Menyiapkan gateway RAS SDN di fabric VMM

Artikel ini menjelaskan cara menyiapkan gateway RAS Software Defined Networking (SDN) di fabric System Center - Virtual Machine Manager (VMM).

Gateway RAS SDN adalah elemen jalur data di SDN yang memungkinkan konektivitas situs-ke-situs antara dua sistem otonom. Secara khusus, gateway RAS memungkinkan konektivitas situs-ke-situs antara jaringan penyewa jarak jauh dan pusat data Anda menggunakan IPSec, Enkapsulasi Perutean Generik (GRE), atau Penerusan Lapisan 3. Pelajari selengkapnya.

Catatan

VMM 2022 menyediakan dukungan tumpukan ganda untuk gateway RAS.

Sebelum memulai

Pastikan hal berikut sebelum Memulai:

• Perencanaan: Baca tentang merencanakan jaringan yang ditentukan perangkat lunak, dan tinjau topologi perencanaan dalam dokumen ini . Diagram menunjukkan contoh penyiapan 4 simpul. Pengaturan ini sangat tersedia dengan Tiga node pengontrol jaringan (VM) dan Tiga simpul SLB/MUX. Ini menunjukkan Dua penyewa dengan Satu jaringan virtual yang dipecah menjadi Dua subnet virtual untuk mensimulasikan tingkat web dan tingkat database. Baik infrastruktur maupun mesin virtual penyewa dapat didistribusikan kembali di host fisik apa pun.
• Pengontrol jaringan: Anda harus menyebarkan pengontrol jaringan sebelum menyebarkan gateway RAS.
• SLB: Untuk memastikan bahwa dependensi ditangani dengan benar, Anda juga harus menyebarkan SLB sebelum menyiapkan gateway. Jika SLB dan gateway dikonfigurasi, Anda dapat menggunakan dan memvalidasi koneksi IPsec.
• Templat layanan: VMM menggunakan templat layanan untuk mengotomatiskan penyebaran GW. Templat layanan mendukung penyebaran multi-simpul pada VM generasi 1 dan generasi 2.

Langkah penyebaran

Untuk menyiapkan gateway RAS, lakukan hal berikut:

1. Unduh templat layanan: Unduh templat layanan yang Anda butuhkan untuk menyebarkan GW.

2. Membuat jaringan logis VIP: Membuat jaringan logis GRE VIP. Ini membutuhkan kumpulan alamat IP untuk VIP privat dan untuk menetapkan VIP ke titik akhir GRE. Jaringan ada untuk menentukan VIP yang ditetapkan ke gateway VM yang berjalan pada fabric SDN untuk koneksi GRE situs-ke-situs.

   Catatan

   Untuk mengaktifkan dukungan tumpukan ganda, saat membuat jaringan logis GRE VIP, tambahkan subnet IPv6 ke situs jaringan dan buat kumpulan alamat IPv6. (berlaku untuk 2022 dan yang lebih baru)

3. Impor templat layanan: Impor templat layanan gateway RAS.

4. Menyebarkan gateway: Menyebarkan instans layanan gateway, dan mengonfigurasi propertinya.

5. Memvalidasi penyebaran: Mengonfigurasi GRE situs-ke-situs, IPSec, atau L3, dan memvalidasi penyebaran.

Mengunduh templat layanan

1. Unduh folder SDN dari repositori GitHub Microsoft SDN dan salin templat dariTemplat>VMM>GW ke jalur lokal di server VMM.
2. Ekstrak isi ke folder pada komputer lokal. Anda akan mengimpornya ke pustaka nanti.

Unduhan berisi Dua templat:

• Templat VM.xml EdgeServiceTemplate_Generation 1 adalah untuk menyebarkan Layanan GW pada komputer virtual generasi 1.
• VM.xml EdgeServiceTemplate_Generation 2 adalah untuk menyebarkan Layanan GW pada komputer virtual generasi 2.

Kedua templat memiliki jumlah default tiga komputer virtual, yang dapat diubah dalam perancang templat layanan.

Membuat jaringan logis GRE VIP

1. Di konsol VMM, jalankan Wizard Buat Jaringan Logis. Ketik Nama, secara opsional berikan deskripsi, dan pilih Berikutnya.

