita |
| Infraestrutura | |
| Azure Stack Hub | Ponto de Extremidade Protegido do Azure Stack, Servidor de Console de Recuperação de Emergência |
| Infraestrutura | |
| Público (PEP/ERCS) | |
| Tor1,Tor2 RouterIP | Interface de loopback do comutador usado para emparelhamento BGP entre o SLB e o Switch/Roteador. |
| Armazenamento | IPs privados não roteados para fora da região |
| VIPs internos | IPs privados não roteados para fora da região |
| Public-VIPs | Espaço de endereço de rede de locatário gerenciado pelo controlador de rede. |
| Public-Admin-VIPs | Pequeno subconjunto de endereços no pool de locatários que são necessários para conversar com Internal-VIPs e a Infraestrutura do Azure Stack |
| Cliente/Internet | Rede definida pelo cliente. Da perspectiva do Azure Stack 0.0.0.0 é o dispositivo de borda. |
| 0.0.0.0 | |
| Deny | O cliente tem a capacidade de atualizar esse campo para permitir redes adicionais para habilitar os recursos de gerenciamento. |
| Permitir | O tráfego de permissão está habilitado, mas o SSH é acesso desabilitado por padrão. O cliente pode optar por habilitar o serviço SSH. |
| Nenhuma Rota | As rotas não são propagadas fora do ambiente do Azure Stack. |
| MUX ACL | As ACLs do Azure Stack MUX são utilizadas. |
| N/A | Não faz parte de uma ACL VLAN. |
Atribuições de endereço IP
Na Planilha de Implantação, você deve fornecer os seguintes endereços de rede para dar suporte ao processo de implantação do Azure Stack. A equipe de implantação usa a ferramenta Planilha de Implantação para dividir as redes IP em todas as redes menores exigidas pelo sistema. Consulte a seção "DESIGN DE REDE E INFRAESTRUTURA" acima para obter descrições detalhadas de cada rede.
Neste exemplo, preencheremos a guia Configurações de Rede da Planilha de Implantação com os seguintes valores:
Rede BMC: 10.193.132.0 /27
VIPs internos de rede Armazenamento & privada: 11.11.128.0 /24
Rede de Infraestrutura: 12.193.130.0 /24
Rede VIP (IP Virtual Pública): 13.200.132.0 /24
Alternar Rede de Infraestrutura: 10.193.132.128 /26
Quando você executa a função Gerar da ferramenta Planilha de Implantação, ela cria duas novas guias na planilha. A primeira guia é o Resumo da Sub-rede e mostra como as super-redes foram divididas para criar todas as redes exigidas pelo sistema. Em nosso exemplo abaixo, há apenas um subconjunto das colunas encontradas nesta guia. O resultado real tem mais detalhes de cada rede listada:
| Rack | Tipo de sub-rede | Nome | Sub-rede IPv4 | Endereços IPv4 |
|---|---|---|---|---|
| Borda | P2P Link | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| Borda | P2P Link | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| Borda | P2P Link | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| Borda | P2P Link | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| Borda | P2P Link | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| Borda | P2P Link | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | Loopback | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | Loopback | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | Loopback | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | P2P Link | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | P2P Link | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN | CL01-RG01-SU01-Armazenamento | 11.11.128.0/25 | 128 |
| Rack1 | VLAN | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | Outro | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | Outro | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
A segunda guia é Uso de Endereço IP e mostra como os IPs são consumidos:
Rede BMC
A super-rede para a rede BMC requer, no mínimo, uma rede /26. O gateway usa o primeiro IP na rede seguido pelos dispositivos BMC no rack. O host do ciclo de vida do hardware tem vários endereços atribuídos nessa rede e pode ser usado para implantar, monitorar e dar suporte ao rack. Esses IPs são distribuídos em três grupos: DVM, InternalAccessible e ExternalAccessible.
