本主题涵盖对 TOR 交换机的访问权限、IP 地址分配和其他网络部署任务。
计划配置部署
以下部分介绍权限和 IP 地址分配。
物理交换机访问控制列表
为了保护 Azure Stack 解决方案,我们在 TOR 交换机上实现了访问控制列表 (ACL)。 本部分介绍此安全性的实现方式。 下表显示了 Azure Stack 解决方案中每个网络的源和目标:
下表将 ACL 引用与 Azure Stack 网络相关联。
| 网络 | 说明 |
|---|---|
| BMC 管理内部 | 流量仅限于内部。 |
| BMC 管理外部 | ACL 允许访问边界设备之外的区域。 |
| 扩展存储管理 | 用于扩展存储系统的专用管理接口 |
| 交换机管理 | 专用交换机管理接口。 |
| “Azure Stack 基础结构” | Azure Stack 基础结构服务和 VM,受限网络 |
| Azure Stack 基础结构公共 (PEP/ERCS) | Azure Stack 受保护终结点、紧急恢复控制台服务器。 客户可以打开 ACL 以允许流量到其数据中心管理网络。 |
| Tor1,Tor2 RouterIP | 用于 SLB 与交换机/路由器之间 BGP 对等互连的交换机环回接口。 客户可自由裁量权在边境关闭这些 IP。 |
| 存储 | 未在区域外路由的专用 IP |
| 内部 VIP | 未在区域外路由的专用 IP |
| 公共 VIP | 由网络控制器管理的租户网络地址空间。 |
| 公共管理 VIP | 租户池中需要与内部 VIP 和 Azure Stack 基础结构通信的一小部分地址 |
| 允许的网络 | 客户定义的网络。 |
| 0.0.0.0 | 从 Azure Stack 的角度来看,0.0.0.0 是边界设备。 |
| 允许 | 允许流量已启用,但默认情况下阻止 SSH 访问。 |
| 无路由 | 路由不会在 Azure Stack 环境外传播。 |
| MUX ACL | 利用了 Azure Stack MUX ACL。 |
| 不可用 | 不属于 VLAN ACL 的一部分。 |
IP 地址分配
在部署工作表中,要求你提供以下网络地址以支持 Azure Stack 部署过程。 部署团队使用部署工作表工具将 IP 网络划分为系统所需的所有较小网络。
在此示例中,我们将使用以下值填充部署工作表的“网络设置”选项卡:
- BMC 网络:10.193.132.0 /27
- 专用网络存储网络和内部 VIP:11.11.128.0 /20
- 基础结构网络:12.193.130.0 /24
- 公共虚拟 IP (VIP) 网络:13.200.132.0 /24
- 交换机基础结构网络:10.193.132.128 /26
当你运行部署工作表工具的“生成”功能时,它会在电子表格上创建两个新选项卡。 第一个选项卡是“子网摘要”,它显示如何拆分超网以创建系统所需的所有网络。 在下面的示例中,此选项卡上只有一部分列。实际结果包含所列每个网络的更多详细信息:
| 机架 | 子网类型 | 名称 | IPv4 子网 | IPv4 地址 |
|---|---|---|---|---|
| 边框 | P2P 链接 | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| 边框 | P2P 链接 | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| 边框 | P2P 链接 | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| 边框 | P2P 链接 | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| 边框 | P2P 链接 | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| 边框 | P2P 链接 | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | 环回 | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | 环回 | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | 环回 | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | P2P 链接 | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | P2P 链接 | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN(虚拟局域网) | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN(虚拟局域网) | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN(虚拟局域网) | CL01-RG01-SU01-Storage | 11.11.128.0/25 | 128 |
