Bereitstellen einer Software-Defined Networking-Infrastruktur mithilfe von Skripts
In diesem Thema wird beschrieben, wie Sie eine Microsoft Software Defined Network (SDN)-Infrastruktur mithilfe von Skripten bereitstellen. Die Infrastruktur umfasst einen hochverfügbaren (High Available, HA) Netzwerkcontroller, einen HA Software-Lastenausgleich (Software Load Balancer, SLB)/MUX, virtuelle Netzwerke und zugehörige Zugriffssteuerungslisten (Access Control Lists, ACLs). Zusätzlich stellt ein weiteres Skript einen Mandanten-Workload für Sie bereit, um Ihre SDN-Infrastruktur zu validieren.
Wenn Sie möchten, dass die Workloads Ihrer Mandanten außerhalb ihrer virtuellen Netzwerke kommunizieren, können Sie SLB-NAT-Regeln, Site-to-Site-Gateway-Tunnel oder Layer-3-Weiterleitung einrichten, um das Routing zwischen virtuellen und physischen Workloads zu ermöglichen.
Darüber hinaus können Sie mit dem Manager für virtuelle Computer (Virtual Machine Manager, VMM) auch eine SDN-Infrastruktur bereitstellen. Weitere Informationen finden Sie unter Einrichten einer SDN-Infrastruktur (Software Defined Network) in der VMM-Struktur.
Vor der Bereitstellung
Wichtig
Vor der Bereitstellung müssen Sie Ihre Hosts und Ihre physische Netzwerkinfrastruktur planen und konfigurieren. Weitere Informationen finden Sie unter Planen einer softwaredefinierten Netzwerkinfrastruktur.
Auf allen Hyper-V-Hosts muss Windows Server 2019 oder 2016 installiert sein.
Bereitstellungsschritte
Konfigurieren Sie zunächst den virtuellen Hyper-V-Switch und die IP-Adresszuweisung des Hyper-V-Hosts (physische Server). Es kann jeder Speichertyp, ob geteilt oder lokal, verwendet werden, der mit Hyper-V kompatibel ist.
Installieren des Host-Netzwerks
Installieren Sie die neuesten Netzwerktreiber, die für Ihre NIC-Hardware verfügbar sind.
Installieren Sie die Hyper-V-Rolle auf allen Hosts. Weitere Informationen finden Sie unter Installieren der Hyper-V-Rolle auf Windows Server.
Install-WindowsFeature -Name Hyper-V -ComputerName <computer_name> -IncludeManagementTools -Restart
Erstellen Sie den virtuellen Hyper-V-Switch.
Verwenden Sie denselben Switch-Namen für alle Hosts, z. B. sdnSwitch. Konfigurieren Sie mindestens einen Netzwerkadapter, oder konfigurieren Sie bei Verwendung von SET mindestens zwei Netzwerkadapter. Die maximale Verteilung der eingehenden Daten erfolgt bei Verwendung von zwei NICs.
New-VMSwitch "<switch name>" -NetAdapterName "<NetAdapter1>" [, "<NetAdapter2>" -EnableEmbeddedTeaming $True] -AllowManagementOS $True
Tipp
Sie können die Schritte 4 und 5 überspringen, wenn Sie über separate Verwaltungs-NICs verfügen.
Lesen Sie das Thema Planen einer softwaredefinierten Netzwerkinfrastruktur, und arbeiten Sie mit Ihrem Netzwerkadministrator zusammen, um die VLAN-ID des Verwaltungs-VLANs zu erhalten. Fügen Sie die Verwaltungs-vNIC des neu erstellten virtuellen Switches an das Verwaltungs-VLAN an. Dieser Schritt kann weggelassen werden, wenn Ihre Umgebung keine VLAN-Tags verwendet.
