Abilitare l'integrazione SDN in Locale di Azure con PowerShell (anteprima)

Questo articolo descrive come abilitare e integrare SDN (Software Defined Networking) nell'istanza locale di Azure esistente. Si usa un piano di azione di PowerShell per abilitare SDN.

Informazioni sull'integrazione SDN in Azure Local

Per SDN abilitato da Arc, il controller di rete (NC) viene distribuito come servizio cluster di failover gestito dall'agente di orchestrazione (noto anche come Lifecycle Manager). Si esegue un comando dell'orchestratore che integra l'NC nella piattaforma locale di Azure.

Una volta integrato il Controller di Rete, l'SDN viene abilitata. È possibile usare il portale di Azure, l'interfaccia della riga di comando di Azure o i modelli di Azure Resource Manager per creare e gestire le funzionalità SDN seguenti:

• Reti logiche: è possibile creare reti logiche statiche SDN che proiettano le reti fisiche. Per altre informazioni, vedere Creare reti logiche.

• Interfacce di rete: è possibile creare e collegare interfacce di rete alle macchine virtuali e assegnarle indirizzi IP dalla rete logica. Per altre informazioni, vedere Creare interfacce di rete.

• Gruppo di sicurezza di rete : è possibile creare e applicare gruppi di sicurezza di rete alle interfacce di rete o alle reti logiche per filtrare il traffico di rete. È anche possibile creare criteri di accesso alla rete predefiniti e regole di sicurezza di rete per consentire o negare il traffico da e verso interfacce di rete e reti logiche.

  Per altre informazioni, vedere Creare gruppi di sicurezza di rete e vedere Creare regole di sicurezza di rete.

Informazioni sull'architettura del controller di rete su Azure Locale

Nc è un componente chiave che gestisce e configura l'infrastruttura di rete virtuale in un'istanza locale di Azure. NC è ora integrato in modo nativo con la macchina host utilizzando il clustering di failover, invece di essere in esecuzione in una macchina virtuale. Nc è responsabile della gestione del commutatore virtuale, delle reti logiche e delle interfacce di rete. Fornisce anche un'API REST per l'accesso a livello di codice all'infrastruttura di rete.

Ecco un diagramma dell'architettura del controller di rete in un'istanza locale di Azure a 2 nodi con SDN abilitato da Arc:

In questo esempio la topologia di rete include due computer locali di Azure raggruppati con due commutatori Top-of-Rack (ToR). Il componente Network Controller e i relativi servizi vengono impostati come gruppo di Failover Cluster nell'istanza in tutti i computer locali di Azure. Ogni microservizio del Controller di rete è altamente disponibile come gruppo di risorse del cluster di failover.

1. MGMT VLAN nell'istanza locale di Azure è responsabile della configurazione e della distribuzione di criteri di rete dal controller di rete all'agente host NC.
2. L'agente host NC riceve e implementa le policy di rete per il switch virtuale.
3. Le macchine virtuali tenant si trovano in reti logiche gestite da NC. Tutto il traffico proveniente da queste macchine virtuali viene instradato attraverso i commutatori virtuali abilitati per Virtual Filtering Platform (VFP).

Considerazioni per SDN abilitato da Arc

Per le istanze locali di Azure esistenti:

• È supportata l'abilitazione di SDN con macchine virtuali locali di Azure esistenti e reti logiche.
  • Le reti logiche e le interfacce di rete vengono idratate automaticamente nel controller di rete.
  • Assicurati di pianificare una finestra di manutenzione se esegui un ambiente di produzione. I carichi di lavoro riscontrano un'interruzione di rete breve mentre vengono applicati i criteri della piattaforma di filtro virtuale di Azure SDN.

Prerequisiti

• È possibile accedere a un'istanza locale di Azure che esegue 2506 e versioni successive. La build del sistema operativo deve essere 26100.xxxx o versione successiva. Controllare la versione del sistema operativo tramite il portale di Azure o tramite PowerShell:

  • Nel portale di Azure passare all'istanza locale di Azure e selezionare Panoramica. La versione del sistema operativo viene visualizzata nella sezione Dettagli istanza .

