Einrichten eines SDN Network Controllers in der VMM Fabric

Dieser Artikel beschreibt, wie Sie einen Software Defined Networking (SDN) Netzwerk Controller in der System Center Virtual Machine Manager (VMM) Fabric einrichten.

Der SDN Network Controller ist eine skalierbare und in hohem Maße verfügbare Serverrolle, die es Ihnen ermöglicht, die Konfiguration der Netzwerkinfrastruktur zu automatisieren, anstatt die Netzwerkgeräte manuell zu konfigurieren. Weitere Informationen

VMM 2022 bietet die Unterstützung für duale Stapel für SDN-Netzwerkcontroller.

Eine gute Einführung bietet ein Video (~ fünf Minuten), das einen Überblick über die Bereitstellung von Netzwerk-Controllern bietet.

Hinweis

• VMM 2022 unterstützt die Unterstützung für duale Stapel (Ipv4 + Ipv6) für SDN-Komponenten.
• Siehe Systemvoraussetzungen für die vollständige Liste der unterstützten Server-Betriebssysteme.

Voraussetzungen

• Plan für ein softwaredefiniertes Netzwerk (SDN). Weitere Informationen

• Plan für die Installation und Bereitstellung eines SDN Network Controllers. Weitere Informationen

Vorbereitung

Um SDN in der VMM Fabric einzurichten, benötigen Sie Folgendes:

• Eine Dienstvorlage: VMM verwendet eine Dienstvorlage, um die Bereitstellung von Netzwerk-Controllern zu automatisieren. Dienstvorlagen für den Controller unterstützen die Bereitstellung von mehreren Knoten auf VMs der Generationen 1 und 2.
• Eine virtuelle Festplatte: Die Dienstvorlage benötigt einen vorbereiteten virtuellen Datenträger, der in die VMM-Bibliothek importiert wird. Dieser virtuelle Datenträger wird für Netzwerk Controller VMs verwendet.
  • Auf dem virtuellen Datenträger muss die entsprechende Windows Server-Version mit den neuesten Patches installiert sein.
  • Sie kann im VHD- oder VHDX-Format vorliegen.
• Ein logisches Verwaltungsnetzwerk: Dieses modelliert die Konnektivität Ihres physischen Verwaltungsnetzwerks für die VMM-Hosts, die Netzwerk-Controller-Hosts und die VM-Hosts der Mandanten.
• Ein logischer Switch: Zum Bereitstellen des logischen Verwaltungsnetzwerks mit Konnektivität zu den Netzwerk Controller VMs.
• Ein SSL-Zertifikat: Zur Authentifizierung der Kommunikation zwischen dem VMM-Server und dem Netzwerk-Controller.
• Ein logisches HNV-Anbieternetzwerk und virtuelle Mandantennetzwerke: So überprüfen Sie die Bereitstellung des Netzwerkcontrollers.
• Weitere Voraussetzungen: Überprüfen Sie andere Anforderungen.

Bereitstellungsschritte

So richten Sie einen SDN-Netzwerk-Controller ein:

1. Konfigurieren Sie Hosts und die physische Netzwerkinfrastruktur: Sie benötigen Zugang zu Ihren physischen Netzwerkgeräten, um VLANs, Routing und Anderes zu konfigurieren. Sie benötigen außerdem Hyper-V-Hosts, um die SDN-Infrastruktur und die VMs der Mandanten zu hosten. Weitere Informationen

2. Vorbereiten einer virtuellen Festplatte: Sie können eine virtuelle Festplatte für die Dienstvorlage des Controllers im VHD- oder VHDX-Format für die von Ihnen gewählte Dienstvorlagengeneration vorbereiten.

3. Die Dienstvorlagen herunterladen: Laden Sie die Dienstvorlagen für die Netzwerk-Controller herunter und importieren Sie sie in die VMM-Bibliothek.

4. Einrichten von Active Directory-Sicherheitsgruppen: Sie benötigen eine Active Directory-Sicherheitsgruppe für die Verwaltung von Netzwerk-Controllern und eine weitere Sicherheitsgruppe für Netzwerk-Controller-Clients. Jeder Gruppe muss mindestens ein Benutzerkonto angehören.

5. Einrichten einer VMM-Bibliotheksfreigabe. Sie können eine optionale Bibliotheksfreigabe für die Speicherung von Diagnoseprotokollen einrichten. Auf diese Bibliotheksfreigabe wird vom Netzwerkcontroller zugegriffen, um Diagnoseinformationen während der gesamten Lebensdauer zu speichern.

6. Einrichten einer VMM-Hostgruppe: Richten Sie eine dedizierte Hostgruppe für alle SDN-Hyper-V-Hosts ein.

   Hinweis

   Auf den Hosts muss das jeweilige Windows Server mit den neuesten installierten Patches ausgeführt werden und die Hyper-V-Rolle muss aktiviert sein.

7. Erstellen des logischen Verwaltungsnetzwerks: Erstellen Sie ein logisches Netzwerk, um die Netzwerkkonnektivität für den VMM-Host, Netzwerkcontrollerhosts und VM-Hosts des Mandanten zu spiegeln. Wenn Sie statische IP-Adressen aus einem Pool zuweisen möchten, erstellen Sie einen Pool in diesem logischen Netzwerk.

8. Erstellen und Bereitstellen eines logischen Verwaltungsswitches: Sie erstellen den logischen Switch und stellen ihn auf Netzwerkcontrollerhosts bereit, um Verbindungen zum Verwaltungsnetzwerk für Netzwerkcontroller-VMs bereitzustellen.

9. Einrichten eines Zertifikats: Sie benötigen ein SSL-Zertifikat für die sichere/HTTPS-Kommunikation mit dem Netzwerkcontroller.

10. Importieren der Vorlage: Importieren Sie die Dienstvorlage des Netzwerk-Controllers und passen Sie sie an.

11. Bereitstellen des Diensts: Stellen Sie den Netzwerkcontrollerdienst mithilfe der Dienstvorlage bereit. Fügen Sie ihn dann als VMM-Dienst hinzu.

