Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Voraussetzungen für die Installation unter Ubuntu

Für die erfolgreiche Installation und Bereitstellung eines Paragon Automation-Clusters benötigen Sie einen Steuerungshost, der die Verteilungssoftware auf mehreren Clusterknoten installiert. Sie können die Verteilungssoftware auf den Steuerungshost herunterladen und dann die Installationsdateien erstellen und konfigurieren, um die Installation vom Steuerungshost auszuführen. Sie müssen über Internetzugang verfügen, um die Pakete auf den Steuerungshost herunterladen zu können. Sie müssen auch über Internetzugriff auf den Clusterknoten verfügen, um zusätzliche Software wie Docker- und Betriebssystempatches herunterladen zu können. Die Reihenfolge der Installationsaufgaben ist in Abbildung 1 auf hoher Ebene dargestellt.

Abbildung 1: Allgemeiner Prozessablauf für die Installation von Paragon Automation High-Level Process Flow for Installing Paragon Automation

Bevor Sie die Verteilungssoftware herunterladen und installieren, müssen Sie den Steuerungshost und die Clusterknoten wie in diesem Thema beschrieben konfigurieren.

Vorbereiten des Steuerungshosts

Der Steuerungshost ist eine dedizierte Maschine, die die Installation und Aktualisierung eines Paragon Automation-Clusters orchestriert. Er führt die Ansible-Vorgänge aus, die das Installationsprogramm für Software ausführen und die Software auf den Clusterknoten installieren, wie unter Steuern von Hostfunktionen dargestellt.

Sie müssen die Installationspakete auf den Ansible-Steuerungshost herunterladen. Im Rahmen des Installationsprozesses von Paragon Automation installiert der Steuerungshost alle zusätzlichen Pakete, die auf den Clusterknoten erforderlich sind. Die Pakete umfassen optionale Betriebssystempakete, Docker und Elasticsearch. Alle Microservices, einschließlich Microservices von Drittanbietern, werden auf die Clusterknoten heruntergeladen. Die Microservices greifen während der Installation auf keine öffentlichen Register zu.

Der Steuerungshost kann sich in einer anderen Broadcastdomäne als die Clusterknoten befinden, aber Sie müssen sicherstellen, dass der Steuerungshost SSH verwenden kann, um eine Verbindung mit allen Knoten herzustellen.

Abbildung 2: Steuern von Hostfunktionen Control Host Functions

Nach Abschluss der Installation spielt der Steuerungshost keine Rolle mehr für das Funktionieren des Clusters. Sie benötigen jedoch den Steuerungshost, um die Software oder eine Komponente zu aktualisieren, Änderungen am Cluster vorzunehmen oder den Cluster neu zu installieren, wenn ein Knoten ausfällt. Sie können den Steuerungshost auch zum Archivieren von Konfigurationsdateien verwenden. Es wird empfohlen, den Steuerungshost nach der Installation verfügbar zu halten und nicht für andere Zwecke zu verwenden.

Bereiten Sie den Steuerhost wie folgt für den Installationsvorgang vor:

  1. Installieren Sie das Basisbetriebssystem: Installieren Sie Ubuntu Version 20.04.4 LTS (Focal Fossa) oder Ubuntu 22.04.2 LTS (Jammy Jellyfish). Version 23.2 ist für die Zusammenarbeit mit Ubuntu 22.04.2 LTS (Jammy Jellyfish) qualifiziert.
  2. Docker installieren: Installieren und konfigurieren Sie Docker auf dem Steuerungshost, um die Linux-Containerumgebung zu implementieren. Paragon Automation unterstützt Docker CE und Docker EE. Die Docker-Version, die Sie auf dem Steuerungshost installieren möchten, ist unabhängig von der Docker-Version, die Sie in den Clusterknoten verwenden möchten.

    Wenn Sie Docker EE installieren möchten, stellen Sie vor der Installation sicher, dass Sie über eine Testversion oder ein Abonnement verfügen. Weitere Informationen zu Docker EE, unterstützten Systemen und Installationsanweisungen finden Sie unter https://www.docker.com/blog/docker-enterprise-edition/.

    Führen Sie die folgenden Schritte aus, um Docker CE herunterzuladen und zu installieren: Verwenden Sie den # docker run hello-world Befehl, um zu überprüfen, ob Docker installiert ist und ausgeführt wird.

