Configurer une passerelle RAS SDN dans l’infrastructure VMM

Cet article décrit comment configurer une passerelle RAS SDN (Software-Defined Networking) dans l’infrastructure System Center - Virtual Machine Manager (VMM).

Une passerelle RAS SDN est un élément de chemin de données dans SDN qui permet une connectivité de site à site entre deux systèmes autonomes. Plus précisément, une passerelle RAS permet la connectivité de site à site entre les réseaux de locataires distants et votre centre de données à l’aide d’IPSec, de l’encapsulation de routage générique (GRE) ou du transfert de couche 3. Plus d’informations

Notes

VMM 2022 prend en charge le mode double pile pour la passerelle RAS.

Avant de commencer

Avant de commencer, vérifiez ce qui suit :

• Planification : découvrez comment planifier un réseau à définition logicielle et passez en revue la topologie de planification dans ce document. Le diagramme illustre un exemple de configuration à 4 nœuds. Le programme d’installation est hautement disponible avec trois nœuds de contrôleur de réseau (machine virtuelle) et trois nœuds SLB/MUX. Elle montre deux clients avec un réseau virtuel divisé en deux sous-réseaux virtuels pour simuler un niveau web et un niveau de base de données. L’infrastructure et les machines virtuelles clientes peuvent être redistribuées sur n’importe quel hôte physique.
• Contrôleur de réseau : vous devez déployer le contrôleur de réseau avant de déployer la passerelle RAS.
• SLB : pour vérifier que les dépendances sont gérées correctement, vous devez également déployer l’équilibreur de charge logiciel (SLB) avant de configurer la passerelle. Si un SLB et une passerelle sont configurés, vous pouvez utiliser et valider une connexion IPsec.
• Modèle de service : VMM utilise un modèle de service pour automatiser le déploiement de passerelle. Les modèles de service prennent en charge le déploiement à plusieurs nœuds sur les machines virtuelles de génération 1 et de génération 2.

Étapes du déploiement

Pour configurer une passerelle RAS, procédez comme suit :

1. Télécharger le modèle de service : téléchargez le modèle de service nécessaire pour déployer la passerelle.

2. Créer le réseau logique d’adresses IP virtuelles : créez un réseau logique d’adresses IP virtuelles GRE. Il a besoin d’un pool d’adresses IP pour les adresses IP virtuelles privées et pour affecter des adresses IP virtuelles aux points de terminaison GRE. Le but du réseau est de définir des adresses IP virtuelles attribuées aux machines virtuelles de passerelle en cours d’exécution sur l’infrastructure SDN pour une connexion GRE de site à site.

   Notes

   Pour activer la prise en charge du mode double pile lors de la création d’un réseau logique d’adresses IP virtuelles GRE, ajoutez un sous-réseau IPv6 au site réseau et créez un pool d’adresses IPv6. (applicable aux versions 2022 et ultérieures)

3. Importer le modèle de service : importez le modèle de service de passerelle RAS.

4. Déployer la passerelle : déployez une instance de service de passerelle et configurez ses propriétés.

5. Valider le déploiement : configurez une connexion L3, IPsec ou GRE de site à site et validez le déploiement.

Télécharger le modèle de service

1. Téléchargez le dossier SDN à partir du dépôt Microsoft SDN GitHub et copiez les modèles à partir de VMMModèlesGW sur un chemin local du serveur VMM.
2. Procédez à l’extraction du contenu dans un dossier sur un ordinateur local. Vous l’importerez dans la bibliothèque plus tard.

Le téléchargement contient deux modèles :

• Le modèle EdgeServiceTemplate_Generation 1 VM.xml permet de déployer le service de passerelle sur les machines virtuelles de génération 1.
• Le EdgeServiceTemplate_Generation 2 VM.xml concerne le déploiement du service GW sur les machines virtuelles de génération 2.

Les deux modèles ont un nombre par défaut de trois machines virtuelles, qui peuvent être modifiées dans le concepteur de modèles de service.

Créer le réseau logique d’adresses IP virtuelles GRE

1. Dans la console VMM, exécutez l’Assistant Créer un réseau logique. Tapez un Nom, fournissez éventuellement une description, puis sélectionnez Suivant.