  • Connettersi a un computer nell'istanza locale di Azure ed eseguire il comando di PowerShell seguente per verificare la versione del sistema operativo:

    systeminfo.exe
    

    Di seguito è riportato un esempio di output:

    [v-host1]: PS C:\DeploymentUser> systeminfo.exe
    
    Host Name:                     V-HOST1
    OS Name:                       Microsoft Azure Stack HCI
    OS Version:                    10.0.26100 N/A Build 26100
    OS Manufacturer:               Microsoft Corporation
    OS Configuration:              Member Server
    OS Build Type:                 Multiprocessor Free
    ====SNIPPED========SNIPPED========SNIPPED========SNIPPED====
                                   Security Features Enabled:
    Hyper-V Requirements:          A hypervisor has been detected. Features required for Hyper-V will not be displayed.
    

    • Verificare che OS Version nell'output sia 10.0.26100.

• È possibile accedere a un nodo dell'istanza locale di Azure con il ruolo di amministratore di Azure Stack HCI. Questo ruolo è necessario per eseguire il cmdlet .

• È possibile accedere a un client usato per connettersi all'istanza locale di Azure.

• È possibile accedere a una sottoscrizione di Azure con il controllo degli accessi in base al ruolo 'Amministratore di Azure Stack HCI'. Questo ruolo concede l'accesso completo all'istanza locale di Azure e alle relative risorse.

  Un amministratore di Azure Stack HCI può registrare l'istanza locale di Azure e assegnare i ruoli di contributore di macchine virtuali di Azure Stack HCI e lettore di macchine virtuali di Azure Stack HCI ad altri utenti. Per altre informazioni, vedere Usare il controllo degli accessi in base al ruolo per gestire le macchine virtuali locali di Azure abilitate da Azure Arc.

Scegliere un prefisso SDN

Quando si abilita SDN, sarà necessario specificare un prefisso SDN. Assicurarsi che il prefisso SDN soddisfi i requisiti seguenti:

• Non deve essere null o vuoto.
• Deve essere composto da otto o meno caratteri.
• Deve contenere solo caratteri minuscoli, caratteri maiuscoli e caratteri numerici.
• Può contenere trattini, ma non deve contenere due trattini consecutivi o terminare con un trattino.

Se il prefisso non soddisfa questi requisiti, l'abilitazione SDN ha esito negativo.

Preparare l'ambiente DNS

Preparare l'ambiente DNS prima di abilitare SDN. L'integrazione SDN richiede un record DNS per l'URL REST del controller di rete, usato per accedere all'API REST del controller di rete.

• Ambiente DNS statico: creare il record DNS per l'URL REST del controller di rete. Per altre informazioni, vedere Precreare un record DNS.

  • Il nome del record DNS deriva dal prefisso SDN. Il record DNS deve essere <SDNPrefix>-NC.
  • Il record DNS deve risolversi nell'indirizzo IP riservato.
    • Assegnare il 5° indirizzo IP nell'intervallo di indirizzi IP al record DNS A. Questo intervallo IP è stato specificato durante la configurazione delle impostazioni di rete durante la distribuzione dell'istanza locale di Azure.
    • Il collegamento non deve essere risolto in un record DNS esistente.

• Ambiente DNS dinamico: se si dispone di un ambiente DNS dinamico integrato di Active Directory, non è necessaria alcuna azione da parte dell'utente. Il piano di azione crea automaticamente un record DNS.

  Se gli aggiornamenti non sono abilitati per l'ambiente DNS dinamico, è possibile scegliere di abilitare gli aggiornamenti DNS dinamici per la zona DNS in cui è registrato l'URL REST del controller di rete.

  1. Nel server DNS aprire la console di Gestione DNS .
  2. Nel riquadro sinistro selezionare Zone di ricerca diretta.
  3. Fare clic con il pulsante destro del mouse sulla zona che ospita il record del nome del controller di rete, quindi scegliere Proprietà.
  4. Nella scheda Generale, accanto a Aggiornamenti dinamici, selezionare Solo sicuro.

  Per altre informazioni, vedere Abilitare gli aggiornamenti DNS dinamici in una zona DNS.