    Um die installierte Docker-Version zu überprüfen, verwenden Sie die # docker version Befehle oder # docker --version .

    Eine vollständige Anleitung und weitere Informationen finden Sie unter https://docs.docker.com/engine/install/ubuntu/.
  3. Konfigurieren der SSH-Clientauthentifizierung: Das Installationsprogramm, das auf dem Steuerungshost ausgeführt wird, stellt über SSH eine Verbindung zu den Clusterknoten her. Für die SSH-Authentifizierung müssen Sie ein Root- oder Nicht-Root-Benutzerkonto mit Superuser-Rechten (sudo) verwenden. Wir werden dieses Konto in den folgenden Schritten als Installationsbenutzerkonto bezeichnen. Sie müssen sicherstellen, dass das Installationsbenutzerkonto auf allen Knoten im Cluster konfiguriert ist. Das Installationsprogramm verwendet die Inventardatei, um zu bestimmen, welcher Benutzername verwendet werden soll und ob für die Authentifizierung SSH-Schlüssel oder ein Kennwort verwendet werden. Weitere Informationen finden Sie unter Anpassen der Lagerbestandsdatei – Implementierung mehrerer Knoten.

    Wenn Sie die ssh-key Authentifizierungsmethode (empfohlen) auswählen, generieren Sie den SSH-Schlüssel.

    Wenn Sie den SSH-Schlüssel mit einer Passphrase schützen möchten, können Sie den Schlüsselmanager verwenden ssh-agent . Siehe https://www.ssh.com/academy/ssh/agent.

    Anmerkung:

    Sie müssen diesen Schlüssel im Rahmen der Vorbereitungsaufgaben für Clusterknoten auf die Knoten kopieren, wie im nächsten Abschnitt beschrieben.
  4. (Optional) Install wget – Installieren Sie das wget Dienstprogramm, um die Paragon Automation-Distributionssoftware herunterzuladen.

    # apt install wget

    Alternativ können Sie eine andere Datei-Download-Software verwenden rsync , um die Verteilungssoftware zu kopieren.

Vorbereiten von Clusterknoten

Der primäre und der Workerknoten werden zusammen als Clusterknoten bezeichnet. Jeder Clusterknoten muss über mindestens eine eindeutige statische IP-Adresse verfügen, wie in Abbildung 3 dargestellt. Verwenden Sie bei der Konfiguration der Hostnamen nur Kleinbuchstaben und keine anderen Sonderzeichen als Bindestriche (-) oder den Punkt (.). Wenn die Implementierung über ein separates IP-Netzwerk für die Kommunikation zwischen den Paragon Automation-Komponenten verfügt, wie in Übersicht über die Installation des Paragon Automation-Portfolios beschrieben, müssen Sie den Worker-Knoten einen zweiten Satz von IP-Adressen zuweisen. Diese IP-Adressen ermöglichen es Geräten außerhalb des Clusters, die Workerknoten zu erreichen, und ermöglichen auch die Kommunikation zwischen:
  • Paragon Automation und die verwalteten Geräte
  • Paragon Automation und der Netzwerkadministrator

Es wird empfohlen, alle Knoten in derselben Broadcast-Domäne zu platzieren. Informationen zu Clusterknoten in verschiedenen Broadcast-Domänen finden Sie unter Konfigurieren des Lastenausgleichs für eine zusätzliche Load Balancing-Konfiguration.

Abbildung 3: Funktionen des Clusterknotens Cluster Node Functions

Wie unter Systemanforderungen für Paragon Automation beschrieben, können Sie Paragon Automation in einer Multinode-Bereitstellung installieren.

Sie müssen die Clusterknoten wie folgt für den Installationsprozess von Paragon Automation vorbereiten:

  1. Konfigurieren von Raw-Festplattenspeicher: An die Cluster-Knoten müssen Raw-Speicherblockgeräte mit unpartitionierten Festplatten oder unformatierten Datenträgerpartitionen angeschlossen sein. Sie können die Knoten auch so partitionieren, dass die Stammpartition und andere Dateisysteme einen Teil des verfügbaren Speicherplatzes nutzen können. Sie müssen den verbleibenden Speicherplatz unformatiert lassen, ohne Dateisysteme, und ihn für die Verwendung durch Ceph reservieren. Weitere Informationen finden Sie unter Datenträgeranforderungen.
    Anmerkung:

    Sie müssen nichts installieren oder konfigurieren, damit Ceph die unpartitionierten Festplatten oder unformatierten Festplattenpartitionen verwenden kann. Bei der Installation von Paragon Automation wird der Speicherplatz für Ceph automatisch zugewiesen.

