Compartilhar via

Atualização e commit de recursos do Network Fabric

  • Artigo

Atualmente, os recursos do Nexus Network Fabric exigem desabilitar um recurso pai (como um domínio L3Isolation) e reputar o recurso pai ou filho com valores atualizados e execute a pós-ação administrativa para habilitar e configurar os dispositivos. O novo fluxo de atualização de recursos do Network Fabric permite agrupar e atualizar um conjunto de recursos do Network Fabric por meio de uma ação commitConfiguration POST, quando os recursos estiverem habilitados. Não haverá nenhuma alteração se você escolher o fluxo de trabalho atual desabilitar o domínio isolamento L3, fazer alterações e habilitar o domínio de isolamento L3.

Visão geral da atualização de recursos do Network Fabric

Qualquer operação CUD (criar, atualizar, excluir) em um recurso filho vinculado a um recurso pai habilitado existente ou uma atualização para uma propriedade de recurso pai habilitada é considerada uma operação de Atualização. Alguns exemplos seriam uma nova rede interna ou uma nova sub-rede precisa ser adicionada a um domínio de isolamento de camada 3 habilitado existente (a rede interna é um recurso filho do domínio de isolamento camada 3). Uma nova política de rota precisa ser anexada à rede interna existente. Estes dois cenários se qualificam para uma operação de Atualização.

Qualquer operação de atualização realizada em recursos do Network Fabric com suporte mostrados na tabela a seguir coloca a malha em um estado de confirmação pendente (atualmente Aceito no estado de configuração), em que é necessário iniciar uma ação de confirmação de configuração de malha para aplicar as alterações desejadas. Todas as atualizações dos recursos do Network Fabric (inclusive recursos filho), na malha seguem o mesmo fluxo de trabalho.

Confirmar ação/atualizações em recursos só será válido e aplicável quando a malha estiver no estado provisionado e os recursos do Network Fabric estiverem em um estado administrativo **habilitado. As atualizações dos recursos pai e filho podem ser em lote (em vários recursos do Network Fabric) e uma ação commitConfiguration, pode ser executada para executar todas as alterações em uma única ação POST.

A criação de recursos pai e habilitação por meio de ação administrativa é independente do fluxo de trabalho de Ação de Confirmação/Atualização. Além disso, todas as ações administrativas para habilitar/desabilitar são independentes e não devem exigir gatilho de ação commitConfiguration para execução. A ação CommitConfiguration só é aplicável a um cenário quando o operador deseja atualizar todos os recursos existentes do Azure Resource Manager e malha, o recurso pai está em estado habilitado. Todos os scripts de automação ou modelos bicep usados pelos operadores para criar um recurso do Network Fabric e habilitar não exigem alterações.

Fluxo de trabalho do usuário

Para executar recursos de atualização com êxito, a malha deve estar no estado provisionado. As etapas a seguir estão envolvidas na atualização dos recursos do Network Fabric.

  1. O operador atualiza os recursos necessários do Network Fabric (várias atualizações de recursos podem ser em lotes) que já estavam habilitados (configuração aplicada a dispositivos) usando a chamada de atualização em recursos do Network Fabric por meio do AzCli, Azure Resource Manager, Portal. (Consulte os cenários, recursos e os detalhes dos parâmetros com suporte na tabela a seguir).

    No exemplo a seguir, uma nova internalnetwork é adicionada a um L3Isolation l3domain101523-sm existente.

    az networkfabric internalnetwork create --subscription 5ffad143-8f31-4e1e-b171-fa1738b14748 --resource-group "Fab3Lab-4-1-PROD" --l3-isolation-domain-name "l3domain101523-sm" --resource-name "internalnetwork101523" --vlan-id 789 --mtu 1432 --connected-ipv4-subnets "[{prefix:'10.252.11.0/24'},{prefix:'10.252.12.0/24'}]

  2. Após a chamada de atualização do Azure Resource Manager ser bem-sucedida, o recurso específico do ConfigurationState, é definido como Aceito e, quando falhar, ele será definido como Rejeitado. O Fabric ConfigurationState está definido como Aceito, independentemente do sucesso/falha da chamada PATCH.

    Se qualquer recurso do Azure Resource Manager na malha (como Rede Interna ou RoutePolicy) estiver no estado Rejeitado, o Operador precisará corrigir a configuração e garantir que o ConfigurationState do recurso específico esteja definido como Aceito antes de continuar.

