Einrichten eines SDN-RAS-Gateways im VMM-Fabric

In diesem Artikel wird beschrieben, wie Sie ein SDN-RAS-Gateway (Software Defined Network, SDN) im Virtual Machine Manager-Fabric (VMM) von System Center einrichten.

Ein SDN-RAS-Gateway ist ein Datenpfadelement in SDN, die Standort-zu-Standort-Konnektivität zwischen zwei autonomen Systemen ermöglicht. Insbesondere ermöglicht ein RAS-Gateway die Site-to-Site-Konnektivität zwischen Remotemandantennetzwerken und Ihrem Rechenzentrum mithilfe von IPSec, generic Routing Encapsulation (GRE) oder Layer 3 Forwarding. Weitere Informationen.

Hinweis

VMM 2022 bietet Unterstützung für duale Stapel für RAS-Gateways.

Vorbereitung

Stellen Sie Folgendes sicher, bevor Sie beginnen:

• Planung: Informieren Sie sich über die Planung eines durch Software definierten Netzwerks (software defined network, SDN), und sehen Sie sich die Planungstopologie in diesem Dokument an. Das Diagramm zeigt als Beispiel ein Setup mit 4 Knoten. Das Setup ist hochverfügbar mit drei Netzwerkcontrollerknoten (VM) und drei SLB/MUX-Knoten. Es zeigt zwei Mandanten mit einem virtuellen Netzwerk, das in zwei virtuelle Subnetze unterteilt ist, um eine Webebene und eine Datenbankebene zu simulieren. Sowohl die Infrastruktur als auch die virtuellen Maschinen der Mandanten können auf jedem physischen Host neu verteilt werden.
• Netzwerkcontroller: Vor dem Bereitstellen des RAS-Gateways müssen Sie zunächst den Netzwerkcontroller bereitstellen.
• SLB: Um sicherzustellen, dass Abhängigkeiten richtig verarbeitet werden, müssen Sie vor dem Einrichten des Gateways außerdem einen SLB bereitstellen. Wenn SLB und ein Gateway konfiguriert sind, können Sie eine IPsec-Verbindung verwenden und überprüfen.
• Eine Dienstvorlage: VMM verwendet eine Dienstvorlage zum Automatisieren der Gatewaybereitstellung. Dienstvorlagen für den unterstützen auf VMs der Generation 1 und 2 eine Bereitstellung mit mehreren Knoten.

Bereitstellungsschritte

Gehen Sie zum Einrichten eines RAS-Gateways folgendermaßen vor:

1. Herunterladen der Vorlage: Laden Sie die Dienstvorlage herunter, die Sie für die Bereitstellung des Gateways benötigen

2. Erstellen eines logischen VIP-Netzwerks: Erstellen Sie ein logisches GRE-VIP-Netzwerk. Es benötigt einen IP-Adresspool für private VIPs und zum Zuweisen von VIPs zu GRE-Endpunkten. Das Netzwerk ist für die Definition von VIPs vorgesehen, die für eine Standort-zu-Standort-GRE-Verbindung Gateway-VMs zugewiesen sind, die im SDN-Fabric ausgeführt werden.

   Hinweis

   Fügen Sie dem Netzwerkstandort beim Erstellen des logischen GRE-VIP-Netzwerks das IPv6-Subnetz hinzu, und erstellen Sie einen IPv6-Adresspool, um die Unterstützung für duale Stapel zu aktivieren (gilt für 2022 und höher).

3. Importieren der Dienstvorlage: Importieren Sie die Dienstvorlage für das RAS-Gateway.

4. Bereitstellen des Gateways: Stellen Sie eine Gatewaydienstinstanz bereit, und konfigurieren Sie deren Eigenschaften.

5. Überprüfen der Bereitstellung: Konfigurieren Sie Standort-zu-Standort-GRE, IPSec oder L3, und überprüfen Sie die Bereitstellung.

