Łączność graniczna
Planowanie integracji sieci jest ważnym wymaganiem wstępnym dla pomyślnego wdrożenia, operacji i zarządzania zintegrowanymi systemami usługi Azure Stack Hub. Planowanie łączności brzegowej rozpoczyna się od podjęcia decyzji, czy chcesz używać routingu dynamicznego z protokołem Border Gateway Protocol (BGP). Wymaga to przypisania 16-bitowego numeru systemu autonomicznego (ASN), publicznego lub prywatnego albo przy użyciu routingu statycznego.
Ważny
Przełączniki w górnej części stojaka (TOR) wymagają połączeń w warstwie 3 z adresami IP typu punkt-punkt (/30 sieci) skonfigurowanymi na interfejsach fizycznych. Uplinki warstwy 2 z przełącznikami TOR obsługującymi operacje usługi Azure Stack Hub nie są obsługiwane. Urządzenie Border może obsługiwać 32-bitowy numer systemu autonomicznego BGP (ASN).
Łączność fizyczna między urządzeniami granicznymi a przełącznikami TOR Azure Stack Hub wymaga transceiwerów sieciowych. Należy upewnić się, że wymagany typ modułu (SR, LR, ER lub inny) jest omówiony z dostawcą rozwiązań sprzętowych przed wdrożeniem w lokacji.
Routing BGP
Korzystanie z protokołu routingu dynamicznego, takiego jak protokół BGP, gwarantuje, że system zawsze zna zmiany sieci i ułatwia administrowanie. W celu zwiększenia bezpieczeństwa można ustawić hasło w komunikacji równorzędnej BGP między TOR a granicą.
Jak pokazano na poniższym diagramie, reklama prywatnej przestrzeni IP na przełączniku TOR jest blokowana przy użyciu listy prefiksów. Lista prefiksów odrzuca ogłoszenie sieci prywatnej i jest stosowana jako mapa tras w połączeniu między TOR a granicą.
Programowy moduł równoważenia obciążenia (SLB) działający w rozwiązaniu Azure Stack Hub nawiązuje połączenie z urządzeniami TOR, dzięki czemu może dynamicznie ogłaszać adresy VIP.
Aby zapewnić natychmiastowe i przejrzyste odzyskiwanie ruchu użytkowników po awarii, VPC lub MLAG skonfigurowane między urządzeniami TOR umożliwia wykorzystanie agregacji łączy międzyszafowej do hostów oraz HSRP lub VRRP, które zapewniają nadmiarowość sieci dla sieci IP.
Routing statyczny
Routing statyczny wymaga dodatkowej konfiguracji urządzeń brzegowych. Wymaga to bardziej ręcznej interwencji i zarządzania, a także dokładnej analizy przed wszelkimi zmianami. Problemy spowodowane błędem konfiguracji mogą wymagać więcej czasu na cofnięcie, w zależności od dokonanych zmian. Ta metoda routingu nie jest zalecana, ale jest obsługiwana.
Aby zintegrować usługę Azure Stack Hub ze środowiskiem sieciowym przy użyciu routingu statycznego, wszystkie cztery połączenia fizyczne między obramowaniem a urządzeniem TOR muszą być połączone. Wysoka dostępność nie może być gwarantowana ze względu na sposób działania routingu statycznego.
Urządzenie brzegowe musi być skonfigurowane trasami statycznymi wskazującymi na każdy z czterech adresów IP P2P ustawionych między TOR a granicą dla ruchu kierowanego do dowolnej sieci w usłudze Azure Stack Hub, ale do działania wymagana jest tylko zewnętrzna lub publiczna sieć VIP. Trasy statyczne do BMC oraz do sieci zewnętrznych są wymagane do początkowego wdrożenia. Operatorzy mogą pozostawić trasy statyczne na granicy, aby uzyskać dostęp do zasobów zarządzania, które znajdują się w BMC i sieci Infrastructure. Dodawanie tras statycznych do infrastruktury sieci przełączników oraz do sieci zarządzania przełącznikami jest opcjonalne.
Urządzenia TOR są konfigurowane przy użyciu statycznej trasy domyślnej, która wysyła cały ruch do urządzeń granicznych. Jedynym wyjątkiem od reguły domyślnej dotyczącej ruchu jest przestrzeń prywatna, która jest blokowana za pomocą listy kontroli dostępu zastosowanej na interfejsie granicznym TOR.
Routing statyczny ma zastosowanie tylko do łączy w górę między przełącznikami TOR i granicznymi. Routing dynamiczny BGP jest używany wewnątrz szafy, ponieważ jest to niezbędne narzędzie dla SLB i innych składników, i nie można go wyłączyć ani usunąć.
* Sieć BMC jest opcjonalna po wdrożeniu.
** Sieć infrastruktury przełącznika jest opcjonalna, ponieważ cała sieć może być uwzględniona w sieci zarządzania przełącznikami.
*** Sieć zarządzania przełącznikami jest wymagana i można dodać oddzielnie od sieci infrastruktury przełącznika.