Atualizar e confirmar recursos do Network Fabric

  • Artigo

Atualmente, os recursos do Nexus Network Fabric exigem que você desabilite um recurso pai (como um domínio L3Isolation) e recoloque o recurso pai ou filho com valores atualizados e execute a ação de postagem administrativa para habilitar e configurar os dispositivos. O novo fluxo de atualização de recursos do Network Fabric permite que você agrupe e atualize um conjunto de recursos do Network Fabric por meio de uma commitConfiguration ação POST quando os recursos estiverem habilitados. Não haverá alteração se você escolher o fluxo de trabalho atual de desabilitar o domínio de Isolamento L3, fazer alterações e habilitar o domínio de Isolamento L3.

Visão geral da atualização de recursos do Network Fabric

Qualquer operação Criar, Atualizar, Excluir (CUD) em um recurso filho vinculado a um recurso pai habilitado existente ou uma atualização para uma propriedade de recurso pai habilitada é considerada uma operação de Atualização . Alguns exemplos seriam uma nova rede interna ou uma nova sub-rede precisa ser adicionada a um domínio de isolamento de camada 3 habilitado existente (rede interna é um recurso filho do domínio de isolamento de camada 3). É necessário anexar uma nova política de rotas à rede interna existente; ambos os cenários se qualificam para uma operação de atualização .

Qualquer operação de atualização executada em recursos de malha de rede suportados mostrados na tabela a seguir coloca a malha em um estado de confirmação pendente (atualmente Aceito no estado de configuração), onde você deve iniciar uma ação de configuração de confirmação de malha para aplicar as alterações desejadas. Todas as atualizações dos recursos do Network Fabric (incluindo recursos filho) na malha seguem o mesmo fluxo de trabalho.

A ação/atualizações de confirmação de recursos só será válida e aplicável quando a malha estiver no estado provisionado e os recursos da malha de rede estiverem em um estado administrativo habilitado. As atualizações dos recursos pai e filho podem ser agrupadas em lote (em vários recursos do Network Fabric) e uma commitConfiguration ação pode ser executada para executar todas as alterações em uma única ação POST.

A criação de recursos pai e a habilitação por meio de ação administrativa são independentes do fluxo de trabalho da Ação de Atualização/Confirmação. Além disso, todas as ações administrativas para ativar/desabilitar são independentes e não devem exigir o gatilho da ação commitConfiguration para execução. A ação CommitConfiguration só é aplicável a um cenário quando o operador deseja atualizar quaisquer recursos existentes do Azure Resource Manager e malha, o recurso pai está no estado habilitado. Quaisquer scripts de automação ou modelos de bíceps que foram usados pelos operadores para criar o recurso Network Fabric e habilitar não exigem alterações.

Fluxo de trabalho do usuário

Para executar com êxito os recursos de atualização, a malha deve estar no estado provisionado. As etapas a seguir estão envolvidas na atualização dos recursos do Network Fabric.

  1. O operador atualiza os recursos necessários do Network Fabric (várias atualizações de recursos podem ser enviadas em lote) que já estavam habilitados (configuração aplicada a dispositivos) usando a chamada de atualização nos recursos do Network Fabric via AzCli, Azure Resource Manager, Portal. (Consulte os detalhes dos cenários, recursos e parâmetros suportados na tabela a seguir).

    No exemplo a seguir, um novo internalnetwork é adicionado a um L3Isolation l3domain101523-sm existente.

    az networkfabric internalnetwork create --subscription 5ffad143-8f31-4e1e-b171-fa1738b14748 --resource-group "Fab3Lab-4-1-PROD" --l3-isolation-domain-name "l3domain101523-sm" --resource-name "internalnetwork101523" --vlan-id 789 --mtu 1432 --connected-ipv4-subnets "[{prefix:'10.252.11.0/24'},{prefix:'10.252.12.0/24'}]

  2. Quando a chamada de atualização do Azure Resource Manager for bem-sucedida, o recurso ConfigurationState específico será definido como Aceito e, quando falhar, será definido como Rejeitado. A malha ConfigurationState está definida como Aceito, independentemente do sucesso/falha da chamada PATCH.

    Se qualquer recurso do Azure Resource Manager na malha (como Rede Interna ou RoutePolicy) estiver no estado Rejeitado , o Operador deverá corrigir a configuração e garantir que o ConfigurationState do recurso específico esteja definido como Aceito antes de prosseguir.

