Configurar os domínios de isolamento L2 e L3 utilizando os serviços gerenciados de malha de rede
Os domínios de isolamento permitem a comunicação entre cargas de trabalho hospedadas no mesmo rack (comunicação intra-rack) ou racks diferentes (comunicação entre racks). Estas instruções descrevem como gerenciar seus domínios de isolamento de camada 2 e camada 3 usando a interface de linha de comando do Azure (AzureCLI). Você pode criar, atualizar, excluir e verificar o status dos domínios de isolamento de camada 2 e camada 3.
Pré-requisitos
Certifique-se de que o Controlador de Malha de Rede (NFC) e a Malha de Rede tenham sido criados.
Instale a versão mais recente das extensões necessárias da CLI.
Use o comando a seguir para entrar em sua conta do Azure e definir a assinatura para a sua ID de assinatura do Azure. Ela deve ser a mesma ID de assinatura que você usa para todos os recursos em uma instância do Nexus do Operador do Azure.
az login
az account set --subscription ********-****-****-****-*********
- Registre provedores para uma malha de rede gerenciada:
Na CLI do Azure, insira o comando
az provider register --namespace Microsoft.ManagedNetworkFabric.Monitore o processo de registro usando o comando
az provider show -n Microsoft.ManagedNetworkFabric -o table.O registro pode levar até 10 minutos. Quando terminar,
RegistrationStatena saída mudará paraRegistered.
Domínios de isolamento são usados para habilitar a conectividade de camada 2 ou camada 3 entre cargas de trabalho hospedadas na instância do Nexus do Operador do Azure e redes externas.
Observação
O Nexus do Operador reserva VLANs <=500 para uso da plataforma e, portanto, os VLANs nesse intervalo não podem ser usados para suas redes de carga de trabalho (locatário). Você deve usar valores de VLAN entre 501 e 4095.
Parâmetros para gerenciamento de domínio de isolamento
| Parâmetro | Descrição | Exemplo | Obrigatório |
|---|---|---|---|
resource-group |
Use um nome de grupo de recursos apropriado especificamente para ISD de sua escolha | ResourceGroupName | Verdadeiro |
resource-name |
Nome do recurso do l2isolationDomain | example-l2domain | Verdadeiro |
location |
A região do Azure do Nexus Operador usada durante a criação da NFC | eastus | Verdadeiro |
nf-Id |
ID da malha de rede | "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFresourcegroupname/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFname" | Verdadeiro |
Vlan-id |
Valor do identificador de VLAN. As VLANs 1 a 500 são reservadas e não podem ser usadas. O valor do identificador de VLAN não pode ser alterado uma vez especificado. O domínio de isolamento deve ser excluído e recriado se o valor do identificador de VLAN precisar ser modificado. O intervalo está entre 501 e 4095 | 501 | Verdadeiro |
mtu |
A unidade de transmissão máxima é 1500 por padrão, se não for especificada | 1500 | |
administrativeState |
Habilitar/Desabilitar indica o estado administrativo do isolationDomain | Habilitar | |
subscriptionId |
Sua subscriptionId do Azure para sua instância do Nexus do Operador. | ||
provisioningState |
Indica o estado de provisionamento |
Domínio de isolamento L2
Você usa um domínio de isolamento L2 para estabelecer conectividade de camada 2 entre cargas de trabalho em execução em nós de computação do Nexus do Operador.
Criar domínio de isolamento L2
Criar um domínio de isolamento L2:
az networkfabric l2domain create \
--resource-group "ResourceGroupName" \
--resource-name "example-l2domain" \
--location "eastus" \
--nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFname" \
--vlan-id 750\
--mtu 1501
Saída esperada:
{
"administrativeState": "Disabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFresourcegroupname/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Mostrar domínios de isolamento L2
Este comando mostra detalhes sobre domínios de isolamento L2, incluindo seus estados administrativos:
az networkfabric l2domain show --resource-group "ResourceGroupName" --resource-name "example-l2domain"
Saída Esperada
{
"administrativeState": "Disabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e1078890",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Listar todos os domínios de isolamento L2
Este comando lista todos os domínios de isolamento L2 disponíveis no grupo de recursos.
