Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico aborda a permissão de acesso aos comutadores TOR, atribuições de endereço IP e outras tarefas de implantação de rede.
Planejar a implantação da configuração
As próximas seções abordam permissões e atribuições de endereços IP.
Lista de controle de acesso do switch físico
Para proteger a solução Azure Stack, implementamos listas de controle de acesso (ACLs) nos switches TOR. Esta seção descreve como essa segurança é implementada. A tabela abaixo mostra as origens e destinos de cada rede dentro da solução Azure Stack:
A tabela abaixo correlaciona as referências de ACL com as redes do Azure Stack.
| Gestão BMC | VM de implantação, interface BMC, servidor HLH, servidor NTP e IPs de servidor DNS incluídos como Permissão com base no protocolo e na porta. |
|---|---|
| HLH Acessível Interno (PDU) | O tráfego é limitado ao BMC Switch |
| HLH Acessível Externo (OEM Tool VM) | ACL permitir o acesso para além do dispositivo de fronteira. |
| Switch Mgmt | Interfaces de gestão de comutadores dedicadas. |
| Gestão da coluna vertebral | Interfaces de gestão Spine dedicadas. |
| Azure Stack | Serviços e VMs do Azure Stack Infrastructure, rede restrita |
| Infraestrutura | |
| Azure Stack | Azure Stack Protected Endpoint, Servidor de Console de Recuperação de Emergência |
| Infraestrutura | |
| Público (PEP/ERCS) | |
| Tor1,Tor2 RouterIP | Interface de loopback do switch usado para emparelhamento BGP entre o SLB e o Switch/Router. |
| Armazenamento | IPs privados não roteados fora da Região |
| VIPs internos | IPs privados não roteados fora da Região |
| VIPs públicos | Espaço de endereçamento de rede do locatário gerenciado pelo controlador de rede. |
| Público-Admin-VIPs | Pequeno subconjunto de endereços no pool de locatários que são necessários para falar com VIPs internos e infraestrutura de pilha do Azure |
| Cliente/Internet | Rede definida pelo cliente. Da perspetiva do Azure Stack, 0.0.0.0 é o dispositivo de borda. |
| 0.0.0.0 | |
| Negar | O cliente tem a capacidade de atualizar este campo para permitir redes adicionais para habilitar recursos de gerenciamento. |
| Licença | O tráfego de permissão está habilitado, mas o acesso SSH está desabilitado por padrão. O cliente pode optar por ativar o serviço SSH. |
| Sem rota | As rotas não são propagadas fora do ambiente do Azure Stack. |
| MUX ACL | As ACLs MUX do Azure Stack são utilizadas. |
| N/D | Não faz parte de uma ACL VLAN. |
Atribuições de endereços IP
Na Planilha de Implantação, você é solicitado a fornecer os seguintes endereços de rede para dar suporte ao processo de implantação do Azure Stack. A equipe de implantação usa a ferramenta Planilha de Implantação para dividir as redes IP em todas as redes menores exigidas pelo sistema. Consulte a secção "CONCEÇÃO E INFRAESTRUTURA DE REDE" acima para obter descrições detalhadas de cada rede.
Neste exemplo, preencheremos a guia Configurações de Rede da Planilha de Implantação com os seguintes valores:
Rede BMC: 10.193.132.0 /27
Rede de armazenamento de rede privada & VIPs internos: 11.11.128.0 /24
Rede de infraestruturas: 12.193.130.0 /24
Rede IP Virtual Pública (VIP): 13.200.132.0 /24
Rede de infraestrutura de switch: 10.193.132.128 /26
Quando você executa a função Gerar da ferramenta Planilha de Implantação, ela cria duas novas guias na planilha. A primeira guia é o Resumo da Sub-rede e mostra como as super-redes foram divididas para criar todas as redes exigidas pelo sistema. No nosso exemplo abaixo, há apenas um subconjunto das colunas encontradas nesta guia. O resultado real tem mais detalhes de cada rede listada:
| Rack | Tipo de sub-rede | Nome | Sub-rede IPv4 | Endereços IPv4 |
|---|---|---|---|---|
| Fronteira | Ligação P2P | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| Fronteira | Ligação P2P | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| Fronteira | Ligação P2P | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| Fronteira | Ligação P2P | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| Fronteira | Ligação P2P | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| Fronteira | Ligação P2P | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | Loopback | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | Loopback | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | Loopback | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | Ligação P2P | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | Ligação P2P | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | Rede de Área Local Virtual (VLAN) | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | Rede de Área Local Virtual (VLAN) | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | Rede de Área Local Virtual (VLAN) | CL01-RG01-SU01-Armazenamento | 11.11.128.0/25 | 128 |
| Rack1 | Rede de Área Local Virtual (VLAN) | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | Outro | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | Outro | CL01-RG01-SU01-VIPS Interno | 11.11.128.128/25 | 128 |
A segunda guia é Uso de Endereço IP e mostra como os IPs são consumidos:
Rede BMC
A super-rede para a rede BMC requer uma rede /26 no mínimo. O gateway usa o primeiro IP na rede, seguido pelos dispositivos BMC no rack. O host do ciclo de vida do hardware tem vários endereços atribuídos nessa rede e pode ser usado para implantar, monitorar e dar suporte ao rack. Estes IPs são distribuídos em 3 grupos: DVM, InternalAccessible e ExternalAccessible.