Esaminare i parametri dei cmdlet

Il cmdlet di abilitazione SDN usa i parametri seguenti:

Eseguire il cmdlet per abilitare SDN

Seguire questa procedura per abilitare SDN nell'istanza locale di Azure:

1. Verificare di essere connessi a un nodo dell'istanza locale di Azure con il ruolo di amministratore di Azure Stack HCI.

2. Eseguire il cmdlet per distribuire il Network Controller come servizio cluster di failover. Aprire un prompt dei comandi di PowerShell ed eseguire il comando seguente.

   #Run the LCM action plan to install Network Controller as Failover Cluster Service. Replace <SDNPrefix> with your SDN prefix.
   
   Add-EceFeature -Name NC -SDNPrefix <SDNPrefix>
   

   Confermare quando viene richiesto di procedere.

   Suggerimento

   Per ignorare la richiesta di conferma, usare il -AcknowledgeMaintenanceWindow parametro .

   Questo passaggio può richiedere fino a 20 minuti.

3. Verificare che il controller di rete sia stato aggiunto correttamente all'istanza. Dopo aver aggiunto il controller di rete, il Add-EceFeature comando mostra il risultato del piano di azione.
   
   

   Espandere questa sezione per visualizzare un output di esempio.

   VERBOSE: Adding ECE feature NC; transcript started at C:\MASLogs\Add-EceFeature.2025-04-17.20-52-14
   Disclaimer: Network Controller installation will cause network connectivity interruptions. Before proceeding with the NC enablement operation, please ensure a maintenance window is properly arranged for running on a production environment.
   Proceeding? [Yes/NO] : Yes
   Start                  End                    Duration    Type   Status  Name                                                                                         
   -----                  ---                    --------    ----   ------  ----                                                                                         
   03/11/2025 10:29:52 PM 03/11/2025 10:31:13 PM 00.00:01:20 Action Success └─(A)CleanNCSecret                                                                           
   03/11/2025 10:29:52 PM 03/11/2025 10:31:13 PM 00.00:01:20 Step   Success   └─(S)1 Parallel per-node operation top step   
   
   ==========SNIPPED======SNIPPED==========SNIPPED=========SNIPPED========
   
   03/11/2025 10:29:52 PM 03/11/2025 10:31:12 PM 00.00:01:20 Step   Success         └─(S)1.1 Clean up NC secrets                                                         
   03/11/2025 10:29:52 PM 03/11/2025 10:31:12 PM 00.00:01:20 Task   Success           └─(T)[RemoteNode=Machine2>] Role=Cloud\Fabric\NC Interface=CleanNCRestSecret  
   
   InstanceID     : <Instance1 ID>
   ActionTypeName : CleanNCSecret
   Status         : Completed
   StartDateTime  : 3/11/2025 10:29:51 PM
   EndDateTime    : 3/11/2025 10:31:18 PM
   
   Start                  End                    Duration    Type   Status  Name                                                                                    
   -----                  ---                    --------    ----   ------  ----                                                                                    
   03/11/2025 10:31:52 PM 03/11/2025 10:31:57 PM 00.00:00:04 Action Success └─(A)GenerateCertificates                                                               
   03/11/2025 10:31:52 PM 03/11/2025 10:31:57 PM 00.00:00:04 Step   Success   └─(S)1 Generate NC Rest certificate                                                   
   03/11/2025 10:31:52 PM 03/11/2025 10:31:57 PM 00.00:00:04 Task   Success     └─(T)Role=Cloud\Infrastructure\ASCA Interface=GenerateSSLCertificatesForNCDeployment
   
   InstanceID     : <Instance2 ID>
   ActionTypeName : GenerateCertificates
   Status         : Completed
   StartDateTime  : 3/11/2025 10:31:52 PM
   EndDateTime    : 3/11/2025 10:32:02 PM
   