Herunterladen der Dienstvorlage

1. Laden Sie den SDN-Ordner aus dem Microsoft SDN GitHub-Repository herunter, und kopieren Sie sie Vorlagen aus VMMVorlagenGW in den lokalen Pfad auf dem VMM-Server.
2. Extrahieren Sie den Inhalt in einen Ordner auf einem lokalen Computer. Sie werden ihn später in die Bibliothek importieren.

Der Download enthält zwei Vorlagen:

• Die VM-Vorlage „EdgeServiceTemplate_Generation 1 VM.xml“ dient zum Bereitstellen des Gatewaydiensts auf virtuellen Maschinen der Generation 1.
• Der EdgeServiceTemplate_Generation 2 VM.xml dient zum Bereitstellen des GW-Diensts auf virtuellen Computern der 2. Generation.

Beide Vorlagen verfügen über eine Standardanzahl von drei virtuellen Computern, die im Dienstvorlagen-Designer geändert werden können.

Erstellen des logischen GRE-VIP-Netzwerks

1. Starten Sie in der VMM-Konsole den Assistenten zum Erstellen eines logischen Netzwerks. Geben Sie einen Namen ein, geben Sie optional eine Beschreibung an, und wählen Sie Weiter aus.

2. Wählen Sie unter Einstellungendie Option Verbundenes Netzwerk aus, wählen Sie Vom Netzwerkcontroller verwaltet und dann Weiter aus.

3. Legen Sie unter Netzwerkstandort die folgenden Einstellungen fest:

   Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz: 31.30.30.0
   • Maske: 24
   • VLAN-ID auf Trunk: NA
   • Gateway: 31.30.30.1

4. Um IPv4 zu verwenden, fügen Sie dem Netzwerkstandort das IPv4-Subnetz hinzu, und erstellen Sie einen IPv4-Adresspool. Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz:
   • Maske:
   • VLAN-ID auf Trunk: NA
   • Gateway:

5. Um IPv6 zu verwenden, fügen Sie dem Netzwerkstandort das IPv4- und das IPv6-Subnetz hinzu, und erstellen Sie einen IPv6-Adresspool. Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz: FD4A:293D:184F:382C::
   • Maske: 64
   • VLAN-ID auf Trunk: NA
   • Gateway: FD4A:293D:184F:382C::1

6. Überprüfen Sie die Einstellungen unter Zusammenfassung, und beenden Sie den Assistenten.

Erstellen eines IP-Adresspools für GRE-VIP-Adressen

Hinweis

Sie können einen IP-Adresspool mit dem Assistenten zum Erstellen logischer Netzwerke erstellen.

1. Klicken Sie mit der rechten Maustaste auf das logische GRE-VIP-Netzwerk und dann auf >>.
2. Geben Sie einen Namen ein und optional eine Beschreibung für den Pool. Überprüfen Sie, dass das VIP-Netzwerk ausgewählt ist. Wählen Sie Weiter aus.
3. Übernehmen Sie den Standardnetzwerkstandort, und wählen Sie Weiter aus.

4. Falls Sie ein IPv6-Subnetz erstellt haben, erstellen Sie einen separaten IPv6-GRE-VIP-Adresspool.
5. Wählen Sie eine Start- und End-IP-Adresse für den Bereich aus. Starten Sie den Bereich an der zweiten Adresse Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z.B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .2. Verwenden Sie zum Angeben des VIP-Bereichs nicht die verkürzte Form der IPv6-Adresse. Verwenden Sie das Format 2001:db8:0:200:0:0:0:7 anstelle von 2001:db8:0:200::7.
6. Geben Sie in das Feld Für Lastenausgleichs-VIPs reservierte IP-Adressen den Bereich der IP-Adressen im Subnetz ein. Dies sollte dem Bereich entsprechen, den Sie für die Start- und End-IP-Adressen verwendet haben.
7. Sie müssen keine Gateway-, DNS- oder WINS-Informationen angeben, da dieser Pool zum Zuordnen von IP-Adressen für VIPs nur über den Netzwerkcontroller verwendet wird. Wählen Sie Weiter aus, um diese Bildschirme zu überspringen.
8. Überprüfen Sie die Einstellungen unter Zusammenfassung, und beenden Sie den Assistenten.