  3. O operador executa a ação commitConfiguration POST, no recurso do Fabric.

    az networkfabric fabric commit-configuration --subscription 5ffad143-8f31-4e1e-b171-fa1738b14748 --resource-group "FabLAB-4-1-PROD" --resource-name "nffab3-4-1-prod"

  4. O serviço valida se todas as atualizações de recurso foram bem-sucedidas e valida as entradas. Ele também valida recursos lógicos conectados para garantir o comportamento e a configuração consistentes. Depois que todas as validações forem bem-sucedidas, a nova configuração será gerada e enviada por push para os dispositivos.

  5. O recurso específico configurationState é redefinido para Bem-sucedido e o Fabric configurationState é definido como Provisionado.

  6. Se a ação commitConfiguration falhar, o serviço exibirá a mensagem de erro apropriada e notificará o operador sobre a possível falha de atualização de recursos do Network Fabric.

Estado Definição Antes da atualização de recursos do Azure Resource Manager Antes de CommitConfiguration e pós atualização do Azure Resource Manager Pós CommitConfiguration
Estado Administrativo Estado para representar a ação administrativa executada no recurso Habilitado (só há suporte para habilitação) Habilitado (só há suporte para habilitação) Habilitado (o usuário pode desabilitar)
Estado da configuração Estado para representar as configurações controladas por serviço/ações do operador Estado do recurso – com êxito,
Estado do Fabric provisionado		 Estado do recurso
- Aceito (Êxito)
- Rejeitado (Falha)
Estado do Fabric
- Aceito		 Estado do recurso
- Aceito (Falha),
- Bem-sucedido (Êxito)
Estado do Fabric
- Provisionado
Estado de Provisionamento Estado para representar o estado de provisionamento de recursos do Azure Resource Manager Provisionado Provisionado Provisionado

Cenários e recursos do Network Fabric com suporte

Suporte para atualização do Network Fabric e dos recursos associados (Network Fabric 4.1, Nexus 2310.1)

Recurso do Network Fabric Tipo Cenários com suporte Cenários sem suporte Observações
Domínio de isolamento da Camada 2 Pai - Atualizar para propriedades – MTU
- Marcas de adição/atualização		 Re-PUT do recurso
Domínio de isolamento da Camada 3 Pai Atualizar para propriedades
- redistribuir conectado.
- redistribuir rotas estáticas.
- Configuração de rota de agregação
- política de rota de sub-rede conectada. 
Marcas de adição/atualização		 Re-PUT do recurso
Rede interna Filho (de L3 ISD) Adicionar uma nova rede interna
Atualizar para propriedades
- MTU
- Adição/atualização de sub-redes IPv4/IPv6 conectadas
- Adição/atualização de RoutePolicy IPv4/IPv6
- Adição/atualização da ACL de saída/entrada
- Atualizar sinalizador isMonitoringEnabled
- Adição/atualização para rotas estáticas
- Configuração do BGP
Marcas de adição/atualização		 - Re-PUT do recurso.
- Excluindo uma rede interna quando o domínio de isolamento da camada 3 pai estiver habilitado.		 Para excluir o recurso, o recurso pai deve ser desabilitado
Rede externa Filho (de L3 ISD) Atualizar para propriedades
- Adição/atualização de RoutePolicy IPv4/IPv6
- Opção A propriedades MTU, adição/atualização de ACLs de entrada e saída,
- Propriedades da Opção A – Configuração do BFD
- Propriedades da opção B – Destinos de Rota
Adição/atualização de marcas		 - Re-PUT do recurso. 
- Criar uma nova rede externa
- Excluir uma rede externa quando o domínio de isolamento da Camada 3 pai estiver habilitado.		 Para excluir o recurso, o recurso pai deve ser desabilitado.