    Für Cluster mit mehreren Knoten müssen Sie über mindestens drei Clusterknoten mit angefügtem Speicherplatz verfügen. Das heißt, mindestens drei Workerknoten mit einem unpartitionierten Datenträger oder einer unformatierten Datenträgerpartition für den Speicher.

    Die Installation schlägt fehl, wenn keine unformatierten Datenträger verfügbar sind.

    Ceph benötigt neuere Kernel-Versionen. Wenn Ihr Linux-Kernel sehr alt ist, sollten Sie ein Upgrade oder eine Neuinstallation in Betracht ziehen. Eine Liste der von Ceph für Ihr Betriebssystem unterstützten Mindestversionen des Linux-Kernels finden Sie unter https://docs.ceph.com/en/latest/start/os-recommendations. Informationen zum Aktualisieren der Linux-Kernelversion finden Sie unter Aktualisieren der Ubuntu-Linux-Kernelversion.

    Anmerkung:

    Ceph funktioniert nicht mit der Linux-Kernel-Version 4.15.0-55.60.
  2. Installieren Sie das Basisbetriebssystem: Installieren Sie Ubuntu Version 20.04.4 LTS (Focal Fossa) oder Ubuntu 22.04.2 LTS (Jammy Jellyfish). Version 23.2 ist für die Zusammenarbeit mit Ubuntu 22.04.2 LTS (Jammy Jellyfish) qualifiziert.
  3. Installationsbenutzerkonto erstellen: Der Installationsbenutzer ist der Benutzer, den die Ansible-Playbooks verwenden, um sich bei den primären und Worker-Knoten anzumelden und alle Installationsaufgaben auszuführen. Stellen Sie sicher, dass Sie entweder ein Root-Passwort oder ein Konto mit Superuser-Rechten (sudo) konfigurieren. Sie fügen diese Informationen der Inventardatei während des Installationsvorgangs hinzu.
    Legen Sie das Kennwort für den Root-Benutzer fest.
  4. SSH-Authentifizierung installieren: Das Installationsprogramm, das auf dem Steuerungshost ausgeführt wird, stellt über SSH unter Verwendung des Installationsbenutzerkontos eine Verbindung zu den Clusterknoten her.
    1. Melden Sie sich bei den Clusterknoten an. und installieren Sie den Open-SSH-Server auf allen Knoten.
    2. Bearbeiten Sie die sshd_config Datei.

      # vi /etc/ssh/sshd_config

    3. Wenn Sie "root" als Installationsbenutzerkonto verwenden, lassen Sie die Root-Anmeldung zu.

      PermitRootLogin yes

      Wenn Sie sich für die Verwendung eines Nur-Text-Kennworts für die Authentifizierung entschieden haben, müssen Sie die Kennwortauthentifizierung aktivieren.

      PasswordAuthentication yes

      Die Verwendung der Kennwortauthentifizierung wird nicht empfohlen.

    4. Stellen Sie sicher, dass der AllowTcpForwarding Parameter auf yesfestgelegt ist.

      AllowTcpForwarding yes
      Anmerkung:

      Die Installation von Paragon Automation schlägt fehl, wenn der AllowTcpForwarding Parameter auf nofestgelegt ist.

    5. Wenn Sie /etc/ssh/sshd_config geändert haben, starten Sie den SSH-Daemon neu.

      # systemctl restart sshd

    6. Melden Sie sich beim Steuerungshost an:

      1. Um die Authentifizierung mit dem SSH-Schlüssel zuzulassen, kopieren Sie id_rsa.pub auf die Clusterknoten.

        Wiederholen Sie diesen Schritt für alle Knoten im Cluster (primärer Knoten und Worker). cluster-node-IP ist die eindeutige Adresse des Knotens, wie in Abbildung 3 dargestellt. Wenn stattdessen ein Hostname verwendet wird, sollte der Ansible-Kontrollhost in der Lage sein, den Namen in seine IP-Adresse aufzulösen.