az networkfabric l2domain list --resource-group "ResourceGroupName"
Saída Esperada
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxxxxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT22:26:33.065672+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2022-XX-XXT14:46:45.753165+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e107873d7",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Alterar o estado administrativo de um domínio de isolamento L2
Você deve habilitar um domínio de isolamento para enviar a configuração por push para os dispositivos de malha de rede. Use o seguinte comando para alterar o estado administrativo de um domínio de isolamento:
az networkfabric l2domain update-admin-state --resource-group "ResourceGroupName" --resource-name "example-l2domain" --state Enable/Disable
Saída Esperada
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e107873d7",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 501
}
Excluir domínio de isolamento L2
Use este comando para excluir um domínio de isolamento L2:
az networkfabric l2domain delete --resource-group "ResourceGroupName" --resource-name "example-l2domain"
Saída esperada:
Please use show or list command to validate that isolation-domain is deleted. Deleted resources will not appear in result
Configurar domínio de isolamento L3
Um domínio de isolamento de camada 3 permite a conectividade de camada 3 entre cargas de trabalho em execução em nós de computação do Nexus do Operador. O domínio de isolamento L3 permite que as cargas de trabalho troquem informações de camada 3 com dispositivos de malha de rede.
O domínio de isolamento da camada 3 tem dois componentes:
- Uma rede interna define a conectividade de camada 3 entre malhas de rede em execução em nós de computação do Nexus do Operador do Azure e uma rede externa opcional. Você deve criar pelo menos uma rede interna.
- Uma rede externa fornece conectividade entre a Internet e redes internas por meio de seus PEs.
O domínio de isolamento L3 permite a implantação de cargas de trabalho que anunciam IPs de serviço na malha por meio do BGP.
Um domínio de isolamento L3 tem duas ASNs:
- O ASN do Fabric refere-se ao ASN dos dispositivos de rede no Fabric. O ASN do Fabric foi especificado durante a criação da malha de rede.
- O ASN par refere-se ao ASN das funções de rede no Nexus do Operador e não pode ser o mesmo que o ASN do Fabric.
O fluxo de trabalho para um provisionamento bem-sucedido de um domínio de isolamento L3 é o seguinte:
- Criar um domínio de isolamento L3
- Criar uma ou mais redes internas
- Habilitar um domínio de isolamento L3
Para fazer alterações no domínio de isolamento L3, primeiro desabilite o domínio de isolamento L3 (estado administrativo). Habilite novamente o domínio de isolamento L3 (estado AdministrativeState) depois que as alterações forem concluídas:
- Desabilitar o domínio de isolamento L3
- Fazer alterações no domínio de isolamento L3
- Habilitar novamente o domínio de isolamento L3
O procedimento para mostrar, habilitar/desabilitar e excluir domínios de isolamento baseados em IPv6 é o mesmo usado para IPv4. o intervalo VLAN para criação do Domínio de Isolamento 501-4095
Os parâmetros a seguir estão disponíveis para configurar domínios de isolamento L3.
| Parâmetro | Descrição | Exemplo | Obrigatório |
|---|---|---|---|
resource-group |
Use um nome de grupo de recursos apropriado especificamente para ISD de sua escolha | ResourceGroupName | Verdadeiro |
resource-name |
Nome do recurso do l3isolationDomain | example-l3domain | Verdadeiro |
location |
A região do Azure do Nexus Operador usada durante a criação da NFC | eastus | Verdadeiro |
nf-Id |
SubscriptionId do Azure usado durante a criação da NFC | /subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFName" | Verdadeiro |
Os parâmetros a seguir para domínios de isolamento são opcionais.
| Parâmetro | Descrição | Exemplo | Obrigatório |
|---|---|---|---|
redistributeConnectedSubnet |
O valor padrão de Anunciar sub-redes conectadas é True | Verdadeiro | |
redistributeStaticRoutes |
Anunciar rotas estáticas pode ter o valor de True/False. O valor padrão é False | Falso | |
aggregateRouteConfiguration |
Lista de configurações de rotas Ipv4 e Ipv6 | ||
connectedSubnetRoutePolicy |
Configuração de política de rota para sub-redes conectadas IPv4 ou Ipv6 L3 ISD. Confira o arquivo de ajuda para usar a sintaxe correta |
Criar domínio de isolamento L3
Use este comando para criar um domínio de isolamento L3:
az networkfabric l3domain create
--resource-group "ResourceGroupName"
--resource-name "example-l3domain"
--location "eastus"
--nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFName"
Observação
Para conectividade do MPLS Option 10 (B) com redes externas por meio de dispositivos PE, você pode especificar parâmetros de opção (B) ao criar um domínio de isolamento.
