Distribution av nätverkstrafik
Genom att förstå nätverkstrafik under Azure Stack Hub-distributionen blir distributionen lyckad. Den här artikeln vägleder dig genom nätverkstrafikflödet under distributionsprocessen så att du vet vad du kan förvänta dig.
Den här bilden visar alla komponenter och anslutningar som ingår i distributionsprocessen:
Anteckning
Den här artikeln beskriver kraven för en ansluten distribution. Mer information om andra distributionsmetoder finns i Anslutningsmodeller för Azure Stack Hub-distribution.
Den virtuella distributionsdatorn
Azure Stack Hub-lösningen innehåller en grupp servrar som används som värd för Azure Stack Hub-komponenter och en extra server som kallas HLH (Hardware Lifecycle Host). Den här servern används för att distribuera och hantera livscykeln för din lösning och är värd för den virtuella distributionsdatorn (DVM) under distributionen.
Azure Stack Hub-lösningsleverantörer kan etablera ytterligare virtuella hanteringsdatorer. Bekräfta med lösningsprovidern innan du gör några ändringar i hantering av virtuella datorer från en lösningsleverantör.
Distributionskrav
Innan distributionen startar finns det vissa minimikrav som kan verifieras av oem-tillverkaren för att säkerställa att distributionen har slutförts:
- Certifikat.
- Azure-prenumeration. Du kan behöva kontrollera din prenumeration.
- Internet.
- DNS.
- NTP.
Anteckning
Den här artikeln fokuserar på de tre senaste kraven. Mer information om de två första finns i länkarna ovan.
Om distributionens nätverkstrafik
DVM har konfigurerats med en IP-adress från BMC-nätverket och kräver nätverksåtkomst till Internet. Även om inte alla BMC-nätverkskomponenter kräver extern routning eller åtkomst till Internet, kan vissa OEM-specifika komponenter som använder IP-adresser från det här nätverket också kräva det.
Under distributionen autentiseras DVM mot Microsoft Entra-ID med ett Azure-konto från din prenumeration. För att göra det kräver DVM internetåtkomst till en lista över specifika portar och URL:er. DVM använder en DNS-server för att vidarebefordra DNS-begäranden som görs av interna komponenter till externa URL:er. Den interna DNS vidarebefordrar dessa begäranden till DNS-vidarebefordrarens adress som du anger till OEM-tillverkaren före distributionen. Detsamma gäller för NTP-servern: en tillförlitlig tidsserver krävs för att upprätthålla konsekvens- och tidssynkronisering för alla Azure Stack Hub-komponenter.
Internetåtkomsten som krävs av DVM under distributionen är endast utgående, inga inkommande anrop görs under distributionen. Tänk på att den använder sin IP-adress som källa och att Azure Stack Hub inte stöder proxykonfigurationer. Om det behövs måste du därför tillhandahålla en transparent proxy eller NAT för att få åtkomst till Internet. Under distributionen börjar vissa interna komponenter komma åt Internet via det externa nätverket med hjälp av offentliga VIP:er. När distributionen är klar sker all kommunikation mellan Azure och Azure Stack Hub via det externa nätverket med offentliga VIP:er.
Nätverkskonfigurationer på Azure Stack Hub-växlar innehåller åtkomstkontrollistor (ACL:er) som begränsar trafiken mellan vissa nätverkskällor och mål. DVM är den enda komponenten med obegränsad åtkomst. även HLH är begränsad. Du kan fråga oem-tillverkaren om anpassningsalternativ för att underlätta hanteringen och åtkomsten från dina nätverk. På grund av dessa ACL:er är det viktigt att undvika att ändra DNS- och NTP-serveradresserna vid distributionstillfället. Om du gör det måste du konfigurera om alla växlar för lösningen.
När distributionen är klar fortsätter de angivna DNS- och NTP-serveradresserna att användas av systemets komponenter via SDN med hjälp av det externa nätverket. Om du till exempel kontrollerar DNS-begäranden när distributionen har slutförts ändras källan från DVM-IP-adressen till en offentlig VIP.