Bereiten Sie eine virtuelle Festplatte vor

1. Bereiten Sie die VHD oder VHDX basierend auf dem Typ der Vorlage vor, die Sie verwenden möchten.
2. Installieren Sie nach der Vorbereitung der Festplatte die neuesten Updates für Windows Server, sowie alle Sprachpakete, die Sie benötigen, wenn Sie keine englischsprachige Umgebung verwenden.
3. Importieren Sie die VHD/VHDX-Dateien in die VMM-Bibliothek. Weitere Informationen

Herunterladen der Netzwerkcontrollerdienstvorlage

1. Laden Sie den SDN-Ordner aus dem Microsoft SDN GitHub-Repository herunter, und kopieren Sie die Vorlagen von VMM>Vorlagen>NC in einen lokalen Pfad auf dem VMM-Server.

2. Extrahieren Sie den Inhalt in einen Ordner auf einem lokalen Computer.

3. Aktualisieren Sie die Bibliothek. Sie werden die Dienstvorlagen später importieren.

   Hinweis

   Die benutzerdefinierten Ressourcendateien werden beim Einrichten des Netzwerkcontrollers und anderer SDN-Komponenten (Softwarelastenausgleich, RAS-Gateway) verwendet.

   Der NC-Ordner enthält vier Dienstvorlagen und fünf benutzerdefinierte Ressourcenordner. Diese werden in der folgenden Tabelle zusammengefasst:

Vorlagen und Ressourcendateien

Name	Typ	Details
VM.xml der Netzwerkcontroller-Produktionsgeneration 1	Vorlage	Drei-Knoten-Netzwerkcontroller für VMs der Generation 1
VM.xml der Netzwerkcontroller-Produktionsgeneration 2	Vorlage	Drei-Knoten-Netzwerkcontroller für VMs der Generation 2
Eigenständiger VM.xml Netzwerkcontroller der Generation 1	Vorlage	Single-Node-Netzwerkcontroller für VMs der Generation 1
Eigenständiger VM.xml Netzwerkcontrollers der Generation 2	Vorlage	Single-Node-Netzwerkcontroller für VMs der Generation 2
NcSetup.cr	Benutzerdefinierte Ressourcendatei	Eine Bibliotheksressource mit Skripts zum Einrichten des Netzwerks.
ServerCertificate.cr	Benutzerdefinierte Ressourcendatei	Bibliotheksressource, die den privaten Schlüssel für den Netzwerkcontroller im PFX-Format enthält.
NcCertificate.cr	Benutzerdefinierte Ressourcendatei	Bibliotheksressource mit dem vertrauenswürdigen Stammzertifikat (. CER) für den Netzwerkcontroller. Dies wird für die sichere Kommunikation zwischen dem Netzwerkcontroller und anderen Unterdiensten (z. B. SLB MUXes) verwendet.
TrustedRootCertificate.cr	Benutzerdefinierte Ressourcendatei	Bibliotheksressource, die den öffentlichen Schlüssel der Zertifizierungsstelle (.cer) enthält, der als vertrauenswürdiges Stammzertifikat importiert wurde, um das SSL-Zertifikat zu überprüfen.
EdgeDeployment.cr	Vorlage	Wird zum Installieren von SLB MUX-Rollen und Gatewayrollen (z. B. VPN) verwendet.

Einrichten von Active Directory-Gruppen

Erstellen Sie Sicherheitsgruppen für die Netzwerkcontrollerverwaltung und -clients.

1. Erstellen Sie in Active Directory-Benutzende und -Computer eine Sicherheitsgruppe für die Netzwerkcontrollerverwaltung.

   • Fügen Sie in der Gruppe alle Benutzenden hinzu, die über Berechtigungen zum Konfigurieren des Netzwerkcontrollers verfügen. Erstellen Sie beispielsweise eine Gruppe namens „Netzwerkcontroller-Admins“.
   • Alle Benutzende, die Sie dieser Gruppe hinzufügen, müssen auch Mitglieder der Gruppe „Domänenbenutzende“ in Active Directory sein.
   • Die Gruppe für die Netzwerkcontrollerverwaltung muss eine lokale Domänengruppe sein. Mitglieder dieser Gruppe können die bereitgestellte Netzwerkcontrollerkonfiguration erstellen, löschen und aktualisieren.
   • Erstellen Sie mindestens ein Benutzerkonto, das Mitglied dieser Gruppe ist und Zugriff auf die Anmeldeinformationen hat. Nachdem der Netzwerkcontroller bereitgestellt wurde, kann VMM so konfiguriert werden, dass die Anmeldeinformationen des Benutzerkontos verwendet werden, um die Kommunikation mit dem Netzwerkcontroller herzustellen.

2. Erstellen Sie eine weitere Sicherheitsgruppe für Netzwerkcontrollerclients.

   • Fügen Sie Benutzende mit Berechtigungen zum Konfigurieren und Verwalten von Netzwerken mithilfe des Netzwerkcontrollers hinzu. Erstellen Sie beispielsweise eine Gruppe mit dem Namen „Netzwerkcontrollerbenutzende“.
   • Alle Benutzende, die Sie der neuen Gruppe hinzufügen, müssen auch Mitglieder der Gruppe „Domänenbenutzende“ in Active Directory sein.
   • Die gesamte Netzwerkcontrollerkonfiguration und -verwaltung wird mithilfe von Representational State Transfer (DNS) ausgeführt.
   • Die Gruppe muss eine lokale Domänengruppe sein. Nach der Bereitstellung des Netzwerkcontrollers haben alle Mitglieder dieser Gruppe die Berechtigung, über die REST-basierte Schnittstelle mit dem Netzwerkcontroller zu kommunizieren.
   • Erstellen Sie mindestens ein Benutzerkonto, das Mitglied dieser Gruppe ist. Nachdem der Netzwerkcontroller bereitgestellt wurde, kann VMM so konfiguriert werden, dass die Anmeldeinformationen des Benutzerkontos verwendet werden, um die Kommunikation mit dem Netzwerkcontroller herzustellen.