- Rack: Rack1
- Designação: BMCMgmt
| Atribuído a | Endereço IPv4 |
|---|---|
| Rede | 10.193.132.0 |
| Porta de entrada | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccessible-1 | 10.193.132.19 |
| ExternalAccessible-2 | 10.193.132.20 |
| ExternalAccessible-3 | 10.193.132.21 |
| ExternalAccessible-4 | 10.193.132.22 |
| ExternalAccessible-5 | 10.193.132.23 |
| InternalAccessible-1 | 10.193.132.24 |
| InternalAccessible-2 | 10.193.132.25 |
| InternalAccessible-3 | 10.193.132.26 |
| InternalAccessible-4 | 10.193.132.27 |
| InternalAccessible-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| Difusão | 10.193.132.31 |
Rede de armazenamento
A rede de armazenamento é uma rede privada e não se destina a ser roteada além do rack. É a primeira metade da super-rede da Rede Privada e é usada pelo switch distribuído como mostrado na tabela abaixo. O gateway é o primeiro IP na sub-rede. A segunda metade usada para os VIPs internos é um pool privado de endereços que é gerenciado pelo SLB do Azure Stack, não é mostrado na guia Uso de Endereço IP. Essas redes dão suporte ao Azure Stack e há ACLs nos switches TOR que impedem que essas redes sejam anunciadas e/ou acessadas fora da solução.
- Rack: Rack1
- Designação: CL01-RG01-SU01-Storage
| Atribuído a | Endereço IPv4 |
|---|---|
| Rede | 11.11.128.0 |
| Porta de entrada | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| Difusão | 11.11.128.127 |
Rede de infraestrutura do Azure Stack
A super-rede de rede de infraestrutura requer uma rede /24 e esta continua a ser um /24 após a execução da ferramenta Planilha de Implantação. O gateway será o primeiro IP na sub-rede.
- Rack: Rack1
- Designação: CL01-RG01-SU01-Infra
| Atribuído a | Endereço IPv4 |
|---|---|
| Rede | 12.193.130.0 |
| Porta de entrada | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| Difusão | 12.193.130.255 |
Rede de infraestrutura de comutação
A rede de infraestrutura é dividida em várias redes usadas pela infraestrutura de switch físico. Isso é diferente da Infraestrutura do Azure Stack, que dá suporte apenas ao software Azure Stack. A infra-rede de switch suporta apenas a infraestrutura de switch físico. As redes que são suportadas por infra são:
| Nome | Sub-rede IPv4 |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
Ponto-a-ponto (P2P): Estas redes permitem a conectividade entre todos os switches. O tamanho da sub-rede é uma rede /30 para cada P2P. O IP mais baixo é sempre atribuído ao dispositivo upstream (Norte) na pilha.
Loopback: Esses endereços são redes /32 atribuídas a cada switch usado no rack. Os dispositivos de borda não recebem um loopback, pois não se espera que façam parte da solução Azure Stack.
Gerenciamento de switch ou gerenciamento de switch: Esta rede /29 suporta as interfaces de gerenciamento dedicadas dos switches no rack. Os IPs são atribuídos da seguinte forma; esta tabela também pode ser encontrada na guia Uso do Endereço IP da Planilha de Implantação:
Rack: Rack1
Designação: SwitchMgmt
| Atribuído a | Endereço IPv4 |
|---|---|
| Rede | 10.193.132.168 |
| Porta de entrada | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| Difusão | 10.193.132.175 |
Preparar o ambiente
A imagem do host do ciclo de vida do hardware contém o contêiner Linux necessário que é usado para gerar a configuração do switch de rede física.
O kit de ferramentas de implantação de parceiro mais recente inclui a imagem de contêiner mais recente. A imagem do contêiner no host do ciclo de vida do hardware pode ser substituída quando for necessário gerar uma configuração de switch atualizada.
Aqui estão as etapas para atualizar a imagem do contêiner:
Faça o download da imagem do contêiner
Substitua a imagem do contêiner no seguinte local
Gerar configuração
Aqui vamos orientá-lo através das etapas de geração dos arquivos JSON e os arquivos de configuração do comutador de rede:
Abrir a planilha de implantação
Preencha todos os campos obrigatórios em todos os separadores
Invoque a função "Gerar" na planilha de implantação.
Duas guias extras serão criadas exibindo as sub-redes IP geradas e atribuições.Reveja os dados e, uma vez confirmados, invoque a função "Exportar".
