VMM ファブリックで SDN RAS ゲートウェイを設定する

  • [アーティクル]

重要

このバージョンの Virtual Machine Manager (VMM) はサポート終了に達しました。 VMM 2022 にアップグレードすることをお勧めします。

この記事では、System Center - Virtual Machine Manager (VMM) ファブリックでソフトウェア定義ネットワーク (SDN) RAS ゲートウェイを設定する方法について説明します。

SDN RAS ゲートウェイは、2 つの自律システム間でサイト間接続を有効にする、SDN 内のデータ パス要素です。 具体的には、RAS ゲートウェイを使用すると、IPSec、汎用ルーティング カプセル化 (GRE)、またはレイヤー 3 転送を使用して、リモート テナント ネットワークとデータセンター間のサイト間接続が可能になります。 詳細については、こちらを参照してください

Note

VMM 2022 では、RAS ゲートウェイのデュアル スタック サポートが提供されます。

Note

  • VMM 2019 UR1 からは、1 つの接続されたネットワークの種類が接続されたネットワークに変更されます。
  • VMM 2019 UR2 以降では IPv6 がサポートされています。

開始する前に

開始する前に、以下のことを確認してください。

  • 計画: こちらのドキュメントで、ソフトウェアによるネットワーク制御の計画の詳細を参照し、計画のトポロジを確認してください。 図は、サンプルの 4 ノードのセットアップを示しています。 セットアップは、3 つのネットワーク コントローラー ノード (VM) と 3 つの SLB/MUX ノードで高可用性を実現します。 これは、Web 層とデータベース層をシミュレートするための、2 つの仮想サブネットに分割された 1 つの仮想ネットワークと 2 つのテナントを示します。 インフラストラクチャとテナントの仮想マシンはどちらも、物理ホスト間に再配布することができます。
  • ネットワーク コントローラー: RAS ゲートウェイを展開する前に、ネットワーク コントローラーを展開する必要があります。
  • SLB: 依存性を正しく処理するために、ゲートウェイを設定する前に SLB も展開してください。 SLB とゲートウェイを構成したら、IPsec 接続を使用して検証できます。
  • サービス テンプレート: VMM では、サービス テンプレートを使用して、GW の展開を自動化します。 サービス テンプレートは、第 1 世代と第 2 世代の VM 上のマルチノード展開をサポートします。

デプロイメントの手順

RAS ゲートウェイを設定するには、次のようにします。

  1. テンプレートをダウンロードする: GW を展開するために必要なサービス テンプレートをダウンロードします。

  2. 論理ネットワークを作成する: GRE VIP 論理ネットワークを作成します。 プライベート VIP 用の IP アドレス プールと、GRE エンドポイントに VIP を割り当てる必要があります。 ネットワークが存在し、サイト間 GRE 接続のために SDN ファブリックで実行しているゲートウェイ VM に割り当てられている VIP が定義されます。

    Note

    デュアル スタック サポートを有効にするには、GRE VIP 論理ネットワークを作成する際に、ネットワーク サイトに IPv6 サブネットを追加し、IPv6 アドレス プールを作成します。 (2022 以降に適用可能)

  3. サービス テンプレートをインポートする: RAS ゲートウェイ サービス テンプレートをインポートします。

  4. ゲートウェイの展開: ゲートウェイ サービス インスタンスを展開し、そのプロパティを構成します。

  5. 展開の検証: サイト間 GRE、IPSec、L3 を構成し、展開を検証します。

サービステンプレートをダウンロードする

  1. Microsoft SDN GitHub リポジトリから SDN フォルダーをダウンロードし、[VMM][テンプレート][GW] の順に選択して、テンプレートを VMM サーバー上のローカル パスにコピーします。
  2. ローカル コンピューター上のフォルダーに内容を抽出します。 それらを後でライブラリにインポートします。

ダウンロードには次の 2 つのテンプレートが含まれています。

  • EdgeServiceTemplate_Generation 1 VM.xml テンプレートは、第 1 世代の仮想マシン上に GW サービスを展開するためのものです。
  • EdgeServiceTemplate_Generation 2 VM.xml は、第 2 世代仮想マシンに GW サービスをデプロイするためのものです。

両方のテンプレートの既定の数は 3 つの仮想マシンで、サービス テンプレート デザイナーで変更できます。

GRE VIP 論理ネットワークの作成

  1. VMM コンソールで、論理ネットワークの作成ウィザードを実行します。 [名前] を入力し、必要に応じて説明を入力し、[次へ] を選択します。
  1. [設定] で、[ネットワークに接続済み] を選択します。 必要に応じて、 同じ名前の VM ネットワークの作成を選択できます。 この設定により、VM はこの論理ネットワークに直接アクセスできます。 [ ネットワーク コントローラーで管理] を選択し、[ 次へ] を選択します。
  • VMM 2019 UR1 以降の場合は、[ 設定] で [ 接続済みネットワーク] を選択し、[ ネットワーク コントローラーによって管理] を選択し、[ 次へ] を選択します。
  1. [設定] で [接続済みネットワーク] を選択し、[ネットワーク コントローラーによって管理] を選択し、[次へ] を選択します。

