如何在 Azure 运营商关系上预认证网络功能

网络功能预认证可加快网络服务的部署速度。 可以像管理任何其他 Azure 资源一样管理预认证的网络功能。 这些预认证的网络功能的生命周期由 Azure 网络功能管理器 (ANFM) 或所选的 NFM 进行管理。

在本节中，我们将介绍网络功能预认证的过程和步骤

运营商网络功能的预认证

目标是提供符合运营商关系规范的网络功能目录。 NF 合作伙伴加入预认证计划和 ANFM 服务不需要更改与运营商的商业许可安排。

预认证流程

本节概述了网络功能部署的预认证流程。 Microsoft 将此流程与提供网络功能的网络设备提供程序 (NEP) 结合使用。 此流程指导合作伙伴将网络功能加入运营商关系，并使用 Azure 部署服务认证网络功能部署方法。 此计划的目标是确保合作伙伴的网络功能部署流程在运营商关系平台上是可预测和可重复的。 Microsoft 为合作伙伴提供预认证环境，以验证其网络功能的部署。 因此，合作伙伴的网络功能将在 Microsoft 网络功能目录中发布。 此目录将提供给使用运营商关系平台的运营商。

如果 NF 合作伙伴有意在 Azure 市场上架其产品/服务，Microsoft 将与该合作伙伴合作，在市场上推出该产品/服务。

Azure 网络功能管理器

Azure 网络功能管理器 (ANFM) 为预认证的网络功能（来自 Azure 市场）提供云原生编排和托管体验。 ANFM 为网络功能提供一致的 Azure 托管应用程序体验。

预认证步骤

以下是 NF 部署预认证的步骤

图：预认证流程

合作伙伴加入预认证实验室的先决条件和流程

为了确保合作伙伴高效且有效地加入预认证实验室，需要满足一些先决条件才能进入预认证实验室。

1. 合作伙伴启动 Azure 市场协议并创建合作伙伴中心帐户。 然后，合作伙伴可以在市场中发布网络功能产品/服务。 市场协议不必在进入预认证实验室之前签署。 但是，这是将加入 Azure 网络功能管理器 (ANFM) 服务的 Helm 图表和图像添加到预认证目录之前的重要步骤。

2. Microsoft 将与合作伙伴就关键主题进行几次会议：

   a。 描述运营商关系架构的技术讨论，重点关注运行时规范：

   • Kubernetes 主节点和工作器节点的计算维度、内存、存储要求和计算能力
     • NUMA 对齐情况
     • 大型页面支持
     • 超线程
   • VM 网络/Kubernetes 网络要求：
     • SR-IOV
     • DPDK
   • 审查对基于 VM 的网络功能的 cloudinit 支持
   • 租户 Kubernetes 群集对租户工作负载、适用于 Calico 和 Cultus 的 CNI 版本的支持

   b. 运营商关系平台包括托管结构自动化服务。 在与合作伙伴就网络功能要求达成协议后，Microsoft 将与合作伙伴合作并审查：

   • 网络结构体系结构
   • 和用于创建 L2/L3 隔离域的结构自动化 API
   • 将网络连接从节点扩展到 TOR/CE 路由器的 L3 路由策略。

   结构深入研究会议确定了需要在结构中配置以测试网络功能的对等互连要求、路由策略和筛选器。

   c. Microsoft 将与 NEP 合作，将 Helm Chart 和容器映像 (CNF) 或 VM 映像 (VNF) 纳入 Azure 网络功能管理器服务 (ANFM)。 Microsoft 将与合作伙伴协商，以验证使用 ANFM 服务部署的 Helm Chart 的受支持版本。

   d. Microsoft 将与合作伙伴合作，确定特定网络功能的测试工具要求，并在进入之前准备实验室。 Microsoft 将在预认证实验室中提供基本的流量模拟工具，例如开发解决方案的 dsTest 或 Spirent Landslide。 合作伙伴还可以在预认证测试期间部署他们选择的其他测试工具。

3. 在审查要求 (2a - 2d) 时和进行冒烟测试之前，Microsoft 将与合作伙伴合作定义 Azure 资源管理器 (ARM) 模板：

   • 对于网络结构自动化组件 - L2/L3 隔离域、L3 路由策略（如果有），用于进行端到端测试设置
   • 对于 Kubernetes 群集 (CNF)、VM 实例 (VNF)、工作负载网络和管理网络，用于描述子群集网络
   • 将 Helm 图表和图像加入 ANFM 服务，并创建供应商图像版本以部署到预认证实验室
   • 用于使用具有用户数据容器 Pod/VM 配置属性的 ANFM 部署 NF
   • 用于部署 NEP 特定的配置管理应用程序
   • 用于部署其他 CNF/VNF 测试工具。

