境界接続
ネットワーク統合の計画は、Azure Stack Hub 統合システムのデプロイ、運用、管理を正常に行うための重要な前提条件です。 境界接続の計画は、境界ゲートウェイ プロトコル (BGP) による動的ルーティングを使用するかどうかを選択することから始まります。 これには、パブリックまたはプライベートの 16 ビット自律システム番号 (ASN) を割り当てるか、静的ルーティングを使用する必要があります。
重要
Top-of-Rack (TOR) スイッチでは、ポイント ツー ポイント IP (/30 ネットワーク) を持つレイヤー 3 アップリンクが物理インターフェイスに構成されている必要があります。 Azure Stack Hub 操作をサポートする TOR スイッチでレイヤー 2 アップリンクを使用することは、サポートされていません。 境界デバイスは、32 ビット BGP 自律システム番号 (ASN) をサポートできます。
境界デバイスと Azure Stack Hub の Top-of-Rack (TOR) スイッチの間の物理的な接続には、ネットワーク トランシーバーが必要です。 必要なモジュールの種類 (SR、LR、ER など) については、オンサイト デプロイの前にハードウェア ソリューション プロバイダーと相談しておくことが重要です。
BGP ルーティング
BGP のような動的ルーティング プロトコルを使用すると、システムが常にネットワークの変更を把握していることが保証され、管理が容易になります。 セキュリティを強化するために、TOR と境界間の BGP ピアリングにパスワードを設定できます。
次の図に示すように、TOR スイッチ上のプライベート IP 空間のアドバタイズは、prefix-list を使用してブロックされます。 このプレフィックスの一覧により、プライベート ネットワークの広告が拒否され、TOR と境界間の接続でルート マップとして適用されます。
Azure Stack Hub ソリューションの内部で実行されているソフトウェア ロード バランサー (SLB) は、TOR デバイスにピアリングして、VIP アドレスを動的に公開できるようにします。
ユーザー トラフィックが即時かつ透過的に障害から復旧できるようにするために、TOR デバイス間で構成された VPC または MLAG は、ホストと IP ネットワークの冗長性を提供する HSRP または VRRP に対してマルチシャーシ リンク アグリゲーションの使用を許可します。
静的ルーティング
静的ルーティングには、境界デバイスへの追加構成が必要です。 これにより、より多くの手動介入と管理が必要になり、変更を行う前に分析を行う必要もあります。 構成エラーによって発生した問題の場合、行われた変更によっては、より長い時間がかかる可能性があります。 このルーティング方法はお勧めできませんが、サポートされています。
静的ルーティングを使用してネットワーク環境に Azure Stack Hub を統合するには、境界と TOR デバイスの間の 4 つの物理リンクすべてを接続する必要があります。 静的ルーティングの動作方法のため、高可用性は保証されません。
境界デバイスには、Azure Stack Hub 内の任意のネットワーク宛てのトラフィック用に、TOR と境界の間に設定された 4 つの P2P IP のそれぞれを指す静的ルートを構成する必要がありますが、操作には "外部" VIP ネットワークまたはパブリック VIP ネットワークのみが必要です。 初期のデプロイには、BMC および "外部" ネットワークへの静的ルートが必要です。 オーケストレーターは、BMC および "インフラストラクチャ" ネットワーク上に存在する管理リソースにアクセスするために境界内の静的ルートを残しておくことができます。 "スイッチ インフラストラクチャ" ネットワークと "スイッチ管理" ネットワークへの静的ルートの追加は省略可能です。
TOR デバイスには、すべてのトラフィックを境界デバイスに送信する既定の静的ルートが構成されています。 この既定のルールに対する 1 つのトラフィックの例外は、TOR から境界への接続に適用されたアクセス制御リストを使用してブロックされるプライベート空間の場合です。
静的ルーティングは、TOR と境界スイッチの間のアップリンクにのみ適用されます。 BGP 動的ルーティングは、ラックの内部で使用されます。これは SLB とその他のコンポーネントにとって不可欠なツールであり、無効にしたり削除したりすることはできないためです。
* デプロイ後の BMC ネットワークは省略可能です。
** スイッチ インフラストラクチャ ネットワークは省略可能であり、ネットワーク全体をスイッチ管理ネットワークに含めることができます。
*** スイッチ管理ネットワークは必須であり、スイッチ インフラストラクチャ ネットワークとは別に追加できます。