SDN RAS-Gateway im VMM-Fabric einrichten

In diesem Artikel wird beschrieben, wie Sie ein Software Defined Networking (SDN)-RAS-Gateway im VMM-Fabric (System Center Virtual Machine Manager) einrichten.

Ein SDN RAS-Gateway ist ein Datenpfadelement in SDN, das die Standort-zu-Standort-Konnektivität zwischen zwei autonomen Systemen ermöglicht. Insbesondere ermöglicht ein RAS-Gateway Standort-zu-Standort-Konnektivität zwischen Remotemandantennetzwerken und Ihrem Rechenzentrum mithilfe von Ipsec, Generic Routing Encapsulation (GRE) oder Layer 3 Forwarding. Weitere Informationen

Hinweis

VMM 2022 bietet Unterstützung für duale Stapel für RAS-Gateways.

Vor der Installation

Stellen Sie Folgendes sicher, bevor Sie beginnen:

• Planung: Lesen Sie über die Planung eines softwaredefiniertes Netzwerks, und lesen Sie die Planungstopologie in diesem Dokument. Das Diagramm zeigt ein Beispiel für die Einrichtung von 4 Knoten. Das Setup ist hoch verfügbar mit drei Netzwerkcontrollerknoten (VM) und drei SLB/MUX-Knoten. Es zeigt zwei Mandanten mit einem virtuellen Netzwerk, das in zwei virtuelle Subnetze unterteilt ist, um eine Webebene und eine Datenbankebene zu simulieren. Sowohl die Infrastruktur als auch die virtuellen Mandantencomputer können auf jedem physischen Host verteilt werden.
• Netzwerkcontroller: Sie müssen den Netzwerkcontroller bereitstellen, bevor Sie das RAS-Gateway bereitstellen.
• SLB: Um sicherzustellen, dass Abhängigkeiten ordnungsgemäß behandelt werden, müssen Sie auch die SLB bereitstellen, bevor Sie das Gateway einrichten. Wenn eine SLB und ein Gateway konfiguriert sind, können Sie eine Ipsec-Verbindung verwenden und überprüfen.
• Dienstvorlage: VMM verwendet eine Dienstvorlage zum Automatisieren der GW-Bereitstellung. Dienstvorlagen unterstützen die Bereitstellung mit mehreren Knoten auf VMs der 1. Generation und 2. Generation.

Bereitstellungsschritte

Gehen Sie wie folgt vor, um ein RAS-Gateway einzurichten:

1. Laden Sie die Dienstvorlage herunter: Laden Sie die Dienstvorlage herunter, die Sie zum Bereitstellen des GW benötigen.

2. Erstellen Sie das logische VIP-Netzwerk: Erstellen Sie ein logisches GRE VIP-Netzwerk. Er benötigt einen IP-Adressenpool für private VIPs und zum Zuweisen von VIPs zu GRE-Endpunkten. Das Netzwerk existiert, um VIPs zu definieren, die Gateway-VMs zugewiesen werden, die auf dem SDN-Fabric für eine Site-to-Site-GRE-Verbindung ausgeführt werden.

   Hinweis

   Fügen Sie dem Netzwerkstandort beim Erstellen des logischen GRE-VIP-Netzwerks das IPv6-Subnetz hinzu, und erstellen Sie einen IPv6-Adresspool, um die Unterstützung für duale Stapel zu aktivieren (gilt für 2022 und höher).

3. Importieren Sie die Dienstvorlage: Importieren Sie die RAS-Gatewaydienstvorlage.

4. Stellen Sie das Gateway bereit: Stellen Sie eine Gatewaydienstinstanz bereit und konfigurieren Sie die zugehörigen Eigenschaften.

5. Überprüfen Sie die Bereitstellung: Konfigurieren Site-to-Site-GRE, Ipsec oder L3, und überprüfen Sie die Bereitstellung.