Saída Esperada
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT06:23:43.372461+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:38.815959+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787367",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Criar um domínio de isolamento L3 não confiável
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3untrust" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Criar um domínio de isolamento L3 confiável
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3trust" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Criar um domínio de isolamento L3 de gerenciamento
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3mgmt" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Mostrar domínios de isolamento L3
Você pode obter os detalhes e o estado administrativo de domínios de isolamento L3.
az networkfabric l3domain show --resource-group "ResourceGroupName" --resource-name "example-l3domain"
Saída Esperada
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "2023-XX-XXT09:40:38.815959+00:00",
"systemData": {
"createdAt": "2023-XX-XXT09:40:38.815959+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:46.923037+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787456",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Listar todos os domínios de isolamento L3
Use este comando para obter uma lista de todos os domínios de isolamento L3 disponíveis em um grupo de recursos:
az networkfabric l3domain list --resource-group "ResourceGroupName"
Saída Esperada
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT09:40:38.815959+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:46.923037+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787890",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Alterar o estado administrativo de um domínio de isolamento L3
Use o seguinte comando para alterar o estado administrativo de um domínio de isolamento L3 para habilitado ou desabilitado:
##Observação: pelo menos uma rede interna deve estar disponível para alterar o estado adminstrativo de um Domínio de Isolamento L3.
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "example-l3domain" --state Enable/Disable
Saída Esperada
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/ResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/NFresourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "NFResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT06:23:43.372461+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT06:25:53.240975+00:00",
"lastModifiedBy": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Use o comando az show para verificar se o estado administrativo foi alterado para Enabled.
Excluir um domínio de isolamento L3
Use este comando para excluir um domínio de isolamento L3:
az networkfabric l3domain delete --resource-group "ResourceGroupName" --resource-name "example-l3domain"
Use os comandos show ou list para validar se o domínio de isolamento foi excluído.
Criar rede interna
Depois de criar com êxito um domínio de isolamento L3, a próxima etapa é criar uma rede interna. As redes internas permitem a comunicação entre racks e intra-rack da camada 3 entre cargas de trabalho trocando rotas com a malha. Um domínio de isolamento L3 pode dar suporte a várias redes internas, cada uma em uma VLAN separada.
O diagrama a seguir representa uma função de rede de exemplo com três redes internas: confiável, não confiável e gerenciamento. Cada uma das redes internas é criada em seu próprio domínio de isolamento L3.
Os prefixos IPv4 para essas redes são:
- Rede confiável: 10.151.1.11/24
- Rede de gerenciamento: 10.151.2.11/24
- Rede não confiável: 10.151.3.11/24
Os parâmetros a seguir estão disponíveis para criar redes internas.
| Parâmetro | Descrição | Exemplo | Obrigatório |
|---|---|---|---|
vlan-Id |
Identificador de VLAN com intervalo de 501 a 4095 | 1001 | Verdadeiro |
resource-group |
Usar o nome do grupo de recursos NFC correspondente | NFCresourcegroupname | Verdadeiro |
l3-isolation-domain-name |
Nome do recurso do l3isolationDomain | example-l3domain | Verdadeiro |
location |
A região do Azure do Nexus Operador usada durante a criação da NFC | eastus | Verdadeiro |
Os parâmetros a seguir são opcionais para a criação de redes internas.
| Parâmetro | Descrição | Exemplo | Obrigatório |
|---|---|---|---|
connectedIPv4Subnets |
Sub-rede IPv4 usada pelas cargas de trabalho do cluster HAKS | 10.0.0.0/24 | |
connectedIPv6Subnets |
Sub-rede IPv6 usada pelas cargas de trabalho do cluster HAKS | 10:101:1::1/64 | |
staticRouteConfiguration |
Prefixo IPv4/IPv6 da rota estática | IPv4 10.0.0.0/24 e Ipv6 10:101:1::1/64 | |
staticRouteConfiguration->extension |
sinalizador de extensão para rota estática de rede interna | NoExtension/NPB | |
bgpConfiguration |
Endereço nexthop IPv4 | 10.0.0.0/24 | |
defaultRouteOriginate |
True/False "Habilita a rota padrão a ser originada ao anunciar rotas via BGP" | Verdadeiro | |
peerASN |
ASN par da função de rede | 65047 | |
allowAS |