Você será solicitado a fornecer uma pasta na qual os arquivos JSON serão salvos.Execute o contêiner usando o Invoke-SwitchConfigGenerator.ps1. Esse script requer um console do PowerShell elevado para ser executado e requer os seguintes parâmetros para ser executado.
ContainerName – Nome do contêiner que gerará as configurações do switch.
ConfigurationData – Caminho para o arquivo de ConfigurationData.json exportado da Planilha de Implantação.
OutputDirectory – Caminho para o diretório de saída.
Offline – Sinaliza que o script é executado no modo offline.
C:\\WINDOWS\\system32\> .\\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\\ConfigurationData.json -OutputDirectory c:\\temp -Offline
Quando o script for concluído, ele produzirá um arquivo zip com o prefixo usado na planilha.
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
Configuração personalizada
Você pode modificar algumas configurações de ambiente para sua configuração de switch do Azure Stack. Você pode identificar quais das configurações você pode alterar no modelo. Este artigo explica cada uma dessas configurações personalizáveis e como as alterações podem afetar seu Azure Stack. Essas configurações incluem atualização de senha, servidor syslog, monitoramento SNMP, autenticação e a lista de controle de acesso.
Durante a implantação da solução Azure Stack, o fabricante do equipamento original (OEM) cria e aplica a configuração do switch para TORs e BMC. O OEM usa a ferramenta de automação do Azure Stack para validar se as configurações necessárias estão definidas corretamente nesses dispositivos. A configuração é baseada nas informações em sua Planilha de Implantação do Azure Stack.
Nota
Não altere a configuração sem o consentimento do OEM ou da equipe de engenharia do Microsoft Azure Stack. Uma alteração na configuração do dispositivo de rede pode afetar significativamente a operação ou a solução de problemas de rede em sua instância do Azure Stack. Para obter mais informações sobre essas funções em seu dispositivo de rede, como fazer essas alterações, entre em contato com seu provedor de hardware OEM ou suporte da Microsoft. Seu OEM tem o arquivo de configuração criado pela ferramenta de automação com base em sua planilha de implantação do Azure Stack.
No entanto, existem alguns valores que podem ser adicionados, removidos ou alterados na configuração dos comutadores de rede.
Atualização da palavra-passe
O operador pode atualizar a senha para qualquer usuário nos switches de rede a qualquer momento. Não há um requisito para alterar nenhuma informação no sistema Azure Stack ou para usar as etapas para Girar segredos no Azure Stack.
Servidor Syslog
Os operadores podem redirecionar os logs do switch para um servidor syslog em seu datacenter. Use essa configuração para garantir que os logs de um determinado point-in-time possam ser usados para solução de problemas. Por padrão, os logs são armazenados nos switches; a sua capacidade de armazenamento de toros é limitada. Verifique a seção Atualizações da lista de controle de acesso para obter uma visão geral de como configurar as permissões para acesso de gerenciamento de switch.
Monitorização SNMP
O operador pode configurar o protocolo de gerenciamento de rede simples (SNMP) v2 ou v3 para monitorar os dispositivos de rede e enviar traps para um aplicativo de monitoramento de rede no datacenter. Por razões de segurança, use SNMPv3, pois é mais seguro do que v2. Consulte seu provedor de hardware OEM para obter as MIBs e a configuração necessárias. Verifique a seção Atualizações da lista de controle de acesso para obter uma visão geral de como configurar as permissões para acesso de gerenciamento de switch.
Autenticação
O operador pode configurar RADIUS ou TACACS para gerenciar a autenticação nos dispositivos de rede. Consulte o seu fornecedor de hardware OEM para obter os métodos suportados e a configuração necessária. Verifique a seção Atualizações da lista de controle de acesso para obter uma visão geral de como configurar as permissões para acesso ao Gerenciamento de Comutadores.
Atualizações da lista de controle de acesso
O operador pode alterar algumas listas de controle de acesso (ACL) para permitir o acesso a interfaces de gerenciamento de dispositivos de rede e ao host do ciclo de vida do hardware (HLH) a partir de um intervalo de rede de datacenter confiável. O operador pode escolher qual componente será acessível e de onde. Com a lista de controle de acesso, o operador pode permitir que suas VMs jumpbox de gerenciamento dentro de um intervalo de rede específico acessem a interface de gerenciamento de switch, o HLH OS e o HLH BMC.
Para obter mais detalhes, consulte Lista de controle de acesso do comutador físico.
TACACS, RADIUS e Syslog
A solução Azure Stack não será fornecida com uma solução TACACS ou RADIUS para controle de acesso de dispositivos como switches e roteadores, nem uma solução Syslog para capturar logs de switch, mas todos esses dispositivos oferecem suporte a esses serviços. Para ajudar a integrar com um servidor TACACS, RADIUS e/ou Syslog existente no seu ambiente, forneceremos um arquivo extra com a Configuração do Comutador de Rede que permitirá ao engenheiro no local personalizar o switch de acordo com as necessidades do cliente.