Planeamiento de la red para las operaciones desconectadas en Azure Local

En este artículo se describe cómo planear la red para las operaciones desconectadas en Azure Local. Trata las principales consideraciones y requisitos de diseño para ayudar a garantizar una integración y un rendimiento confiables en un entorno desconectado.

Descripción de los requisitos de red

Las operaciones desconectadas se ejecutan en Azure Local. Revise los requisitos de red local de Azure antes de planear la implementación, asegurándose de que la red cumple estos requisitos es esencial para una integración sin problemas y un rendimiento óptimo. Para más información, consulte Requisitos de red física para Azure Local.

Azure Local admite configuraciones de red flexibles. Implemente las operaciones desconectadas como un dispositivo de máquina virtual (VM) que se integra con la red local de Azure. Esta configuración admite operaciones sólidas y confiables incluso cuando la conectividad a Internet es intermitente o no está disponible.

Lista de comprobación de red

Use esta lista de comprobación para planear la red para las operaciones desconectadas en Azure Local:

• Revise Los requisitos de red física para Azure Local.

• Consulte Requisitos del sistema para Azure Local.

• Desarrolle el plan de red local de Azure para las operaciones desconectadas:

  • Cree el plan de red host (intenciones y modificadores).

  • Reserve el conjunto de direcciones IP de administración.

• Configure la red para las operaciones desconectadas (red de entrada y administración):

  • Asigne una dirección IP de entrada dentro de la subred del grupo de direcciones IP de administración. Asegúrese de que no se superponga con el intervalo de direcciones IP utilizado durante la implementación.

  • Compruebe que el intervalo de red del contenedor no entra en conflicto con la red externa.

• Asegúrese de que el servidor del Sistema de nombres de dominio (DNS) sea accesible para las operaciones desconectadas. Configúrelo durante la implementación para que circule por la vNIC/IP de entrada.

• Compruebe que el servidor DNS puede resolver los puntos de conexión de la dirección IP de entrada.

• Compruebe que el dispositivo de operaciones desconectado puede llegar a los puntos de conexión (IP y puerto) a través de la vNIC/IP de entrada.

• Asegúrese de que un proveedor de identidades es enrutable y accesible desde el dispositivo de operaciones desconectado en la red de administración (intención).

• Configure la red externa para que los servicios fuera de Azure Local puedan resolver y enrutar el tráfico a la dirección IP de entrada de las operaciones desconectadas (puerto 443).

Tarjetas de interfaz de red virtual e integración de red

La aplicación de VM de operaciones desconectadas usa dos tarjetas de interfaz de red virtual (vNIC) que se conectan al intento de red.

Estas NIC virtuales son:

• vNIC de administración
• vNIC de entrada

Este es un flujo de trabajo de alto nivel para la administración y la implementación de vNIC:

• Conecte las vNIC al conmutador virtual para la administración, que se vincula a la red física.
• Establezca una dirección IP para las NIC virtuales durante la implementación.
• Use las interfaces de vNIC para arrancar, solucionar problemas, operaciones y uso normal a través del portal o la CLI.

Planifique su IP de ingreso

Al planear la dirección IP de entrada, asegúrese de que se encuentra en la misma subred que la instancia local de Azure, pero fuera del intervalo IP reservado. Por ejemplo, si el intervalo de subredes del clúster es 192.168.1.0/24 y el intervalo ip reservado es 192.168.1.1 - 192.168.1.10, elija una dirección IP de entrada como 192.168.1.11 o superior, por lo que no se superpone con el intervalo reservado.

Lista de comprobación de IP para el dispositivo desconectado

Use esta lista de comprobación para planear las direcciones IP para el dispositivo de operaciones desconectado:

• ip de entrada:

  • Se conecta a la intención de gestión.
  • Usa la ruta de acceso de red estándar para el plano de control y las características locales de Azure.
  • Requiere la resolución DNS del nombre de dominio completo (FQDN) de destino.
  • Debe estar en la misma subred que la instancia local de Azure, pero fuera del intervalo reservado usado para la implementación de la instancia.

• IP de administración:

  • Se conecta a la intención de gestión.
  • Debe ser una dirección IP válida y sin usar en la red local.
  • Debe ser accesible si accede a interfaces de programación de aplicaciones (APIs) de gestión de nivel inferior desde fuera del clúster.

Configuración de redes de área local virtuales para redes de entrada o administración

Si la red de administración o entrada (dispositivo de plano de control) requiere una red de área local virtual (VLAN), configúrela como se muestra en el ejemplo siguiente:

# List network adapters
Get-VMNetworkAdapter
# Set the network adapter default vlan and to allow untagged.
Set-VMNetworkAdapterIsolation -ManagementOS -VMNetworkAdapterName "vManagement(ManagementCompute)" -DefaultIsolationID 2259 -IsolationMode Vlan -AllowUntaggedTraffic $true

Planeamiento de la infraestructura de claves públicas y DNS (PKI)

Durante la implementación de operaciones desconectadas, necesita un FQDN para el dispositivo que se resuelva en la dirección IP de entrada. Planee el DNS y la infraestructura de clave pública (PKI) antes de implementar operaciones desconectadas. Además, tenga en cuenta cómo desea usarlos para atender a los clientes de su entorno.

La red de entrada tiene varios puntos de conexión basados en el FQDN configurado. Debe poder resolver estos puntos de conexión y mantenerlos seguros en la red. Para obtener una lista de puntos de conexión, consulte PKI para las operaciones sin conexión.

Si planea conectar el dispositivo a Azure, asegúrese de que la infraestructura DNS resuelva los puntos de conexión de Microsoft necesarios. Permita solicitudes DNS del dispositivo de operaciones desconectadas y asegúrese de que hay una ruta de acceso de red de las operaciones desconectadas a la red de entrada para llegar a los puntos de conexión externos.

Para más información, consulte requisitos de firewall de para Azure Local.

Requisitos de DNS

Necesita una zona explícita en su DNS para el entorno de operaciones desconectado dedicado al FQDN. El FQDN no puede estar en el mismo nivel que el controlador de dominio.

Configurar el servidor DNS (con el rol DNS de Windows Server)

Este es un ejemplo:

$externalFqdn = 'autonomous.cloud.private'
$IngressIPAddress = '192.168.200.115'

Add-DnsServerPrimaryZone -Name $externalFqdn -ReplicationScope Domain

Add-DnsServerResourceRecordA -Name "*" -IPv4Address $IngressIPAddress -ZoneName $externalFqdn 

Comprobación de la configuración de DNS

Este es un ejemplo:

nslookup portal.autonomous.cloud.private

Esta es una salida de ejemplo:

Name:    portal.autonomous.cloud.private
Address:  192.168.200.115

Ejecución del dispositivo con conectividad limitada

Ejecute el dispositivo en modo de conectividad limitado para simplificar la compatibilidad y permitir que los registros generados por el sistema fluyan directamente a Microsoft sin necesidad de exportar ni importar trabajos. El dispositivo desconectado solo necesita resolver un subconjunto de estos puntos de conexión para la observabilidad y el diagnóstico.

En el modo de conectividad limitado, el dispositivo resuelve determinados puntos de conexión de Microsoft para la observabilidad y el diagnóstico.

Estos son los puntos de conexión que el dispositivo debe resolver:

Contenido relacionado

• Planifique su identidad para las operaciones desconectadas en Azure Local.
• Consideraciones de seguridad para Azure Local con operaciones desconectadas.
• Infraestructura de clave pública (PKI) para las operaciones desconectadas en Azure Local.

Esta característica solo está disponible en Azure Local 2602 o posterior.