      2. Verwenden Sie die SSH-Authentifizierung, um sich mit dem Installationsbenutzerkonto beim Clusterknoten anzumelden. Sie dürfen kein Passwort benötigen, um sich anzumelden.

        Sie sollten in der Lage sein, SSH zu verwenden, um vom Steuerungshost aus eine Verbindung mit allen Knoten im Cluster (primär und Worker) herzustellen, indem Sie das Konto install-user verwenden. Wenn Sie sich nicht anmelden können, überprüfen Sie die vorherigen Schritte und stellen Sie sicher, dass Sie nichts verpasst haben.

  5. Docker installieren: Wählen Sie eine der folgenden Docker-Versionen für die Installation aus.

    • Docker CE: Wenn Sie Docker CE verwenden möchten, müssen Sie es nicht auf den Clusterknoten installieren. Das deploy Skript installiert Docker CE während der Installation von Paragon Automation auf den Knoten.

    • Docker EE: Wenn Sie Docker EE verwenden möchten, müssen Sie Docker EE auf allen Clusterknoten installieren. Wenn Sie Docker EE auf den Knoten installieren, verwendet das deploy Skript die installierte Version und versucht nicht, Docker CE an ihrer Stelle zu installieren. Weitere Informationen zu Docker EE und unterstützten Systemen sowie Anweisungen zum Herunterladen und Installieren von Docker EE finden Sie unter https://www.docker.com/blog/docker-enterprise-edition/.

    Die Docker-Version, die Sie in den Clusterknoten installieren möchten, hängt nicht von der Docker-Version ab, die auf dem Steuerungshost installiert ist.

  6. Python installieren: Installieren Sie Python 3, falls es nicht mit Ihrem Betriebssystem vorinstalliert ist, auf den Cluster-Knoten:

    # apt install python3

    Um die installierte Python-Version zu überprüfen, verwenden Sie den # python3 -V Befehl oder # python3 --version .

  7. Verwenden Sie den Befehl, # apt list --installed und stellen Sie sicher, dass die folgenden Pakete installiert sind:

    apt-transport-https, bash-completion, gdisk, iptables, lvm2, openssl

    Wenn Sie die Air-Gap-Methode verwenden möchten, um Paragon Automation auf einem Cluster zu installieren, auf dem das Ubuntu-Basisbetriebssystem ausgeführt wird, stellen Sie sicher, dass die folgenden Pakete vorinstalliert sind:
    ca-certificates, curl, docker.io, jq, keepalived

    Zusätzlich wird empfohlen, die folgenden optionalen Pakete zu installieren, um die Fehlerbehebung zu unterstützen:

    net-tools, tcpdump, traceroute

  8. Wenn Ihr Basisbetriebssystem Ubuntu Version 20.04.4 LTS ist, legen Sie die Option iptables FORWARD Verkettungsrichtlinie auf ACCEPT alle Clusterknoten.

    1. Melden Sie sich bei einem Clusterknoten an.

    2. Legen Sie die iptables FORWARD Kettenrichtlinie auf ACCEPTfest.

    3. Installieren Sie das iptables-persistent Paket, damit die Änderung bei Neustarts beibehalten wird.

      Sie können mit Nein antworten, wenn Sie zum Speichern von Regeln aufgefordert werden.

    4. Fügen Sie die folgende Regel hinzu.

    5. Löschen Sie die Datei /etc/iptables/rules.v6 .

    Wiederholen Sie diese Schritte auf allen Clusterknoten.
  9. NTP installieren und aktivieren: Auf allen Knoten muss ständig NTP (Network Time Protocol) oder ein anderes Zeitsynchronisationsprotokoll ausgeführt werden. Standardmäßig installiert Paragon Automation den Chrony NTP-Client. Wenn Sie Chrony nicht verwenden möchten, können Sie NTP manuell auf allen Knoten installieren und sicherstellen, dass der timedatectl Befehl meldet, dass die Uhren synchronisiert sind. Wenn Sie jedoch die Air-Gap-Methode verwenden möchten, um Paragon Automation zu installieren, und wenn Sie Chrony verwenden möchten, müssen Sie Chrony vorinstallieren. Das Installationsprogramm installiert Chrony nicht während der Air-Gap-Installation.