Erstellen einer Bibliotheksfreigabe für die Protokollierung

1. Erstellen Sie optional eine Dateifreigabe in der VMM-Bibliothek, um Diagnoseprotokolle beizubehalten.
2. Stellen Sie sicher, dass vom Netzwerkcontroller auf die Freigabe zugegriffen werden kann. Der Netzwerkcontroller greift auf die Freigabe zu, um Diagnoseinformationen zu speichern. Notieren Sie sich die Anmeldeinformationen für das Konto, das Schreibzugriff auf die Freigabe hat.

Einrichten von Hostgruppen

1. Erstellen Sie eine dedizierte Hostgruppe für Hyper-V-Hosts, die von SDN verwaltet werden.
2. Stellen Sie sicher, dass Hyper-V-Hosts Windows Server 2016 mit den neuesten installierten Patches ausführen.

Erstellen des logischen Verwaltungsnetzwerks

Sie können ein logisches Verwaltungsnetzwerk in VMM erstellen, um Ihr physisches Verwaltungsnetzwerk zu spiegeln.

• Das logische Netzwerk stellt Netzwerkkonnektivitätseinstellungen für den VMM-Host, Netzwerkcontrollerhosts und Mandanten-VM-Hosts bereit.
• Es wird empfohlen, dieses logische Netzwerk speziell zu erstellen, um Verbindungen für Infrastruktur-VMs bereitzustellen, die vom Netzwerkcontroller verwaltet werden.
• Wenn Sie bereits über ein logisches VMM-Netzwerk verfügen, das konfiguriert wurde mit Netzwerk mit demselben Namen erstellen, damit virtuelle Computer direkt auf dieses logische Netzwerk zugreifen können, können Sie dieses logische Netzwerk wiederverwenden, um Verwaltungskonnektivität mit dem Netzwerkcontroller bereitzustellen.

Verwenden Sie das folgende Verfahren, um ein logisches Verwaltungsnetzwerk zu erstellen:

1. Wählen Sie Fabric>Netzwerk aus. Klicken Sie mit der rechten Maustaste auf Logische Netzwerke>Logisches Netzwerk erstellen.
2. Geben Sie einen Namen und optional eine Beschreibung ein.

3. Wählen Sie unter Einstellungen die Option Ein verbundenes Netzwerk aus. Alle Verwaltungsnetzwerke müssen Routing und Konnektivität zwischen allen Hosts in diesem Netzwerk haben. Wählen Sie VM-Netzwerk mit demselben Namen erstellen, damit virtuelle Computer direkt auf dieses logische Netzwerk zugreifen können aus, um ein VM-Netzwerk für Ihr Verwaltungsnetzwerk zu erstellen.

4. Wählen Sie Netzwerkstandort>Hinzufügen aus. Wählen Sie die Hostgruppe für die Hosts aus, die vom Netzwerkcontroller verwaltet werden. Geben Sie die IP-Subnetzdetails Ihres Verwaltungsnetzwerks ein. Dieses Netzwerk muss bereits vorhanden und in Ihrem physischen Switch konfiguriert sein.
5. Überprüfen Sie die Informationen der Zusammenfassung und wählen Sie Fertigstellen aus.

Erstellen eines IP-Adressenpools

Hinweis

Sie können IP-Adresspools mithilfe des Assistenten Logisches Netzwerk erstellen erstellen.

Wenn Sie statische IP-Adressen virtuellen Netzwerkcontrollern zuordnen möchten, erstellen Sie einen IP-Adresspool im logischen Verwaltungsnetzwerk. Wenn Sie DHCP verwenden, können Sie diesen Schritt überspringen.

1. Klicken Sie in der VMM-Konsole mit der rechten Maustaste auf das logische Verwaltungsnetzwerk, und wählen Sie IP-Pool erstellen aus.

2. Geben Sie einen Namen und eine optionale Beschreibung für den Pool an, und stellen Sie sicher, dass das Verwaltungsnetzwerk für das logische Netzwerk ausgewählt ist.

3. Wählen Sie im Bereich Netzwerkstandort das Subnetz aus, das dieser IP-Adresspool bedient.

4. Konfigurieren Sie im Bereich IP-Adressbereich die Start- und End-IP-Adresse.

5. Um eine IP als REST-IP zu verwenden, geben Sie eine der IP-Adressen aus dem angegebenen Bereich in das Feld IP-Adressen, die für andere Verwendungszwecke reserviert werden sollen ein. Wenn Sie den REST-Endpunkt verwenden möchten, überspringen Sie diesen Schritt.

   • Verwenden Sie nicht die ersten drei IP-Adressen Ihres verfügbaren Subnetzes. Wenn Ihr verfügbares Subnetz beispielsweise von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .4 oder höher.
   • Wenn sich die Knoten im selben Subnetz befinden, müssen Sie DIE REST-IP-Adresse angeben. Wenn sich die Knoten in verschiedenen Subnetzen befinden, müssen Sie einen REST-DNS-Namen angeben.

6. Geben Sie die Standardgatewayadresse an, und konfigurieren Sie optional DNS- und WINS-Einstellungen.

7. Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen, und wählen Sie Fertigstellen aus, um den Assistenten zu beenden.

Erstellen und Bereitstellen eines logischen Verwaltungsswitches

Sie müssen einen logischen Switch im logischen Verwaltungsnetzwerk bereitstellen. Der Switch bietet Konnektivität zwischen dem logischen Verwaltungsnetzwerk und den VMs des Netzwerkcontrollers.

1. Klicken Sie in der VMM-Konsole auf Fabric>Netzwerk>Logischen Switch erstellen. Überprüfen Sie die Informationen zu den ersten Schritten, und wählen Sie dann Weiter aus.

2. Geben Sie einen Namen und eine optionale Beschreibung an. Wählen Sie Kein Uplink-Team aus. Wenn Sie ein Team benötigen, wählen Sie Eingebettetes Team aus.

   Hinweis

   Verwenden Sie nicht Team.

