Einrichten eines SDN RAS-Gateways in der VMM-Fabric

In diesem Artikel wird beschrieben, wie Sie ein SOFTWARE Defined Networking (SDN)-RAS-Gateway in der VMM-Fabric (System Center Virtual Machine Manager) einrichten.

Ein SDN RAS-Gateway ist ein Datenpfadelement in SDN, das die Standort-zu-Standort-Konnektivität zwischen zwei autonomen Systemen ermöglicht. Insbesondere ermöglicht ein RAS-Gateway Standort-zu-Standort-Konnektivität zwischen Remotemandantennetzwerken und Ihrem Rechenzentrum mithilfe von IPSec, Generic Routing Encapsulation (GRE) oder Layer 3 Forwarding. Weitere Informationen

Hinweis

VMM 2022 bietet Unterstützung für duale Stapel für RAS-Gateways.

Vor der Installation

Stellen Sie vor Beginn folgendes sicher:

• Planung: Lesen Sie die Planung eines softwaredefiniertes Netzwerks, und lesen Sie die Planungstopologie in diesem Dokument. Das Diagramm zeigt ein Beispiel für die Einrichtung von 4 Knoten. Das Setup ist hoch verfügbar mit drei Netzwerkcontrollerknoten (VM) und drei SLB/MUX-Knoten. Es zeigt zwei Mandanten mit einem virtuellen Netzwerk, das in zwei virtuelle Subnetze unterteilt ist, um eine Webebene und eine Datenbankebene zu simulieren. Sowohl die Infrastruktur als auch die virtuellen Mandantencomputer können auf jedem physischen Host verteilt werden.
• Netzwerkcontroller: Sie müssen den Netzwerkcontroller bereitstellen, bevor Sie das RAS-Gateway bereitstellen.
• SLB: Um sicherzustellen, dass Abhängigkeiten ordnungsgemäß behandelt werden, müssen Sie auch die SLB bereitstellen, bevor Sie das Gateway einrichten. Wenn eine SLB und ein Gateway konfiguriert sind, können Sie eine IPsec-Verbindung verwenden und überprüfen.
• Dienstvorlage: VMM verwendet eine Dienstvorlage zum Automatisieren der GW-Bereitstellung. Dienstvorlagen unterstützen die Bereitstellung mit mehreren Knoten auf VMs der Generation 1 und 2. Generation.

Bereitstellungsschritte

Gehen Sie wie folgt vor, um ein RAS-Gateway einzurichten:

1. Laden Sie die Dienstvorlage herunter: Laden Sie die Dienstvorlage herunter, die Sie zum Bereitstellen des GW benötigen.

2. Erstellen Sie das logische VIP-Netzwerk: Erstellen Sie ein logisches GRE VIP-Netzwerk. Er benötigt einen IP-Adresspool für private VIPs und zum Zuweisen von VIPs zu GRE-Endpunkten. Das Netzwerk ist vorhanden, um VIPs zu definieren, die Gateway-VMs zugewiesen sind, die auf dem SDN-Fabric für eine Standort-zu-Standort-GRE-Verbindung ausgeführt werden.

   Hinweis

   Fügen Sie dem Netzwerkstandort beim Erstellen des logischen GRE-VIP-Netzwerks das IPv6-Subnetz hinzu, und erstellen Sie einen IPv6-Adresspool, um die Unterstützung für duale Stapel zu aktivieren (gilt für 2022 und höher).

3. Importieren Sie die Dienstvorlage: Importieren Sie die RAS-Gatewaydienstvorlage.

4. Bereitstellen des Gateways: Bereitstellen einer Gatewaydienstinstanz und Konfigurieren der zugehörigen Eigenschaften.

5. Überprüfen Sie die Bereitstellung: Konfigurieren Von Standort zu Standort GRE, IPSec oder L3, und überprüfen Sie die Bereitstellung.