    1. Installieren Sie ntpdate, um Datum und Uhrzeit durch Abfragen eines NTP-Servers zu synchronisieren.

      # apt install ntpdate -y

    2. Führen Sie den folgenden Befehl zweimal aus, um den Offset mit dem NTP-Server zu reduzieren.

      # ntpdate ntp-server

    3. Installieren Sie das NTP-Protokoll.

      # apt install ntp -y

    4. Konfigurieren Sie die NTP-Serverpools.

      # vi /etc/ntp.conf

    5. Ersetzen Sie die standardmäßigen Ubuntu-Pools durch den NTP-Server, der Ihrem Speicherort in der ntp.conf Datei am nächsten liegt.

      server ntp-server prefer iburst

      Speichern und beenden Sie die Datei.

    6. Starten Sie den NTP-Dienst neu.

      # systemctl restart ntp

    7. Vergewissern Sie sich, dass das System mit dem NTP-Server synchronisiert ist.

      # timedatectl

  10. (Optional) Aktualisieren Sie Ihre Ubuntu Linux-Kernel-VersionSo aktualisieren Sie die Kernel-Version Ihres Ubuntu-Servers auf die neueste LTS-Version, um die Anforderungen für die Installation von Paragon Automation zu erfüllen:

    1. Melden Sie sich als Root-Benutzer an.

    2. Überprüfen Sie die vorhandene Kernel-Version.

      root@server# uname -msr

      Wenn die Linux-Kernel-Version älter als 4.15 ist, aktualisieren Sie den Kernel.

    3. Aktualisieren Sie apt-Repositories:

      root@server# apt update

    4. Aktualisieren Sie vorhandene Softwarepakete, einschließlich Kernel-Upgrades:

      root@server# apt upgrade -y

      root@server# apt install --install-recommends linux-generic-hwe-xx.xx

      xx.xx Hier ist Ihre Ubuntu OS-Version.

    5. Starten Sie den Server neu, um den neuen Kernel zu laden:

      root@server# reboot

    6. Überprüfen Sie die neue Kernel-Version:

      root@server# uname -msr

Überlegungen zu virtuellen IP-Adressen

Die Kubernetes-Workerknoten hosten die Pods, die die Arbeitsauslastung der Anwendungen bewältigen.

Ein Pod ist die kleinste bereitstellbare Recheneinheit, die in Kubernetes erstellt und verwaltet wird. Ein Pod enthält einen oder mehrere Container mit gemeinsam genutzten Speicher- und Netzwerkressourcen sowie spezifische Anweisungen zum Ausführen der Anwendungen. Container sind die unterste Verarbeitungsebene, und Sie führen Anwendungen oder Microservices in Containern aus.

Der primäre Knoten im Cluster bestimmt, welcher Workerknoten einen bestimmten Pod und bestimmte Container hostet.

Sie implementieren alle Funktionen von Paragon Automation über eine Kombination von Microservices. Einige dieser Microservices müssen von außerhalb des Clusters zugänglich sein, da sie Dienste für Endbenutzer (verwaltete Geräte) und Administratoren bereitstellen. Sie müssen z. B. den Zugriff auf den pceserver-Dienst ermöglichen, um PCEP-Sitzungen (Path Computation Element Protocol) zwischen PE-Routern (Provider Edge) und Paragon Automation einzurichten.

Sie müssen diese Dienste außerhalb des Kubernetes-Clusters mit bestimmten Adressen verfügbar machen, die von den externen Geräten aus erreichbar sind. Da ein Dienst auf jedem Workerknoten gleichzeitig ausgeführt werden kann, müssen Sie virtuelle IP-Adressen (VIPs) als externe Adressen verwenden. Sie dürfen die Adresse eines bestimmten Workerknotens nicht als externe Adresse verwenden.

In diesem Beispiel:

  • Denken Sie daran, dass Arbeitskraft 1 10.1.x.3 und Arbeitskraft 2 10.1.x.4 ist.