3. Wählen Sie für den Minimalbandbreitenmodus die Option Gewichtung aus.

4. Deaktivieren Sie in Erweiterungen alle Switch-Erweiterungen. This is important. Wenn Sie eine der Switcherweiterungen in dieser Phase auswählen, könnte dies später das Onboarding des Netzwerkcontrollers blockieren.

5. Sie können optional ein virtuelles Portprofil hinzufügen und eine Portklassifizierung für die Hostverwaltung auswählen.

6. Wählen Sie ein vorhandenes Uplinkportprofil aus, oder klicken Sie auf Hinzufügen>Neues Uplinkportprofil. Geben Sie einen Namen und eine optionale Beschreibung an. Verwenden Sie die Standardwerte für den Lastenausgleichsalgorithmus und den Teammodus. Wählen Sie alle Netzwerkstandorte im logischen Verwaltungsnetzwerk aus.

7. Wählen Sie die Option Neuer Netzwerkadapter aus. Dadurch wird Ihrem logischen Switch und dem Uplinkportprofil ein virtueller Host-Netzwerkadapter (vNIC) hinzugefügt, sodass die vNICs automatisch hinzugefügt werden, wenn Sie den logischen Switch zu Ihren Hosts hinzufügen.

8. Geben Sie einen Namen für den vNIC an. Stellen Sie sicher, dass das Verwaltungs-VM-Netzwerk in Konnektivität aufgeführt ist.

9. Wählen Sie Dieser Netzwerkadapter wird für die Hostverwaltung verwendet>Verbindungseinstellungen vom Hostadapter erben aus. Auf diese Weise können Sie die vNIC-Adaptereinstellungen vom Adapter übernehmen, der bereits auf dem Host vorhanden ist. Wenn Sie zuvor eine Portklassifizierung und ein virtuelles Portprofil erstellt haben, können Sie es jetzt auswählen.

10. Überprüfen Sie die Informationen unter Zusammenfassung, und wählen Sie Fertig stellen aus, um den Assistenten abzuschließen.

Bereitstellen des logischen Switches

Sie müssen den logischen Verwaltungsswitch auf allen Hosts bereitstellen, auf denen Sie die NC bereitstellen möchten. Diese Hosts müssen Teil der VMM-Hostgruppe sein, die Sie zuvor erstellt haben. Weitere Informationen

Einrichten der Sicherheitszertifikate

Sie benötigen ein SSL-Zertifikat, das für die sichere/HTTPS-Kommunikation mit dem Netzwerkcontroller verwendet wird. Sie können die folgenden Methoden verwenden:

• Selbstsigniertes Zertifikat: Sie können ein selbstsigniertes Zertifikat generieren und es mit dem privaten Schlüssel exportieren, der über ein Kennwort geschützt ist.
• Zertifikat der Zertifizierungsstelle: Sie können ein Zertifikat verwenden, das von einer Zertifizierungsstelle signiert ist.

Verwenden eines selbstsignierten Zertifikats

Im folgenden Beispiel wird ein neues selbstsigniertes Zertifikat erstellt und muss auf dem VMM-Server ausgeführt werden.

Hinweis

• Sie können eine IP-Adresse als DNS-Namen verwenden, dies wird jedoch nicht empfohlen, da dies den Netzwerkcontroller auf ein einzelnes Subnetz beschränkt.
• Sie können einen beliebigen Anzeigenamen für den Netzwerkcontroller verwenden.
• Bei der Bereitstellung mit mehreren Knoten muss der DNS-Name der REST-Name sein, den Sie verwenden möchten.
• Bei Netzwerkcontrollerbereitstellungen mit einem einzelnen Knoten kann sich der DNS-Name aus dem Namen des Netzwerkcontrollers und dem vollständigen Domänennamen zusammensetzen.

Bereitstellung	Syntax	Beispiel
Mehrere Knoten	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCRESTName>")	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "MultiNodeNC" -DnsName @("NCCluster.Contoso.com")
Einzelner Knoten	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCFQDN>")	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "SingleNodeNC" -DnsName @("SingleNodeNC.Contoso.com")

Exportieren des selbstsignierten Zertifikats

Das Zertifikat und den privaten Schlüssel im PFX-Format exportieren

1. Öffnen Sie das Snap-In Snap-In Zertifikate (certlm.msc), und suchen Sie das Zertifikat unter Persönlich/Zertifikate.

2. Wählen Sie das Zertifikat aus, und klicken Sie auf Alle Aufgaben>Exportieren.

3. Wählen Sie die Option Ja, privaten Schlüssel exportieren und dann Weiter aus.

4. Wählen Sie die Option Privater Informationsaustausch – PKCS #12 (.PFX) aus, und übernehmen Sie die Standardeinstellung Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen.

5. Weisen Sie die Benutzer/Gruppen sowie ein Kennwort für das Zertifikat zu, das Sie exportieren und klicken Sie auf Weiter.

6. Navigieren Sie auf der Seite Zu exportierende Datei zum Speicherort, an dem Sie die exportierte Datei speichern möchten, und benennen Sie die Datei.

7. Exportieren Sie außerdem das Zertifikat im CER-Format

   Hinweis

   Deaktivieren Sie die Option Ja, privaten Schlüssel exportieren, um in das CER-Format zu exportieren.

8. Kopieren Sie die PFX-Datei in den Ordner „ServerCertificate.cr“.

9. Kopieren Sie die CER-Datei in den Ordner „NCCertificate.cr“.

Aktualisieren Sie anschließend diese Ordner, und vergewissern Sie sich, dass Sie diese Zertifikate kopiert haben.

Verwenden einer Zertifizierungsstelle

1. Fordern Sie ein von der Zertifizierungsstelle signiertes Zertifikat an. Fordern Sie für eine Windows-basierte Unternehmenszertifizierungsstelle Zertifikate mithilfe des Zertifikatanforderungs-Assistenten an.

2. Stellen Sie sicher, dass das Zertifikat die serverAuth EKU enthält, die durch OID 1.3.6.1.5.5.7.3.1 angegeben ist. Darüber hinaus muss der Zertifikatantragstellername mit dem DNS-Namen des Netzwerkcontrollers übereinstimmen.