Herunterladen der Dienstvorlage

1. Laden Sie den SDN-Ordner aus dem Microsoft SDN GitHub-Repository herunter, und kopieren Sie die Vorlagen aus VMM>Templates>GW in einen lokalen Pfad auf dem VMM-Server.
2. Extrahieren Sie den Inhalt in einen Ordner auf einem lokalen Computer. Sie importieren sie später in die Bibliothek.

Der Download enthält zwei Vorlagen:

• Die Vorlage EdgeServiceTemplate_Generation 1 VM.xml ist für die Bereitstellung des GW-Diensts auf virtuellen Computern der Generation 1 vorgesehen.
• Der EdgeServiceTemplate_Generation 2 VM.xml dient der Bereitstellung des GW-Diensts auf virtuellen Computern der Generation 2.

Beide Vorlagen verfügen über eine Standardanzahl von drei virtuellen Computern, die im Dienstvorlagen-Designer geändert werden können.

Erstellen des logischen GRE VIP-Netzwerks

1. Führen Sie in der VMM-Konsole den Assistenten zum Erstellen logischer Netzwerke aus. Geben Sie einen Namen ein, geben Sie optional eine Beschreibung ein, und wählen Sie "Weiter" aus.

2. Wählen Sie unter "Einstellungen" die Option "Verbundenes Netzwerk" aus, wählen Sie "Vom Netzwerkcontroller verwaltet" und dann "Weiter" aus.

3. Geben Sie am Netzwerkstandort die Einstellungen an:

   Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz: 31.30.30.0
   • Maske: 24
   • VLAN-ID im Trunk: NA
   • Gateway: 31.30.30.1

4. Um IPv4 zu verwenden, fügen Sie dem Netzwerkstandort das IPv4-Subnetz hinzu, und erstellen Sie einen IPv4-Adresspool. Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz:
   • Maske:
   • VLAN-ID im Trunk: NA
   • Gateway:

5. Um IPv6 zu verwenden, fügen Sie dem Netzwerkstandort das IPv4- und das IPv6-Subnetz hinzu, und erstellen Sie einen IPv6-Adresspool. Hier sind die Beispielwerte:

   • Netzwerkname: GRE VIP
   • Subnetz: FD4A:293D:184F:382C::
   • Maske: 64
   • VLAN-ID im Trunk: NA
   • Gateway: FD4A:293D:184F:382C::1

6. Überprüfen Sie in der Zusammenfassung die Einstellungen, und beenden Sie den Assistenten.

Erstellen eines IP-Adresspools für GRE VIP-Adressen

Hinweis

Sie können einen IP-Adresspool mithilfe des Assistenten zum Erstellen von logischen Netzwerken erstellen.

1. Klicken Sie mit der rechten Maustaste auf das logische GRE-VIP-Netzwerk und dann auf >IP-Pool erstellen.
2. Geben Sie einen Namen und eine optionale Beschreibung für den Pool ein, und überprüfen Sie, ob das VIP-Netzwerk ausgewählt ist. Wählen Sie Weiter aus.
3. Übernehmen Sie den Standardnetzwerkstandort, und wählen Sie "Weiter" aus.

4. Wenn Sie ein IPv6-Subnetz erstellt haben, erstellen Sie einen separaten IPv6 GRE VIP-Adresspool.
5. Wählen Sie eine Start- und End-IP-Adresse für Ihren Bereich aus. Starten Sie den Bereich auf der zweiten Adresse Ihres verfügbaren Subnetzes. Wenn Ihr verfügbares Subnetz beispielsweise von .1 bis .254 ist, starten Sie den Bereich bei .2. Verwenden Sie zum Angeben des VIP-Bereichs nicht die gekürzte Form der IPv6-Adresse; Verwenden Sie das Format 2001:db8:0:200:0:0:0:7 anstelle von 2001:db8:0:200::7.
6. Geben Sie im Feld "IP-Adressen", die für das Lastenausgleichs-VIPs reserviert sind, den IP-Adressbereich im Subnetz ein. Dies muss mit dem Bereich übereinstimmen, den Sie zum Starten und Beenden von IP-Adressen verwendet haben.
7. Sie müssen keine Gateway-, DNS- oder WINS-Informationen bereitstellen, da dieser Pool verwendet wird, um nur IP-Adressen für VIPs über den Netzwerkcontroller zuzuweisen. Wählen Sie "Weiter" aus, um diese Bildschirme zu überspringen.
8. Überprüfen Sie in der Zusammenfassung die Einstellungen, und beenden Sie den Assistenten.