Set-VMNetworkAdapterIsolation -ManagementOS -IsolationMode Vlan -DefaultIsolationID <Management VLAN> -AllowUntaggedTraffic $True
Lesen Sie das Planungsthema Planen einer softwaredefinierte Netzwerkinfrastruktur, und arbeiten Sie mit Ihrem Netzwerkadministrator zusammen, um entweder DHCP- oder statische IP-Zuweisungen zu verwenden, damit der Verwaltungs-vNIC des neu erstellten vSwitch eine IP-Adresse zugewiesen werden kann. Das folgende Beispiel zeigt, wie Sie eine statische IP-Adresse erstellen und sie der Verwaltungs-vNIC des vSwitch zuweisen:
New-NetIPAddress -InterfaceAlias "vEthernet (<switch name>)" -IPAddress <IP> -DefaultGateway <Gateway IP> -AddressFamily IPv4 -PrefixLength <Length of Subnet Mask - for example: 24>
[Optional] Stellen Sie einen virtuellen Computer bereit, um Active Directory Domain Services Installieren von Active Directory Domain Services (Ebene 100) und einen DNS-Server zu hosten.
a. Verbinden Sie den virtuellen Active Directory-/DNS-Server-Computer mit dem Verwaltungs-VLAN:
Set-VMNetworkAdapterIsolation -VMName "<VM Name>" -Access -VlanId <Management VLAN> -AllowUntaggedTraffic $True
b. Installieren von Active Directory Domain Services und DNS.
Hinweis
Der Netzwerkcontroller unterstützt Authentifizierungszertifikate sowohl für Kerberos als auch für X.509. In diesem Leitfaden werden beide Authentifizierungsmechanismen für unterschiedliche Zwecke verwendet (obwohl nur einer erforderlich ist).
Verknüpfen Sie alle Hyper-V-Hosts mit der Domäne. Stellen Sie sicher, dass der DNS-Servereintrag für den Netzwerkadapter, dessen IP-Adresse dem Verwaltungsnetzwerk zugewiesen ist, auf einen DNS-Server verweist, der den Domänennamen auflösen kann.
Set-DnsClientServerAddress -InterfaceAlias "vEthernet (<switch name>)" -ServerAddresses <DNS Server IP>
a. Klicken Sie mit Rechtsklick auf Start, wählen Sie System und dann Einstellungen ändern aus. Einstellungen ändern b. Wählen Sie Ändern aus. c. Wählen Sie Domäne aus, und geben Sie den Domänennamen an. d. Wählen Sie OK aus. Geben Sie den Benutzernamen und das Kennwort ein, wenn Sie dazu aufgefordert werden. f. Starten Sie den Server neu.
Überprüfen
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Hostnetzwerk ordnungsgemäß eingerichtet ist.
Stellen Sie sicher, dass der VM-Switch erfolgreich erstellt wurde:
Get-VMSwitch "<switch name>"
Überprüfen Sie, ob die Verwaltungs-vNIC auf dem VM-Switch mit dem Verwaltungs-VLAN verbunden ist:
Hinweis
Nur relevant, wenn Datenverkehr der Verwaltung und des Mandanten dieselbe NIC nutzen.
Get-VMNetworkAdapterIsolation -ManagementOS
Überprüfen Sie alle Hyper-V-Hosts und externen Verwaltungsressourcen, z. B. DNS-Server. Stellen Sie sicher, dass sie über Ping mit ihrer Verwaltungs-IP-Adresse und/oder ihrem vollqualifizierten Domänennamen (FQDN) erreichbar sind.
ping <Hyper-V Host IP> ping <Hyper-V Host FQDN>
Führen Sie den folgenden Befehl auf dem Bereitstellungshost aus und geben Sie den FQDN jedes Hyper-V-Hosts an, um sicherzustellen, dass die verwendeten Kerberos-Anmeldeinformationen den Zugriff auf alle Server ermöglichen.
winrm id -r:<Hyper-V Host FQDN>
Ausführen der SDN Express-Skripts
Wechseln Sie zum Microsoft SDN GitHub-Repository für die Installationsdateien.
Laden Sie die Dateien aus dem Repository auf Ihren Bereitstellungscomputer herunter. Klicken Sie auf Klonen oder Herunterladen und dann auf ZIP-Datei herunterladen.
Hinweis
Auf dem Bereitstellungscomputer muss Windows Server 2016 oder höher ausgeführt werden.