Importieren der Dienstvorlage

1. Wählen SieBibliotheksimportvorlage> aus.
2. Wechseln Sie zum Dienstvorlagenordner. Wählen Sie als Beispiel die Datei EdgeServiceTemplate Generation 2.xml aus.
3. Passen Sie die Parameter für Ihre Umgebung an, wenn Sie die Dienstvorlage importieren.

Hinweis

Die Bibliotheksressourcen wurden während der Bereitstellung des Netzwerkcontrollers importiert.

• WinServer.vhdx: Wählen Sie das Image der virtuellen Festplatte aus, das Sie zuvor während der Bereitstellung des Netzwerkcontrollers vorbereitet und importiert haben.
• EdgeDeployment.CR: Ordnen Sie diese Ressource der Bibliotheksressource „EdgeDeployment.cr“ in der VMM-Bibliothek zu.

4. Überprüfen Sie auf der Seite Zusammenfassung die Details, und wählen Sie Importieren aus.

   Hinweis

   Sie können die Dienstvorlage anpassen. Weitere Informationen

Bereitstellen des Gatewaydiensts

Um IPv6 zu aktivieren, aktivieren Sie beim Onboarding des Gatewaydiensts das Kontrollkästchen IPv6 aktivieren , und wählen Sie das zuvor erstellte IPv6 GRE VIP-Subnetz aus. Wählen Sie außerdem den öffentlichen IPv6-Pool aus, und geben Sie die öffentliche IPv6-Adresse an.

In diesem Beispiel wird eine Vorlage der Generation 2 verwendet.

1. Wählen Sie die Dienstvorlage EdgeServiceTemplate Generation2.xml und dann Bereitstellung konfigurieren aus.

2. Geben Sie einen Namen ein, und wählen Sie ein Ziel für den Dienst instance aus. Das Ziel muss zu einer Hostgruppe gehören, in der die zuvor für die Bereitstellung eines Gateways konfigurierten Hosts enthalten sind.

3. Ordnen Sie unter Netzwerkeinstellungen das Verwaltungsnetzwerk dem VM-Verwaltungsnetzwerk zu.

   Hinweis

   Das Dialogfeld Dienst bereitstellen wird angezeigt, nachdem die Zuordnung abgeschlossen ist. Es ist normal, dass die Instanzen des virtuellen Computers zunächst in Rot angezeigt werden. Wählen Sie Vorschau aktualisieren aus, um automatisch geeignete Hosts für den virtuellen Computer zu finden.

4. Konfigurieren Sie links des Fensters Bereitstellung konfigurieren die folgenden Einstellungen:

   • AdminAccount. Erforderlich. Wählen Sie ein ausführendes Konto aus, das als lokaler Administrator auf den Gateway-VMs verwendet wird.
   • Verwaltungsnetzwerk. Erforderlich. Wählen Sie das Management-VM-Netzwerk aus, das Sie für die Verwaltung von Hosts erstellt haben.
   • Verwaltungskonto Erforderlich. Wählen Sie ein ausführendes Konto mit der Berechtigung zum Hinzufügen des Gateways zur Active Directory-Domäne, die dem Netzwerkcontroller zugeordnet ist. Dies kann dasselbe Konto sein, das in MgmtDomainAccount bei der Bereitstellung des Netzwerkcontrollers verwendet wurde.
   • FQDN Erforderlich. Der FQDN für die Active Directory-Domäne für das Gateway.

5. Wählen Sie Dienst bereitstellen aus, um mit dem Dienstbereitstellungsauftrag zu beginnen.

   Hinweis

   • Die Bereitstellungszeit variiert je nach Hardware, liegt jedoch in der Regel zwischen 30 und 60 Minuten. Wenn bei der Gatewaybereitstellung ein Fehler auftritt, löschen Sie die fehlerhaften Dienstinstanzen unter Alle HostsDienste, bevor Sie die Bereitstellung wiederholen.

