Erweitern Ihrer lokalen Subnetze in Azure mithilfe eines erweiterten Netzwerks für Azure
Übersicht
Mit dem erweiterten Netzwerk für Azure können Sie ein lokales Subnetz auf Azure ausdehnen, damit lokale VMs bei der Migration zu Azure ihre ursprünglichen lokalen privaten IP-Adressen behalten können.
Das Netzwerk wird mithilfe eines bidirektionalen VXLAN-Tunnels zwischen zwei Windows Server 2019-VMs erweitert, die als virtuelle Geräte fungieren, von denen eines lokal und das andere in Azure ausgeführt wird und beide mit dem Subnetz verbunden sind, das erweitert werden soll. Jedes Subnetz, das Sie erweitern möchten, erfordert ein Gerätepaar. Mehrere Subnetze können mit mehreren Gerätepaaren erweitert werden.
Hinweis
Das erweiterte Netzwerk für Azure sollte nur für Computer verwendet werden, deren IP-Adresse bei der Migration zu Azure nicht geändert werden darf. Es ist immer besser, die IP-Adresse zu ändern und sie mit einem Subnetz zu verbinden, das vollständig in Azure vorhanden ist, wenn dies eine Option darstellt.
Planung
Um die Verwendung des erweiterten Netzwerks für Azure vorzubereiten, müssen Sie ermitteln, welches Subnetz Sie ausdehnen möchten, und dann die folgenden Schritte ausführen:
Kapazitätsplanung
Sie können bis zu 250 IP-Adressen mit dem erweiterten Netzwerk für Azure erweitern. Sie können mit einem Gesamtdurchsatz von etwa 700 Mbit/s rechnen, der je nach CPU-Geschwindigkeit des erweiterten Netzwerks für virtuelle Azure-Geräte etwas variieren kann.
Konfiguration in Azure
Bevor Sie Windows Admin Center verwenden, müssen Sie die folgenden Schritte über das Azure-Portal ausführen:
Erstellen Sie ein virtuelles Netzwerk in Azure, das zusätzlich zu den Subnetzen, die für Ihre Gatewayverbindung erforderlich sind, mindestens zwei weitere Subnetze enthält. Eines der Subnetze, die Sie erstellen, muss dieselbe Subnetz-CIDR wie das lokale Subnetz verwenden, das Sie erweitern möchten. Das Subnetz muss innerhalb Ihrer Routingdomäne eindeutig sein, damit es sich nicht mit lokalen Subnetzen überschneidet.
Konfigurieren Sie ein Gateway für virtuelle Netzwerke, um eine Site-to-Site- oder ExpressRoute-Verbindung zu verwenden, mit der das virtuelle Netzwerk mit Ihrem lokalen Netzwerk verbunden wird.
Erstellen Sie eine Windows Server 2022 Azure Edition-VM in Azure, die geschachtelte Virtualisierung ausführen kann. Dies ist eines Ihrer beiden virtuellen Geräte. Verbinden Sie die primäre Netzwerkschnittstelle mit dem routingfähigen Subnetz und die zweite Netzwerkschnittstelle mit dem erweiterten Subnetz.
Hinweis
Das erweiterte Netzwerk für Azure erfordert Windows Server 2022 Azure Edition für die VM, die in Azure ausgeführt wird.
Starten Sie die VM, aktivieren Sie die Hyper-V-Rolle, und starten Sie den Computer neu. Zum Beispiel:
Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
Erstellen Sie zwei externe virtuelle Switches auf der VM, und verbinden Sie einen Switch mit jeder der Netzwerkschnittstellen. Zum Beispiel:
New-VMSwitch -Name "External" -AllowManagementOS $true -NetAdapterName "Ethernet" New-VMSwitch -Name "Extended" -AllowManagementOS $true -NetAdapterName "Ethernet 2"
Lokale Konfiguration
Sie müssen auch manuelle Konfiguration in Ihrer lokalen Infrastruktur durchführen, einschließlich der Erstellung einer VM, die als lokales virtuelles Gerät dient:
Stellen Sie sicher, dass die Subnetze auf dem physischen Computer verfügbar sind, auf dem Sie die lokale VM (virtuelles Gerät) bereitstellen. Dies umfasst das Subnetz, das Sie erweitern möchten, sowie ein zweites Subnetz, das eindeutig ist und sich nicht mit Subnetzen im virtuellen Azure-Netzwerk überschneidet.