Importieren der Dienstvorlage

1. Wählen Sie "Bibliotheksimportvorlage">aus.
2. Navigieren Sie zu Ihrem Dienstvorlagenordner. Wählen Sie als Beispiel die Datei EdgeServiceTemplate Generation 2.xml aus.
3. Aktualisieren Sie die Parameter für Ihre Umgebung, während Sie die Dienstvorlage importieren.

Hinweis

Die Bibliotheksressourcen wurden während der Netzwerkcontrollerbereitstellung importiert.

• WinServer.vhdx: Wählen Sie das virtuelle Festplattenimage aus, das Sie während der Netzwerkcontrollerbereitstellung vorbereitet und zuvor importiert haben.
• EdgeDeployment.CR: Ordnen Sie die EdgeDeployment.cr Bibliotheksressource in der VMM-Bibliothek zu.

4. Überprüfen Sie auf der Seite "Zusammenfassung" die Details, und wählen Sie "Importieren" aus.

   Hinweis

   Sie können die Dienstvorlage anpassen. Weitere Informationen

Bereitstellen des Gatewaydiensts

Um IPv6 zu aktivieren, aktivieren Sie beim Onboarding-Gatewaydienst das Kontrollkästchen "IPv6 aktivieren", und aktivieren Sie das IPv6 GRE VIP-Subnetz, das Sie zuvor erstellt haben. Wählen Sie außerdem den öffentlichen IPv6-Pool aus, und geben Sie die öffentliche IPv6-Adresse an.

In diesem Beispiel wird die Vorlage der Generation 2 verwendet.

1. Wählen Sie die EdgeServiceTemplate-Generation2.xml Dienstvorlage und dann " Bereitstellung konfigurieren" aus.

2. Geben Sie einen Namen ein, und wählen Sie ein Ziel für die Dienstinstanz aus. Das Ziel muss einer Hostgruppe zugeordnet werden, die die zuvor für die Gatewaybereitstellung konfigurierten Hosts enthält.

3. Ordnen Sie in den Netzwerkeinstellungen das Verwaltungsnetzwerk dem Verwaltungs-VM-Netzwerk zu.

   Hinweis

   Das Dialogfeld "Dienst bereitstellen" wird nach Abschluss der Zuordnung angezeigt. Es ist normal, dass die VM-Instanzen anfangs Rot sein. Wählen Sie "Vorschau aktualisieren" aus, um automatisch geeignete Hosts für den virtuellen Computer zu finden.

4. Konfigurieren Sie links im Fenster "Bereitstellung konfigurieren" die folgenden Einstellungen:

   • AdminAccount. Erforderlich. Wählen Sie ein RunAs-Konto aus, das als lokaler Administrator auf den Gateway-VMs verwendet wird.
   • Verwaltungsnetzwerk. Erforderlich. Wählen Sie das Verwaltungs-VM-Netzwerk aus, das Sie für die Hostverwaltung erstellt haben.
   • Verwaltungskonto. Erforderlich. Wählen Sie ein Run As-Konto mit Berechtigungen aus, um das Gateway zur Active Directory-Domäne hinzuzufügen, die dem Netzwerkcontroller zugeordnet ist. Dies kann dasselbe Konto sein, das bei der Bereitstellung des Netzwerkcontrollers für MgmtDomainAccount verwendet wird.
   • FQDN Erforderlich. FQDN für die Active Directory-Domäne für das Gateway.

5. Wählen Sie "Dienst bereitstellen" aus, um den Dienstbereitstellungsauftrag zu starten.

   Hinweis

   • Die Bereitstellungszeiten variieren je nach Hardware, liegen jedoch in der Regel zwischen 30 und 60 Minuten. Wenn die Gatewaybereitstellung fehlschlägt, löschen Sie die fehlgeschlagene Dienstinstanz in allen Hosts-Diensten>, bevor Sie die Bereitstellung wiederholen.