  3. O operador executa a ação commitConfiguration POST no recurso Fabric.

    az networkfabric fabric commit-configuration --subscription 5ffad143-8f31-4e1e-b171-fa1738b14748 --resource-group "FabLAB-4-1-PROD" --resource-name "nffab3-4-1-prod"

  4. O serviço valida se todas as atualizações de recursos foram bem-sucedidas e valida as entradas. Ele também valida recursos lógicos conectados para garantir um comportamento e configuração consistentes. Quando todas as validações forem bem-sucedidas, a nova configuração é gerada e enviada para os dispositivos.

  5. O recurso configurationState específico é redefinido para Êxito e Malha configurationState é definido como Provisionado.

  6. Se a commitConfiguration ação falhar, o serviço exibirá a mensagem de erro apropriada e notificará o operador sobre a possível falha de atualização de recursos do Network Fabric.

Estado Definição Antes da Atualização de Recursos do Azure Resource Manager Antes da atualização CommitConfiguration & Post Azure Resource Manager Pós-CommitConfiguration
Estado administrativo Estado para representar a ação administrativa executada no recurso Ativado (apenas ativado é suportado) Ativado (apenas ativado é suportado) Ativado (o usuário pode desativar)
Estado de configuração Estado para representar as ações do operador/configurações orientadas por serviço Estado do recurso - Êxito,
Estado da malha provisionado		 Estado do Recurso
- Aceito (Sucesso)
- Rejeitado (Reprovação)
Estado da malha
- Aceito		 Estado do Recurso
- Aceito (Reprovação),
- Sucesso (Sucesso)
Estado da malha
- Provisionado
Estado de Aprovisionamento Estado para representar o estado de provisionamento de recursos do Azure Resource Manager Aprovisionado Aprovisionado Aprovisionado

Recursos e cenários de malha de rede suportados

Suporte à atualização do Network Fabric Recursos do Network Fabric (Network Fabric 4.1, Nexus 2310.1)

Recurso de malha de rede Type Cenários suportados Cenários não suportados Notas
Domínio de isolamento da camada 2 Parent - Atualização de propriedades – MTU
- Adição/atualização de tags		 Re-PUT do recurso
Domínio de isolamento da camada 3 Parent Atualizar para propriedades
- redistribuir ligado.
- redistribuir rotas estáticas.
- Configuração de rotas agregadas
- política de rotas de sub-redes conectadas. 
Tags de adição/atualização		 Re-PUT do recurso
Rede Interna Criança (de L3 ISD) Adicionar uma nova rede interna
Atualizar para propriedades
- MTU
- Adição/Atualização de sub-redes IPv4/IPv6 conectadas
- Adição/Atualização de IPv4/IPv6 RoutePolicy
- Adição/Atualização de ACL de Saída/Ingresso
- Sinalizador de atualização isMonitoringEnabled
- Adição/Atualização de rotas estáticas
- Configuração BGP
Tags de adição/atualização		 - Re-PUT de recurso.
- Excluir uma rede interna quando o domínio de isolamento da camada 3 pai estiver habilitado.		 Para excluir o recurso, o recurso pai deve ser desabilitado
Rede Externa Criança (de L3 ISD) Atualizar para propriedades
- Adição/Atualização de IPv4/IPv6 RoutePolicy
- Opção A propriedades MTU, Adição/Atualização de ACLs de Entrada e Saída,
- Propriedades da Opção A – Configuração BFD
- Propriedades da Opção B – Alvos de Rota
Adição/Atualização de tags		 - Re-PUT de recurso. 
- Criação de uma nova rede externa
- Excluir uma rede externa quando o domínio de isolamento da camada 3 pai estiver habilitado.		 Para excluir o recurso, o recurso pai deve ser desabilitado.