  • SERVICE-IP = PCEP-VIP ist 10.1.x.200

  • PCC_IP ist 10.1.x.100

Paragon Automation-Services verwenden eine von zwei Methoden, um Services außerhalb des Clusters verfügbar zu machen:

  • Load Balancer: Jeder Load Balancer ist einer bestimmten IP-Adresse zugeordnet und leitet externen Datenverkehr an einen bestimmten Service im Cluster weiter. Dies ist die Standardmethode für viele Kubernetes-Installationen in der Cloud. Die Load Balancer-Methode unterstützt mehrere Protokolle und mehrere Ports pro Dienst. Jeder Dienst verfügt über einen eigenen Load Balancer und eine eigene IP-Adresse.

  • Paragon Automation verwendet den MetalLB Load Balancer. MetalLB simuliert einen externen Load Balancer, indem es entweder virtuelle IP-Adressen im Layer-2-Modus verwaltet oder mit externen Routern im Layer-3-Modus interagiert. MetalLB stellt eine Load-Balancing-Infrastruktur für den Kubernetes-Cluster bereit.

    Dienste vom Typ "LoadBalancer" interagieren mit der Kubernetes-Lastausgleichsinfrastruktur, um eine extern erreichbare IP-Adresse zuzuweisen. Einige Dienste können eine externe IP-Adresse gemeinsam nutzen.

  • Ingress: Die Ingress-Methode fungiert als Proxy, um Datenverkehr in den Cluster zu leiten, und verwendet dann internes Service-Routing, um den Datenverkehr an sein Ziel weiterzuleiten. Unter der Haube verwendet diese Methode auch einen Load Balancer-Dienst, um sich der Welt zur Verfügung zu stellen, damit er als Proxy fungieren kann.

    Paragon Automation verwendet die folgenden Eingangs-Proxys:

    • Botschafter
    • Nginx

Geräte von außerhalb des Clusters müssen auf die folgenden Dienste zugreifen, und daher benötigen diese Dienste eine VIP-Adresse.

Tabelle 1: Services, die VIPs benötigen
Erforderliche VIP-Adresse Beschreibung Load Balancer/Proxy

Ingress-Controller

Wird für den Zugriff auf die Paragon Automation GUI über das Internet verwendet.

Paragon Automation stellt einen gemeinsamen Webserver bereit, der den Zugriff auf die Komponenten und Anwendungen ermöglicht. Der Zugriff auf den Server wird über den Kubernetes Ingress Controller verwaltet.

Botschafter

MetallLB

Paragon Insights Services

 Wird für Insights-Services wie Syslog, DHCP-Relay und JTI verwendet.

MetallLB

Paragon Pathfinder PCE-Server

Wird verwendet, um PCEP-Sitzungen mit Geräten im Netzwerk einzurichten.

MetallLB

SNMP-Trap-Empfänger-Proxy (optional)

Benutzer für den SNMP-Trap-Empfänger-Proxy nur, wenn diese Funktionalität erforderlich ist.

MetallLB

Infrastruktur Nginx Ingress Controller

Wird als Proxy für den Paragon Pathfinder netflowd-Server und optional für den Paragon Pathfinder PCE-Server verwendet.

Der Nginx Ingress Controller benötigt eine VIP innerhalb des MetalLB-Load-Balancer-Pools. Dies bedeutet, dass Sie diese Adresse während des Installationsvorgangs als Teil der LoadBalancer-IP-Adressbereiche angeben müssen, die Sie beim Erstellen der Konfigurationsdatei angeben müssen.

Nginx

MetallLB

Pathfinder Netflowd

Wird für den Paragon Pathfinder netflowd-Server verwendet.

Netflowd kann Nginx als Proxy verwenden, in diesem Fall benötigt es keine eigene VIP-Adresse.

MetallLB
Registrierung (optional)

Wird verwendet, um eine Verbindung mit mehreren Containerregistrierungen auf den primären Knoten herzustellen.

-

PCEP-Server (optional)

Wird für den PCE-Server für die MD5-Authentifizierung verwendet.

-

cRPD (optional)

Wird verwendet, um eine Verbindung mit dem BGP Monitoring Protocol (BMP)-Pod für die MD5-Authentifizierung herzustellen.