   • Wenn Sie keine volumenlizenzierte VHDX verwenden (oder der Product Key nicht über eine Antwortdatei zur Verfügung gestellt wird), wird die Bereitstellung während der Bereitstellung der virtuellen Maschinen auf der Seite Product Key angehalten. Sie müssen manuell auf den VM-Desktop zugreifen und entweder den Schlüssel eingeben oder überspringen.

   • Wenn Sie eine bereitgestellte SLB-instance hochskalieren oder horizontal hochskalieren möchten, lesen Sie diesen Blog.

Einschränkungen für Gateway

Für Gateways, die von einem Netzwerkcontroller verwaltet werden, gelten die folgenden Standardgrenzwerte:

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Hinweis

Für ein virtualisiertes SDNv2-Netzwerk wird für jedes VM-Netzwerk ein internes Routingsubnetz erstellt. Der Grenzwert MaxVMSubnetsSupported schließt die internen Subnetze ein, die für VM-Netzwerke erstellt wurden.

Sie können die für das verwaltete Netzwerkcontrollergateway festgelegten Standardgrenzwerte außer Kraft setzen. Wenn Sie jedoch den Grenzwert auf eine höhere Anzahl festlegen, kann sich dies auf die Leistung des Netzwerkcontrollers auswirken.

Außerkraftsetzen der Gatewaygrenzwerte

Um die Standardgrenzwerte außer Kraft zu setzen, hängen Sie die Außerkraftsetzungszeichenfolge an die Verbindungszeichenfolge des Netzwerkcontrollerdiensts an und führen in VMM eine Aktualisierung durch.

• MaxVMNetworksSupported= gefolgt von der Anzahl von VM-Netzwerken, die mit diesem Gateway verwendet werden können.
• MaxVPNConnectionsPerVMNetwork= gefolgt von der Anzahl von VPN-Verbindungen, die pro VM-Netzwerk mit diesem Gateway erstellt werden können.
• MaxVMSubnetsSupported= gefolgt von der Anzahl von VM-Subnetzwerken, die mit diesem Gateway verwendet werden können.
• MaxVPNConnectionsSupported= gefolgt von der Anzahl von VPN-Verbindungen, die mit diesem Gateway verwendet werden können.

Beispiel:

Um die maximal zulässige Anzahl von VM-Netzwerken, die mit dem Gateway verwendet werden können, außer Kraft zu setzen und auf 100 festzulegen, aktualisieren Sie die Verbindungszeichenfolge wie folgt:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Konfigurieren der Gateway-Manager-Rolle

Nachdem der Gatewaydienst bereitgestellt wurde, können Sie die Eigenschaften konfigurieren und dem Netzwerkcontrollerdienst zuordnen.

1. Wählen SieFabric-Netzwerkdienst> aus, um die Liste der installierten Netzwerkdienste anzuzeigen. Klicken Sie mit der rechten Maustaste auf den Netzwerkcontrollerdienst und dann auf >.

2. Wählen Sie die Registerkarte Dienste und dann die Rolle Gateway-Manager aus.

3. Suchen Sie das Feld Zugeordneter Dienst unter Dienstinformationen, und wählen Sie Durchsuchen aus. Wählen Sie den Gatewaydienst aus, instance Sie zuvor erstellt haben, und klicken Sie auf OK.

4. Wählen Sie das ausführende Konto aus, das vom Netzwerkcontroller für den Zugriff auf Gateway-VMs verwendet wird.

   Hinweis

   Das ausführende Konto muss über Administratorrechte auf den Gateway-VMs verfügen.

5. Wählen Sie in GRE-VIP-Subnetz das VIP-Subnetz aus, das Sie zuvor erstellt haben.

6. Wählen Sie zum Aktivieren der IPv4-Unterstützung unter Öffentlicher IPv4-Pool den Pool aus, den Sie im Rahmen der SLB-Bereitstellung konfiguriert haben. Geben Sie unter Öffentliche IPv4-Adresse eine IP-Adresse aus dem vorherigen Pool ein, und stellen Sie sicher, dass Sie nicht die ersten drei IP-Adressen aus dem Bereich auswählen.

