網路部署
本主題涵蓋 TOR 交換器、IP 位址指派和其他網路部署工作的訪問許可權。
規劃設定部署
下一節涵蓋許可權和IP位址指派。
實體交換器訪問控制清單
為了保護 Azure Stack 解決方案,我們已在 TOR 交換器上實作訪問控制清單(ACL)。 本節說明如何實作此安全性。 下表顯示 Azure Stack 解決方案內每個網路的來源和目的地:
下表將 ACL 參考與 Azure Stack 網路相互關聯。
| 網路 | 描述 |
|---|---|
| BMC Mgmt Internal | 流量僅限於內部。 |
| BMC Mgmt External | ACL 允許存取超出邊界裝置。 |
| 擴充記憶體 Mgmt | 擴充儲存系統的專用管理介面 |
| 切換 Mgmt | 專用交換器管理介面。 |
| “Azure Stack 基礎結構” | Azure Stack 基礎結構服務和 VM 的受限制網路 |
| Azure Stack 基礎結構公用 (PEP/ERCS) | Azure Stack 受保護的端點、緊急復原控制台伺服器。 客戶可以開啟 ACL 以允許流量流向其資料中心管理網路。 |
| Tor1,Tor2 RouterIP | 用於 SLB 與交換器/路由器之間 BGP 對等互連之交換器的回送介面。 客戶將有權在邊境防火牆關閉這些IP。 |
| 儲存體 | 私人IP未路由傳送到區域外部 |
| 內部VIP | 私人IP未路由傳送到區域外部 |
| 公用 VIP | 由網路控制站管理的租用戶網路位址空間。 |
| 公用系統管理員VIP | 租使用者集區中需要與內部VIP和 Azure Stack 基礎結構交談的小型位址子集 |
| 允許的網路 | 客戶定義的網路。 |
| 0.0.0.0 | 從 Azure Stack 0.0.0.0 的觀點來看,是框線裝置。 |
| 許可證 | 允許流量已啟用,但預設會封鎖 SSH 存取。 |
| 無路由 | 路由不會傳播到 Azure Stack 環境外部。 |
| MUX ACL | Azure Stack MUX ACL 已使用。 |
| N/A | 不是 VLAN ACL 的一部分。 |
IP 位址指派
在 [部署工作表] 中,系統會要求您提供下列網路位址以支援 Azure Stack 部署程式。 部署小組會使用部署工作表工具,將IP網路分成系統所需的所有較小的網路。
在此範例中,我們將以下列值填入 [部署工作表] 的 [網络設定] 索引卷標:
BMC 網路:10.193.132.0 /27
專用網儲存網路和內部VIP:11.11.128.0/20
基礎結構網路:12.193.130.0 /24
公用虛擬IP(VIP) 網路:13.200.132.0/24
交換器基礎結構網路:10.193.132.128 /26
當您執行 Deployment Worksheet 工具的 Generate 函式時,它會在電子錶格上建立兩個新的索引卷標。 第一個索引卷標是 [子網摘要],它會顯示超網络如何分割,以建立系統所需的所有網路。 在我們的範例中,只有此索引卷標上找到的數據行子集。實際結果會列出每個網路的詳細資料:
| 架 | 子網類型 | 名稱 | IPv4 子網 | IPv4 位址 |
|---|---|---|---|---|
| Border | P2P 連結 | P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 | 4 |
| Border | P2P 連結 | P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 | 4 |
| Border | P2P 連結 | P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 | 4 |
| Border | P2P 連結 | P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 | 4 |
| Border | P2P 連結 | P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 | 4 |
| Border | P2P 連結 | P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 | 4 |
| Rack1 | 回送 | Loopback0_Rack1_TOR1 | 10.193.132.152/32 | 1 |
| Rack1 | 回送 | Loopback0_Rack1_TOR2 | 10.193.132.153/32 | 1 |
| Rack1 | 回送 | Loopback0_Rack1_BMC | 10.193.132.154/32 | 1 |