2. Di Pengaturan, pilih Jaringan Tersambung, pilih Dikelola oleh Pengontrol Jaringan, lalu pilih Berikutnya.

3. Di Situs Jaringan, tentukan pengaturan:

   Berikut adalah nilai sampelnya:

   • Nama jaringan: GRE VIP
   • Subnet: 31.30.30.0
   • Masker: 24
   • ID VLAN pada batang: NA
   • Gateway: 31.30.30.1

4. Untuk menggunakan IPv4, tambahkan subnet IPv4 ke situs jaringan dan buat kumpulan alamat IPv4. Berikut adalah nilai sampelnya:

   • Nama jaringan: GRE VIP
   • Subnet:
   • Masker:
   • ID VLAN pada batang: NA
   • Gateway:

5. Untuk menggunakan IPv6, tambahkan subnet IPv4 dan IPV6 ke situs jaringan dan buat kumpulan alamat IPv6. Berikut adalah nilai sampelnya:

   • Nama jaringan: GRE VIP
   • Subnet: FD4A:293D:184F:382C::
   • Masker: 64
   • ID VLAN pada batang: NA
   • Gateway: FD4A:293D:184F:382C::1

6. Di Ringkasan, tinjau pengaturan dan selesaikan wizard.

Membuat kumpulan alamat IP untuk alamat GRE VIP

Catatan

Anda dapat membuat kumpulan alamat IP menggunakan wizard Buat Jaringan Logis .

1. Klik kanan jaringan > logis GRE VIP Buat Kumpulan IP.
2. Ketik Nama dan deskripsi opsional untuk kumpulan, dan periksa apakah jaringan VIP dipilih. Pilih Selanjutnya.
3. Terima situs jaringan default dan pilih Berikutnya.

4. Jika Anda telah membuat subnet IPv6, buat kumpulan alamat IPv6 GRE VIP terpisah.
5. Pilih alamat IP awal dan akhir untuk rentang Anda. Mulai rentang pada alamat kedua subnet Anda yang tersedia. Misalnya, jika subnet Yang tersedia adalah dari .1 hingga .254, mulai rentang pada .2. Untuk menentukan rentang VIP, jangan gunakan bentuk alamat IPv6 yang dipersingkat; Gunakan format 2001:db8:0:200:0:0:0:7 alih-alih 2001:db8:0:200::7.
6. Dalam kotak alamat IP yang dicadangkan untuk VIP load balancer , ketik rentang alamat IP di subnet. Ini harus cocok dengan rentang yang Anda gunakan untuk memulai dan mengakhiri alamat IP.
7. Anda tidak perlu memberikan informasi gateway, DNS, atau WINS karena kumpulan ini digunakan untuk mengalokasikan alamat IP untuk VIP hanya melalui pengontrol jaringan. Pilih Berikutnya untuk melewati layar ini.
8. Di Ringkasan, tinjau pengaturan dan selesaikan wizard.

Mengimpor templat layanan

1. PilihTemplat ImporPustaka>.
2. Telusuri ke folder templat layanan Anda. Sebagai contoh, pilih file 2.xmlGenerasi EdgeServiceTemplate .
3. Perbarui parameter untuk lingkungan Saat Anda mengimpor templat layanan.

Catatan

Sumber daya pustaka diimpor selama penyebaran pengontrol jaringan.

• WinServer.vhdx: Pilih gambar hard drive virtual yang Anda siapkan dan impor sebelumnya selama penyebaran pengontrol jaringan.
• EdgeDeployment.CR: Petakan ke sumber daya pustaka EdgeDeployment.cr di pustaka VMM.

4. Pada halaman Ringkasan , tinjau detail dan pilih Impor.

   Catatan

   Anda dapat mengkustomisasi templat layanan. Pelajari lebih lanjut.

Menyebarkan layanan gateway

Untuk mengaktifkan IPv6, saat melakukan onboarding layanan Gateway, pilih kotak centang Aktifkan IPv6 dan pilih subnet IPv6 GRE VIP yang telah Anda buat sebelumnya. Selain itu, pilih kumpulan IPv6 publik dan berikan alamat IPv6 publik.

Contoh ini menggunakan templat generasi 2.