| Rack1 | VLAN(虚拟局域网) | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | 其他 | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | 其他 | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
第二个选项卡是“IP 地址使用情况”,它显示了 IP 的使用方式:
BMC 网络
BMC 网络的超网至少需要 /26 网络。 网关使用网络中的第一个 IP,后跟机架中的 BMC 设备。 硬件生命周期主机在此网络上分配有多个地址,可用于部署、监控和支持机架。 这些 IP 分为 3 组:DVM、InternalAccessible 和 ExternalAccessible。
- 机架:Rack1
- 名称:BMCMgmt
| 分配给 | IPv4 地址 |
|---|---|
| 网络 | 10.193.132.0 |
| 网关 | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccessible-1 | 10.193.132.19 |
| ExternalAccessible-2 | 10.193.132.20 |
| ExternalAccessible-3 | 10.193.132.21 |
| ExternalAccessible-4 | 10.193.132.22 |
| ExternalAccessible-5 | 10.193.132.23 |
| InternalAccessible-1 | 10.193.132.24 |
| InternalAccessible-2 | 10.193.132.25 |
| InternalAccessible-3 | 10.193.132.26 |
| InternalAccessible-4 | 10.193.132.27 |
| InternalAccessible-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| 广播 | 10.193.132.31 |
存储网络
存储网络是专用网络,不应路由到机架之外。 它是专用网络超网的前半部分,由交换机按如下表所示分配使用。 网关是子网中的第一个 IP。 用于内部 VIP 的后半部分是由 Azure Stack SLB 管理的专用地址池,未在 IP 地址使用选项卡上显示。这些网络支持 Azure Stack,并且 TOR 交换机上有 ACL,可防止这些网络在解决方案外被通告和/或访问。
- 机架:Rack1
- 名称:CL01-RG01-SU01-Storage
| 分配给 | IPv4 地址 |
|---|---|
| 网络 | 11.11.128.0 |
| 网关 | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| 广播 | 11.11.128.127 |
Azure Stack 基础结构网络
基础结构网络超网需要 /24 网络,运行部署工作表工具后仍为 /24。 网关是子网中的第一个 IP。
- 机架:Rack1
- 名称:CL01-RG01-SU01-Infra
| 分配给 | IPv4 地址 |
|---|---|
| 网络 | 12.193.130.0 |
| 网关 | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| 广播 | 12.193.130.255 |
交换机基础结构网络
基础结构网络被分解为物理交换机基础结构使用的多个网络。 这与仅支持 Azure Stack 软件的 Azure Stack 基础结构不同。 交换机 Infra 网络仅支持物理交换机基础结构。 Infra 支持的网络包括:
| 名称 | IPv4 子网 |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
- 点对点 (P2P):这些网络允许所有交换机之间的连接。 每个 P2P 的子网大小为 /30 网络。 最低 IP 始终分配给堆栈上的上游(北)设备。
- 环回:这些地址是分配给机架中使用的每个交换机的 /32 网络。 边界设备未分配环回,因为它们不应成为 Azure Stack 解决方案的一部分。
- 交换机 Mgmt 或交换机管理:此 /29 网络支持机架中交换机的专用管理接口。 IP 分配如下;此表也可在部署工作表的 IP 地址使用选项卡上找到:
- 机架:Rack1
- 名称:SwitchMgmt
| 分配给 | IPv4 地址 |
|---|---|
| 网络 | 10.193.132.168 |