   • Wenn Sie kein Volumen lizenziertes VHDX verwenden (oder der Product Key nicht über eine Antwortdatei bereitgestellt wird), wird die Bereitstellung während der VM-Bereitstellung auf der Product Key-Seite beendet. Sie müssen manuell auf den VM-Desktop zugreifen und entweder den Schlüssel eingeben oder ihn überspringen.

   • Wenn Sie eine bereitgestellte SLB-Instanz skalieren oder skalieren möchten, lesen Sie diesen Blog.

Grenzwerte für das Gateway

Im Folgenden sind die Standardgrenzwerte für NC-verwaltetes Gateway aufgeführt:

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Hinweis

Für ein virtualisiertes SDNv2-Netzwerk wird für jedes VM-Netzwerk ein internes Routingsubnetz erstellt. Der MaxVMSubnetsSupported-Grenzwert umfasst die internen Subnetze, die für VM-Netzwerke erstellt wurden.

Sie können die für das vom Netzwerkcontroller verwaltete Gateway festgelegten Standardgrenzwerte außer Kraft setzen. Das Überschreiben des Grenzwerts auf eine höhere Zahl könnte jedoch die Leistung des Netzwerkcontrollers beeinträchtigen.

Überschreiben der Gatewaygrenzwerte

Um die Standardgrenzwerte außer Kraft zu setzen, fügen Sie die Überschreibungszeichenfolge an den Netzwerkcontrollerdienst Verbindungszeichenfolge an, und aktualisieren Sie sie in VMM.

• MaxVMNetworksSupported= gefolgt von der Anzahl der VM-Netzwerke, die mit diesem Gateway verwendet werden können.
• MaxVPNConnectionsPerVMNetwork= gefolgt von der Anzahl der VPN-Verbindungen, die pro VM-Netzwerk mit diesem Gateway erstellt werden können.
• MaxVMSubnetsSupported= gefolgt von der Anzahl von VM-Subnetzwerken, die mit diesem Gateway verwendet werden können.
• MaxVPNConnectionsSupported= gefolgt von der Anzahl von VPN-Verbindungen, die mit diesem Gateway verwendet werden können.

Beispiel:

Um die maximale Anzahl von VM-Netzwerken außer Kraft zu setzen, die mit dem Gateway auf 100 verwendet werden können, aktualisieren Sie die Verbindungszeichenfolge wie folgt:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Konfigurieren der Gateway-Manager-Rolle

Nachdem der Gatewaydienst bereitgestellt wurde, können Sie die Eigenschaften konfigurieren und dem Netzwerkcontrollerdienst zuordnen.

1. Wählen Sie Fabric>Network Service aus, um die Liste der installierten Netzwerkdienste anzuzeigen. Klicken Sie mit der rechten Maustaste auf den Netzwerkcontrollerdienst und dann auf Eigenschaften.

2. Wählen Sie die Registerkarte "Dienste " und dann die Gateway-Manager-Rolle aus.

3. Suchen Sie das Feld "Zugeordneter Dienst" unter "Dienstinformationen", und wählen Sie "Durchsuchen" aus. Wählen Sie die Gatewaydienstinstanz aus, die Sie zuvor erstellt haben, und wählen Sie "OK" aus.

4. Wählen Sie das Konto "Ausführen als" aus, das vom Netzwerkcontroller für den Zugriff auf die virtuellen Gatewaycomputer verwendet wird.

   Hinweis

   Das Konto "Ausführen als" muss über Administratorrechte für die Gateway-VMs verfügen.

5. Wählen Sie im GRE VIP-Subnetz das VIP-Subnetz aus, das Sie zuvor erstellt haben.

6. Um die IPv4-Unterstützung zu aktivieren, wählen Sie im öffentlichen IPv4-Pool den Pool aus, den Sie während der SLB-Bereitstellung konfiguriert haben. Geben Sie in der öffentlichen IPv4-Adresse eine IP-Adresse aus dem vorherigen Pool an, und stellen Sie sicher, dass Sie die ersten drei IP-Adressen aus dem Bereich nicht auswählen.