Permite que as rotas sejam recebidas e processadas mesmo que o roteador detecte seu próprio ASN no AS-Path. A entrada como 0 é desabilitada; os valores possíveis são 1 a 10, o padrão é 2. | 2 | |
allowASOverride |
Habilitar ou desabilitar allowAS | Habilitar | |
extension |
sinalizador de extensão para rede interna | NoExtension/NPB | |
ipv4ListenRangePrefixes |
Intervalo de escuta do BGP IPv4, intervalo máximo permitido em /28 | 10.1.0.0/26 | |
ipv6ListenRangePrefixes |
Intervalo de escuta do BGP IPv6, intervalo máximo permitido em /127 | 3FFE:FFFF:0:CD30::/127 | |
ipv4ListenRangePrefixes |
Intervalo de escuta do BGP IPv4, intervalo máximo permitido em /28 | 10.1.0.0/26 | |
ipv4NeighborAddress |
Endereço do vizinho IPv4 | 10.0.0.11 | |
ipv6NeighborAddress |
Endereço do vizinho IPv6 | 10:101:1::11 | |
isMonitoringEnabled |
Para habilitar ou desabilitar o monitoramento na rede interna | Falso |
Você precisa criar uma rede interna antes de habilitar um domínio de isolamento L3. Este comando cria uma rede interna com a configuração do BGP e um endereço de emparelhamento especificado:
az networkfabric internalnetwork create
--resource-group "ResourceGroupName"
--l3-isolation-domain-name "example-l3domain"
--resource-name "example-internalnetwork"
--vlan-id 805
--connected-ipv4-subnets '[{"prefix":"10.1.2.0/24"}]'
--mtu 1500
--bgp-configuration '{"defaultRouteOriginate": "True", "allowAS": 2, "allowASOverride": "Enable", "PeerASN": 65535, "ipv4ListenRangePrefixes": ["10.1.2.0/28"]}'
Saída Esperada
{
"administrativeState": "Enabled",
"bgpConfiguration": {
"allowAS": 2,
"allowASOverride": "Enable",
"defaultRouteOriginate": "True",
"fabricASN": 65050,
"ipv4ListenRangePrefixes": [
"10.1.2.0/28"
],
"peerASN": 65535
},
"configurationState": "Succeeded",
"connectedIPv4Subnets": [
{
"prefix": "10.1.2.0/24"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalnetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT04:32:00.8159767Z",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT04:32:00.8159767Z",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 805
}
Criar uma rede interna não confiável para um domínio de isolamento L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3untrust --resource-name untrustnetwork --location "eastus" --vlan-id 502 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.3.11/24" --mtu 1500
Criar uma rede interna confiável para um domínio de isolamento L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3trust --resource-name trustnetwork --location "eastus" --vlan-id 503 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.1.11/24" --mtu 1500
Criar uma rede de gerenciamento interno para um domínio de isolamento L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3mgmt --resource-name mgmtnetwork --location "eastus" --vlan-id 504 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.2.11/24" --mtu 1500
Criar várias rotas estáticas com um único próximo salto
az networkfabric internalnetwork create --resource-group "fab2nfrg180723" --l3-isolation-domain-name "example-l3domain" --resource-name "example-internalNetwork" --vlan-id 2600 --mtu 1500 --connected-ipv4-subnets "[{prefix:'10.2.0.0/24'}]" --static-route-configuration '{extension:NPB,bfdConfiguration:{multiplier:5,intervalInMilliSeconds:300},ipv4Routes:[{prefix:'10.3.0.0/24',nextHop:['10.5.0.1']},{prefix:'10.4.0.0/24',nextHop:['10.6.0.1']}]}'
Saída Esperada
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"connectedIPv4Subnets": [
{
"prefix": "10.2.0.0/24"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalNetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"staticRouteConfiguration": {
"bfdConfiguration": {
"administrativeState": "Disabled",
"intervalInMilliSeconds": 300,
"multiplier": 5
},
"extension": "NoExtension",
"ipv4Routes": [
{
"nextHop": [
"10.5.0.1"
],
"prefix": "10.3.0.0/24"
},
{
"nextHop": [
"10.6.0.1"
],
"prefix": "10.4.0.0/24"
}
]
},
"systemData": {
"createdAt": "2023-XX-XXT13:46:26.394343+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT13:46:26.394343+00:00",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 2600
}
Criar rede interna usando IPv6
az networkfabric internalnetwork create --resource-group "fab2nfrg180723" --l3-isolation-domain-name "example-l3domain" --resource-name "example-internalnetwork" --vlan-id 2800 --connected-ipv6-subnets '[{"prefix":"10:101:1::0/64"}]' --mtu 1500
Saída Esperada
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"connectedIPv6Subnets": [
{
"prefix": "10:101:1::0/64"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/l3domain2/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalnetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT10:34:33.933814+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT10:34:33.933814+00:00",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 2800
}
Criar redes externas
As redes externas permitem que as cargas de trabalho tenham conectividade de camada 3 com a borda do provedor. Elas também permitem que cargas de trabalho interajam com serviços externos, como firewalls e DNS. Você precisa do ASN de malha (criado durante a criação da malha de rede) para criar redes externas.