1. Pilih templat layanan EdgeServiceTemplate Generation2.xml , dan pilih KonfigurasiKan Penyebaran.

2. Ketik Nama, dan pilih tujuan untuk instans layanan. Tujuan harus memetakan ke grup host yang berisi host yang dikonfigurasi sebelumnya untuk penyebaran gateway.

3. Di Pengaturan Jaringan, petakan jaringan manajemen ke jaringan VM manajemen.

   Catatan

   Dialog Sebarkan Layanan muncul setelah pemetaan selesai. Biasanya instans VM awalnya Red. Pilih Pratinjau Refresh untuk menemukan host yang sesuai secara otomatis untuk VM.

4. Di sebelah kiri jendela Konfigurasikan Penyebaran , konfigurasikan pengaturan berikut:

   • AdminAccount. Wajib diisi. Pilih akun RunAs yang akan digunakan sebagai administrator lokal di VM gateway.
   • Jaringan Manajemen. Wajib diisi. Pilih jaringan VM Manajemen yang Anda buat untuk manajemen host.
   • Akun Manajemen. Wajib diisi. Pilih akun Jalankan sebagai dengan izin untuk menambahkan gateway ke domain Direktori Aktif yang terkait dengan pengontrol jaringan. Ini bisa menjadi akun yang sama yang digunakan untuk MgmtDomainAccount saat menyebarkan pengontrol jaringan.
   • FQDN. Wajib diisi. FQDN untuk domain Direktori aktif untuk gateway.

5. Pilih Sebarkan Layanan untuk memulai pekerjaan penyebaran layanan.

   Catatan

   • Waktu penyebaran akan bervariasi tergantung pada perangkat keras Anda tetapi biasanya antara 30 dan 60 menit. Jika penyebaran gateway gagal, hapus instans> layanan yang gagal di SemuaLayanan Host sebelum Anda mencoba kembali penyebaran.

   • Jika Anda tidak menggunakan VHDX berlisensi volume (atau kunci produk tidak disediakan menggunakan file jawaban), penyebaran akan berhenti di halaman Kunci Produk selama provisi VM. Anda perlu mengakses desktop VM secara manual, dan memasukkan kunci atau melewatinya.

   • Jika Anda ingin menskalakan atau menskalakan instans SLB yang disebarkan, baca blog ini.

Batas gerbang

Berikut ini adalah batas default untuk gateway terkelola NC:

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Catatan

Untuk jaringan virtual SDNv2, subnet perutean internal dibuat untuk setiap jaringan VM. Batas MaxVMSubnetsSupported mencakup subnet internal yang dibuat untuk jaringan VM.

Anda dapat mengganti batas default yang ditetapkan untuk gateway terkelola pengontrol jaringan. Namun, mengesampingkan batas ke angka yang lebih tinggi dapat memengaruhi performa pengontrol jaringan.

Mengesampingkan batas gateway

Untuk mengganti batas default, tambahkan string penimpaan ke layanan pengontrol jaringan string koneksi dan perbarui di VMM.

• MaxVMNetworksSupported= diikuti oleh jumlah jaringan VM yang dapat digunakan dengan gateway ini.
• MaxVPNConnectionsPerVMNetwork= diikuti dengan jumlah Connections VPN yang dapat dibuat per jaringan VM dengan gateway ini.
• MaxVMSubnetsSupported= diikuti dengan jumlah subnet jaringan VM yang dapat digunakan dengan gateway ini.
• MaxVPNConnectionsSupported= diikuti dengan jumlah Connections VPN yang dapat digunakan dengan gateway ini.

Contoh:

Untuk mengganti jumlah maksimum jaringan VM yang dapat digunakan dengan gateway menjadi 100, perbarui string koneksi sebagai berikut:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Mengonfigurasi peran manajer gateway

Sekarang setelah layanan gateway disebarkan, Anda dapat mengonfigurasi properti dan mengaitkannya dengan layanan pengontrol jaringan.

1. > PilihFabric Network Service untuk menampilkan daftar layanan jaringan yang diinstal. Klik kanan Properti layanan > pengontrol jaringan.