| Rack1 | P2P 連結 | P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 | 4 |
| Rack1 | P2P 連結 | P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 | 4 |
| Rack1 | VLAN | BMCMgmt | 10.193.132.0/27 | 32 |
| Rack1 | VLAN | SwitchMgmt | 10.193.132.168/29 | 8 |
| Rack1 | VLAN | CL01-RG01-SU01-Storage | 11.11.128.0/25 | 128 |
| Rack1 | VLAN | CL01-RG01-SU01-Infra | 12.193.130.0/24 | 256 |
| Rack1 | 其他 | CL01-RG01-SU01-VIPS | 13.200.132.0/24 | 256 |
| Rack1 | 其他 | CL01-RG01-SU01-InternalVIPS | 11.11.128.128/25 | 128 |
第二個索引標籤是 [IP 位址使用量 ],並顯示IP的取用方式:
BMC 網路
BMC 網路的超級網路至少需要 /26 網路。 網關會使用網路中的第一個IP,後面接著機架中的 BMC裝置。 硬體生命週期主機在此網路上指派多個位址,可用來部署、監視和支援機架。 這些IP會散發成3個群組:DVM、InternalAccessible和ExternalAccessible。
- 機架:Rack1
- 名稱:BMCMgmt
| 指派給 | IPv4 位址 |
|---|---|
| 網路 | 10.193.132.0 |
| 閘道 | 10.193.132.1 |
| HLH-BMC | 10.193.132.2 |
| AzS-Node01 | 10.193.132.3 |
| AzS-Node02 | 10.193.132.4 |
| AzS-Node03 | 10.193.132.5 |
| AzS-Node04 | 10.193.132.6 |
| ExternalAccessible-1 | 10.193.132.19 |
| ExternalAccessible-2 | 10.193.132.20 |
| ExternalAccessible-3 | 10.193.132.21 |
| ExternalAccessible-4 | 10.193.132.22 |
| ExternalAccessible-5 | 10.193.132.23 |
| InternalAccessible-1 | 10.193.132.24 |
| InternalAccessible-2 | 10.193.132.25 |
| InternalAccessible-3 | 10.193.132.26 |
| InternalAccessible-4 | 10.193.132.27 |
| InternalAccessible-5 | 10.193.132.28 |
| CL01-RG01-SU01-DVM00 | 10.193.132.29 |
| HLH-OS | 10.193.132.30 |
| 廣播 | 10.193.132.31 |
儲存體網路
記憶體網路是專用網,並非要路由傳送到機架之外。 這是專用網超級網路的上半部,由分散式交換器使用,如下表所示。 閘道是子網中的第一個IP。 用於內部VIP的下半部是 Azure Stack SLB 所管理的位址私人集區,不會顯示在 [IP 位址使用量] 索引卷標上。這些網路支援 Azure Stack,且 TOR 交換器上有 ACL,可防止這些網路在解決方案外部公告和/或存取。
- 機架:Rack1
- 名稱:CL01-RG01-SU01-Storage
| 指派給 | IPv4 位址 |
|---|---|
| 網路 | 11.11.128.0 |
| 閘道 | 11.11.128.1 |
| TOR1 | 11.11.128.2 |
| TOR2 | 11.11.128.3 |
| 廣播 | 11.11.128.127 |
Azure Stack 基礎結構網路
基礎結構網路超級網路需要 /24 網路,而且在部署工作表工具執行之後,這會繼續是 /24。 閘道將會是子網中的第一個IP。
- 機架:Rack1
- 名稱:CL01-RG01-SU01-Infra
| 指派給 | IPv4 位址 |
|---|---|
| 網路 | 12.193.130.0 |
| 閘道 | 12.193.130.1 |
| TOR1 | 12.193.130.2 |
| TOR2 | 12.193.130.3 |
| 廣播 | 12.193.130.255 |
交換器基礎結構網路