- Rack: Rack1
- Nome: BMCMgmt
| Atribuído a | Endereço IPv4 |
|---|---|
| Rede | 10.193.132.0 |
| Gateway | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccessible-1 | 10.193.132.19 |
| ExternalAccessible-2 | 10.193.132.20 |
| ExternalAccessible-3 | 10.193.132.21 |
| ExternalAccessible-4 | 10.193.132.22 |
| ExternalAccessible-5 | 10.193.132.23 |
| InternalAccessible-1 | 10.193.132.24 |
| InternalAccessible-2 | 10.193.132.25 |
| InternalAccessible-3 | 10.193.132.26 |
| InternalAccessible-4 | 10.193.132.27 |
| InternalAccessible-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| Transmissão | 10.193.132.31 |
Rede de armazenamento
A rede Armazenamento é uma rede privada e não se destina a ser roteada além do rack. É a primeira metade da super-rede rede privada e é usada pelo comutador distribuído, conforme mostrado na tabela abaixo. O gateway é o primeiro IP na sub-rede. O segundo semestre usado para os VIPs internos é um pool privado de endereços gerenciados pelo Azure Stack SLB, não é mostrado na guia Uso do Endereço IP. Essas redes dão suporte ao Azure Stack e há ACLs nos comutadores TOR que impedem que essas redes sejam anunciadas e/ou acessadas fora da solução.
- Rack: Rack1
- Nome: CL01-RG01-SU01-Armazenamento
| Atribuído a | Endereço IPv4 |
|---|---|
| Rede | 11.11.128.0 |
| Gateway | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| Transmissão | 11.11.128.127 |
Rede de infraestrutura do Azure Stack
A super-rede de rede de infraestrutura requer uma rede /24 e isso continua sendo um /24 após a execução da ferramenta Planilha de Implantação. O gateway será o primeiro IP na sub-rede.
- Rack: Rack1
- Nome: CL01-RG01-SU01-Infra
| Atribuído a | Endereço IPv4 |
|---|---|
| Rede | 12.193.130.0 |
| Gateway | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| Transmissão | 12.193.130.255 |
Alternar a rede de infraestrutura
A rede de infraestrutura é dividida em várias redes usadas pela infraestrutura de comutador físico. Isso é diferente da Infraestrutura do Azure Stack que dá suporte apenas ao software do Azure Stack. O Switch Infra Network dá suporte apenas à infraestrutura de comutador físico. As redes com suporte por infra são:
| Nome | Sub-rede IPv4 |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
Ponto a ponto (P2P): essas redes permitem conectividade entre todos os comutadores. O tamanho da sub-rede é uma rede /30 para cada P2P. O IP mais baixo sempre é atribuído ao dispositivo upstream (Norte) na pilha.
Loopback: esses endereços são redes /32 atribuídas a cada comutador usado no rack. Os dispositivos de borda não são atribuídos a um loopback, pois eles não devem fazer parte da solução do Azure Stack.
Alternar o Mgmt ou o Gerenciamento de Comutadores: essa rede /29 dá suporte às interfaces de gerenciamento dedicadas dos comutadores no rack. Os IPs são atribuídos da seguinte maneira; esta tabela também pode ser encontrada na guia Uso de Endereço IP da Planilha de Implantação:
Rack: Rack1
Nome: SwitchMgmt
| Atribuído a | Endereço IPv4 |
|---|---|
| Rede | 10.193.132.168 |
| Gateway | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| Transmissão | 10.193.132.175 |
Preparar o ambiente
A imagem do host do ciclo de vida de hardware contém o contêiner do Linux necessário que é usado para gerar a configuração de comutador de rede física.
O kit de ferramentas de implantação de parceiro mais recente inclui a imagem de contêiner mais recente. A imagem de contêiner no host do ciclo de vida do hardware pode ser substituída quando for necessário gerar uma configuração de comutador atualizada.
Estas são as etapas para atualizar a imagem do contêiner:
Baixar a imagem do contêiner
Substitua a imagem do contêiner no local a seguir
Gerar configuração
Aqui, abordaremos as etapas de geração dos arquivos JSON e dos arquivos de Configuração do Comutador de Rede:
Abrir a planilha de implantação
Preencher todos os campos necessários em todas as guias
Invoque a função "Gerar" na Planilha de Implantação.
Duas guias extras serão criadas exibindo as sub-redes e atribuições de IP geradas.Examine os dados e, uma vez confirmado, invoque a função "Exportar".
Você será solicitado a fornecer uma pasta na qual os arquivos JSON serão salvos.Execute o contêiner usando o Invoke-SwitchConfigGenerator.ps1. Esse script requer um console do PowerShell com privilégios elevados para ser executado e requer que os parâmetros a seguir sejam executados.
ContainerName – Nome do contêiner que gerará as configurações de comutador.
ConfigurationData – Caminho para o arquivo ConfigurationData.json exportado da Planilha de Implantação.
