Freigeben über


Verwalten von Azure Stack HCI-Gatewayverbindungen

Gilt für: Azure Stack HCI, Versionen 23H2 und 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Artikel wird beschrieben, wie Sie Gatewayverbindungen mithilfe von Windows Admin Center erstellen, löschen und aktualisieren, nachdem Sie softwaredefinierte Netzwerke (Software Defined Networking, SDN) bereitgestellt haben. Gateways werden verwendet, um Netzwerkdatenverkehr zwischen einem virtuellen Netzwerk und einem anderen Netzwerk (lokal oder remote) weiterzuleiten. Es gibt drei Arten von Gatewayverbindungen: IPsec (Internet Protocol Security), GRE (Generic Routing Encapsulation) und L3 (Layer 3).

Hinweis

Sie müssen SDN-Gateways bereitstellen, bevor Sie eine Gatewayverbindung erstellen können. Darüber hinaus müssen Sie SLBs (Software Load Balancers) bereitstellen, bevor Sie eine IPsec-Verbindung erstellen können.

Weitere Informationen zu Gateways für SDN finden Sie unter Was ist das RAS-Gateway für SDN? Weitere Informationen zur SDN-Bereitstellung finden Sie unter Bereitstellen einer SDN-Infrastruktur mit SDN Express.

Erstellen einer neuen IPsec-Gatewayverbindung

IPsec-Gatewayverbindungen werden verwendet, um sichere, siteübergreifend verschlüsselte Verbindungen zwischen virtuellen SDN-Netzwerken und externen Kundennetzwerken über das Internet zu ermöglichen.

SDN-IPsec-Gatewayverbindung.

  1. Wählen Sie in Windows Admin Center unter Alle Verbindungen den Cluster aus, auf dem Sie die Gatewayverbindung erstellen möchten.
  2. Scrollen Sie unter Extras nach unten zu Netzwerk, und wählen Sie Gatewayverbindungen aus.
  3. Wählen Sie unter Gatewayverbindungen die Registerkarte Bestand und dann Neu aus.
  4. Geben Sie unter Neue Gatewayverbindung erstellen einen Namen für die Verbindung ein.
  5. Wählen Sie eine Virtual Network aus, für die die Gatewayverbindung eingerichtet wird.
  6. Legen Sie den Verbindungstyp als IPSEC fest.
  7. Wählen Sie einen Gatewaypool für die Verbindung aus. Standardmäßig wird ein Gatewaypool mit dem Namen „DefaultAll“ erstellt. Sie können diesen auswählen oder einen neuen Gatewaypool erstellen. Sie können einen neuen Gatewaypool mithilfe des PowerShell-Cmdlets New-NetworkControllerGatewayPool erstellen. Dieses Cmdlet kann direkt auf den Netzwerkcontroller-VMs oder remote mit Anmeldeinformationen ausgeführt werden.
  8. Wählen Sie ein Gatewaysubnetz aus. Dies ist ein Subnetz in Ihrem virtuellen Netzwerk, das speziell für Gatewayverbindungen verwendet wird. IP-Adressen aus diesem Subnetz werden auf den Gateway-VMs bereitgestellt. Wenn Sie kein Gatewaysubnetz konfiguriert haben, fügen Sie es dem virtuellen Netzwerk hinzu, und erstellen Sie dann die Gatewayverbindung. Dieses Subnetz kann klein sein, z. B. mit dem Präfix /30, /29 oder /28.
  9. Geben Sie einen Wert für Maximal zulässige ausgehende Bandbreite (KBPS) und Maximal zulässige eingehende Bandbreite (KBPS) an. Achten Sie darauf, dass Sie einen Wert angeben, der der Gesamtkapazität des Gateways angemessen ist. Die Gesamtkapazität wird von Ihnen im Rahmen der Gatewaybereitstellung bereitgestellt. Weitere Informationen zur Gatewaykapazität und wie sich die Bandbreite der IPsec-Verbindung darauf auswirkt, finden Sie unter Berechnung der Gatewaykapazität.
  10. Geben Sie eine Ziel-IP-Adresse für die Verbindung an. Dies ist die öffentliche IP-Adresse Ihres Remotegateways.
  11. Fügen Sie Routen für Ihre Verbindung hinzu. Jede Route muss über eine Routenmetrik und ein Zielsubnetzpräfix verfügen. Alle Pakete, die für diese Subnetzpräfixe bestimmt sind, werden über die Gatewayverbindung übertragen.
  12. Geben Sie ein gemeinsames IPsec-Geheimnis für die Verbindung an. Dieses muss mit dem Authentifizierungstyp (vorinstalliertem Schlüssel) und dem auf dem Remotegateway konfigurierten gemeinsamen geheimen Schlüssel übereinstimmen.
  13. Geben Sie bei Bedarf erweiterte IPsec-Einstellungen an.
  14. Klicken Sie auf Erstellen, um die Verbindung zu konfigurieren.
  15. Überprüfen Sie in der Liste Gatewayverbindungen, ob der Konfigurationsstatus der Verbindung Erfolgreich ist.