基礎結構網路會分成實體交換器基礎結構所使用的多個網路。 這與僅支援 Azure Stack 軟體的 Azure Stack 基礎結構不同。 交換器基礎結構僅支援實體交換器基礎結構。 基礎結構支援的網路如下:
| 名稱 | IPv4 子網 |
|---|---|
| P2P_Border/Border1_To_Rack1/TOR1 | 10.193.132.128/30 |
| P2P_Border/Border1_To_Rack1/TOR2 | 10.193.132.132/30 |
| P2P_Border/Border2_To_Rack1/TOR1 | 10.193.132.136/30 |
| P2P_Border/Border2_To_Rack1/TOR2 | 10.193.132.140/30 |
| P2P_Rack1/TOR1_To_Rack1/BMC | 10.193.132.144/30 |
| P2P_Rack1/TOR2_To_Rack1/BMC | 10.193.132.148/30 |
| Loopback0_Rack1_TOR1 | 10.193.132.152/32 |
| Loopback0_Rack1_TOR2 | 10.193.132.153/32 |
| Loopback0_Rack1_BMC | 10.193.132.154/32 |
| P2P_Rack1/TOR1-ibgp-1_To_Rack1/TOR2-ibgp-1 | 10.193.132.156/30 |
| P2P_Rack1/TOR1-ibgp-2_To_Rack1/TOR2-ibgp-2 | 10.193.132.160/30 |
| SwitchMgmt | 10.193.132.168/29 |
點對點 (P2P):這些網路允許所有交換器之間的連線。 子網大小是每個 P2P 的 /30 網路。 最低IP一律指派給堆疊上的上游 (North) 裝置。
回送:這些位址是 /32 網路,會指派給機架中使用的每個交換器。 邊界裝置不會指派回送,因為它們不預期會是 Azure Stack 解決方案的一部分。
交換器 Mgmt 或交換器管理:此 /29 網路支援機架中交換器的專用管理介面。 IP 的指派方式如下:此表格也可以在 [部署工作表] 的 [IP 位址使用方式] 索引標籤上找到:
機架:Rack1
名稱:SwitchMgmt
| 指派給 | IPv4 位址 |
|---|---|
| 網路 | 10.193.132.168 |
| 閘道 | 10.193.132.169 |
| TOR1 | 10.193.132.170 |
| TOR2 | 10.193.132.171 |
| 廣播 | 10.193.132.175 |
準備環境
硬體生命週期主機映像確實包含用來產生實體網路交換器設定的必要Linux容器。
最新的合作夥伴部署工具組確實包含最新的容器映像。 當需要產生更新的交換器設定時,即可取代硬體生命週期主機上的容器映射。
以下是更新容器映像的步驟:
下載容器映像
取代位於下列位置的容器映像
產生組態
在這裡,我們將逐步引導您完成產生 JSON 檔案和網路交換器組態檔的步驟:
開啟部署工作表
在所有索引標籤上填入所有必要的欄位
在部署工作表上叫用 「Generate」 函式。
將會建立兩個額外的索引標籤,以顯示產生的IP子網和指派。檢閱數據,一旦確認,請叫用 「Export」 函式。
系統會提示您提供 JSON 檔案儲存所在的資料夾。使用 Invoke-SwitchConfigGenerator.ps1 執行容器。 此腳本需要提升許可權的 PowerShell 控制台才能執行,而且需要執行下列參數。
ContainerName – 將產生交換器組態的容器名稱。
ConfigurationData – 從部署工作表匯出ConfigurationData.json檔案的路徑。
OutputDirectory – 輸出目錄的路徑。
離線 – 文稿以離線模式執行的訊號。
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
當腳本完成時,它會產生 zip 檔案,其中包含工作表中使用的前置詞。
C:\WINDOWS\system32> .\Invoke-SwitchConfigGenerate.ps1 -ContainerName generalonrampacr.azurecr.io/master -ConfigurationData .\ConfigurationData.json -OutputDirectory c:\temp -Offline
Seconds : 2
Section : Validation
Step : WindowsRequirement
Status : True
Detail : @{CurrentImage=10.0.18363.0}