Os comandos para criar uma rede externa usando a CLI do Azure incluem os seguintes parâmetros.
| Parâmetro | Descrição | Exemplo | Obrigatório |
|---|---|---|---|
| peeringOption | Emparelhamento usando optionA ou optionb. Possíveis valores OptionA e OptionB | OpçãoB | Verdadeiro |
| optionBProperties | Configuração de propriedades optionB. Para especificar o uso de exportIPv4/IPv6RouteTargets ou importIpv4/Ipv6RouteTargets | "exportIpv4/Ipv6RouteTargets": ["1234:1234"]}} | |
| optionAProperties | Configuração das propriedades OptionA. Confira o exemplo OptionA na seção abaixo | ||
| external | Este é um parâmetro opcional para inserir a conectividade da Opção MPLS 10 (B) para redes externas por meio de dispositivos de borda do provedor. Usando esta opção, um usuário pode importar e exportar destinos de rota de entrada, conforme mostrado no exemplo |
Para a opção A, você precisa criar uma rede externa antes de habilitar o domínio de isolamento L3. Um externo depende da rede interna, portanto, um externo não pode ser habilitado sem uma rede interna. O valor de ID da VLAN deve estar entre 501 e 4095.
Criar uma rede externa usando a Opção B
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "examplel3-externalnetwork" --resource-name "examplel3-externalnetwork" --peering-option "OptionB" --option-b-properties "{routeTargets:{exportIpv4RouteTargets:['65045:2001'],importIpv4RouteTargets:['65045:2001']}}"
Saída Esperada
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/examplel3-externalnetwork",
"name": "examplel3-externalnetwork",
"optionBProperties": {
"exportRouteTargets": [
"65045:2001"
],
"importRouteTargets": [
"65045:2001"
],
"routeTargets": {
"exportIpv4RouteTargets": [
"65045:2001"
],
"importIpv4RouteTargets": [
"65045:2001"
]
}
},
"peeringOption": "OptionB",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT15:45:31.938216+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT15:45:31.938216+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Criar uma rede externa com a Opção A
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "example-l3domain" --resource-name "example-externalipv4network" --peering-option "OptionA" --option-a-properties '{"peerASN": 65026,"vlanId": 2423, "mtu": 1500, "primaryIpv4Prefix": "10.18.0.148/30", "secondaryIpv4Prefix": "10.18.0.152/30"}'
Saída Esperada
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/example-externalipv4network",
"name": "example-externalipv4network",
"optionAProperties": {
"fabricASN": 65050,
"mtu": 1500,
"peerASN": 65026,
"primaryIpv4Prefix": "10.21.0.148/30",
"secondaryIpv4Prefix": "10.21.0.152/30",
"vlanId": 2423
},
"peeringOption": "OptionA",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-07-19T09:54:00.4244793Z",
"createdAt": "2023-XX-XXT07:23:54.396679+00:00",
"createdBy": "email@address.com",
"lastModifiedAt": "2023-XX-XX1T07:23:54.396679+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Criar uma criação de rede externa usando o Ipv6
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "example-l3domain" --resource-name "example-externalipv6network" --peering-option "OptionA" --option-a-properties '{"peerASN": 65026,"vlanId": 2423, "mtu": 1500, "primaryIpv6Prefix": "fda0:d59c:da16::/127", "secondaryIpv6Prefix": "fda0:d59c:da17::/127"}'
O tamanho do prefixo IPv6 primário e secundário com suporte é /127.
Saída Esperada
{
"administrativeState": "Enabled",
"id": "/subscriptions//xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/example-externalipv6network",
"name": "example-externalipv6network",
"optionAProperties": {
"fabricASN": 65050,
"mtu": 1500,
"peerASN": 65026,
"primaryIpv6Prefix": "fda0:d59c:da16::/127",
"secondaryIpv6Prefix": "fda0:d59c:da17::/127",
"vlanId": 2423
},
"peeringOption": "OptionA",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT07:52:26.366069+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2022-XX-XXT07:52:26.366069+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Habilitar um domínio de isolamento L2
az networkfabric l2domain update-administrative-state --resource-group "ResourceGroupName" --resource-name "l2HAnetwork" --state Enable
Habilitar um domínio de isolamento L3
Use este comando para habilitar um domínio de isolamento L3 não confiável:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3untrust" --state Enable
Use este comando para habilitar um domínio de isolamento L3 confiável:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3trust" --state Enable
Use este comando para habilitar um domínio de isolamento L3 de gerenciamento:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3mgmt" --state Enable