Erstellen einer neuen GRE-Gatewayverbindung

GRE-basierte Tunnel ermöglichen Konnektivität zwischen virtuellen Mandantennetzwerken und externen Netzwerken. Da das GRE-Protokoll schlank ist und die Unterstützung für GRE auf den meisten Netzwerkgeräten verfügbar ist, ist es eine ideale Wahl für das Tunnelverfahren, bei dem keine Datenverschlüsselung erforderlich ist.

SDN GRE-Gatewayverbindung.

  1. Wählen Sie in Windows Admin Center unter Alle Verbindungen den Cluster aus, auf dem Sie die Gatewayverbindung erstellen möchten.
  2. Scrollen Sie unter Extras nach unten zu Netzwerk, und wählen Sie Gatewayverbindungen aus.
  3. Wählen Sie unter Gatewayverbindungen die Registerkarte Bestand und dann Neu aus.
  4. Geben Sie unter Neue Gatewayverbindung erstellen einen Namen für die Verbindung ein.
  5. Wählen Sie eine Virtual Network aus, für die die Gatewayverbindung eingerichtet wird.
  6. Legen Sie den Verbindungstyp als GRE fest.
  7. Wählen Sie einen Gatewaypool für die Verbindung aus. Standardmäßig wird ein Gatewaypool mit dem Namen „DefaultAll“ erstellt. Sie können diesen auswählen oder einen neuen Gatewaypool erstellen. Sie können einen neuen Gatewaypool mithilfe des PowerShell-Cmdlets New-NetworkControllerGatewayPool erstellen. Dieses Cmdlet kann direkt auf den Netzwerkcontroller-VMs oder remote mit Anmeldeinformationen ausgeführt werden.
  8. Wählen Sie ein Gatewaysubnetz aus. Dies ist ein Subnetz in Ihrem virtuellen Netzwerk, das speziell für Gatewayverbindungen verwendet wird. IP-Adressen aus diesem Subnetz werden auf den Gateway-VMs bereitgestellt. Wenn Sie kein Gatewaysubnetz konfiguriert haben, fügen Sie es dem virtuellen Netzwerk hinzu, und erstellen Sie dann die Gatewayverbindung. Dieses Subnetz kann klein sein, z. B. mit dem Präfix /30, /29 oder /28.
  9. Geben Sie einen Wert für Maximal zulässige ausgehende Bandbreite (KBPS) und Maximal zulässige eingehende Bandbreite (KBPS) an. Achten Sie darauf, dass Sie einen Wert angeben, der der Gesamtkapazität des Gateways angemessen ist. Die Gesamtkapazität wird von Ihnen im Rahmen der Gatewaybereitstellung bereitgestellt. Weitere Informationen zur Gatewaykapazität und wie sich die Bandbreite der GRE-Verbindung darauf auswirkt, finden Sie unter Berechnung der Gatewaykapazität.
  10. Geben Sie eine Ziel-IP-Adresse für die Verbindung an. Dies ist die öffentliche IP-Adresse Ihres Remotegateways.
  11. Fügen Sie Routen für Ihre Verbindung hinzu. Jede Route muss über eine Routenmetrik und ein Zielsubnetzpräfix verfügen. Alle Pakete, die für diese Subnetzpräfixe bestimmt sind, werden über die Gatewayverbindung übertragen.
  12. Geben Sie einen GRE-Schlüssel für die Verbindung an. Dieser muss mit dem GRE-Schlüssel übereinstimmen, der auf dem Remotegateway konfiguriert ist.
  13. Klicken Sie auf Erstellen, um die Verbindung zu konfigurieren.
  14. Überprüfen Sie in der Liste Gatewayverbindungen, ob der Konfigurationsstatus der Verbindung Erfolgreich ist.

Erstellen einer L3-Verbindung

L3-Weiterleitung ermöglicht Konnektivität zwischen der physischen Infrastruktur im Rechenzentrum und den virtuellen SDN-Netzwerken. Bei einer L3-Weiterleitungsverbindung können VMs des Mandantennetzwerks über das SDN-Gateway eine Verbindung mit einem physischen Netzwerk herstellen. In diesem Fall fungiert das SDN-Gateway als Router zwischen Ihrem virtuellen SDN-Netzwerk und dem physischen Netzwerk.

SDN L3-Gatewayverbindung.