Erstellen Sie eine Windows Server 2019- oder 2022-VM auf einem beliebigen Hypervisor, der geschachtelte Virtualisierung unterstützt. Dies ist das lokale virtuelle Gerät. Es wird empfohlen, dies als hochverfügbare VM in einem Cluster zu erstellen. Verbinden Sie einen virtuellen Netzwerkadapter mit dem routingfähigen Subnetz und einen zweiten virtuellen Netzwerkadapter mit dem erweiterten Subnetz.
Starten Sie die VM. Führen Sie dann den folgenden Befehl aus einer PowerShell-Sitzung auf der VM aus, um die Hyper-V-Rolle zu aktivieren, und starten Sie die VM neu:
Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
Führen Sie die folgenden Befehle in einer PowerShell-Sitzung auf der VM aus, um zwei externe virtuelle Switches auf der VM zu erstellen und einen Switch mit jeder der Netzwerkschnittstellen zu verbinden:
New-VMSwitch -Name "External" -AllowManagementOS $true -NetAdapterName "Ethernet" New-VMSwitch -Name "Extended" -AllowManagementOS $true -NetAdapterName "Ethernet 2"
Zusätzliche Voraussetzungen
Wenn Sie über eine Firewall zwischen Ihrem lokalen Netzwerk und Azure verfügen, müssen Sie diese so konfigurieren, dass asymmetrisches Routing möglich ist. Dies kann Schritte zur Deaktivierung der Zufallsgenerierung von Sequenznummern und zur Aktivierung der Umgehung des TCP-Status umfassen. Diese Schritte finden Sie in der Dokumentation des Firewallanbieters.
Bereitstellen
Die Bereitstellung wird durch Windows Admin Center gesteuert.
Installieren und Konfigurieren von Windows Admin Center
Laden Sie Windows Admin Center herunter, und installieren Sie es auf jedem Computer, auf dem Windows Admin Center ausgeführt werden kann, mit Ausnahme der beiden zuvor erstellten virtuellen Geräte.
Wählen Sie in Windows Admin Center Einstellungen (in der oberen rechten Ecke der Seite) >Erweiterungen aus. Wählen Sie dann Erweiterungen aus:
Wählen Sie auf der Registerkarte Verfügbare Erweiterungen die Option Erweitertes Netzwerk und dann Installieren aus.
Nach einigen Sekunden sollte eine Meldung angezeigt werden, die eine erfolgreiche Installation bestätigt.
Verbinden Sie Windows Admin Center mit Azure, sofern dies noch nicht geschehen ist. Wenn Sie diesen Schritt jetzt überspringen, werden Sie später im Prozess gebeten, so vorzugehen.
Navigieren Sie in Windows Admin Center zu Alle Verbindungen>Hinzufügen, und wählen Sie dann auf der Kachel Windows Server die Option Hinzufügen aus. Geben Sie den Servernamen (und die Anmeldeinformationen,wenn erforderlich) für das lokale virtuelle Gerät ein.
.
Klicken Sie auf Erweitertes Netzwerk, um zu beginnen. Beim ersten Mal werden eine Übersicht und eine Setupschaltfläche angezeigt:
Bereitstellen eines erweiterten Netzwerks für Azure
Klicken Sie auf Einrichten, um mit der Konfiguration zu beginnen.
Klicken Sie auf Weiter, um nach der Übersicht fortzufahren.
Im Bereich Paket hochladen müssen Sie das Agent-Paket für das erweiterte Netzwerk für Azure herunterladen und in das virtuelle Gerät hochladen. Folgen Sie den Anweisungen im entsprechenden Bereich.
Wichtig
Scrollen Sie bei Bedarf nach unten, und klicken Sie auf Hochladen, bevor Sie auf Weiter: Setup des erweiterten Netzwerks klicken.