3. Kopieren Sie die PFX-Datei in den Ordner „ServerCertificate.cr“.

4. Kopieren Sie die CER-Datei in den Ordner „NCCertificate.cr“.

5. Kopieren Sie den öffentlichen Schlüssel der Zertifizierungsstelle in CER-Format zum TrustedRootCertificate.cr.

   Hinweis

   Stellen Sie sicher, dass die Unternehmenszertifizierungsstelle für die automatische Zertifikatregistrierung konfiguriert ist.

Erweiterte Schlüsselverwendung

1. Wenn der persönliche Zertifikatspeicher (My – cert:\localmachine\my) auf dem Hyper-V-Host mehr als ein X.509-Zertifikat mit dem Antragstellernamen (CN) als vollständig qualifiziertem Domänennamen (Fully Qualified Domain Name, FQDN) enthält, stellen Sie sicher, dass das von SDN verwendete Zertifikat über eine zusätzliche benutzerdefinierte Eigenschaft „Erweiterte Schlüsselverwendung“ mit der OID 1.3.6.1.4.1.311.95.1.1.1 verfügt. Andernfalls funktioniert die Kommunikation zwischen Netzwerkcontroller und Host möglicherweise nicht.

2. Stellen Sie sicher, dass das von der CA für die südgebundene Kommunikation ausgestellte Zertifikat über eine zusätzliche benutzerdefinierte Eigenschaft „Erweiterte Schlüsselverwendung“ mit dem OID 1.3.6.1.4.1.311.95.1.1.1. verfügt.

Einrichten der Dienstvorlage

Importieren Sie die Vorlage, und aktualisieren Sie die Parameter für Ihre Umgebung.

Importieren der Vorlage

Importieren Sie die Dienstvorlage in die VMM-Bibliothek. In diesem Beispiel importieren wir die Vorlage der Generation 2.

1. Wählen Sie Bibliothek>Vorlage importieren aus.

2. Navigieren Sie zu Ihrem Dienstvorlagenordner und wählen Sie die Datei Network Controller Production Generation 2 VM.xml aus.

3. Aktualisieren Sie die Parameter für Ihre Umgebung, während Sie die Dienstvorlage importieren. Überprüfen Sie die Angaben, und wählen Sie dann Importieren aus.

   • WinServer.vhdx Wählen Sie das Basisimage der virtuellen Festplatte aus, das Sie zuvor vorbereitet haben.
   • NCSetup.cr: Ordnen Sie die Bibliotheksressource NCSetup.cr in der VMM-Bibliothek zu.
   • ServerCertificate.cr: Ordnen Sie die Ressource ServerCertificate.cr in der VMM-Bibliothek zu. Legen Sie außerdem das PFX-SSL-Zertifikat, das Sie zuvor vorbereitet haben, in diesem Ordner. Stellen Sie sicher, dass Sie nur über ein Zertifikat im Ordner ServerCertificate.cr verfügen.
   • TrustedRootCertificate.cr: Ordnen Sie diese Ressource dem Ordner „TrustedRootCertificate.cr“ in Ihrer VMM-Bibliothek zu. Wenn Sie kein vertrauenswürdiges Stammzertifikat benötigen, muss diese Ressource weiterhin einem CR-Ordner zugeordnet werden. Der Ordner muss jedoch leer bleiben.

4. Stellen Sie anschließend sicher, dass der Auftrag abgeschlossen ist.

Anpassen der Vorlage

Sie können die Dienstvorlage so anpassen, dass sie bestimmte Anforderungen im Zusammenhang mit Ihrer Organisation erfüllt, z. B. Product Key, IP-Zuweisung, DHCP, MAC-Spoofing und Hochverfügbarkeit. Sie können auch Eigenschaften für Objekte wie Hostgruppen, Hostcluster und Dienstinstanzen anpassen.

Im Folgenden finden Sie ein Beispiel für die Eingabe des Product Key, die Aktivierung von DHCP und die Hochverfügbarkeit:

1. Wählen Sie in der VMM-Bibliothek die Dienstvorlage aus, und öffnen Sie sie im Designermodus.

2. Doppelklicken Sie auf die Computerebene, um die Eigenschaftenseite des Windows Server-Netzwerkcontrollers zu öffnen.

3. Um einen Product Key anzugeben, wählen Sie OS-Konfiguration>Product Key aus, und geben Sie den von CCEP freigegebenen Schlüssel an.

4. Um Hochverfügbarkeit zu aktivieren, wählen Sie die Hardwarekonfiguration>Verfügbarkeit aus, und aktivieren Sie das Kontrollkästchen Auf dem virtuellen Computer hoch verfügbar machen.

5. Um die dynamische IP-Konfiguration zu aktivieren und DHCP für die Verwaltung von Netzwerkcontrollern zu verwenden, wählen Sie den Netzwerkadapter im Designer aus, und ändern Sie den IPV4-Adresstyp in Dynamisch.

   Hinweis

   • Wenn Sie die Vorlage für Hochverfügbarkeit anpassen, stellen Sie sicher, dass Sie diese auf gruppierten Knoten bereitstellen.
   • Wenn Sie den Netzwerkcontroller konfigurieren und den FQDN als REST-Namen angeben, erstellen Sie vorab keinen Host A-Eintrag für Ihren primären NC-Knoten in Ihrem DNS. Dies kann sich auf die Netzwerkcontrollerkonnektivität auswirken, sobald sich der primäre NC-Knoten ändert. Dies gilt auch dann, wenn Sie die NC mithilfe des SDN Express- oder VMM Express-Skripts bereitstellen.

Den Netzwerkcontroller bereitstellen

1. Wählen Sie die Dienstvorlage für den Netzwerkcontroller aus, und klicken Sie auf Bereitstellung konfigurieren. Geben Sie einen Dienstnamen ein, und wählen Sie ein Ziel für die Dienstinstanz aus. Das Ziel muss der dedizierten Hostgruppe zugeordnet werden, die Hosts enthält, die vom Netzwerkcontroller verwaltet werden.