Dienstvorlage herunterladen

1. Laden Sie den SDN-Ordner aus dem Microsoft SDN GitHub Repository herunter, und kopieren Sie die Vorlagen aus VMM>Vorlagen>GW in einen lokalen Pfad auf dem VMM-Server.
2. Extrahieren Sie den Inhalt in einen Ordner auf einem lokalen Computer. Sie importieren ihn später in die Bibliothek.

Der Download enthält zwei Vorlagen:

• Die Vorlage EdgeServiceTemplate_Generation 1 VM.xml ist für die Bereitstellung des GW-Diensts auf virtuellen Computern der 1. Generation vorgesehen.
• Die EdgeServiceTemplate_Generation 2 VM.xml dient der Bereitstellung des GW-Diensts auf virtuellen Computern der 2. Generation.

Beide Vorlagen verfügen über eine Standardanzahl von drei virtuellen Computern, die im Dienstvorlagen-Designer geändert werden können.

Das logische GRE VIP-Netzwerk erstellen

1. Führen Sie in der VMM-Konsole den Assistenten zum Erstellen logischer Netzwerke aus. Geben Sie einen Namen ein, stellen Sie optional eine Beschreibung bereit, und klicken auf Weiter.

2. Wählen Sie unter Einstellungen" die Option Verbundenes Netzwerk aus, wählen Sie Vom Netzwerkcontroller verwaltet und dann Weiter aus.

3. Geben Sie unter Netzwerkstandort die Einstellungen an:

   Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz: 31.30.30.0
   • Maske: 24
   • VLAN-ID im Trunk: NA
   • Gateway: 31.30.30.1

4. Um IPv4 zu verwenden, fügen Sie dem Netzwerkstandort das IPv4-Subnetz hinzu, und erstellen Sie einen IPv4-Adresspool. Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz:
   • Maske:
   • VLAN-ID im Trunk: NA
   • Gateway:

5. Um IPv6 zu verwenden, fügen Sie dem Netzwerkstandort das IPv4- und das IPv6-Subnetz hinzu, und erstellen Sie einen IPv6-Adresspool. Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz: FD4A:293D:184F:382C::
   • Maske: 64
   • VLAN-ID im Trunk: NA
   • Gateway: FD4A:293D:184F:382C::1

6. Überprüfen Sie unter Zusammenfassung die Einstellungen und beenden den Assistenten.

Erstellen eines IP-Adressenpools für GRE VIP-Adressen

Hinweis

Sie können einen IP-Adressenpool mithilfe des Assistenten Logisches Netzwerk erstellen erstellen.

1. Klicken Sie mit der rechten Maustaste auf das logische GRE-VIP-Netzwerk und dann auf >IP-Pool erstellen.
2. Geben Sie einen Namen und eine optionale Beschreibung für den Pool ein, und überprüfen Sie, ob das VIP-Netzwerk ausgewählt ist. Wählen Sie Weiter aus.
3. Aktzeptieren Sie den Standardnetzwerkstandort, und klicken Sie auf Weiter.

4. Wenn Sie ein IPv6-Subnetz erstellt haben, erstellen Sie einen separaten IPv6 GRE VIP-Adresspool.
5. Wählen Sie eine Start- und End-IP-Adresse für Ihren Bereich aus. Starten Sie den Bereich auf der zweiten Adresse Ihres verfügbaren Subnetzes. Wenn Ihr verfügbares Subnetz beispielsweise von .1 bis .254 reicht, starten Sie den Bereich bei .2. Verwenden Sie für die Angabe des VIP-Bereichs nicht die verkürzte Form der IPv6-Adresse, sondern das Format 2001:db8:0:200:0:0:0:7 (statt 2001:db8:0:200::7).
6. Geben Sie im Feld IP-Adressen, die für Lastenausgleichs-VIPs reserviert sind, den IP-Adressenbereich im Subnetz ein. Dieser muss mit dem Bereich übereinstimmen, den Sie zum Starten und Beenden von IP-Adressen verwendet haben.
7. Sie müssen keine Gateway-, DNS- oder WINS-Informationen bereitstellen, da dieser Pool nur verwendet wird, um IP-Adressen für VIPs über den Netzwerkcontroller zuzuweisen. Wählen Sie Weiter aus, um diese Bildschirme zu überspringen.
8. Überprüfen Sie unter Zusammenfassung die Einstellungen und beenden den Assistenten.