  1. Wählen Sie in Windows Admin Center unter Alle Verbindungen den Cluster aus, auf dem Sie die Gatewayverbindung erstellen möchten.

  2. Scrollen Sie unter Extras nach unten zu Netzwerk, und wählen Sie Gatewayverbindungen aus.

  3. Wählen Sie unter Gatewayverbindungen die Registerkarte Bestand und dann Neu aus.

  4. Geben Sie unter Neue Gatewayverbindung erstellen einen Namen für die Verbindung ein.

  5. Wählen Sie eine Virtual Network aus, für die die Gatewayverbindung eingerichtet wird.

  6. Legen Sie den Verbindungstyp als L3 fest.

  7. Wählen Sie einen Gatewaypool für die Verbindung aus. Standardmäßig wird ein Gatewaypool mit dem Namen „DefaultAll“ erstellt. Sie können diesen auswählen oder einen neuen Gatewaypool erstellen. Sie können einen Gatewaypool auch mithilfe des PowerShell-Cmdlets New-NetworkControllerGatewayPool erstellen. Dieses Cmdlet kann direkt auf den Netzwerkcontroller-VMs oder remote mit Anmeldeinformationen ausgeführt werden.

  8. Wählen Sie ein Gatewaysubnetz aus. Dies ist ein Subnetz in Ihrem virtuellen Netzwerk, das speziell für Gatewayverbindungen verwendet wird. IP-Adressen aus diesem Subnetz werden auf den Gateway-VMs bereitgestellt. Wenn Sie kein Gatewaysubnetz konfiguriert haben, fügen Sie es dem virtuellen Netzwerk hinzu, und erstellen Sie dann die Gatewayverbindung. Dieses Subnetz kann klein sein, z. B. mit dem Präfix /30, /29 oder /28.

  9. Geben Sie einen Wert für Maximal zulässige ausgehende Bandbreite (KBPS) und Maximal zulässige eingehende Bandbreite (KBPS) an. Achten Sie darauf, dass Sie einen Wert angeben, der der Gesamtkapazität des Gateways angemessen ist. Die Gesamtkapazität wird von Ihnen im Rahmen der Gatewaybereitstellung bereitgestellt. Weitere Informationen zur Gatewaykapazität und wie sich die Bandbreite der L3-Verbindung darauf auswirkt, finden Sie unter Berechnung der Gatewaykapazität.

    Hinweis

    Bei L3-Verbindungen wird die maximale Bandbreite für ein- und ausgehende Verbindungen nicht erzwungen. Die bereitgestellten Werte werden jedoch weiterhin verwendet, um die verfügbare Gatewaykapazität zu reduzieren, damit keine Über- oder Unterbereitstellung des Gateways erfolgt.

  10. Fügen Sie Routen für Ihre Verbindung hinzu. Jede Route muss über eine Routenmetrik und ein Zielsubnetzpräfix verfügen. Alle Pakete, die für diese Subnetzpräfixe bestimmt sind, werden über die Gatewayverbindung übertragen.

  11. Wählen Sie ein Netzwerk für das logische L3-Netzwerk aus. Dieses stellt das physische Netzwerk dar, das mit dem virtuellen Netzwerk kommunizieren möchte. Sie müssen dieses Netzwerk als logisches SDN-Netzwerk konfigurieren.

  12. Wählen Sie Logisches L3-Netzwerk unter Logisches L3-Netzwerk aus. Stellen Sie sicher, dass für das Subnetz ein VLAN konfiguriert ist.

  13. Geben Sie eine IP-Adresse für L3-IP-Adresse/Subnetzmaske an. Diese muss zum logischen L3-Subnetz gehören, das Sie oben angegeben haben. Diese IP-Adresse wird auf der SDN-Gatewayschnittstelle konfiguriert. Die IP-Adresse muss im CIDR-Format (Classless Inter-Domain Routing) angegeben werden.

  14. Geben Sie eine L3-Peer-IP-Adresse an. Diese muss zum logischen L3-Subnetz gehören, das Sie oben angegeben haben. Diese IP-Adresse fungiert als nächster Hop, sobald der für das physische Netzwerk bestimmte Datenverkehr aus dem virtuellen Netzwerk das SDN-Gateway erreicht.

  15. Klicken Sie auf Erstellen, um die Verbindung zu konfigurieren.

  16. Überprüfen Sie in der Liste Gatewayverbindungen, ob der Konfigurationsstatus der Verbindung Erfolgreich ist.

