Konfigurace domén izolace L2 a L3 pomocí spravovaných síťových prostředků infrastruktury
Domény izolace umožňují komunikaci mezi úlohami hostovanými ve stejném racku (komunikace uvnitř racku) nebo různými racky (komunikace mezi racky). Tento postup popisuje, jak můžete spravovat domény izolace vrstvy 2 a vrstvy 3 pomocí rozhraní příkazového řádku Azure (AzureCLI). Můžete vytvářet, aktualizovat, odstraňovat a kontrolovat stav domén izolace vrstvy 2 a vrstvy 3.
Požadavky
Ujistěte se, že se vytvořil síťový adaptér (NFC) a síťová prostředky infrastruktury.
Nainstalujte nejnovější verzi potřebných rozšíření rozhraní příkazového řádku.
Pomocí následujícího příkazu se přihlaste ke svému účtu Azure a nastavte předplatné na ID předplatného Azure. Mělo by to být stejné ID předplatného, které používáte pro všechny prostředky v instanci Azure Operator Nexus.
az login
az account set --subscription ********-****-****-****-*********
- Registrace poskytovatelů pro spravované síťové prostředky infrastruktury:
V Azure CLI zadejte příkaz
az provider register --namespace Microsoft.ManagedNetworkFabric.Pomocí příkazu
az provider show -n Microsoft.ManagedNetworkFabric -o tablemonitorujte proces registrace .Registrace může trvat až 10 minut. Po dokončení
RegistrationStatese ve výstupu změní naRegistered.
Domény izolace se používají k povolení připojení vrstvy 2 nebo vrstvy 3 mezi úlohami hostovanými v instanci Azure Operator Nexus a externími sítěmi.
Poznámka:
Operátor Nexus si vyhrazuje sítě VLAN <=500 pro použití platformy, a proto sítě VLAN v tomto rozsahu nelze použít pro sítě úloh vašeho (tenanta). Měli byste použít hodnoty sítě VLAN mezi 501 a 4095.
Parametry pro správu izolované domény
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
resource-group |
Použijte vhodný název skupiny prostředků speciálně pro ISD podle vašeho výběru. | ResourceGroupName | True |
resource-name |
Název prostředku l2isolationDomain | example-l2domain | True |
location |
Oblast Azure Nexus operátora používaná při vytváření NFC | eastus | True |
nf-Id |
ID síťového prostředku infrastruktury | "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFresourcegroupname/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFname" | True |
Vlan-id |
Hodnota identifikátoru sítě VLAN. Sítě VLAN 1–500 jsou rezervované a nejde je použít. Hodnotu identifikátoru sítě VLAN nelze po zadání změnit. Pokud je potřeba upravit hodnotu identifikátoru sítě VLAN, musí být doména izolace odstraněna a znovu vytvořena. Rozsah je mezi 501–4095. | 501 | True |
mtu |
maximální přenosová jednotka je ve výchozím nastavení 1500, pokud není zadána | 1500 | |
administrativeState |
Povolení nebo zakázání indikuje stav správy izolovanédomény. | Povolit | |
subscriptionId |
Id vašeho předplatného Azure pro instanci operátora Nexus. | ||
provisioningState |
Označuje stav zřizování. |
L2 Isolation-Domain
K vytvoření připojení vrstvy 2 mezi úlohami běžícími na výpočetních uzlech Operator Nexus použijete doménu izolace L2.
Vytvoření domény izolace L2
Vytvořte doménu izolace L2:
az networkfabric l2domain create \
--resource-group "ResourceGroupName" \
--resource-name "example-l2domain" \
--location "eastus" \
--nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFname" \
--vlan-id 750\
--mtu 1501
Očekávaný výstup:
{
"administrativeState": "Disabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFresourcegroupname/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Zobrazit domény izolace L2
Tento příkaz zobrazí podrobnosti o doménách izolace L2, včetně jejich stavů pro správu:
az networkfabric l2domain show --resource-group "ResourceGroupName" --resource-name "example-l2domain"
Očekávaný výstup
{
"administrativeState": "Disabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e1078890",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Výpis všech domén izolace L2
Tento příkaz zobrazí seznam všech domén izolace l2 dostupných ve skupině prostředků.