2. Dans Paramètres, sélectionnez Réseau connecté, géré par le contrôleur de réseau, puis suivant.

3. Dans Site réseau, spécifiez les paramètres suivants :

   Exemples de valeurs :

   • Nom réseau : Adresse IP virtuelle GRE
   • Sous-réseau : 31.30.30.0
   • Masque : 24
   • ID du VLAN en mode trunk : NA
   • Passerelle : 31.30.30.1

4. Pour utiliser IPv4, ajoutez un sous-réseau IPv4 au site réseau et créez un pool d’adresses IPv4. Exemples de valeurs :

   • Nom réseau : Adresse IP virtuelle GRE
   • Sous-réseau :
   • Masque :
   • ID du VLAN en mode trunk : NA
   • Passerelle :

5. Pour utiliser IPv6, ajoutez des sous-réseaux IPv4 et IPV6 au site réseau et créez un pool d’adresses IPv6. Exemples de valeurs :

   • Nom réseau : Adresse IP virtuelle GRE
   • Sous-réseau : FD4A:293D:184F:382C::
   • Masque : 64
   • ID du VLAN en mode trunk : NA
   • Passerelle : FD4A:293D:184F:382C::1

6. Dans Résumé, passez en revue les paramètres, puis terminez l’Assistant.

Créer un pool d’adresses IP pour les adresses IP virtuelles GRE

Notes

Vous pouvez créer un pool d’adresses IP à l’aide de l’Assistant Création d’un réseau logique .

1. Cliquez avec le bouton droit sur le réseau logique d’adresses IP virtuelles GRE >>.
2. Tapez un nom et éventuellement une description pour le pool, puis vérifiez que le réseau d’adresses IP virtuelles est sélectionné. Sélectionnez Suivant.
3. Acceptez le site réseau par défaut, puis sélectionnez Suivant.

4. Si vous avez créé un sous-réseau IPv6, créez un pool d’adresses IP virtuelles IPv6 GRE distinct.
5. Choisissez une adresse IP de début et de fin pour votre plage. Démarrez la plage sur la deuxième adresse de votre sous-réseau disponible. Par exemple, si votre sous-réseau disponible s’étend de .1 à .254, démarrez votre plage à .2. Pour spécifier la plage d’adresses IP virtuelles, n’utilisez pas la forme abrégée de l’adresse IPv6 ; Utilisez le format 2001 :db8 :0 :200 :0 :0 :7 au lieu de 2001 :db8 :0 :200 ::7.
6. Dans la zone Adresses IP réservées pour les adresses IP virtuelles d’équilibrage de charge, tapez la plage d’adresses IP du sous-réseau. Elle doit correspondre à la plage que vous avez utilisée pour les adresses IP de début et de fin.
7. Vous n’avez pas besoin de fournir des informations de passerelle, dns ou WINS, car ce pool est utilisé pour allouer des adresses IP aux adresses IP pour les adresses IP via le contrôleur de réseau uniquement. Sélectionnez Suivant pour ignorer ces écrans.
8. Dans Résumé, passez en revue les paramètres, puis terminez l’Assistant.

Importer le modèle de service

1. Sélectionnez Modèled’importation de bibliothèque>.
2. Accédez au dossier de modèles de service. Comme exemple, sélectionnez le fichier EdgeServiceTemplate Generation 2.xml.
3. Quand vous importez le modèle de service, mettez à jour les paramètres pour votre environnement.

Notes

Les ressources de bibliothèque ont été importées pendant le déploiement du contrôleur de réseau.

• WinServer.vhdx : sélectionnez l’image de disque dur virtuel que vous avez préparée et importée précédemment pendant le déploiement du contrôleur de réseau.
• EdgeDeployment.CR : mappez cette ressource à la ressource de bibliothèque EdgeDeployment.cr dans la bibliothèque VMM.

4. Dans la page Résumé , passez en revue les détails et sélectionnez Importer.

   Notes

   Vous pouvez personnaliser le modèle de service. Plus d’informations

Déployer le service de passerelle

Pour activer IPv6, lors de l’intégration du service de passerelle, cochez la case Activer IPv6 , puis sélectionnez le sous-réseau IP VIRTUELLE GRE IPv6 que vous avez créé précédemment. Sélectionnez également le pool IPv6 public et indiquez l’adresse IPv6 publique.

Cet exemple utilise le modèle de deuxième génération.