 OBSERVAÇÃO: apenas uma rede externa tem suporte por ISD.
Política de rota Pai - Atualizar a instrução inteira, inclusive número seq, condição, ação.
- Marcas de adição/atualização		 - Re-PUT do recurso. 
- Atualizar para a Política de Rota vinculada a um recurso de interconexão rede a rede.		 Para excluir o recurso, a connectedResource (IsolationDomain ou interconexão N-para-N) não deve conter nenhuma referência.
IPCommunity Pai Atualize toda a regra ipCommunity, inclusive número de seq, ação, membros da comunidade, comunidades conhecidas. Re-PUT do recurso Para excluir o recurso, o Recurso RoutePolicy conectado, não deve conter nenhuma referência.
IPPrefixes Pai - Atualize toda a regra IPPrefix, inclusive número seq, networkPrefix, condição, comprimento da subnetMask. 
- Marcas de adição/atualização		 Re-PUT do recurso Para excluir o recurso, o Recurso RoutePolicy conectado, não deve conter nenhuma referência.
IPExtendedCommunity Pai - Atualize toda a regra da comunidade IPExtended, inclusive número seq, ação, destinos de rota. 
- Marcas de adição/atualização		 Re-PUT do recurso Para excluir o recurso, o Recurso RoutePolicy conectado, não deve conter nenhuma referência.
ACLs Pai - Adição/atualização para corresponder a configurações e configurações de correspondência dinâmica.
- Atualizar para o tipo de configuração
- URL de ACLs de adição/atualização
- Marcas de adição/atualização		 - Re-PUT do recurso. 
- Atualizar para ACLs vinculadas a um recurso de interconexão rede a rede.		 Para excluir o recurso, a connectedResource (como IsolationDomain ou interconexão N-para-N) não deve conter nenhuma referência.

Notas de comportamento e restrições

  • Se um recurso pai estiver em um estado administrativo Desabilitado e houver alterações feitas nos recursos pai ou filho, a ação commitConfiguration, não será aplicável. Habilitar o recurso enviaria por push a configuração. O caminho de confirmação para esses recursos é disparado somente quando o recurso pai está no estado administrativo Habilitado.

  • Se o commitConfiguration falhar, a malha permanecerá no estado Aceito na configuração até que o usuário resolva os problemas e execute um commitConfiguration com êxito. Atualmente, somente mecanismos de reversão são fornecidos quando ocorre uma falha.

  • Se a configuração do Fabric estiver em um estado Aceito e tiver atualizações para os recursos do Azure Resource Manager ainda a serem confirmadas, nenhuma ação administrativa será permitida nos recursos.

  • Se a configuração do Fabric estiver em um estado Aceito e tiver atualizações para os recursos do Azure Resource Manager ainda a serem confirmadas, a operação de exclusão em recursos com suporte não poderá ser disparada.

  • A criação de recursos pai é independente de commitConfiguration e do fluxo de atualização. Re-PUT de recursos não tem suporte em nenhum recurso.

  • Há suporte para a atualização de recursos do Network Fabric para implantações do Greenfield e implantações do Brownfield, mas com algumas restrições.

    • Na implantação do Greenfield, o estado de configuração do Fabric é Aceito, depois que há atualizações feitas de recursos do Network Fabric. Após a ação commitConfiguration ser disparada, ela passa para o estado Provisionado ou Aceito, dependendo do êxito ou da falha da ação.

    • Na implantação do Brownfield, há suporte para a ação commitConfiguration, mas os recursos do Network Fabric com suporte (como domínios de isolamento, redes internas, RoutePolicy &ACLs), devem ser criados usando a versão de disponibilidade geral da API (2023-06-15). Essa restrição temporária é relaxada após a migração de todos os recursos para a versão mais recente.

    • Na implantação do Brownfield, o estado de configuração do Fabric permanece em um estado Provisionado quando há alterações em quaisquer recursos do Network Fabric com suporte ou a ação commitConfiguration é disparada. Esse comportamento é temporário até que todas as malhas sejam migradas para a versão mais recente.

  • As atualizações de política de rota e outros recursos relacionados (comunidade de IP, comunidade estendida de IP, PrefixList de IP), são consideradas como uma operação de substituição de lista. Todas as instruções existentes são removidas e somente as novas instruções atualizadas são configuradas.

  • Atualizar ou remover sub-redes, rotas, configurações de BGP e outros parâmetros de rede relevantes na configuração de rede interna ou de redes externas pode causar interrupção no tráfego e deve ser executado a critério dos operadores.

  • A atualização de novas ACLs e políticas de rota pode causar interrupção no tráfego dependendo das regras aplicadas.

  • Use um comando de lista no tipo de recurso específico (listar todos os recursos de um tipo de rede interno), para verificar os recursos que são atualizados e não estão confirmados no dispositivo. Os recursos que têm um estado de configuração Aceito ou Rejeitado, podem ser filtrados e identificados como recursos que ainda não foram confirmados ou onde a confirmação no dispositivo falha.

Por exemplo:

az networkfabric internalnetwork list --resource-group "example-rg" --l3domain  "example-l3domain"