OutputDirectory – Caminho para o diretório de saída.
Offline – sinaliza que o script é executado no modo offline.
C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
Quando o script for concluído, ele produzirá um arquivo zip com o prefixo usado na planilha.
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
Configuração personalizada
Você pode modificar algumas configurações ambientais para sua configuração de comutador do Azure Stack. Você pode identificar quais das configurações você pode alterar no modelo. Este artigo explica cada uma dessas configurações personalizáveis e como as alterações podem afetar o Azure Stack. Essas configurações incluem atualização de senha, servidor syslog, monitoramento SNMP, autenticação e a lista de controle de acesso.
Durante a implantação da solução do Azure Stack, o fabricante de equipamento original (OEM) cria e aplica a configuração de comutador para TORs e BMC. O OEM usa a ferramenta de automação do Azure Stack para validar se as configurações necessárias estão definidas corretamente nesses dispositivos. A configuração baseia-se nas informações em sua Planilha de Implantação do Azure Stack.
Observação
Não altere a configuração sem o consentimento do OEM ou da equipe de engenharia do Microsoft Azure Stack. Uma alteração na configuração do dispositivo de rede pode afetar significativamente a operação ou a solução de problemas de rede na instância do Azure Stack. Para obter mais informações sobre essas funções em seu dispositivo de rede, como fazer essas alterações, contate o provedor de hardware OEM ou o suporte da Microsoft. O OEM tem o arquivo de configuração criado pela ferramenta de automação com base na planilha de implantação do Azure Stack.
No entanto, há alguns valores que podem ser adicionados, removidos ou alterados na configuração dos comutadores de rede.
Atualização de senha
O operador pode atualizar a senha para qualquer usuário nas opções de rede a qualquer momento. Não há um requisito para alterar nenhuma informação sobre o sistema do Azure Stack ou para usar as etapas para girar segredos no Azure Stack.
Servidor syslog
Os operadores podem redirecionar os logs de comutador para um servidor syslog em seu datacenter. Use essa configuração para garantir que os logs de um determinado ponto no tempo possam ser usados para solução de problemas. Por padrão, os logs são armazenados nas opções; sua capacidade para armazenar logs é limitada. Verifique a seção de atualizações da lista de controles do Access para obter uma visão geral de como configurar as permissões para alternar o acesso ao gerenciamento.
Monitoramento de SNMP
O operador pode configurar o SNMP (protocolo de gerenciamento de rede) simples v2 ou v3 para monitorar os dispositivos de rede e enviar armadilhas para um aplicativo de monitoramento de rede no datacenter. Por motivos de segurança, use SNMPv3, pois ele é mais seguro que v2. Consulte seu provedor de hardware OEM para obter os MIBs e a configuração necessária. Verifique a seção de atualizações da lista de controles do Access para obter uma visão geral de como configurar as permissões para alternar o acesso ao gerenciamento.
Autenticação
O operador pode configurar RADIUS ou TACACS para gerenciar a autenticação nos dispositivos de rede. Consulte o provedor de hardware OEM para obter os métodos e a configuração com suporte necessários. Verifique a seção de atualizações da lista de controles do Access para obter uma visão geral de como configurar as permissões para acesso ao Gerenciamento de Comutador.
Atualizações da lista de controle de acesso
O operador pode alterar algumas ACL (lista de controle de acesso) para permitir o acesso a interfaces de gerenciamento de dispositivos de rede e o HLH (host de ciclo de vida de hardware) de um intervalo de rede confiável do datacenter. O operador pode escolher qual componente será acessível e de onde. Com a lista de controle de acesso, o operador pode permitir que suas VMs de jumpbox de gerenciamento dentro de um intervalo de rede específico acessem a interface de gerenciamento do comutador e o sistema operacional HLH e o BMC HLH.
Para obter mais detalhes, consulte a lista de controles de acesso de comutador físico.
TACACS, RADIUS e Syslog
A solução do Azure Stack não será enviada com uma solução TACACS ou RADIUS para controle de acesso de dispositivos como os comutadores e roteadores, nem uma solução Syslog para capturar logs de comutador, mas todos esses dispositivos dão suporte a esses serviços. Para ajudar a integrar com um servidor TACACS, RADIUS e/ou Syslog existente em seu ambiente, forneceremos um arquivo extra com a Configuração de Comutador de Rede que permitirá que o engenheiro no local personalize a opção de acordo com as necessidades do cliente.