2. Konfigurieren Sie die Bereitstellungseinstellungen, wie in der folgenden Tabelle beschrieben.

3. Es ist normal, dass die Instanzen des virtuellen Computers anfangs rot sein. Wählen Sie Vorschau aktualisieren aus, damit der Bereitstellungsdienst automatisch geeignete Hosts für die zu erstellenden virtuellen Computer findet.

4. Nachdem Sie diese Einstellungen festgelegt haben, wählen Sie Deploy Service aus, um mit der Bereitstellung des Dienstes zu beginnen.

   Hinweis

   Die Bereitstellungszeit hängt von Ihrer Hardware ab, liegt aber in der Regel zwischen 30 und 60 Minuten. Wenn Sie keine Volumenlizenz-VHD\VHDX verwenden oder wenn die VHD\VHDX den Product Key nicht mithilfe einer Antwortdatei liefert, wird die Bereitstellung während der VM-Bereitstellung des Netzwerkcontrollers auf der Seite Product Key beendet. Sie müssen manuell auf den VM-Desktop zugreifen und entweder den Product Key überspringen oder eingeben.

5. Wenn es bei der Bereitstellung des Netzwerkcontrollers zu einem Fehler kommt, löschen Sie die fehlerhafte Dienstinstanz, bevor Sie die Bereitstellung des Netzwerkcontrollers wiederholen. Wählen Sie VMs und Dienste>Hosts>Dienste aus, und löschen Sie die Instanz.

Bereitstellungseinstellungen

Einstellung	Anforderung	Beschreibung
ClientSecurityGroup	Erforderlich	Name der von Ihnen erstellten Sicherheitsgruppe, die Netzwerkcontroller-Clientkonten enthält.
DiagnosticLogShare	Optional	Speicherort der Dateifreigabe, an den die Diagnoseprotokolle regelmäßig hochgeladen werden. Wenn dies nicht angegeben wird, werden die Protokolle lokal auf jedem Knoten gespeichert.
DiagnosticLogShareUsername	Optional	Vollständiger Benutzername (einschließlich Domänenname) für ein Konto mit Zugriffsberechtigungen für die Diagnoseprotokollfreigabe. Verwendet das Format [Domäne]\[Benutzername].
DiagnosticLogSharePassword	Optional	Das Kennwort für das im Parameter DiagnosticLogShareUsername angegebene Konto.
LocalAdmin	Erforderlich	Wählen Sie ein „Ausführen als“-Konto in Ihrer Umgebung aus, das als lokaler Administrator auf den virtuellen Maschinen des Netzwerkcontrollers verwendet werden soll. Hinweis: Deaktivieren Sie bei der Erstellung von "Ausführen als“-Konten die Option Anmeldeinformationen der Domäne validieren, wenn Sie ein lokales Konto erstellen. Der Benutzername muss .\Administrator lauten (erstellen Sie ihn, wenn er nicht existiert).
Verwaltung	Erforderlich	Wählen Sie das zuvor erstellte logische Verwaltungsnetzwerk aus.
MgmtDomainAccount	Erforderlich	Wählen Sie ein „Ausführen als“-Konto in Ihrer Umgebung aus, das zur Vorbereitung des Netzwerkcontrollers verwendet wird. Dieser Benutzer muss Mitglied der unten angegebenen Management-Sicherheitsgruppe sein, die über die Berechtigung verfügt, den Controller des Netzwerks zu kontrollieren.
MgmtDomainAccountName	Erforderlich	Dies muss der vollständige Benutzername (einschließlich Domänenname) des Kontos „Ausführen als“ sein, das mit MgmtDomainAccount kartiert ist. Der Domänenbenutzername wird während der Bereitstellung der Gruppe „Administratoren“ hinzugefügt.
MgmtDomainAccountPassword	Erforderlich	Kennwort für das Verwaltungskonto „Run As“, das dem MgmtDomainAccount zugeordnet ist.
MgmtDomainFQDN	Erforderlich	FQDN für die Active Directory-Domäne, der die virtuellen Maschinen des Netzwerk-Controllers beitreten werden.
MgmtSecurityGroup	Erforderlich	Name der Sicherheitsgruppe, die Sie zuvor erstellt haben und die die Verwaltungskonten des Netzwerk-Controllers enthält.
RestEndPoint	Erforderlich	Geben Sie den RESTName ein, den Sie bei der Vorbereitung der Zertifikate verwendet haben. Dieser Parameter wird nicht für eigenständige Vorlagen verwendet. Wenn sich die Knoten im selben Subnetz befinden, müssen Sie die REST-IP-Adresse bereitstellen. Wenn sich die Knoten in unterschiedlichen Subnetzen befinden, stellen Sie den REST-DNS-Namen bereit.
ServerCertificatePassword	Erforderlich	Passwort zum Importieren des Zertifikats in den Maschinenspeicher.

Hinweis

Ab Windows Server 2019 muss den Netzwerk-Controller-Maschinen die Berechtigung bereitgestellt werden, sich im Active Directory zu registrieren und den SPN zu ändern. Weitere Informationen finden Sie unter Kerberos mit Dienstprinzipalname.

Hinzufügen des Netzwerkcontroller-Dienstes zum VMM

Nachdem der Netzwerkcontroller-Dienst erfolgreich bereitgestellt wurde, wird er im nächsten Schritt als Netzwerkdienst zum VMM hinzugefügt.

1. Klicken Sie in Fabric mit der rechten Maustaste auf Netzwerk>Netzwerkdienst, und wählen Sie Netzwerkdienst hinzufügen.

2. Der Assistent zum Hinzufügen von Netzwerkdiensten startet. Geben Sie einen Namen und eine optionale Beschreibung an.

3. Wählen Sie Microsoft für den Hersteller und für das Modell Microsoft-Netzwerkcontroller aus.

4. Geben Sie in Anmeldeinformationen das „Ausführen als“-Konto an, das Sie zum Konfigurieren des Netzwerkdiensts verwenden möchten. Dies muss dasselbe Konto sein, das Sie in der Gruppe der Netzwerkcontrollerclients aufgenommen haben.