-

Von Ambassador genutzte Ports:

  • HTTP 80 (TCP)-Weiterleitung zu HTTPS

  • HTTPS 443 (TCP)

  • Paragon Planner 7000 (TCP)

  • DCS/NETCONF initiiert 7804 (TCP)

Abbildung 4: Botschafter Ambassador

Ports, die von Insights Services, dem Path Computation Element (PCE)-Server und SNMP verwendet werden:

  • Insights-Services

    JTI 4000 (UDP)

    DHCP (ZTP) 67 (UDP)

    SYSLOG 514 (UDP)

    SNMP-Proxy 162 (UDP)

  • PCE-Server

    PCEP 4189 (TCP)

  • SNMP

    SNMP-Trap-Empfänger 162 (UDP)

Abbildung 5: Von Services Ports Used by Services verwendete Ports

Vom Nginx-Controller verwendete Ports:

  • NetFlow 9000 (UDP)

  • PCEP 4189 (TCP)

Verwendung von Nginx für PCEP

Während des Installationsvorgangs werden Sie gefragt, ob Sie den Eingangsproxy für PCEP aktivieren möchten. Sie können aus None oder Nginx-Ingress als Proxy für den PCE-Server (Path Computation Element) auswählen.

Wenn Sie als Proxy auswählenNginx-Ingress, müssen Sie die VIP für den in Tabelle 1 beschriebenen PCE-Server nicht konfigurieren. In diesem Fall wird die VIP-Adresse für den Infrastructure Nginx Ingress Controller auch für den PCE-Server verwendet. Wenn Sie sich dafür entscheiden, keinen netflowd-Proxy zu verwenden, wird die VIP für den Infrastructure Nginx Ingress Controller auch für netflowd verwendet.

Anmerkung:

Der Vorteil der Verwendung von Nginx besteht darin, dass Sie eine einzige IP-Adresse für mehrere Dienste verwenden können.
Abbildung 6: Nginx-Controller Nginx Controller

VIP-Adresse für die Registrierungen in einer Bereitstellung mit mehreren Primärknoten

Wenn Sie ein Setup mit mehreren primären Knoten bereitstellen und mehrere Containerregistrierungen (eine auf jedem primären Knoten) bereitstellen, benötigen Sie eine zusätzliche VIP-Adresse in derselben Broadcast-Domäne wie die Clusterknoten. Diese Adresse wird verwendet, um eine Verbindung zu den Containerregistrierungen herzustellen, die auf jedem primären Knoten bereitgestellt werden.

Der Installationsassistent bezieht sich auf diese IP-Adresse als virtuelle IP-Adresse für die Registrierung. Der VIP-Adresspool des MetalLB Load Balancers darf diese VIP-Adresse nicht enthalten.

VIP-Adressen für die MD5-Authentifizierung

Sie können die MD5-Authentifizierung so konfigurieren, dass PCEP-Sitzungen zwischen dem Router und Paragon Pathfinder gesichert und sichergestellt wird, dass der BMP-Dienst Peering mit dem richtigen BGP-LS-Router durchführt. Paragon Automation verwendet Multus, um die sekundäre Schnittstelle auf dem PCE-Server und den BMP-Pod für den direkten Zugriff auf den Router bereitzustellen. Sie benötigen die folgenden VIP-Adressen im selben Subnetz wie Ihre Clusterknoten:

  • VIP-Adresse für den PCE-Server im CIDR-Format

  • VIP-Adresse für cRPD im CIDR-Format

Der VIP-Adresspool des MetalLB Load Balancers darf diese VIP-Adressen nicht enthalten.

Wenn Sie sich für die Konfiguration der MD5-Authentifizierung entscheiden, müssen Sie zusätzlich den Authentifizierungsschlüssel und die virtuellen IP-Adressen auf den Routern konfigurieren. Außerdem müssen Sie den Authentifizierungsschlüssel in der Benutzeroberfläche von Paragon Automation konfigurieren.

  • MD5 in PCEP-Sitzungen.– Konfigurieren Sie den MD5-Authentifizierungsschlüssel auf dem Router und die Paragon Automation-Benutzeroberfläche und die VIP-Adresse auf dem Router.

    • Konfigurieren Sie in der Junos CLI Folgendes:

      user@pcc# set protocols pcep pce pce-id authentication-key pce-md5-key

      user@pcc# set protocols pcep pce pce-id destination-ipv4-address vip-for-pce

    • Geben Sie den pce-md5-key Authentifizierungsschlüssel in das Feld MD5-Zeichenfolge im Abschnitt Protokolle:PCEP auf der Seite Konfiguration > Geräte > bearbeiten ein Device Name .