2. Pilih tab Layanan , dan pilih Peran Manajer Gateway.

3. Temukan bidang Layanan Terkait di bawah Informasi layanan, dan pilih Telusuri. Pilih instans layanan gateway yang Anda buat sebelumnya, dan pilih OK.

4. Pilih akun Jalankan Sebagai yang akan digunakan oleh pengontrol jaringan untuk mengakses komputer virtual gateway.

   Catatan

   Akun Jalankan sebagai harus memiliki hak istimewa Administrator pada VM gateway.

5. Di subnet GRE VIP, pilih subnet VIP yang Anda buat sebelumnya.

6. Untuk mengaktifkan dukungan IPv4, di kumpulan IPv4 Publik, pilih kumpulan yang Anda konfigurasi selama penyebaran SLB. Di Alamat IPv4 Publik, berikan alamat IP dari kumpulan sebelumnya, dan pastikan Anda tidak memilih tiga alamat IP awal dari rentang.

7. Untuk mengaktifkan dukungan IPv6, dariLayananProperti> Pengontrol Jaringan, pilih kotak centang Aktifkan IPv6, pilih subnet IPv6 GRE VIP yang telah Anda buat sebelumnya, dan masukkan kumpulan IPv6 publik dan alamat IPv6 publik, masing-masing. Selain itu, pilih subnet frontend IPv6 yang akan ditetapkan ke VM Gateway.

   

8. Di Kapasitas Gateway, konfigurasikan pengaturan kapasitas.

   Kapasitas gateway (Mbps) menunjukkan bandwidth TCP normal yang diharapkan dari gateway VM. Anda harus mengatur parameter ini berdasarkan kecepatan jaringan yang mendasari yang Anda gunakan.

   Bandwidth terowongan IPsec terbatas pada (3/20) kapasitas gateway. Yang berarti, jika kapasitas gateway diatur ke 1000 Mbps, kapasitas terowongan IPsec yang setara akan dibatasi hingga 150 Mbps.

   Catatan

   Batas bandwidth adalah nilai total bandwidth masuk dan bandwidth keluar.

   Rasio yang setara untuk terowongan GRE, dan L3 masing-masing adalah 1/5 dan 1/2.

9. Konfigurasikan jumlah simpul yang dipesan untuk pencadangan di Node untuk dicadangkan untuk bidang kegagalan.

10. Untuk mengonfigurasi VM gateway individual, pilih setiap VM dan pilih subnet frontend IPv4, tentukan ASN lokal, dan secara opsional tambahkan informasi perangkat peering untuk peering BGP.

Catatan

Anda harus mengonfigurasi rekan-rekan BGP gateway jika Anda berencana menggunakan koneksi GRE.

Instans layanan yang Anda sebarkan sekarang dikaitkan dengan peran Manajer gateway. Anda akan melihat instans VM gateway tercantum di bawahnya.

Catatan

Anda harus mengonfigurasi rekan-rekan BGP gateway jika Anda berencana menggunakan koneksi GRE.

Instans layanan yang Anda sebarkan sekarang dikaitkan dengan peran Manajer gateway. Anda akan melihat instans VM gateway tercantum di bawahnya.

Memvalidasi penyebaran

Setelah menyebarkan gateway, Anda dapat mengonfigurasi jenis koneksi S2S GRE, S2S IPSec, atau L3, dan memvalidasinya. Untuk informasi selengkapnya, lihat konten berikut ini:

• Membuat dan memvalidasi koneksi IPSec situs-ke-situs
• Membuat dan memvalidasi koneksi GRE situs-ke-situs
• Membuat dan memvalidasi koneksi L3

Untuk informasi selengkapnya tentang jenis koneksi, lihat ini.

Menyiapkan pemilih lalu lintas dari PowerShell

Berikut adalah prosedur untuk menyiapkan pemilih lalu lintas dengan menggunakan VMM PowerShell.

1. Buat pemilih lalu lintas dengan menggunakan parameter berikut.

   Catatan

   Nilai yang digunakan hanya contoh.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Konfigurasikan pemilih lalu lintas di atas dengan menggunakan parameter -LocalTrafficSelectorsadd-SCVPNConnection atau Set-SCVPNConnection.

Menghapus gateway dari fabric SDN

Gunakan langkah-langkah ini untuk menghapus gateway dari fabric SDN.