  1. [ネットワーク サイト] で、設定を指定します。

    値の例を次に示します。

    • ネットワーク名: GRE VIP
    • サブネット: 31.30.30.0
    • マスク: 24
    • トランクの VLAN ID: N/A
    • ゲートウェイ: 31.30.30.1
  1. [サマリー] で設定を確認し、ウィザードを完了します。

  1. IPv6 を使用するには、IPv4 と IPV6 の両方のサブネットをネットワーク サイトに追加します。 値の例を次に示します。

    • ネットワーク名: GRE VIP
    • サブネット:FD4A:293D:184F:382C::
    • マスク:64
    • トランクの VLAN ID: N/A
    • ゲートウェイ:FD4A:293D:184F:382C::1

  2. [サマリー] で設定を確認し、ウィザードを完了します。

  1. IPv4 を使用するには、ネットワーク サイトに IPv4 サブネットを追加し、IPv4 アドレス プールを作成します。 値の例を次に示します。

    • ネットワーク名: GRE VIP
    • サブネット:
    • マスク:
    • トランクの VLAN ID: N/A
    • ゲートウェイ:

  2. IPv6 を使用するには、ネットワーク サイトに IPv4 と IPv6 の両方のサブネットを追加し、IPv6 アドレス プールを作成します。 値の例を次に示します。

    • ネットワーク名: GRE VIP
    • サブネット:FD4A:293D:184F:382C::
    • マスク:64
    • トランクの VLAN ID: N/A
    • ゲートウェイ:FD4A:293D:184F:382C::1

  3. [サマリー] で設定を確認し、ウィザードを完了します。

GRE VIP アドレス用の IP アドレス プールの作成

Note

VMM 2019 UR1 以降では、 論理ネットワークの作成 ウィザードを使用して IP アドレス プールを作成できます。

注意

論理ネットワークの作成ウィザードを使用して、IP アドレス プールを作成できます。

  1. GRE VIP 論理ネットワークを右クリックし、> をクリックします。
  2. プールの名前を入力し、必要に応じて説明を入力して、VIP ネットワークが選択されていることを確認します。 [次へ] を選択します。
  3. 既定のネットワーク サイトをそのまま使用し、[ 次へ] を選択します。
  1. 範囲の開始 IP アドレスと終了 IP アドレスを選択します。 使用可能なサブネットの 2 番目のアドレスで範囲を開始します。 たとえば、有効なサブネットが .1 から .254 の場合、範囲を .2 で始めます。
  2. [ロード バランサーの VIP のために予約された IP アドレス] ボックスで、サブネットの IP アドレスの範囲を入力します。 これは、開始 IP アドレスと終了 IP アドレスに使用した範囲と一致する必要があります。
  3. このプールはネットワーク コントローラー経由でのみ VIP の IP アドレスを割り当てるために使用されるため、ゲートウェイ、DNS、または WINS の情報を提供する必要はありません。 [ 次へ] を選択して、これらの画面をスキップします。
  4. [サマリー] で設定を確認し、ウィザードを完了します。
  1. IPv6 サブネットを作成した場合は、別の IPv6 GRE VIP アドレス プールを作成します。
  2. 範囲の開始 IP アドレスと終了 IP アドレスを選択します。 使用可能なサブネットの 2 番目のアドレスで範囲を開始します。 たとえば、有効なサブネットが .1 から .254 の場合、範囲を .2 で始めます。 VIP 範囲を指定する場合は、短縮形式の IPv6 アドレスを使用しないでください。 2001:db8:0:200:200::7 ではなく 、2001:db8:0:200:0:0:7 形式を使用します。
  3. [ロード バランサーの VIP のために予約された IP アドレス] ボックスで、サブネットの IP アドレスの範囲を入力します。 これは、開始 IP アドレスと終了 IP アドレスに使用した範囲と一致する必要があります。
  4. このプールはネットワーク コントローラー経由でのみ VIP の IP アドレスを割り当てるために使用されるため、ゲートウェイ、DNS、または WINS の情報を提供する必要はありません。 [ 次へ] を選択して、これらの画面をスキップします。
  5. [サマリー] で設定を確認し、ウィザードを完了します。

サービス テンプレートのインポート

  1. [ ライブラリ>インポート テンプレート] を選択します
  2. サービス テンプレート フォルダーを参照します。 たとえば、EdgeServiceTemplate Generation 2.xml ファイルを選択します。
  3. サービス テンプレートをインポートするときは、環境内のパラメーターを更新します。