7. Um die IPv6-Unterstützung zu aktivieren, aktivieren Sie im Netzwerkcontrollereigenschaftendienst> das Kontrollkästchen "IPv6 aktivieren", aktivieren Sie das zuvor erstellte IPv6 GRE VIP-Subnetz, und geben Sie den öffentlichen IPv6-Pool bzw. die öffentliche IPv6-Adresse ein. Wählen Sie außerdem das IPv6-Frontend-Subnetz aus, das Gateway-VMs zugewiesen wird.

   

8. Konfigurieren Sie in gateway capacity die Kapazitätseinstellungen.

   Die Gatewaykapazität (Mbps) gibt die normale TCP-Bandbreite an, die von der VM des Gateways erwartet wird. Sie müssen diesen Parameter basierend auf der zugrunde liegenden Netzwerkgeschwindigkeit festlegen, die Sie verwenden.

   Die Bandbreite des IPsec-Tunnels ist auf (3/20) der Gatewaykapazität beschränkt. Wenn die Gatewaykapazität auf 1000 MBit/s festgelegt ist, würde die entsprechende IPsec-Tunnelkapazität auf 150 MBit/s begrenzt.

   Hinweis

   Die Bandbreitenbegrenzung ist der Gesamtwert der eingehenden und ausgehenden Bandbreite.

   Die entsprechenden Verhältnisse für GRE und L3-Tunnel sind jeweils 1/5 bzw. 1/2.

9. Konfigurieren Sie die Anzahl der reservierten Knoten für die Sicherung in Knoten, die für das Feld "Fehler" reserviert sind.

10. Um einzelne Gateway-VMs zu konfigurieren, wählen Sie jeden virtuellen Computer aus, und wählen Sie das IPv4-Frontend-Subnetz aus, geben Sie das lokale ASN an, und fügen Sie optional die Peeringgeräteinformationen für den BGP-Peer hinzu.

Hinweis

Sie müssen die Gateway-BGP-Peers konfigurieren, wenn Sie GRE-Verbindungen verwenden möchten.

Die bereitgestellte Dienstinstanz ist jetzt der Gateway-Manager-Rolle zugeordnet. Sie müssen die vm-Instanz des Gateways sehen, die darin aufgeführt ist.

Hinweis

Sie müssen die Gateway-BGP-Peers konfigurieren, wenn Sie GRE-Verbindungen verwenden möchten.

Die bereitgestellte Dienstinstanz ist jetzt der Gateway-Manager-Rolle zugeordnet. Sie müssen die vm-Instanz des Gateways sehen, die darin aufgeführt ist.

Überprüfen der Bereitstellung

Nachdem Sie das Gateway bereitgestellt haben, können Sie S2S GRE-, S2S-IPSec- oder L3-Verbindungstypen konfigurieren und überprüfen. Weitere Informationen finden Sie in den folgenden Inhalten:

• Erstellen und Überprüfen von IPSec-Verbindungen zwischen Standort und Standort
• Erstellen und Überprüfen von Gre-Verbindungen zwischen Standort und Standort
• Erstellen und Überprüfen von L3-Verbindungen

Weitere Informationen zu Verbindungstypen finden Sie hier.

Einrichten der Datenverkehrsauswahl in PowerShell

Hier ist das Verfahren zum Einrichten der Datenverkehrsauswahl mithilfe der VMM PowerShell.

1. Erstellen Sie die Datenverkehrsauswahl mithilfe der folgenden Parameter.

   Hinweis

   Verwendete Werte sind nur Beispiele.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Konfigurieren Sie die oben genannte Datenverkehrsauswahl mithilfe des Parameters -LocalTrafficSelectors von Add-SCVPNConnection oder Set-SCVPNConnection.

Entfernen des Gateways aus dem SDN-Fabric

Führen Sie die folgenden Schritte aus, um das Gateway aus dem SDN-Fabric zu entfernen.