az networkfabric l2domain list --resource-group "ResourceGroupName"
Očekávaný výstup
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxxxxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT22:26:33.065672+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2022-XX-XXT14:46:45.753165+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e107873d7",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Změna stavu správy domény izolace L2
Chcete-li odeslat konfiguraci do síťových zařízení infrastruktury, musíte povolit doménu izolace. Ke změně stavu správy domény izolace použijte následující příkaz:
az networkfabric l2domain update-admin-state --resource-group "ResourceGroupName" --resource-name "example-l2domain" --state Enable/Disable
Očekávaný výstup
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e107873d7",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 501
}
Odstranění domény izolace L2
Pomocí tohoto příkazu odstraňte doménu izolace L2:
az networkfabric l2domain delete --resource-group "ResourceGroupName" --resource-name "example-l2domain"
Očekávaný výstup:
Please use show or list command to validate that isolation-domain is deleted. Deleted resources will not appear in result
Konfigurace domény izolace L3
Doména izolace vrstvy 3 umožňuje připojení vrstvy 3 mezi úlohami běžícími na výpočetních uzlech Operator Nexus. Doména izolace L3 umožňuje úlohám vyměňovat informace vrstvy 3 se zařízeními síťových prostředků infrastruktury.
Doména izolace vrstvy 3 má dvě komponenty:
- Interní síť definuje připojení vrstvy 3 mezi síťovými prostředky infrastruktury běžícími na výpočetních uzlech Azure Operator Nexus a volitelnou externí sítí. Musíte vytvořit aspoň jednu interní síť.
- Externí síť poskytuje připojení mezi internetem a interními sítěmi prostřednictvím vašich PE.
Doména izolace L3 umožňuje nasazení úloh, které inzerují IP adresy služeb do prostředků infrastruktury prostřednictvím protokolu BGP.
Doména izolace L3 má dvě sítě ASN:
- AsN prostředků infrastruktury odkazuje na ASN síťových zařízení v prostředcích infrastruktury. Při vytváření síťových prostředků infrastruktury se zadalo ASN prostředků infrastruktury infrastruktury.
- Partnerský název ASN odkazuje na ASN síťových funkcí v operátoru Nexus a nemůže být stejný jako operátor ASN.
Pracovní postup úspěšného zřízení domény izolace L3 je následující:
- Vytvoření domény izolace L3
- Vytvoření jedné nebo více interních sítí
- Povolení domény izolace L3
Pokud chcete provést změny domény izolace L3, nejprve zakažte doménu izolace L3 (stav správy). Po dokončení změn znovu povolte doménu izolace L3 (Stav správy):
- Zakázání domény izolace L3
- Provedení změn v doméně izolace L3
- Opětovné povolení domény izolace L3
Procedura, která se má zobrazit, povolit nebo zakázat a odstranit domény založené na izolaci na základě protokolu IPv6, je stejná jako u IPv4. rozsah sítě VLAN pro vytvoření domény izolace 501–4095
Pro konfiguraci domén izolace L3 jsou k dispozici následující parametry.
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
resource-group |
Použijte vhodný název skupiny prostředků speciálně pro ISD podle vašeho výběru. | ResourceGroupName | True |
resource-name |
Název prostředku l3isolationDomain | example-l3domain | True |
location |
Oblast Azure Nexus operátora používaná při vytváření NFC | eastus | True |
nf-Id |
Id předplatného Azure použité při vytváření NFC | /subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFName" | True |
Následující parametry pro domény izolace jsou volitelné.
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
redistributeConnectedSubnet |
Inzerování výchozí hodnoty připojených podsítí je True | True | |
redistributeStaticRoutes |
Inzerování statických tras může mít hodnotu true nebo False. Výchozí hodnota je False | False | |
aggregateRouteConfiguration |
Seznam konfigurací tras Ipv4 a Ipv6 | ||
connectedSubnetRoutePolicy |
Konfigurace zásad směrování pro podsítě připojené k IPv4 nebo Ipv6 L3 ISD. Informace o použití správné syntaxe najdete v souboru nápovědy. |
Vytvoření domény izolace L3
Pomocí tohoto příkazu vytvořte doménu izolace L3:
az networkfabric l3domain create
--resource-group "ResourceGroupName"
--resource-name "example-l3domain"
--location "eastus"
--nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFName"
Poznámka:
U připojení MPLS s možností 10 (B) k externím sítím prostřednictvím zařízení PE můžete při vytváření izolované domény zadat parametry možnosti (B).