Die Dienstvorlage importieren

1. Wählen Sie Bibliothek>Vorlage importieren aus.
2. Navigieren Sie zu Ihrem Dienstvorlagenordner. Wählen Sie als Beispiel die Datei EdgeServiceTemplate Generation 2.xml aus.
3. Aktualisieren Sie die Parameter für Ihre Umgebung, während Sie die Dienstvorlage importieren.

Hinweis

Die Bibliotheksressourcen wurden während der Netzwerkcontrollerbereitstellung importiert.

• WinServer.vhdx: Wählen Sie das virtuelle Festplattenimage aus, das Sie während der Netzwerkcontrollerbereitstellung vorbereitet und zuvor importiert haben.
• EdgeDeployment.CR: Ordnen Sie die EdgeDeployment.cr-Bibliotheksressource in der VMM-Bibliothek zu.

4. Überprüfen Sie auf der Seite Zusammenfassung die Details und wählen Sie Import aus.

   Hinweis

   Sie können die Dienstvorlage anpassen. Weitere Informationen

Gatewaydienst bereitstellen

Wenn Sie IPv6 aktivieren möchten, markieren Sie während des Onboardings des Gatewaydiensts das Kontrollkästchen IPv6 aktivieren, und wählen Sie das zuvor von Ihnen erstellte IPv6-GRE-VIP-Subnetz aus. Wählen Sie außerdem den öffentlichen IPv6-Pool aus, und geben Sie die öffentliche IPv6-Adresse an.

In diesem Beispiel wird die Vorlage der 2. Generation verwendet.

1. Wählen Sie die Dienstvorlage EdgeServiceTemplate-Generation2.xml und dann Bereitstellung konfigurieren aus.

2. Geben Sie einen Namen ein, und wählen Sie ein Ziel für die Dienstinstanz aus. Das Ziel muss einer Hostgruppe zugeordnet werden, die die zuvor für die Gatewaybereitstellung konfigurierten Hosts enthält.

3. Ordnen Sie in den Netzwerkeinstellungen das Verwaltungsnetzwerk dem Verwaltungs-VM-Netzwerk zu.

   Hinweis

   Das Dialogfeld Dienst bereitstellen wird nach Abschluss der Zuordnung angezeigt. Es ist normal, dass die VM-Instanzen anfangs Rot sind. Wählen Sie Vorschau aktualisieren aus, um automatisch geeignete Hosts für den virtuellen Computer zu finden.

4. Konfigurieren Sie links im Fenster Bereitstellung konfigurieren die folgenden Einstellungen:

   • AdminAccount. Erforderlich. Wählen Sie ein „Ausführen als“-Konto aus, das als lokaler Administrator auf den Gateway-VMs verwendet wird.
   • Verwaltungsnetzwerk. Erforderlich. Wählen Sie das Verwaltungs-VM-Netzwerk aus, das Sie für die Hostverwaltung erstellt haben.
   • Verwaltungskonto. Erforderlich. Wählen Sie ein „Ausführen als“-Konto mit Berechtigungen aus, um das Gateway zur Active Directory-Domäne hinzuzufügen, die dem Netzwerkcontroller zugeordnet ist. Dies kann dasselbe Konto sein, das bei der Bereitstellung des Netzwerkcontrollers für MgmtDomainAccount verwendet wird.
   • FQDN Erforderlich. FQDN für die Active Directory-Domäne für das Gateway.

5. Wählen Sie Dienst bereitstellen, um den Dienstbereitstellungsauftrag zu starten.

   Hinweis

   • Die Bereitstellungszeit hängt von Ihrer Hardware ab, liegt aber in der Regel zwischen 30 und 60 Minuten. Wenn die Gateway-Bereitstellung fehlschlägt, löschen Sie die fehlgeschlagene Dienstinstanz unter Alle Hosts>Services, bevor Sie die Bereitstellung erneut versuchen.