Wählen Sie die Subnetz-CIDR des lokalen Netzwerks aus, das Sie erweitern möchten. Die Liste der Subnetze wird aus dem virtuellen Gerät eingelesen. Wenn Sie das virtuelle Gerät nicht mit der richtigen Gruppe von Subnetzen verbunden haben, wird die gewünschte Subnetz-CIDR nicht in dieser Liste angezeigt.
Klicken Sie auf Weiter, nachdem Sie die Subnetz-CIDR ausgewählt haben.
Wählen Sie das Abonnement, die Ressourcengruppe und das virtuelle Netzwerk aus, in das bzw.die Sie erweitern möchten:
Die Region (Azure-Standort) und das Subnetz werden automatisch ausgewählt. Wählen Sie „Weiter: Gatewaysetup des erweiterten Netzwerks“ aus, um fortzufahren.
Sie konfigurieren nun die virtuellen Geräte. Die Informationen für das lokale Gateway sollten automatisch mit Daten aufgefüllt werden:
Wenn die Angaben richtig aussehen, können Sie auf Weiter klicken.
Für das virtuelle Azure-Gerät müssen Sie die zu verwendende Ressourcengruppe und VM auswählen:
Hinweis
Die VM-Liste für das virtuelle Azure-Gerät enthält nur Azure-VMs, die Windows Server 2022 Azure Edition verwenden. Wenn Ihre VM nicht in der Liste angezeigt wird, stellen Sie sicher, dass es sich um die Azure Edition handelt, und erstellen Sie sie erneut, wenn dies nicht der Fall ist.
Nachdem Sie die VM ausgewählt haben, müssen Sie auch die Subnetz-CIDR des erweiterten Azure-Netzwerkgateways auswählen. Klicken Sie dann auf Weiter: Bereitstellen.
Überprüfen Sie die Zusammenfassungsinformationen, und klicken Sie dann auf Bereitstellen, um den Bereitstellungsprozess zu starten. Die Bereitstellung dauert ungefähr 5 bis 10 Minuten. Wenn die Bereitstellung abgeschlossen ist, wird der folgende Bereich zum Verwalten der erweiterten IP-Adressen angezeigt, und der Status sollte OK lauten:
Verwalten
Jede IP-Adresse, die über das erweiterte Netzwerk erreichbar sein soll, muss konfiguriert werden. Sie können bis zu 250 Adressen für die Erweiterung konfigurieren. So erweitern Sie eine Adresse
Klicken Sie auf IPv4-Adressen hinzufügen:
Das Flyout Neue IPv4-Adressen hinzufügen wird auf der rechten Seite angezeigt:
Verwenden Sie die Schaltfläche Hinzufügen, um eine Adresse manuell hinzuzufügen. Lokale Adressen, die Sie hinzufügen, sind von den Azure-Adressen erreichbar, die Sie der Azure-Adressliste hinzufügen, und umgekehrt.
Das erweiterte Netzwerk für Azure überprüft das Netzwerk, um IP-Adressen zu ermitteln, und füllt die Vorschlagslisten basierend auf dieser Überprüfung mit Adressen auf. Um diese Adressen zu erweitern, müssen Sie die Dropdownliste verwenden und das Kontrollkästchen neben der ermittelten Adresse aktivieren. Es werden nicht alle Adressen ermittelt. Optional können Sie die Schaltfläche Hinzufügen verwenden, um Adressen manuell hinzuzufügen, die nicht automatisch ermittelt wurden.
Klicken Sie nach Abschluss des Vorgangs auf Senden. Sie erkennen, dass sich der Status in Wird aktualisiert, dann in Fortschritt und schließlich zurück in OK ändert, wenn die Konfiguration abgeschlossen ist.
Ihre Adressen sind jetzt erweitert. Verwenden Sie die Schaltfläche „IPv4-Adressen hinzufügen“, um jederzeit weitere Adressen hinzuzufügen. Wenn eine IP-Adresse auf einer Seite des erweiterten Netzwerks nicht mehr verwendet wird, aktivieren Sie das Kontrollkästchen neben ihr und wählen dann „IPv4-Adressen entfernen“ aus.