7. Um die IPv6-Unterstützung zu aktivieren, aktivieren Sie unter Netzwerkcontrollereigenschaftendienste> das Kontrollkästchen IPv6 aktivieren, wählen Sie das zuvor erstellte IPv6 GRE VIP-Subnetz aus, und geben Sie den öffentlichen IPv6-Pool bzw. die öffentliche IPv6-Adresse ein. Wählen Sie außerdem das IPv6-Front-End-Subnetz aus, das den virtuellen Gatewaycomputern zugewiesen wird.

   

8. Konfigurieren Sie unter Gatewaykapazität die Kapazitätseinstellungen.

   Die Gatewaykapazität (Mbit/s) steht für die normale TCP-Bandbreite, die von der Gateway-VM erwartet wird. Diesen Parameter müssen Sie abhängig von Ihrer zugrundeliegenden Netzwerkgeschwindigkeit anpassen.

   IPsec-Tunnelbandbreite ist auf (3/20) der Gatewaykapazität beschränkt. Das bedeutet, dass die entsprechende IPsec-Tunnelkapazität bei einer Gatewaykapazität von 1000 Mbit/s auf 150 MBit/s beschränkt wäre.

   Hinweis

   Die Bandbreitenbegrenzung ist der Gesamtwert der eingehenden und ausgehenden Bandbreite.

   Die entsprechenden Verhältnisse für GRE- und L3-Tunnel sind 1/5 bzw. 1/2.

9. Konfigurieren Sie die Anzahl der reservierten Knoten für die Sicherung im Feld Knoten für reserviert für Fehler.

10. Um einzelne Gateway-VMs zu konfigurieren, wählen Sie jeden virtuellen Computer aus, wählen Sie das IPv4-Front-End-Subnetz aus, geben Sie den lokalen ASN an, und fügen Sie optional die Peeringgeräteinformationen für den BGP-Peer hinzu.

Hinweis

Sie müssen die Gateway-BGP-Peers konfigurieren, wenn Sie GRE-Verbindungen verwenden möchten.

Die von Ihnen bereitgestellte Dienstinstanz ist nun der Gateway-Manager-Rolle zugeordnet. Die Gateway-VM-Instanz sollte nun darunter angezeigt werden.

Hinweis

Sie müssen die Gateway-BGP-Peers konfigurieren, wenn Sie GRE-Verbindungen verwenden möchten.

Die von Ihnen bereitgestellte Dienstinstanz ist nun der Gateway-Manager-Rolle zugeordnet. Die Gateway-VM-Instanz sollte nun darunter angezeigt werden.

Überprüfen der Bereitstellung

Nachdem Sie das Gateway bereitgestellt haben, können Sie S2S-GRE, S2S-IPSec- oder L3-Verbindungstypen konfigurieren und überprüfen. Weitere Informationen finden Sie in den folgenden Inhalten:

• Create and validate site-to-site IPSec connections (Erstellen und Überprüfen von Standort-zu-Standort-IPSec-Verbindungen)
• Erstellen und Überprüfen von Standort-zu-Standort-GRE-Verbindungen
• Create and validate L3 connections (Erstellen und Überprüfen von L3-Verbindungen)

Weitere Informationen zu Verbindungstypen finden Sie hier.

Einrichten des Datenverkehrsselektors von PowerShell

Hier erfahren Sie, wie Sie die Datenverkehrsauswahl mithilfe der VMM PowerShell einrichten.

1. Erstellen Sie de Datenverkehrsselektor mit den folgenden Parametern.

   Hinweis

   Die verwendeten Werte sind nur Beispiele.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Konfigurieren Sie den oben genannten Datenverkehrsselektor mithilfe des Parameters -LocalTrafficSelectors von Add-SCVPNConnection oder Set-SCVPNConnection.

Entfernen des Gateways vom SDN-Fabric

Befolgen Sie diese Schritte zum Entfernen des Gateways vom SDN-Fabric.