| 网关 | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| 广播 | 10.193.132.175 |
准备环境
硬件生命周期主机映像确实包含用于生成物理网络交换机配置的所需 Linux 容器。
最新的合作伙伴部署工具包确实包含最新的容器映像。 必要时,可以替换硬件生命周期主机上的容器映像以生成更新的交换机配置。
以下步骤更新容器映像:
- 下载容器映像
- 在以下位置替换容器映像
生成配置
本部分介绍生成 JSON 文件和网络交换机配置文件的步骤。
打开部署工作表
填写所有选项卡上的所有必填字段
在部署工作表上调用 Generate 函数。 创建两个额外的选项卡,显示生成的 IP 子网和分配。
查看数据,确认后调用“导出”功能。 系统会提示你提供用于保存 JSON 文件的文件夹。
使用 Invoke-SwitchConfigGenerator.ps1 执行容器。 此脚本需要提升的 PowerShell 控制台才能执行,并且需要以下参数才能执行。
- ContainerName – 生成交换机配置的容器的名称。
- ConfigurationData – 从部署工作表导出的 ConfigurationData.json 文件的路径。
- OutputDirectory – 输出目录的路径。
- Offline – 指示脚本以离线模式运行。
Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
脚本完成后,它会生成一个 .zip 文件,其中包含工作表中使用的前缀。
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
自定义配置
你可以为 Azure Stack 交换机配置修改一些环境设置。 你可以在模板中确定哪些设置可以更改。 本文介绍每个可自定义设置,以及这些更改如何影响 Azure Stack。 这些设置包括密码更新、syslog 服务器、SNMP 监控、身份验证和访问控制列表。
在部署 Azure Stack 解决方案期间,原始设备制造商 (OEM) 会为 TOR 和 BMC 创建并应用交换机配置。 OEM 使用 Azure Stack 自动化工具验证这些设备上是否正确设置了所需配置。 该配置基于 Azure Stack 部署工作表中的信息。
注意
未经 OEM 或 Microsoft Azure Stack 工程团队的同意,请勿更改配置。 网络设备配置的更改可能会显著影响 Azure Stack 实例中网络问题的操作或故障排除。 有关网络设备上这些功能的更多信息以及如何进行这些更改,请联系你的 OEM 硬件提供商或 Microsoft 支持。 你的 OEM 拥有由自动化工具基于 Azure Stack 部署工作表创建的配置文件。
但是,网络交换机的配置上的某些值是可以添加、删除或更改的。
密码更新
操作员可以随时更新网络交换机上任何用户的密码。 无需更改 Azure Stack 系统上的任何信息,也无需使用 Azure Stack 中的轮换机密步骤。
Syslog 服务器
操作员可以将交换机日志重定向到其数据中心的 Syslog 服务器。 使用此配置可确保特定时间点的日志可用于故障排除。 默认情况下,日志存储在交换机上;其存储日志的容量有限。 请查看访问控制列表更新部分,大致了解如何配置进行交换机管理访问所需的权限。
SNMP 监视
操作员可以配置简单网络管理协议 (SNMP) v2 或 v3 来监控网络设备,并向数据中心的网络监控应用程序发送陷阱。 出于安全原因,请使用 SNMPv3,因为它比 v2 更安全。 对于所需的 MIB 和配置,请咨询 OEM 硬件提供商。 请查看访问控制列表更新部分,大致了解如何配置进行交换机管理访问所需的权限。
身份验证
操作员可以配置 RADIUS 或 TACACS,以便管理网络设备上的身份验证。 对于所需的受支持的方法和配置,请咨询 OEM 硬件提供商。 请查看访问控制列表更新部分,大致了解如何配置进行交换机管理访问所需的权限。
访问控制列表更新
操作员可以更改一些访问控制列表 (ACL),以允许从受信任的数据中心网络范围访问网络设备管理接口和硬件生命周期主机 (HLH)。 操作员可以选择可访问的组件以及访问的来源。 通过访问控制列表,操作员可以允许特定网络范围内的管理跳转箱 VM 访问交换机管理接口、HLH OS 和 HLH BMC。
有关详细信息,请参阅 物理交换机访问控制列表。
TACACS、RADIUS 和 Syslog
Azure Stack 解决方案未随附 TACACS 或 RADIUS 解决方案,用于对交换机和路由器等设备的访问控制,也不附带用于捕获交换机日志的 Syslog 解决方案,但所有这些设备都支持这些服务。 为了帮助与环境中的现有 TACACS、RADIUS 和/或 Syslog 服务器集成,我们提供了一个额外的文件,其中包含网络交换机配置,使工程师能够根据客户需求自定义交换机。