    Hinweis

    Wenn Sie die Bereitstellung von L3-Gatewayverbindungen mit BGP-Routing planen, stellen Sie sicher, dass Sie die BGP-Schaltereinstellungen (Top of Rack, ToR) wie folgt konfiguriert haben:

    • update-source: Gibt die Quelladresse für BGP-Updates an, d. h. L3 VLAN. Beispiel: VLAN 250.
    • ebgp multihop: Dies gibt zusätzliche Hops an, die erforderlich sind, da der BGP-Nachbar mehr als einen Hop entfernt ist.

Anzeigen aller Gatewayverbindungen

Es ist einfach, alle Gatewayverbindungen Ihres Clusters anzuzeigen.

Zeigen Sie SDN-Gatewayverbindungen an.

  1. Wählen Sie in Windows Admin Center unter Alle Verbindungen den Cluster aus, für den Sie die Gatewayverbindungen anzeigen möchten.

  2. Scrollen Sie unter Extras nach unten zu Netzwerk, und wählen Sie Gatewayverbindungen aus.

  3. Auf der Registerkarte Bestand auf der rechten Seite werden die verfügbaren Gatewayverbindungen aufgeführt und Befehle zum Verwalten einzelner Gatewayverbindungen bereitgestellt. Sie haben folgende Möglichkeiten:

    • Anzeigen der Liste der Gatewayverbindungen
    • Ändern der Einstellungen für eine Gatewayverbindung
    • Löschen einer Gatewayverbindung

Anzeigen der Details der Gatewayverbindung

Sie können ausführliche Informationen zu einer bestimmten Gatewayverbindung auf der zugehörigen Seite anzeigen.

Zeigen Sie die Details des SDN-Gateways an.

  1. Scrollen Sie unter Extras nach unten, und wählen Sie Gatewayverbindungen aus.

  2. Klicken Sie rechts auf die Registerkarte Bestand, und wählen Sie anschließend die Gatewayverbindung aus. Auf der nächsten Seite können Sie folgende Aufgaben ausführen:

    • Anzeigen der Details der Verbindung (Typ, zugeordnetes virtuelles Netzwerk, Eigenschaften oder Verbindungsstatus)
    • Das Gateway, auf dem die Verbindung gehostet wird.
    • Visuelle Darstellung der Verbindung mit der Remoteentität.
    • Anzeigen der Verbindungsstatistiken (Eingehende/ausgehende Bytes, Datenübertragungsrate oder Verworfene Pakete)
    • Ändern der Einstellungen der Verbindung.

Ändern der Einstellungen für die Gatewayverbindung

Sie können die Verbindungseinstellungen für IPsec-, GRE- und L3-Verbindungen ändern.

Ändern Sie die Verbindungseinstellungen des SDN-Gateways.

  1. Scrollen Sie unter Extras nach unten, und wählen Sie Gatewayverbindungen aus.

  2. Klicken Sie auf der rechten Seite auf die Registerkarte Bestand, wählen Sie eine Gatewayverbindung aus, und wählen Sie dann Einstellungen aus.

  3. Für IPsec-Verbindungen:

    • Auf der Registerkarte Allgemein können Sie die maximal zulässige eingehende Bandbreite, die maximal zulässige ausgehende Bandbreite und die Ziel-IP-Adresse der Verbindung ändern, Routen hinzufügen/ändern/entfernen und den vorinstallierten IPsec-Schlüssel ändern.
    • Klicken Sie auf Erweiterte IPsec-Einstellungen, um die erweiterten Einstellungen zu ändern.
  4. Für GRE-Verbindungen: Auf der Registerkarte Allgemein können Sie die maximal zulässige eingehende Bandbreite, die maximal zulässige ausgehende Bandbreite und die Ziel-IP-Adresse der Verbindung ändern, Routen hinzufügen/ändern/entfernen und den GRE-Schlüssel ändern.

  5. Für L3-Verbindungen: Auf der Registerkarte Allgemein können Sie die maximal zulässige eingehende Bandbreite und die maximal zulässige ausgehende Bandbreite ändern, Routen hinzufügen/ändern/entfernen sowie das logische L3-Netzwerk, das logische L3-Subnetz, die L3-IP-Adresse und die L3-Peer-IP ändern.

Löschen einer Gatewayverbindung

Sie können eine Gatewayverbindung löschen, wenn Sie sie nicht mehr benötigen.

Löschen Sie die SDN-Gatewayverbindung.

  1. Scrollen Sie unter Extras nach unten, und wählen Sie Gatewayverbindungen aus.
  2. Klicken Sie rechts auf die Registerkarte Bestand, und wählen Sie anschließend eine Gatewayverbindung aus. Klicken Sie auf Löschen.
  3. Klicken Sie im Bestätigungsdialogfeld auf Ja. Klicken Sie auf Aktualisieren, um zu überprüfen, ob die Gatewayverbindung gelöscht wurde.

Nächste Schritte