   • Wenn Sie keine VHDX mit Volumenlizenz verwenden (oder der Produktschlüssel nicht über eine Antwortdatei bereitgestellt wird), wird die Bereitstellung auf der Seite Produktschlüssel während der VM-Bereitstellung abgebrochen. Sie müssen manuell auf den VM-Desktop zugreifen und entweder den Schlüssel eingeben oder ihn überspringen.

   • Wenn Sie eine bereitgestellte SLB-Instanz vergrößern oder verkleinern möchten, lesen Sie diesen Blog.

Grenzwerte für das Gateway

Nachfolgend sind die Standardgrenzwerte für NC-verwaltete Gateways aufgeführt:

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Hinweis

Für ein virtualisiertes SDNv2-Netzwerk wird für jedes VM-Netzwerk ein internes Routing-Subnetz erstellt. Der Grenzwert MaxVMSubnetsSupported umfasst die internen Subnetze, die für VM-Netzwerke erstellt werden.

Sie können die für das vom Netzwerk-Controller verwaltete Gateway festgelegten Standardgrenzwerte außer Kraft setzen. Das Überschreiben des Grenzwerts auf eine höhere Zahl könnte jedoch die Leistung des Netzwerk-Controllers beeinträchtigen.

Überschreiben der Gatewaygrenzwerte

Um die Standardgrenzwerte zu überschreiben, fügen Sie die Überschreibungszeichenfolge an die Zeichenfolge der Verbindung des Netzwerk-Controller-Dienstes an und aktualisieren Sie sie im VMM.

• MaxVMNetworksSupported= gefolgt von der Anzahl der VM-Netzwerke, die mit diesem Gateway verwendet werden können.
• MaxVPNConnectionsPerVMNetwork= gefolgt von der Anzahl der VPN-Verbindungen, die pro VM-Netzwerk mit diesem Gateway erstellt werden können.
• MaxVMSubnetsSupported= gefolgt von der Anzahl von VM-Subnetzwerken, die mit diesem Gateway verwendet werden können.
• MaxVPNConnectionsSupported= gefolgt von der Anzahl von VPN-Verbindungen, die mit diesem Gateway verwendet werden können.

Beispiel:

Um die maximale Anzahl von VM-Netzwerken, die mit dem Gateway verwendet werden können, auf 100 zu überschreiben, aktualisieren Sie die Verbindungszeichenfolge wie folgt:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Konfigurieren der Gateway-Manager-Rolle

Jetzt, da der Gateway-Dienst bereitgestellt ist, können Sie die Eigenschaften konfigurieren und ihn mit dem Netzwerk-Controller-Dienst verknüpfen.

1. Wählen Sie Fabric>Netzwerkdienst, um die Liste der installierten Netzwerkdienste anzuzeigen. Klicken Sie mit der rechten Maustaste auf den Netzwerkcontrollerdienst und dann auf Eigenschaften.

2. Wählen Sie die Registerkarte Dienste und wählen Sie die Gateway-Manager-Rolle.

3. Suchen Sie das Feld Zugehöriger Dienst unter Dienstinformationen, und wählen Sie Durchsuchen. Wählen Sie die Gateway-Dienstinstanz aus, die Sie zuvor erstellt haben, und wählen Sie OK.

4. Wählen Sie das „Ausführen als“-Konto aus, das vom Netzwerkcontroller für den Zugriff auf die virtuellen Computer des Gateways verwendet werden soll.

   Hinweis

   Das Konto Ausführen als muss über Administratorrechte auf den Gateway-VMs verfügen.

5. Wählen Sie unter GRE VIP-Subnetz das VIP-Subnetz aus, das Sie zuvor erstellt haben.

6. Um die IPv4-Unterstützung zu aktivieren, wählen Sie unter Öffentlicher IPv4-Pool den Pool aus, den Sie während der SLB-Einrichtung konfiguriert haben. Geben Sie unter Öffentliche IPv4-Adresse eine IP-Adresse aus dem vorherigen Pool an und achten Sie darauf, dass Sie nicht die ersten drei IP-Adressen aus dem Bereich auswählen.