Očekávaný výstup
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT06:23:43.372461+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:38.815959+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787367",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Vytvoření nedůvěryhodné domény izolace L3
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3untrust" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Vytvoření důvěryhodné domény izolace L3
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3trust" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Vytvoření domény izolace L3 pro správu
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3mgmt" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Zobrazit domény izolace L3
Můžete získat podrobnosti o doménách izolace L3 a stav správy.
az networkfabric l3domain show --resource-group "ResourceGroupName" --resource-name "example-l3domain"
Očekávaný výstup
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "2023-XX-XXT09:40:38.815959+00:00",
"systemData": {
"createdAt": "2023-XX-XXT09:40:38.815959+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:46.923037+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787456",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Výpis všech domén izolace L3
Pomocí tohoto příkazu získáte seznam všech domén izolace L3 dostupných ve skupině prostředků:
az networkfabric l3domain list --resource-group "ResourceGroupName"
Očekávaný výstup
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT09:40:38.815959+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:46.923037+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787890",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Změna stavu správy domény izolace L3
Pomocí následujícího příkazu změňte stav správy domény izolace L3 na povolenou nebo zakázanou:
##Note: Pro změnu stavu správy domény izolace L3 by měla být k dispozici alespoň jedna interní síť.
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "example-l3domain" --state Enable/Disable
Očekávaný výstup
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/ResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/NFresourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "NFResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT06:23:43.372461+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT06:25:53.240975+00:00",
"lastModifiedBy": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
az show Pomocí příkazu ověřte, zda se stav správy změnil na Enabled.
Odstranění domén izolace L3
Pomocí tohoto příkazu odstraňte doménu izolace L3:
az networkfabric l3domain delete --resource-group "ResourceGroupName" --resource-name "example-l3domain"
show Pomocí příkazů nebo list příkazů ověřte, že byla odstraněna doména izolace.
Vytvoření interní sítě
Po úspěšném vytvoření domény izolace L3 je dalším krokem vytvoření interní sítě. Interní sítě umožňují komunikaci vrstvy 3 mezi racky a uvnitř racku mezi úlohami výměnou tras s prostředky infrastruktury. Doména izolace L3 může podporovat více interních sítí, z nichž každá je v samostatné síti VLAN.
Následující diagram představuje ukázkovou síťovou funkci se třemi interními sítěmi: důvěryhodnou, nedůvěryhodnou a správu. Každá z interních sítí je vytvořená ve své vlastní doméně izolace L3.
Předpony IPv4 pro tyto sítě jsou:
- Důvěryhodná síť: 10.151.1.11/24
- Síť pro správu: 10.151.2.11/24
- Nedůvěryhodná síť: 10.151.3.11/24
Pro vytváření interních sítí jsou k dispozici následující parametry.
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
vlan-Id |
Identifikátor sítě Vlan s rozsahem od 501 do 4095 | 1001 | True |
resource-group |
Použijte odpovídající název skupiny prostředků NFC. | NFCresourcegroupname | True |
l3-isolation-domain-name |
Název prostředku l3isolationDomain | example-l3domain | True |
location |
Oblast Azure Nexus operátora používaná při vytváření NFC | eastus | True |
Následující parametry jsou volitelné pro vytváření interních sítí.
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
connectedIPv4Subnets |
Podsíť IPv4 používaná úlohami clusteru HAKS | 10.0.0.0/24 | |
connectedIPv6Subnets |
Podsíť IPv6 používaná úlohami clusteru HAKS | 10:101:1::1/64 | |
staticRouteConfiguration |
Předpona IPv4/IPv6 statické trasy | IPv4 10.0.0.0/24 a Ipv6 10:101:1::1/64 | |
staticRouteConfiguration->extension |
Příznak rozšíření pro statickou trasu interní sítě | NoExtension/NPB | |
bgpConfiguration |
Adresa dalšíhop protokolu IPv4 | 10.0.0.0/24 | |
defaultRouteOriginate |
Pravda/Nepravda "Umožňuje, aby výchozí trasa vznikla při inzerování tras prostřednictvím protokolu BGP" | True | |
peerASN |
Partnerský název ASN síťové funkce | 65047 | |
allowAS |
Umožňuje přijímat a zpracovávat trasy i v případě, že směrovač zjistí vlastní ASN v cestě AS-Path. Vstup s hodnotou 0 je zakázán, možné hodnoty jsou 1 až 10, výchozí hodnota je 2. | 2 | |
allowASOverride |