Seconds : 2
Section : Validation
Step : DockerService
Status : True
Detail : @{Status=Running}
Seconds : 9
Section : Validation
Step : DockerSetup
Status : True
Detail : @{CPU=4; Memory=4139085824; OS=Docker Desktop; OSType=linux}
Seconds : 9
Section : Validation
Step : DockerImage
Status : True
Detail : @{Container=generalonrampacr.azurecr.io/master:1.1910.78.1}
Seconds : 10
Section : Run
Step : Container
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c; ExternalPort=32768}
Seconds : 38
Section : Generate
Step : Config
Status : True
Detail : @{OutputFile=c:\temp\N22R19.zip}
Seconds : 38
Section : Exit
Step : StopContainer
Status : True
Detail : @{ID=2a20ba622ef9f58f9bcd069c3b9af7ec076bae36f12c5653f9469b988c01706c}
自訂設定
您可以修改 Azure Stack 交換器組態的一些環境設定。 您可以識別您可以在樣本中變更的設定。 本文說明這些可自定義的設定,以及變更如何影響您的 Azure Stack。 這些設定包括密碼更新、syslog 伺服器、SNMP 監視、驗證和訪問控制清單。
在部署 Azure Stack 解決方案期間,原始設備製造商 (OEM) 會建立並套用 TOR 和 BMC 的交換器設定。 OEM 會使用 Azure Stack 自動化工具來驗證這些裝置上是否已正確設定所需的設定。 設定是以 Azure Stack 部署工作表中的資訊為基礎。
注意
未經 OEM 或 azure Stack 工程小組Microsoft同意,請勿 變更設定。 對網路裝置組態的變更可能會大幅影響 Azure Stack 實例中網路問題的作業或疑難解答。 如需網路裝置上這些功能的詳細資訊,請連絡 OEM 硬體提供者或Microsoft支持人員。 您的 OEM 具有以 Azure Stack 部署工作表為基礎的自動化工具所建立的組態檔。
不過,有些值可以在網路交換器的設定上新增、移除或變更。
密碼更新
操作員可以隨時更新網路交換器上任何用戶的密碼。 不需要變更 Azure Stack 系統上的任何資訊,或使用在 Azure Stack 中輪替秘密的步驟。
Syslog 伺服器
操作員可以將交換器記錄重新導向至其數據中心上的 syslog 伺服器。 使用此組態來確保特定時間點的記錄可用於疑難解答。 根據預設,記錄會儲存在交換器上;其儲存記錄的容量有限。 如需如何設定交換器管理存取權的概觀,請參閱訪問控制清單更新一節。
SNMP 監視
操作員可以設定簡單的網路管理通訊協定 (SNMP) v2 或 v3 來監視網路裝置,並將陷阱傳送到數據中心的網路監視應用程式。 基於安全性考慮,請使用SNMPv3,因為它比 v2 更安全。 如需所需的MIB和設定,請參閱 OEM 硬體提供者。 如需如何設定交換器管理存取權的概觀,請參閱訪問控制清單更新一節。
驗證
操作員可以設定 RADIUS 或 TACACS 來管理網路裝置上的驗證。 如需支援的方法和設定,請參閱 OEM 硬體提供者。 如需如何設定交換器管理存取權的概觀,請參閱訪問控制清單更新一節。
訪問控制清單更新
操作員可以變更一些訪問控制清單 (ACL)s,以允許從受信任的數據中心網路範圍存取網路裝置管理介面和硬體生命週期主機 (HLH)。 運算元可以挑選可連線的元件,以及從何處取得。 透過訪問控制清單,操作員可以允許其管理 Jumpbox VM 在特定網路範圍內存取交換器管理介面,以及 HLH OS 和 HLH BMC。
如需進一步的詳細數據,請參閱 實體交換器訪問控制清單。
TACACS、RADIUS 和 Syslog
Azure Stack 解決方案不會隨附 TACACS 或 RADIUS 解決方案,以控制交換器和路由器等裝置,也不會隨附用來擷取交換器記錄的 Syslog 解決方案,但這些裝置都支援這些服務。 為了協助與環境中現有的 TACACS、RADIUS 和/或 Syslog 伺服器整合,我們將提供額外的檔案與網路交換器組態,讓工程師在現場自定義交換器以符合客戶需求。