1. Sélectionnez le modèle de service EdgeServiceTemplate Generation2.xml , puis sélectionnez Configurer le déploiement.

2. Tapez un Nom, puis choisissez une destination pour le service instance. La destination doit mapper à un groupe hôte qui contient les hôtes configurés précédemment pour le déploiement de la passerelle.

3. Dans Paramètres réseau, mappez le réseau de gestion au réseau de machines virtuelles de gestion.

   Notes

   La boîte de dialogue Déployer le service s’affiche une fois le mappage terminé. Il est normal que les instances de machine virtuelle soient rouges au départ. Sélectionnez Actualiser la préversion pour rechercher automatiquement les hôtes appropriés pour la machine virtuelle.

4. Sur la gauche de la fenêtre Configurer le déploiement, configurez les paramètres suivants :

   • AdminAccount. Obligatoire. Sélectionnez un compte d’identification qui sera utilisé comme administrateur local sur les machines virtuelles de passerelle.
   • Réseau de gestion. Obligatoire. Choisissez le réseau de machines virtuelles de gestion que vous avez créé pour la gestion des hôtes.
   • Compte d’administration. Obligatoire. Sélectionnez un compte d’identification disposant des autorisations nécessaires pour ajouter la passerelle au domaine Active Directory associé au contrôleur de réseau. Il peut s’agir du même compte que celui utilisé pour MgmtDomainAccount pendant le déploiement du contrôleur de réseau.
   • Nom de domaine complet. Obligatoire. Nom de domaine complet du domaine Active Directory pour la passerelle.

5. Sélectionnez Déployer le service pour commencer le travail de déploiement de service.

   Notes

   • La durée du déploiement varie en fonction de votre matériel, mais elle est généralement comprise entre 30 et 60 minutes. En cas d’échec du déploiement de la passerelle, supprimez l’instance du service ayant échoué dans Tous les hôtesServices avant de retenter le déploiement.

   • Si vous n’utilisez pas de disque VHDX avec licence en volume (ou que la clé de produit n’est pas fournie dans un fichier de réponses), le déploiement s’arrête à la page Clé de produit pendant l’approvisionnement des machines virtuelles. Vous devez accéder manuellement au bureau de la machine virtuelle et entrer la clé ou l’ignorer.

   • Si vous souhaitez effectuer un scale-in ou un scale-out d’un instance SLB déployé, lisez ce blog.

Limites de la passerelle

Les limites par défaut de la passerelle gérée NC sont les suivantes :

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Notes

Pour un réseau virtualisé SDNv2, un sous-réseau de routage interne est créé pour chaque réseau de machines virtuelles. La limite MaxVMSubnetsSupported comprend les sous-réseaux internes créés pour les réseaux de machines virtuelles.

Vous pouvez remplacer les limites par défaut définies pour la passerelle gérée du contrôleur de réseau. Toutefois, le remplacement de la limite par une valeur plus élevée peut avoir un impact sur les performances du contrôleur de réseau.

Remplacer les limites de la passerelle

Pour remplacer les limites par défaut, ajoutez la chaîne de remplacement à la chaîne de connexion du service de contrôleur réseau et procédez à la mise à jour dans VMM.

• MaxVMNetworksSupported= suivi du nombre de réseaux de machines virtuelles pouvant être utilisés avec cette passerelle.
• MaxVPNConnectionsPerVMNetwork= suivi du nombre de connexions VPN qui peuvent être créées par réseau de machines virtuelles avec cette passerelle.
• MaxVMSubnetsSupported= suivi du nombre de sous-réseaux de réseaux de machines virtuelles pouvant être utilisés avec cette passerelle.
• MaxVPNConnectionsSupported= suivi du nombre de connexions VPN pouvant être utilisées avec cette passerelle.

Exemple :

Pour définir sur 100 le nombre maximal de réseaux de machines virtuelles pouvant être utilisés avec la passerelle, mettez à jour la chaîne de connexion comme suit :

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configurer le rôle de gestionnaire de passerelle

Maintenant que le service de passerelle est déployé, vous pouvez configurer les propriétés et l’associer au service de contrôleur de réseau.

1. SélectionnezService réseaud’infrastructure> pour afficher la liste des services réseau installés. Cliquez avec le bouton droit sur le service de contrôleur de réseau >>.