Entpacken Sie die ZIP-Datei und kopieren Sie den Ordner SDNExpress in den Ordner des Bereitstellungscomputers
C:\
.Geben Sie den Ordner
C:\SDNExpress
als „SDNExpress“ mit der Berechtigung Jeder zum Lesen/Schreiben frei.Navigieren Sie zum Ordner
C:\SDNExpress
.Folgende Ordner werden dann angezeigt:
Ordnername Beschreibung AgentConf Enthält neue Kopien von OVSDB-Schemas, die vom SDN-Host-Agent auf jedem Windows Server 2016 Hyper-V-Host zum Programmieren der Netzwerkrichtlinie verwendet werden. Zertifikate Temporärer freigegebener Speicherort für die NC-Zertifikatdatei. Bilder Leer, platzieren Sie ihr Windows Server 2016 vhdx-Bild hier Tools Hilfsprogramme für die Problembehandlung und das Debuggen. Kopiert auf die Hosts und virtuellen Computer. Es wird empfohlen, Network Monitor oder Wireshark hier zu platzieren, damit sie bei Bedarf verfügbar sind. Skripts Bereitstellungsskripts. - SDNExpress.ps1
Implementiert und konfiguriert die Fabric, einschließlich der Netzwerkcontroller der virtuellen Computer, der SLB-Mux der virtuellen Computer, der Gateway-Pools und den HNV-Gateway der virtuellen Computer, die den Pools entsprechen.
- FabricConfig.psd1
Eine Vorlage für eine Konfigurationsdatei für das SDNExpress-Skript. Sie passen dies an Ihre Umgebung an.
- SDNExpressTenant.ps1
Setzt einen Beispiel-Mandanten-Workload in einem virtuellen Netzwerk mit einem lastverteilten VIP ein.
Stellt außerdem eine oder mehrere Netzwerkverbindungen (IPSec S2S VPN, GRE, L3) auf den Edge-Gateways des Service Providers bereit, die mit dem zuvor erstellten Mandanten-Workload verbunden sind. Die IPSec- und GRE-Gateways sind für die Verbindung über die entsprechende VIP-IP-Adresse verfügbar und das L3-Weiterleitungs-Gateway über den entsprechenden Adresspool.
Dieses Skript kann auch zum Löschen der entsprechenden Konfiguration mit einer Rückgängig-Option verwendet werden.
- TenantConfig.psd1
Eine Vorlagenkonfigurationsdatei für die Arbeitslast des Mandanten und die Konfiguration des S2S-Gateways.
- SDNExpressUndo.ps1
Bereinigt die Fabric-Umgebung und setzt sie auf einen Startzustand zurück.
- SDNExpressEnterpriseExample.ps1
Stellt eine oder mehrere Unternehmensumgebungen mit einem Remote Access Gateway und (optional) einem entsprechenden virtuellen Computer des Unternehmens pro Standort bereit. Die IPSec- oder GRE-Gateways des Unternehmens verbinden sich mit der entsprechenden VIP-IP-Adresse des Service Provider-Gateways, um die S2S-Tunnel aufzubauen. Das L3-Weiterleitungs-Gateway stellt die Verbindung über die entsprechende Peer-IP-Adresse her.
Dieses Skript kann auch zum Löschen der entsprechenden Konfiguration mit einer Rückgängig-Option verwendet werden.
- EnterpriseConfig.psd1
Eine Vorlagenkonfigurationsdatei für das Enterprise Site-to-Site-Gateway und die Client-VM-Konfiguration.TenantApps Dateien, die für die Bereitstellung von Beispiel-Mandanten-Workloads verwendet werden. Vergewissern Sie sich, dass sich die Windows Server 2016 VHDX-Datei im Ordner Images befindet.
Passen Sie die Datei SDNExpress\scripts\FabricConfig.psd1 an, indem Sie die << Replace-Tags >> durch spezifische Werte ersetzen, die zu Ihrer Lab-Infrastruktur passen, einschließlich Hostnamen, Domänennamen, Benutzernamen und Kennwörtern sowie Netzwerkinformationen für die unter dem Thema Netzwerkplanung aufgeführten Netzwerke.
Erstellen Sie einen Host A-Eintrag im DNS für den NetworkControllerRestName (FQDN) und NetworkControllerRestIP.