提供给 NF 合作伙伴的运营商关系技术规范文档

作为技术参与的一部分，Microsoft 将向合作伙伴提供以下文档：

• 用于在运营商关系群集上创建 Kubernetes 集群 (CNF) 和 VM 实例 (VNF) 的运营商关系运行时规范文档和 Azure 资源管理器 (ARM) API 规范文档
• 用于创建租户网络所需的结构自动化组件的 Azure 资源管理器 API 规范文档。
• 用于加入 ANFM 服务的 ARM API 规范文档。 该规范还将定义面向客户的 API，用于使用 ANFM 服务部署网络功能。

计划/合作伙伴参与

网络功能部署预认证实验室将是一个共享基础设施，其中，多个合作伙伴将同时进行测试。 根据实验室的可用容量，Microsoft 将为各个合作伙伴分配资源，以便在及时且有限的时间内完成网络功能部署预认证活动。

如果合作伙伴在其设施中拥有专用的运营商关系环境，Microsoft 将与他们合作，启用更新版本的运营商关系软件以完成网络功能部署预认证。

部署测试

预认证实验室中的测试范围

Microsoft 将使用上一节中定义的 ARM 模板与合作伙伴合作，以确定执行测试的适当实验室环境。 Microsoft 将启用适当的订阅 ID 和资源组，以便合作伙伴可以将 Azure 门户/CLI 中的所有资源部署到目标实验室环境中。 Microsoft 还将为合作伙伴启用跳转框访问，以执行故障排除或远程连接到测试工具/配置管理工具。 合作伙伴将执行以下验证，Microsoft 将审查结果：

1. 验证 ARM 模板中与租户群集定义相对应的资源是否包括：

   • Kubernetes 群集/VM 实例
   • 隔离域和 L3 路由策略的托管结构资源
   • Kubernetes 网络/VM 网络的工作负载网络和管理网络资源

2. 验证测试设置的所有终结点之间的基本网络连接是否正常工作。

3. 验证租户群集设置后，验证 ANFM 网络功能是否按设计工作。 验证容器 Pod 是否处于运行状态。

4. 验证 NF 是否与受支持的 Kubernetes 版本、CNI 版本兼容。

5. 验​​证使用 ANFM 服务对 NF 应用程序进行的基于 helm 的升级操作是否按设计工作。

6. 在部署和配置 NF 后进行接口测试。 此测试将验证网络是否按设计工作。 此外，还会验证 Kubernetes 群集的内部网络以及与源/接收器（模拟器）的连接。

7. 对应用程序执行低容量流量模拟。
   若要验证内部路由，请在运营商关系群集内部署测试工具应用程序。 若要根据应用程序特性测试跨 CE 的路由，请在运营商关系群集外部署测试工具应用程序。

8. Azure PaaS 集成（可选）：Microsoft 预认证环境将使用 ExpressRoute 连接到 Azure 区域。 NEP 合作伙伴还可以将 Azure PaaS 服务与其应用程序集成。 他们可以验证 PaaS 功能是否按设计运行。

9. 测试完成后，删除 ANFM 服务中的 NF 资源，并验证容器 Pod 是否已从子群集中删除。

10. 验证所有租户集群和结构组件是否均已删除。 验证删除网络结构资源是否会删除网络设备上的相应配置。

预认证实验室中的测试工具

Microsoft 将在预认证实验室中提供基本的流量模拟工具，例如开发解决方案的 dsTest 或 Spirent Landslide。 这些工具可用于验证网络功能的数据包流模式。 合作伙伴还可以在预认证测试期间部署他们选择的其他测试工具。

部署预认证测试的测试结果

Microsoft 将审查合作伙伴提供的针对预认证应用程序的测试结果。 网络功能部署预认证流程旨在确保定义的测试用例和生成的测试结果全面验证应用程序在运营商关系平台上的部署。 对于使用 Spirent 等测试工具进行的接口测试，Microsoft 将与合作伙伴一起确定测试场景。 在预认证实验室中完成部署验证和冒烟测试后，Microsoft 将与 NEPS 一起审查测试结果，以确认测试结果符合部署预认证的范围。 然后，Microsoft 将与合作伙伴合作，将 NF 应用程序升级到 ANFM 服务目录。 合作伙伴可以自由分享预认证/重新认证测试的结果。

重新认证

Microsoft 将在预认证实验室中启用运营商关系平台和 ANFM 服务版本的预览版/更新版。 Microsoft 将与合作伙伴协调进行重新认证。