2. Sélectionnez l’onglet Services , puis sélectionnez le rôle Gestionnaire de passerelle.

3. Recherchez le champ Service associé sous Informations de service, puis sélectionnez Parcourir. Sélectionnez le service de passerelle instance que vous avez créé précédemment, puis sélectionnez OK.

4. Sélectionnez le Compte d’identification qu’utilise le contrôleur de réseau pour accéder aux machines virtuelles de passerelle.

   Notes

   Le compte d’identification doit avoir des privilèges d’administrateur sur les machines virtuelles de passerelle.

5. Dans Sous-réseau d’adresses IP virtuelles GRE, sélectionnez le sous-réseau d’adresses IP virtuelles que vous avez créé précédemment.

6. Pour activer la prise en charge d’IPv4, dans Pool IPv4 public, sélectionnez le pool que vous avez configuré pendant le déploiement du SLB. Dans Adresse IPv4 publique, indiquez une adresse IP du pool précédent en veillant à ne pas sélectionner les trois premières adresses IP de la plage.

7. Pour activer la prise en charge d’IPv6, dansServices de propriétés> du contrôleur de réseau, cochez la case Activer IPv6, sélectionnez le sous-réseau IP VIRTUELLE GRE IPv6 que vous avez créé précédemment, puis entrez respectivement le pool IPv6 public et l’adresse IPv6 publique. Sélectionnez également le sous-réseau front-end IPv6 qui sera attribué aux machines virtuelles de passerelle.

   

8. Dans Capacité de la passerelle, configurez les paramètres de capacité.

   La capacité de la passerelle (Mbits/s) désigne la bande passante TCP normale attendue de la machine virtuelle de passerelle. Vous devez définir ce paramètre en fonction de la vitesse réseau sous-jacente que vous utilisez.

   La bande passante de tunnel IPsec est limitée à (3/20) de la capacité de la passerelle. Cela signifie que, si la capacité de la passerelle est définie sur 1 000 Mbits/s, la capacité de tunnel IPsec équivalente est limitée à 150 Mbits/s.

   Notes

   La limite de bande passante est la valeur totale de la bande passante entrante et de la bande passante sortante.

   Les ratios équivalents pour les tunnels GRE et L3 sont respectivement de 1/5 et 1/2.

9. Configurez le nombre de nœuds réservés pour la sauvegarde dans le champ Nœuds pour réservé aux défaillances.

10. Pour configurer des machines virtuelles de passerelle individuelles, sélectionnez chaque machine virtuelle, sélectionnez le sous-réseau frontal IPv4, spécifiez l’ASN local et ajoutez éventuellement les informations de périphérique de peering pour l’homologue BGP.

Notes

Vous devez configurer les homologues BGP de passerelle si vous envisagez d’utiliser des connexions GRE.

L’instance de service déployée est désormais associée au rôle de gestionnaire de passerelle. L’instance de machine virtuelle de passerelle doit apparaître en dessous.

Notes

Vous devez configurer les homologues BGP de passerelle si vous envisagez d’utiliser des connexions GRE.

L’instance de service déployée est désormais associée au rôle de gestionnaire de passerelle. L’instance de machine virtuelle de passerelle doit apparaître en dessous.

Valider le déploiement

Après avoir déployé la passerelle, vous pouvez configurer les types de connexion GRE S2S, IPsec S2S ou L3 et les valider. Pour plus d’informations, consultez le contenu suivant :

• Créer et valider des connexions IPsec de site à site
• Créer et valider des connexions GRE de site à site
• Créer et valider des connexions L3

Pour plus d’informations sur les types de connexion, consultez ceci.

Configurer le sélecteur de trafic à partir de PowerShell

Voici la procédure pour configurer le sélecteur de trafic à l’aide de VMM PowerShell.

1. Créez le sélecteur de trafic en spécifiant les paramètres suivants.

   Notes

   Les valeurs utilisées sont des exemples.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Configurez le sélecteur de trafic ci-dessus à l’aide du paramètre -LocalTrafficSelectors de l’applet de commande Add-SCVPNConnection ou Set-SCVPNConnection.

Supprimer la passerelle de l’infrastructure SDN

Utilisez cette procédure pour supprimer la passerelle de l’infrastructure SDN.