   Start       End       Duration    Type   Status Name                                                                                                                   
   -----                  ---                    --------    ----   ------  ----                                                                                                                   
   03/11/2025 10:32:53 PM 03/11/2025 10:41:50 PM 00.00:08:57 Action Success └─(A)EnableMOCSDN                                                                                                      
   03/11/2025 10:32:53 PM 03/11/2025 10:41:50 PM 00.00:08:57 Step   Success   └─(S)1 FCNC deployment and MOC hydration.                                                                            
   03/11/2025 10:32:53 PM 03/11/2025 10:41:50 PM 00.00:08:57 Task   Success     └─(T)Role=Cloud\Fabric\NC Action=DeployFCNCHydrateMOC                                                              
   
   ======SNIPPED=========SNIPPED============SNIPPED ==========SNIPPED========          
   
   03/11/2025 10:40:19 PM 03/11/2025 10:40:25 PM 00.00:00:06 Step   Success         │                 │           ├─(S)1 Check Firewall Rules                                                     
   03/11/2025 10:40:19 PM 03/11/2025 10:40:25 PM 00.00:00:06 Task   Success         │                 │           │ └─(T)Role=Cloud\Fabric\NC Interface=VerifyNCFirewallRulesEnabled               
   03/11/2025 10:40:25 PM 03/11/2025 10:40:32 PM 00.00:00:06 Step   Success         │                 │           └─(S)2 Check VM switch extension is enabled                                     
   03/11/2025 10:40:25 PM 03/11/2025 10:40:32 PM 00.00:00:06 Task   Success         │                 │             └─(T)Role=Cloud\Fabric\NC Interface=VerifyNCVMSwitchExtensionEnabled           
   03/11/2025 10:41:13 PM 03/11/2025 10:41:21 PM 00.00:00:07 Step   Success         │                 └─(S)1.1.0.9.2 VerifyNCResources                                                            
   03/11/2025 10:41:13 PM 03/11/2025 10:41:21 PM 00.00:00:07 Task   Success         │                   └─(T)Role=Cloud\Fabric\NC Interface=VerifyNCResources                                      
   03/11/2025 10:41:21 PM 03/11/2025 10:41:50 PM 00.00:00:29 Step   Success         └─(S)1.2 Enable FCNC SDN for MOC                                                                              
   03/11/2025 10:41:21 PM 03/11/2025 10:41:50 PM 00.00:00:29 Task   Success           └─(T)Role=Cloud\Fabric\NC Action=SetMOCSDNEnabled                                                            
   03/11/2025 10:41:21 PM 03/11/2025 10:41:50 PM 00.00:00:29 Action Success             └─(A)SetMOCSDNEnabled                                                                                      
   03/11/2025 10:41:21 PM 03/11/2025 10:41:43 PM 00.00:00:22 Step   Success               ├─(S)1.2.1 Enable FCNC SDN for MOC                                                                      
   03/11/2025 10:41:21 PM 03/11/2025 10:41:43 PM 00.00:00:22 Task   Success               │ └─(T)Role=Cloud\Fabric\NC Interface=EnableSDNForMOC                                                    
   03/11/2025 10:41:43 PM 03/11/2025 10:41:50 PM 00.00:00:07 Step   Success               └─(S)1.2.2 Flag FCNC deployed                                                                            
   03/11/2025 10:41:43 PM 03/11/2025 10:41:50 PM 00.00:00:07 Task   Success                 └─(T)Role=Cloud\Fabric\NC Interface=SetFCNCCompleteMOCHydrated                  
   
   InstanceID     : <Instance ID>
   ActionTypeName : EnableMOCSDN
   Status         : Completed
   StartDateTime  : 3/11/2025 10:32:52 PM
   EndDateTime    : 3/11/2025 10:41:55 PM
   
   VERBOSE: Full XML progress log file located at: C:\MASLogs\EnableMOCSDN.2025-03-11.22-32-52
   WARNING: Unable to find volume with label Deployment
   VERBOSE: SDN Network Controller URL is https://v-NC.domainname/
   VERBOSE: Enabling SDN for MOC completed.
   0
   VERBOSE: Transcript stopped at C:\MASLogs\Add-EceFeature.2025-03-11.22-29-49
   

Passaggi successivi

• Informazioni su come creare gruppi di sicurezza di rete, regole di sicurezza di rete e criteri di accesso di rete predefiniti.

Questa funzionalità è disponibile solo in Locale di Azure 2506 o versione successiva.