Povolení nebo zakázání funkce AllowAS | Povolit | |
extension |
příznak rozšíření pro interní síť | NoExtension/NPB | |
ipv4ListenRangePrefixes |
Rozsah naslouchání protokolu BGP IPv4, maximální povolený rozsah v /28 | 10.1.0.0/26 | |
ipv6ListenRangePrefixes |
Rozsah naslouchání protokolu BGP IPv6, maximální povolený rozsah v /127 | 3FFE:FFFF:0:CD30::/127 | |
ipv4ListenRangePrefixes |
Rozsah naslouchání protokolu BGP IPv4, maximální povolený rozsah v /28 | 10.1.0.0/26 | |
ipv4NeighborAddress |
Adresa souseda IPv4 | 10.0.0.11 | |
ipv6NeighborAddress |
Adresa souseda IPv6 | 10:101:1::11 | |
isMonitoringEnabled |
Povolení nebo zakázání monitorování v interní síti | False |
Před povolením domény izolace L3 musíte vytvořit interní síť. Tento příkaz vytvoří interní síť s konfigurací protokolu BGP a zadanou adresou partnerského vztahu:
az networkfabric internalnetwork create
--resource-group "ResourceGroupName"
--l3-isolation-domain-name "example-l3domain"
--resource-name "example-internalnetwork"
--vlan-id 805
--connected-ipv4-subnets '[{"prefix":"10.1.2.0/24"}]'
--mtu 1500
--bgp-configuration '{"defaultRouteOriginate": "True", "allowAS": 2, "allowASOverride": "Enable", "PeerASN": 65535, "ipv4ListenRangePrefixes": ["10.1.2.0/28"]}'
Očekávaný výstup
{
"administrativeState": "Enabled",
"bgpConfiguration": {
"allowAS": 2,
"allowASOverride": "Enable",
"defaultRouteOriginate": "True",
"fabricASN": 65050,
"ipv4ListenRangePrefixes": [
"10.1.2.0/28"
],
"peerASN": 65535
},
"configurationState": "Succeeded",
"connectedIPv4Subnets": [
{
"prefix": "10.1.2.0/24"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalnetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT04:32:00.8159767Z",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT04:32:00.8159767Z",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 805
}
Vytvoření nedůvěryhodné interní sítě pro doménu izolace L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3untrust --resource-name untrustnetwork --location "eastus" --vlan-id 502 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.3.11/24" --mtu 1500
Vytvoření důvěryhodné interní sítě pro doménu izolace L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3trust --resource-name trustnetwork --location "eastus" --vlan-id 503 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.1.11/24" --mtu 1500
Vytvoření interní sítě pro správu pro doménu izolace L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3mgmt --resource-name mgmtnetwork --location "eastus" --vlan-id 504 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.2.11/24" --mtu 1500
Vytvoření několika statických tras s jedním dalším segmentem směrování
az networkfabric internalnetwork create --resource-group "fab2nfrg180723" --l3-isolation-domain-name "example-l3domain" --resource-name "example-internalNetwork" --vlan-id 2600 --mtu 1500 --connected-ipv4-subnets "[{prefix:'10.2.0.0/24'}]" --static-route-configuration '{extension:NPB,bfdConfiguration:{multiplier:5,intervalInMilliSeconds:300},ipv4Routes:[{prefix:'10.3.0.0/24',nextHop:['10.5.0.1']},{prefix:'10.4.0.0/24',nextHop:['10.6.0.1']}]}'
Očekávaný výstup
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"connectedIPv4Subnets": [
{
"prefix": "10.2.0.0/24"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalNetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"staticRouteConfiguration": {
"bfdConfiguration": {
"administrativeState": "Disabled",
"intervalInMilliSeconds": 300,
"multiplier": 5
},
"extension": "NoExtension",
"ipv4Routes": [
{
"nextHop": [
"10.5.0.1"
],
"prefix": "10.3.0.0/24"
},
{
"nextHop": [
"10.6.0.1"
],
"prefix": "10.4.0.0/24"
}
]
},
"systemData": {
"createdAt": "2023-XX-XXT13:46:26.394343+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT13:46:26.394343+00:00",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 2600
}
Vytvoření interní sítě pomocí protokolu IPv6
az networkfabric internalnetwork create --resource-group "fab2nfrg180723" --l3-isolation-domain-name "example-l3domain" --resource-name "example-internalnetwork" --vlan-id 2800 --connected-ipv6-subnets '[{"prefix":"10:101:1::0/64"}]' --mtu 1500
Očekávaný výstup
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"connectedIPv6Subnets": [
{
"prefix": "10:101:1::0/64"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/l3domain2/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalnetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT10:34:33.933814+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT10:34:33.933814+00:00",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 2800
}
Vytvoření externích sítí
Externí sítě umožňují úlohám připojení vrstvy 3 k hraniční síti vašeho poskytovatele. Umožňují také úlohám pracovat s externími službami, jako jsou brány firewall a DNS. K vytvoření externích sítí potřebujete ASN prostředků infrastruktury (vytvořené během vytváření síťových prostředků infrastruktury).