5. Für die Verbindungszeichenfolge:

   • In einer Bereitstellung mit mehreren Knoten muss für ServerURL der REST-Endpunkt verwendet werden, und servicename muss der Name der Netzwerkcontrollerinstanz sein.
   • Bei der Bereitstellung mit einem einzelnen Knoten muss ServerURL der FQDN des Netzwerkcontrollers sein, und servicename muss der Name der Netzwerkcontrollerdienstinstanz sein. Beispiel: serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM

6. In Zertifikate überprüfen wird eine Verbindung mit dem virtuellen Computer des Netzwerkcontrollers hergestellt, um das Zertifikat abzurufen. Stellen Sie sicher, dass das angezeigte Zertifikat das erwartete Zertifikat ist. Stellen Sie sicher, dass Sie die Option Diese Zertifikate wurden geprüft und können in den Speicher der vertrauenswürdigen Zertifikate importiert werden auswählen.

7. Wählen Sie auf dem nächsten Bildschirm Anbieter scannen aus, um eine Verbindung mit Ihrem Dienst herzustellen, und listen Sie die Eigenschaften und deren Status auf. Dies ist auch eine gute Möglichkeit, zu überprüfen, ob der Dienst ordnungsgemäß erstellt wurde und Sie die richtige Verbindungszeichenfolge verwenden, um sich mit ihm zu verbinden. Überprüfen Sie die Ergebnisse, und überprüfen Sie, ob isNetworkController = true ist. Wenn die Überprüfung erfolgreich abgeschlossen wurde, wählen Sie Weiter aus.

8. Konfigurieren Sie die Hostgruppe, die vom Netzwerkcontroller verwaltet wird.

9. Wählen Sie Fertig stellen aus, um den Assistenten abzuschließen. Wenn der Dienst zu VMM hinzugefügt wurde, wird er in der Liste Network Services in der VMM-Konsole angezeigt. Wenn der Netzwerkdienst nicht hinzugefügt wird, überprüfen Sie Aufträge in der VMM-Konsole, um Probleme zu beheben.

Überprüfen der Bereitstellung

Optional können Sie die Bereitstellung des Netzwerkcontrollers überprüfen. Gehen Sie hierzu folgendermaßen vor:

1. Erstellen Sie ein HNV-Anbieternetzwerk (das Back-End-Netzwerk), das vom Netzwerkcontroller für die VM-Konnektivität des Mandanten verwaltet wird. Dieses Netzwerk wird verwendet, um zu überprüfen, ob der Netzwerkcontroller erfolgreich bereitgestellt wurde und dass Mandanten-VMs innerhalb desselben virtuellen Netzwerks einander pingen können. Dieses Netzwerk muss in Ihrer physischen Netzwerkinfrastruktur vorhanden sein, und alle SDN-Fabric-Hosts müssen über physische Konnektivität verfügen.
2. Nachdem Sie das HNV-Netzwerk bereitgestellt haben, konfigurieren Sie zwei Mandant-VM-Netzwerke darauf. Erstellen Sie VM-Netzwerke und IP-Adresspools und stellen Sie dann die VMs der Mandanten bereit. Sie können auch die Konnektivität zwischen zwei Mandant-VMs, die auf unterschiedlichen Hosts bereitgestellt werden, testen, um sicherzustellen, dass der Netzwerkcontroller korrekt bereitgestellt wird.

Schaffung des HNV-Anbieternetzwerks

1. Starten Sie den Assistenten zum Erstellen logischer Netzwerke. Geben Sie einen Namen und optional eine Beschreibung für dieses Netzwerk ein.

2. Vergewissern Sie sich unter Einstellungen, dass die Option Verbundenes Netzwerk aktiviert ist, da in allen HNV-Anbieternetzwerken zwischen allen Hosts in diesem Netzwerk Routingfähigkeit und Konnektivität bestehen muss. Stellen Sie sicher, dass Sie Neuen VM-Netzwerken, die in diesem logischen Netzwerk erstellt werden, die Verwendung der Netzwerkvirtualisierung erlauben überprüfen. Überprüfen Sie außerdem Vom Netzwerkcontroller verwaltet.

   

3. Fügen Sie im Bereich Netzwerkstandort den Netzwerkstandort für Ihr HNV-Anbieternetzwerk hinzu. Dies muss die Hostgruppe, das Subnetz und die VLAN-Informationen für das Netzwerk enthalten.
4. Überprüfen Sie die Informationen unter Zusammenfassung, und schließen Sie den Assistenten ab.

Erstellen des IP-Adresspools

Hinweis

Sie können IP-Adresspools mithilfe des Assistenten Logisches Netzwerk erstellen erstellen.

Für das logische HNV-Konfigurationsnetzwerk wird ein IP-Adresspool benötigt, selbst wenn in diesem Netzwerk DHCP verfügbar ist. Wenn Sie mehr als ein Subnetz im konfigurierten HNV-Netzwerk haben, erstellen Sie einen Pool für jedes Subnetz.

1. Klicken Sie mit der rechten Maustaste auf das logische HNV-Konfigurationsnetzwerk, und klicken Sie anschließend auf >IP-Pool erstellen.
2. Stellen Sie einen Namen und eine optionale Beschreibung bereit und stellen Sie sicher, dass für das logische Netzwerk das logische Netzwerk des HNV-Anbieters ausgewählt ist.

3. Unter Netzwerkstandort müssen Sie das Subnetz auswählen, das dieser IP-Adresspool bedienen soll. Wenn Sie mehr als ein Subnetz als Teil Ihres HNV-Provider-Netzwerks haben, müssen Sie für jedes Subnetz einen statischen IP-Adressenpool erstellen. Wenn Sie nur einen Standort haben (z. B. wie in der Beispieltopologie), können Sie einfach Weiter wählen.