7. Um die IPv6-Unterstützung zu aktivieren, markieren Sie unter Eigenschaften des Netzwerkcontrollers>Dienste das Kontrollkästchen IPv6 aktivieren, wählen das zuvor von Ihnen erstellte IPv6-GRE-VIP-Subnetz aus und geben den öffentlichen IPv6-Pool bzw. die öffentliche IPv6-Adresse ein. Wählen Sie außerdem das IPv6-Frontend-Subnetz aus, das Gateway-VMs zugewiesen wird.

   

8. Konfigurieren Sie unter Gateway-Kapazität die Kapazitätseinstellungen.

   Die Gatewaykapazität (Mbps) gibt die normale TCP-Bandbreite an, die von der VM des Gateways erwartet wird. Sie müssen diesen Parameter basierend auf der zugrunde liegenden Netzwerkgeschwindigkeit festlegen, die Sie verwenden.

   Die Bandbreite des IPsec-Tunnels ist auf (3/20) der Gatewaykapazität beschränkt. Wenn die Gatewaykapazität auf 1000 MBit/s festgelegt ist, würde die entsprechende IPsec-Tunnelkapazität auf 150 MBit/s begrenzt.

   Hinweis

   Die Bandbreitenbegrenzung ist der Gesamtwert der eingehenden und ausgehenden Bandbreite.

   Die entsprechenden Anteile für GRE- und L3-Tunnel betragen 1/5 bzw. 1/2.

9. Konfigurieren Sie die Anzahl der reservierten Knoten für die Datensicherung im Feld Knoten für reserviert für Ausfälle.

10. Um einzelne Gateway-VMs zu konfigurieren, wählen Sie jede VM aus und wählen Sie das IPv4-Frontend-Subnetz, geben Sie die lokale ASN an und fügen Sie optional die Peering-Geräteinformationen für den BGP-Peer hinzu.

Hinweis

Sie müssen die Gateway-BGP-Peers konfigurieren, wenn Sie GRE-Verbindungen verwenden möchten.

Die bereitgestellte Dienstinstanz ist jetzt der Gateway-Manager-Rolle zugeordnet. Darunter muss die Gateway-VM-Instanz aufgeführt sein.

Hinweis

Sie müssen die Gateway-BGP-Peers konfigurieren, wenn Sie GRE-Verbindungen verwenden möchten.

Die bereitgestellte Dienstinstanz ist jetzt der Gateway-Manager-Rolle zugeordnet. Darunter muss die Gateway-VM-Instanz aufgeführt sein.

Überprüfen der Bereitstellung

Nach der Bereitstellung des Gateways können Sie S2S GRE-, S2S IPSec- oder L3-Verbindungstypen konfigurieren und validieren. Weitere Informationen finden Sie in den folgenden Abschnitten:

• Erstellen und Validieren von Site-to-Site IPSec-Verbindungen
• Erstellen und Validieren von Site-to-Site GRE-Verbindungen
• Erstellen und Validieren von L3-Verbindungen

Weitere Informationen über Verbindungstypen finden Sie unter diese.

Einrichten der Datenverkehrsauswahl in PowerShell

Im Folgenden wird das Verfahren zum Einrichten der Datenverkehrsauswahl mithilfe der VMM PowerShell beschrieben.

1. Erstellen Sie die Datenverkehrsauswahl mithilfe der folgenden Parameter.

   Hinweis

   Verwendete Werte sind nur Beispiele.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Konfigurieren Sie die obige Datenverkehrsauswahl mit dem Parameter -LocalTrafficSelectors von Add-SCVPNConnection oder Set-SCVPNConnection.

Entfernen des Gateways aus dem SDN-Fabric

Verwenden Sie diese Schritte, um das Gateway aus der SDN-Fabric zu entfernen.