Wenn Sie das erweiterte Netzwerk für Azure nicht mehr verwenden möchten, klicken Sie auf die Schaltfläche Erweitertes Azure-Netzwerk entfernen. Dadurch wird der Agent von den beiden virtuellen Geräten deinstalliert, und die erweiterten IP-Adressen werden entfernt. Das Netzwerk ist nicht mehr erweitert. Sie müssen das Setup nach dem Entfernen erneut ausführen, wenn Sie das erweiterte Netzwerk erneut verwenden möchten.
Problembehandlung
Wenn während der Bereitstellung des erweiterten Netzwerks für Azure eine Fehlermeldung angezeigt wird, führen Sie die folgenden Schritte aus:
Stellen Sie sicher, dass die lokalen virtuellen Geräte Windows Server 2019 oder 2022 verwenden. Stellen Sie sicher, dass die lokalen virtuellen Geräte Windows Server 2022 Azure Edition verwenden.
Vergewissern Sie sich, dass Sie nicht Windows Admin Center auf einem der virtuellen Geräte ausführen. Es wird empfohlen, Windows Admin Center aus einem lokalen Netzwerk auszuführen.
Stellen Sie sicher, dass Sie über das Windows Admin Center-Gateway mit
enter-pssession
remote auf die lokale VM zugreifen können.Wenn eine Firewall zwischen Azure und der lokalen Umgebung vorhanden ist, vergewissern Sie sich, dass sie so konfiguriert ist, dass UDP-Datenverkehr am ausgewählten Port zugelassen wird (Standardeinstellung 4789). Verwenden Sie ein Tool wie ctsTraffic, um einen Listener und einen Sender zu konfigurieren. Stellen Sie sicher, dass Datenverkehr in beide Richtungen am angegebenen Port gesendet werden kann.
Verwenden Sie pktmon, um zu überprüfen, ob Pakete wie erwartet gesendet und empfangen werden. Führen Sie pktmon auf jedem virtuellen Gerät aus:
Pktmon start –etw
Führen Sie die Konfiguration für das erweiterte Netzwerk für Azure aus, und beenden Sie dann die Ablaufverfolgung:
Pktmon stop Netsh trace convert input=<path to pktmon etl file>
Öffnen Sie die Textdatei, die von jedem virtuellen Gerät generiert wird, und suchen Sie am angegebenen Port nach UDP-Datenverkehr (Standard 4789). Wenn Datenverkehr vom lokalen virtuellen Gerät gesendet, aber nicht vom virtuellen Azure-Gerät empfangen wird, müssen Sie das Routing und die Firewall zwischen den Geräten überprüfen. Wenn Datenverkehr aus der lokalen Umgebung in Azure gesendet wird, sollte das virtuelle Azure-Gerät ein Paket als Antwort senden. Wenn dieses Paket nie vom lokalen virtuellen Gerät empfangen wird, müssen Sie überprüfen, ob das Routing ordnungsgemäß erfolgt und keine Firewall den Datenverkehr dazwischen blockiert.
Diagnostizieren des Datenpfads nach der anfänglichen Konfiguration
Nachdem das erweiterte Netzwerk für Azure konfiguriert wurde, können zusätzliche Probleme auftreten, die in der Regel darauf zurückzuführen sind, dass Firewalls Datenverkehr blockieren, oder die MTU überschritten wird, wenn der Fehler zeitweilig auftritt.
Stellen Sie sicher, dass beide virtuellen Geräte aktiv sind und ausgeführt werden.
Überprüfen Sie, ob der erweiterte Netzwerk-Agent auf den einzelnen virtuellen Geräten ausgeführt wird:
get-service extnwagent
Wenn der Status nicht „Wird ausgeführt“ lautet, können Sie ihn wie folgt starten:
start-service extnwagent
Verwenden Sie packetmon wie in Schritt 5 oben beschrieben, während Datenverkehr zwischen zwei VMs im erweiterten Netzwerk gesendet wird, um zu überprüfen, ob Datenverkehr von den virtuellen Geräten empfangen, über den konfigurierten UDP-Port gesendet und dann vom anderen virtuellen Gerät empfangen und weitergeleitet wird.