Hinweis

• Um die IPv6-Unterstützung zu aktivieren, fügen Sie ein IPv6-Subnetz hinzu und erstellen einen IPv6-Adresspool.
• Um die IPv4-Unterstützung zu aktivieren, fügen Sie ein IPv4-Subnetz hinzu und erstellen einen IPv4-Adresspool.
• Wenn Sie den IPv6-Adresspool verwenden möchten, fügen Sie dem Netzwerkstandort sowohl ein IPv4- als auch ein IPv6-Subnetz hinzu.
• Um die Unterstützung für duale Stapel zu aktivieren, erstellen Sie IP-Pools mit IPv4- und IPv6-Adressraum.

4. Konfigurieren Sie im Abschnitt IP-Adressbereich die Start- und End-IP-Adresse. Verwenden Sie nicht die erste IP-Adresse Ihres verfügbaren Subnetzes. Wenn Ihr verfügbares Subnetz z. B. von .1 bis .254 ist, starten Sie den Bereich bei .2 oder höher.

5. Als Nächstes konfigurieren Sie die Standard-Gateway-Adresse. Wählen Sie Einfügen neben dem Feld Standard-Gateways, geben Sie die Adresse ein und verwenden Sie die Standardmetrik. Optional können Sie DNS und WINS konfigurieren.

6. Überprüfen Sie die zusammengefassten Informationen und wählen Sie Finish, um den Assistenten abzuschließen.

7. Im Rahmen des Onboarding von Netzwerkcontrollern wurde der Switch, den Sie auf den Hosts für die logische Netzwerkkonnektivität des Managements bereitgestellt haben, in einen SDN-Switch umgewandelt. Dieser Switch kann nun zur Bereitstellung eines vom Netzwerkcontroller verwalteten Netzwerks, einschließlich des logischen HNV-Anbieternetzwerks, verwendet werden. Stellen Sie sicher, dass Sie in den Uplink-Port-Profileinstellungen für die Verwaltung des logischen Switches den Netzwerkstandort auswählen, der dem logischen HNV-Anbieternetzwerk entspricht.

   

Das logische HNV-Anbieternetzwerk ist nun für alle Hosts in der vom Netzwerkcontroller verwalteten Hostgruppe zugänglich.

Erstellen von Mandant-VM-Netzwerken und IP-Pools

Erstellen Sie nun zwei VM-Netzwerke und IP-Pools für zwei Mandanten in Ihrer SDN-Infrastruktur, um die Konnektivität zu testen.

Hinweis

• Verwenden Sie nicht die erste IP-Adresse Ihres verfügbaren Subnetzes. Wenn Ihr verfügbares Subnetz z. B. von .1 bis .254 ist, starten Sie den Bereich bei .2 oder höher.
• Momentan können Sie kein VM-Netzwerk mit Keine Isolierung für logische Netzwerke erstellen, die vom Netzwerkcontroller verwaltet werden. Sie müssen die Option Isolierung mit Hyper-V-Netzwerkvirtualisierung wählen, wenn Sie VM-Netzwerke erstellen, die mit logischen HNV-Anbieternetzwerken verbunden sind.

1. Erstellen Sie für jeden Mandanten ein VM-Netzwerk.

2. Erstellen Sie einen IP-Adresspool für jedes VM-Netzwerk.

Hinweis

Wenn Sie ein VM-Netzwerk erstellen, um IPv6-Unterstützung zu aktivieren, wählen Sie IPv6 aus dem Dropdownmenü IP-Adressprotokoll für das VM-Netzwerk aus. Wenn Sie ein VM-Netzwerk erstellen, um die Dual-Stack-Unterstützung zu aktivieren, wählen Sie IPv4 und IPv6 aus dem Dropdownmenü IP-Adressprotokoll für das VM-Netzwerk aus (gilt für 2022 und später).

Wenn Sie VM-Subnetze erstellen, um Dual-Stack-Unterstützung zu aktivieren, stellen Sie sowohl das IPv4-Subnetz als auch das IPv6-Subnetz bereit, getrennt durch ein Semikolon (;). (gilt für 2022 und höher).

Erstellen von virtuellen Maschinen von Mandanten

Jetzt können Sie virtuelle Mandanten-Maschinen erstellen, die mit dem virtuellen Mandanten-Netzwerk verbunden sind.

• Stellen Sie sicher, dass die virtuellen Maschinen Ihrer Mandanten IPv4/IPv6 ICMP über ihre Firewall zulassen. Standardmäßig wird dies von Windows Server blockiert.
  • Um IPv4 ICMP durch die Firewall zu erlauben, führen Sie den Befehl New-NetFirewallRule -DisplayName „Allow ICMPv4-In“ -Protocol ICMPv4 aus.
  • Führen Sie den Befehl New-NetFirewallRule –DisplayName “Allow ICMPv6-In” –Protocol ICMPv6 aus, um IPv6 ICMP in der Firewall zuzulassen

1. Wenn Sie eine VM aus einem vorhandenen Datenträger erstellen möchten, befolgen Sie diese Anweisungen.
2. Nachdem Sie mindestens zwei mit dem Netzwerk verbundene VMs bereitgestellt haben, können Sie eine virtuelle Maschine eines Mandanten von der anderen virtuellen Maschine eines Mandanten aus anpingen, um zu überprüfen, ob der Netzwerkcontroller erfolgreich als Netzwerkdienst bereitgestellt wurde und das HNV-Provider-Netzwerk so verwalten kann, dass die virtuellen Maschinen der Mandanten sich gegenseitig anpingen können.

Hinweis

Um die Dual-Stack-Unterstützung für die VM-Netzwerke zu aktivieren, erstellen Sie zwei IP-Pools, indem Sie die beiden IP-Subnetze aus dem Dropdownmenü auswählen.

Erstellen Sie einen neuen virtuellen Computer, und stellen Sie das VM-Netzwerk für duale Stapel bereit, um dem virtuellen Computer sowohl IPv4- als auch IPv6-Adressen zuzuweisen.

Entfernen Sie den Netzwerkcontroller aus der SDN-Fabric

Verwenden Sie diese Schritte, um den Netzwerkcontroller aus der SDN-Fabric zu entfernen.

Nächste Schritte

Erstellen eines Software-Lastverteilers