 NOTA: Apenas uma rede externa é suportada por ISD.
Política de Rotas Parent - Atualize toda a declaração, incluindo número de seq, condição, ação.
- Adição/atualização de tags		 - Re-PUT de recurso. 
- Atualização da Política de Rotas vinculada a um recurso de Interconexão Rede-a-Rede.		 Para excluir o recurso, a connectedResource interconexão (IsolationDomain ou N-to-N) não deve conter nenhuma referência.
IPCommunity Parent Atualize toda a regra ipCommunity, incluindo número seq, ação, membros da comunidade, comunidades bem conhecidas. Re-PUT do recurso Para excluir o recurso, o recurso conectado RoutePolicy não deve conter nenhuma referência.
Correções de IPPrecorrições Parent - Atualize toda a regra IPPrefix incluindo seq number, networkPrefix, condition, subnetMask Length. 
- Adição/atualização de tags		 Re-PUT do recurso Para excluir o recurso, o recurso conectado RoutePolicy não deve conter nenhuma referência.
IPExtendedCommunity Parent - Atualize toda a regra da comunidade IPExtendeded, incluindo número seq, ação, alvos de rota. 
- Adição/atualização de tags		 Re-PUT do recurso Para excluir o recurso, o recurso conectado RoutePolicy não deve conter nenhuma referência.
ACLs Parent - Adição/Atualização para combinar configurações e configurações de correspondência dinâmica.
- Atualização para o tipo de configuração
- Adição/atualização de ACLs URL
- Adição/atualização de tags		 - Re-PUT de recurso. 
- Atualização para ACLs vinculadas a um recurso de interconexão de rede para rede.		 Para excluir o recurso, o connectedResource (como IsolationDomain ou Interconexão N-to-N) não deve conter nenhuma referência.

Notas de comportamento e restrições

  • Se um recurso pai estiver em um estado administrativo Desabilitado e houver alterações feitas nos recursos pai ou filho, a commitConfiguration ação não será aplicável. Habilitar o recurso empurraria a configuração. O caminho de confirmação para esses recursos é acionado somente quando o recurso pai está no estado administrativo Habilitado .

  • Se commitConfiguration falhar, a malha permanecerá no estado de configuração Aceito até que o usuário resolva os problemas e execute um commitConfiguration. Atualmente, apenas são fornecidos mecanismos roll-forward quando ocorre uma falha.

  • Se a configuração de malha estiver em um estado Aceito e tiver atualizações para os recursos do Azure Resource Manager ainda a serem confirmadas, nenhuma ação administrativa será permitida nos recursos.

  • Se a configuração de malha estiver em um estado Aceito e tiver atualizações para os recursos do Azure Resource Manager ainda a serem confirmadas, a operação de exclusão em recursos com suporte não poderá ser acionada.

  • A criação de recursos pai é independente e o fluxo de commitConfiguration atualização. O Re-PUT de recursos não é suportado em nenhum recurso.

  • A atualização de recursos do Network Fabric é suportada para implantações Greenfield e Brownfield, mas com algumas restrições.

    • Na implantação Greenfield, o estado de configuração da malha é Aceito assim que houver atualizações feitas nos recursos da malha de rede. Depois que a commitConfiguration ação é acionada, ela passa para o estado Provisionado ou Aceito, dependendo do sucesso ou da falha da ação.

    • Na implantação do Brownfield, a commitConfiguration ação é suportada, mas os recursos de malha de rede suportados (como domínios de isolamento, redes internas, RoutePolicy ou ACLs) devem ser criados usando a versão de disponibilidade geral da API (2023-06-15). Essa restrição temporária é relaxada após a migração de todos os recursos para a versão mais recente.

    • Na implantação do Brownfield, o estado de configuração da malha permanece em um estado provisionado quando há alterações em quaisquer recursos de malha de rede suportados ou a ação commitConfiguration é acionada. Esse comportamento é temporário até que todas as malhas sejam migradas para a versão mais recente.

  • As atualizações da política de rota e outros recursos relacionados (comunidade IP, Comunidade Estendida IP, IP PrefixList) são considerados como uma operação de substituição de lista. Todas as instruções existentes são removidas e apenas as novas instruções atualizadas são configuradas.

  • A atualização ou remoção de sub-redes, rotas, configurações BGP e outros parâmetros de rede relevantes existentes na configuração de rede interna ou externa pode causar interrupção de tráfego e deve ser realizada a critério dos operadores.

  • A atualização de novas políticas de rota e ACLs pode causar interrupção do tráfego, dependendo das regras aplicadas.

  • Use um comando list no tipo de recurso específico (liste todos os recursos de um tipo de rede interna) para verificar os recursos que estão atualizados e não estão comprometidos com o dispositivo. Os recursos que têm um estado de configuração Aceito ou Rejeitado podem ser filtrados e identificados como recursos que ainda não foram confirmados ou onde a confirmação no dispositivo falha.

Por exemplo:

az networkfabric internalnetwork list --resource-group "example-rg" --l3domain  "example-l3domain"