    Der MD5-Authentifizierungsschlüssel muss mindestens 79 Zeichen lang sein.

  • MD5 auf cRPD – Ermitteln Sie den cRPD-MD5-Authentifizierungsschlüssel und konfigurieren Sie den Schlüssel und die VIP-Adresse von cRPD auf dem Router.

    1. Bestimmen oder legen Sie den MD5-Authentifizierungsschlüssel wie folgt fest.

      1. Führen Sie das Befehlsskript aus, und aktivieren Sie die conf MD5-Authentifizierung auf cRPD. Suchen Sie nach dem crpd_auth_key Parameter in der config.yml Datei. Wenn ein Schlüssel vorhanden ist, zeigt dies an, dass cRPD für MD5 konfiguriert ist. Beispiel: crpd_auth_key : northstar. Sie können den in der config.yml Datei vorhandenen Schlüssel verwenden (oder den Schlüssel auch bearbeiten) und ihn auf dem Router eingeben.

      2. Wenn in der config.yml Datei kein MD5-Authentifizierungsschlüssel vorhanden ist, müssen Sie sich bei cRPD anmelden und den Authentifizierungsschlüssel mit einem der folgenden Befehle festlegen:

        set groups extra protocols bgp group name authentication-key crpd-md5-key

        oder

        set protocols bgp group name authentication-key crpd-md5-key

        Der MD5-Authentifizierungsschlüssel muss mindestens 79 Zeichen lang sein.

    2. Konfigurieren Sie den Router so, dass MD5 für cRPD aktiviert wird.

      user@pcc# set protocols bgp group name neighbor vip-for-crpd authentication-key md5-key
Anmerkung:

Sie müssen alle erforderlichen VIP-Adressen identifizieren, bevor Sie mit der Installation von Paragon Automation beginnen. Sie werden im Rahmen des Installationsvorgangs aufgefordert, diese Adressen einzugeben.

Konfigurieren des Lastenausgleichs

VIPs werden standardmäßig in Layer 2 verwaltet. Wenn sich alle Clusterknoten in derselben Broadcast-Domäne befinden, wird jede VIP-Adresse jeweils einem Clusterknoten zugewiesen. Der Layer-2-Modus bietet ein Failover der VIP und kein tatsächliches Load Balancing. Für echtes Load Balancing zwischen den Clusterknoten oder wenn sich die Knoten in unterschiedlichen Broadcast-Domänen befinden, müssen Sie das Load Balancing in Layer 3 konfigurieren.

Sie müssen einen BGP-Router so konfigurieren, dass er die VIP-Adresse im Netzwerk ankündigt. Stellen Sie sicher, dass der BGP-Router ECMP verwendet, um TCP/IP-Sitzungen zwischen verschiedenen Hosts auszugleichen. Verbinden Sie den BGP-Router direkt mit den Clusterknoten.

Um Load Balancing auf den Clusterknoten zu konfigurieren, bearbeiten Sie die config.yml Datei. Zum Beispiel:

In diesem Beispiel Der BGP-Router unter 192.x.x.1 ist dafür verantwortlich, die Erreichbarkeit der VIP-Adressen mit dem Präfix 10.x.x.0/24 im restlichen Netzwerk bekannt zu geben. Der Cluster ordnet die VIP-Adresse dieses Bereichs zu und kündigt die Adresse für die Clusterknoten an, die die Adresse verarbeiten können.

Konfigurieren des DNS-Servers (optional)

Sie können auf das Hauptwebgateway entweder über die VIP-Adresse des Eingangscontrollers oder über einen Hostnamen zugreifen, der auf dem DNS-Server (Domain Name System) konfiguriert ist und in die VIP-Adresse des Eingangscontrollers aufgelöst wird. Sie müssen den DNS-Server nur konfigurieren, wenn Sie einen Hostnamen für den Zugriff auf das Webgateway verwenden möchten.

Fügen Sie den Hostnamen dem DNS als A-, AAAA- oder CNAME-Eintrag hinzu. Für Labor- und POC-Setups (Proof of Concept) können Sie den Hostnamen zur Datei /etc/hosts auf den Clusterknoten hinzufügen.

Zugehörige Dokumentation