Příkazy pro vytvoření externí sítě pomocí Azure CLI obsahují následující parametry.
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
| peeringOption | Partnerský vztah s využitím možnosti A nebo optionb Možné hodnoty OptionA a OptionB | OptionB | True |
| optionBProperties | Konfigurace vlastností OptionB Určení použití exportIPv4/IPv6RouteTargets nebo importIpv4/Ipv6RouteTargets | "exportIpv4/Ipv6RouteTargets": ["1234:1234"]}} | |
| optionAProperties | Konfigurace vlastností OptionA V následujícím oddílu si projděte příklad OptionA. | ||
| external | Toto je volitelný parametr pro vstupní připojení MPLS 10 (B) k externím sítím prostřednictvím hraničních zařízení poskytovatele. Pomocí této možnosti může uživatel zadat cíle tras importu a exportu, jak je znázorněno v příkladu. |
Pro možnost A je nutné vytvořit externí síť před povolením domény izolace L3. Externí je závislý na interní síti, takže externí není možné povolit bez interní sítě. Hodnota id sítě vlan by měla být mezi 501 a 4095.
Vytvoření externí sítě pomocí možnosti B
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "examplel3-externalnetwork" --resource-name "examplel3-externalnetwork" --peering-option "OptionB" --option-b-properties "{routeTargets:{exportIpv4RouteTargets:['65045:2001'],importIpv4RouteTargets:['65045:2001']}}"
Očekávaný výstup
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/examplel3-externalnetwork",
"name": "examplel3-externalnetwork",
"optionBProperties": {
"exportRouteTargets": [
"65045:2001"
],
"importRouteTargets": [
"65045:2001"
],
"routeTargets": {
"exportIpv4RouteTargets": [
"65045:2001"
],
"importIpv4RouteTargets": [
"65045:2001"
]
}
},
"peeringOption": "OptionB",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT15:45:31.938216+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT15:45:31.938216+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Vytvoření externí sítě s možností A
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "example-l3domain" --resource-name "example-externalipv4network" --peering-option "OptionA" --option-a-properties '{"peerASN": 65026,"vlanId": 2423, "mtu": 1500, "primaryIpv4Prefix": "10.18.0.148/30", "secondaryIpv4Prefix": "10.18.0.152/30"}'
Očekávaný výstup
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/example-externalipv4network",
"name": "example-externalipv4network",
"optionAProperties": {
"fabricASN": 65050,
"mtu": 1500,
"peerASN": 65026,
"primaryIpv4Prefix": "10.21.0.148/30",
"secondaryIpv4Prefix": "10.21.0.152/30",
"vlanId": 2423
},
"peeringOption": "OptionA",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-07-19T09:54:00.4244793Z",
"createdAt": "2023-XX-XXT07:23:54.396679+00:00",
"createdBy": "email@address.com",
"lastModifiedAt": "2023-XX-XX1T07:23:54.396679+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Vytvoření externí sítě pomocí Ipv6
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "example-l3domain" --resource-name "example-externalipv6network" --peering-option "OptionA" --option-a-properties '{"peerASN": 65026,"vlanId": 2423, "mtu": 1500, "primaryIpv6Prefix": "fda0:d59c:da16::/127", "secondaryIpv6Prefix": "fda0:d59c:da17::/127"}'
Podporovaná velikost předpony primárního a sekundárního protokolu IPv6 je /127.
Očekávaný výstup
{
"administrativeState": "Enabled",
"id": "/subscriptions//xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/example-externalipv6network",
"name": "example-externalipv6network",
"optionAProperties": {
"fabricASN": 65050,
"mtu": 1500,
"peerASN": 65026,
"primaryIpv6Prefix": "fda0:d59c:da16::/127",
"secondaryIpv6Prefix": "fda0:d59c:da17::/127",
"vlanId": 2423
},
"peeringOption": "OptionA",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT07:52:26.366069+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2022-XX-XXT07:52:26.366069+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Povolení domény izolace L2
az networkfabric l2domain update-administrative-state --resource-group "ResourceGroupName" --resource-name "l2HAnetwork" --state Enable
Povolení domény izolace L3
Pomocí tohoto příkazu povolte nedůvěryhodnou doménu izolace L3:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3untrust" --state Enable
Pomocí tohoto příkazu povolte důvěryhodnou doménu izolace L3:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3trust" --state Enable
Pomocí tohoto příkazu povolte doménu izolace L3 pro správu:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3mgmt" --state Enable