Führen Sie das Skript als Benutzer mit Domänenadministrator-Zugangsdaten aus:
SDNExpress\scripts\SDNExpress.ps1 -ConfigurationDataFile FabricConfig.psd1 -Verbose
Führen Sie den folgenden Befehl aus, um alle Vorgänge rückgängig zu machen:
SDNExpress\scripts\SDNExpressUndo.ps1 -ConfigurationDataFile FabricConfig.psd1 -Verbose
Überprüfen
Vorausgesetzt, dass das SDN Express-Skript fehlerfrei ausgeführt wurde, können Sie den folgenden Schritt ausführen, um sicherzustellen, dass die Fabric-Ressourcen korrekt bereitgestellt wurden und für die Bereitstellung von Mandanten verfügbar sind.
Verwenden Sie Diagnosetools, um sicherzustellen, dass keine Fehler für Fabric-Ressourcen im Netzwerkcontroller vorliegen.
Debug-NetworkControllerConfigurationState -NetworkController <FQDN of Network Controller Rest Name>
Implementieren Sie einen Beispiel-Mandanten-Workload mit dem Software Load Balancer
Nachdem Fabric-Ressourcen bereitgestellt wurden, können Sie die End-to-End-Bereitstellung ihrer SDN-Bereitstellung überprüfen, indem Sie eine Beispiel-Mandanten-Workload bereitstellen. Dieser Mandanten-Workload besteht aus zwei virtuellen Subnetzen (Webebene und Datenbankebene), die über Access Control List-Regeln (ACL) mithilfe der verteilten SDN-Firewall geschützt sind. Auf das virtuelle Subnetz der Webebene kann über die SLB/MUX-Adresse über eine virtuelle IP-Adresse (VIP) zugegriffen werden. Das Skript richtet automatisch zwei virtuelle Computer der Webebene und einen virtuellen Computer der Datenbankebene ein und verbindet diese mit den virtuellen Subnetzen.
Passen Sie die Datei SDNExpress\scripts\TenantConfig.psd1 an, indem Sie die << Replace-Tags >> durch bestimmte Werte ersetzen (zum Beispiel: VHD-Image-Name, Netzwerkcontroller-REST-Name, vSwitch-Name usw. wie zuvor in der Datei FabricConfig.psd1 definiert)
Führen Sie das Skript aus. Zum Beispiel:
SDNExpress\scripts\SDNExpressTenant.ps1 -ConfigurationDataFile TenantConfig.psd1 -Verbose
Möchten Sie die Konfiguration rückgängig machen, führen Sie dasselbe Skript mit dem Parameter Undo (Rückgängig machen) aus. Zum Beispiel:
SDNExpress\scripts\SDNExpressTenant.ps1 -Undo -ConfigurationDataFile TenantConfig.psd1 -Verbose
Überprüfen
Gehen Sie wie folgt vor, um zu überprüfen, ob die Bereitstellung des Mandanten erfolgreich war:
Melden Sie sich beim virtuellen Computer auf Datenbankebene an, und versuchen Sie, die IP-Adresse eines virtuellen Computers auf Webebene zu pingen (stellen Sie sicher, dass die Windows-Firewall auf virtuellen Computern auf Webebene deaktiviert ist).
Überprüfen Sie die Netzwerkcontroller-Mandantenressourcen auf eventuelle Fehler. Führen Sie den folgenden Befehl von einem beliebigen Hyper-V-Host mit Layer-3-Verbindung zum Netzwerkcontroller aus:
Debug-NetworkControllerConfigurationState -NetworkController <FQDN of Network Controller REST Name>
Führen Sie den folgenden Befehl von einem beliebigen Hyper-V-Host aus, um zu überprüfen, ob der Load Balancer korrekt funktioniert:
wget <VIP IP address>/unique.htm -disablekeepalive -usebasicparsing
wobei
<VIP IP address>
die VIP-IP-Adresse der Webebene ist, die Sie in der Datei TenantConfig.psd1 konfiguriert haben.Tipp
Suchen Sie die Variable
VIPIP
in TenantConfig.psd1.Führen Sie diesen Vorgang mehrmals aus, um zu sehen, wie der Load Balancer zwischen den verfügbaren DIPs wechselt. Sie können dieses Verhalten auch mithilfe eines Webbrowsers beobachten. Navigieren Sie zu
<VIP IP address>/unique.htm
. Schließen Sie den Browser, öffnen Sie eine neue Seite und suchen Sie erneut. Die blaue und die grüne Seite wechseln sich ab, es sei denn, der Browser speichert die Seite zwischen, bevor der Cache abläuft.