注意

ライブラリ リソースは、ネットワーク コントローラーのデプロイ中にインポートされました。

  • WinServer.vhdx: ネットワーク コントローラーのデプロイ中に前に準備してインポートした仮想ハード ドライブ イメージを選択します。
  • EdgeDeployment.CR: VMM ライブラリ内の EdgeDeployment.cr ライブラリ リソースにマッピングします。

  1. [ 概要 ] ページで詳細を確認し、[ インポート] を選択します。

    Note

    サービス テンプレートをカスタマイズすることができます。 詳細については、こちらを参照してください

ゲートウェイ サービスの展開

IPv6 を有効にするには、ゲートウェイ サービスのオンボード中に [ IPv6 を有効にする ] チェック ボックスをオンにし、前に作成した IPv6 GRE VIP サブネットを選択します。 また、パブリック IPv6 プールを選択し、パブリック IPv6 アドレスを指定します。

この例では、第 2 世代テンプレートを使用します。

  1. EdgeServiceTemplate Generation2.xml サービス テンプレートを選択し、[配置の構成] を選択します。

  2. [名前] を入力し、サービス インスタンスの宛先を選択します。 宛先は、ゲートウェイを展開するために以前に構成されたホストを含む、ホスト グループにマップする必要があります。

  3. [ネットワーク設定] で、管理ネットワークを管理 VM ネットワークにマッピングします。

    Note

    マッピングが完了すると、[ サービスのデプロイ ] ダイアログが表示されます。 VM インスタンスが最初に赤色で表示されるのは正常です。 [ プレビューの更新] を選択すると、VM に適したホストが自動的に見つかります。

  4. [展開の構成] ウィンドウの左にある次の設定を構成します。

    • AdminAccount。 必須。 ゲートウェイ VM のローカル管理者として使用される実行アカウントを選択します。
    • 管理ネットワーク。 必須。 ホストの管理用に作成した管理 VM ネットワークを選択します。
    • 管理アカウント。 必須。 ネットワーク コントローラーに関連付けられている Active Directory ドメインにゲートウェイを追加するアクセス許可を持っている実行アカウントを選択します。 これは、ネットワーク コントローラーの展開中に MgmtDomainAccount で使用したアカウントと同じものにすることができます。
    • FQDN。 必須。 ゲートウェイの Active Directory ドメインの FQDN です。

  5. [ サービスのデプロイ] を選択して、サービスのデプロイ ジョブを開始します。

    Note

    • 展開の所要時間はハードウェアによって異なりますが、通常は 30 分~ 60 分です。 ゲートウェイを展開できない場合は、[すべてのホスト][サービス] でエラーが発生したサービス インスタンスを削除してから展開を再試行してください。

    • ボリューム ライセンス VHDX を使用していない場合 (あるいは、応答ファイルの使用でプロダクト キーが与えられない場合)、展開は VM のプロビジョニング中に [プロダクト キー] ページで停止します。 VM デスクトップに手動でアクセスし、キーを入力するかスキップする必要があります。

    • デプロイされた SLB インスタンスをスケールインまたはスケールアウトする場合は、こちらの ブログを参照してください。

ゲートウェイの制限

NC マネージド ゲートウェイの既定の制限を次に示します。

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Note

SDNv2 仮想化ネットワークの場合、すべての VM ネットワークに対して内部ルーティング サブネットが作成されます。 MaxVMSubnetsSupported 制限には、VM ネットワーク用に作成された内部サブネットが含まれます。

ネットワーク コントローラー マネージド ゲートウェイに設定されている既定の制限をオーバーライドすることができます。 ただし、制限をより大きな数値にオーバーライドすると、ネットワーク コントローラーのパフォーマンスに影響を与える可能性があります。

ゲートウェイの制限のオーバーライド

既定の制限をオーバーライドするには、ネットワーク コント ローラー サービスの接続文字列にオーバーライド文字列を追加し、VMM で更新します。

  • MaxVMNetworksSupported= このゲートウェイで使用できる VM ネットワークの数。
  • MaxVPNConnectionsPerVMNetwork= このゲートウェイで VM ネットワークごとに作成できる VPN 接続の数。
  • MaxVMSubnetsSupported= このゲートウェイで使用できる VM ネットワークのサブネットの数。
  • MaxVPNConnectionsSupported= このゲートウェイで使用できる VPN 接続の数。

:

ゲートウェイで使用できる VM ネットワークの最大数を 100 にオーバーライドするには、接続文字列を次のように更新します。

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

ゲートウェイ マネージャー ロールの構成

ゲートウェイ サービスがデプロイされたので、プロパティを構成し、ネットワーク コントローラー サービスに関連付けることができます。

  1. [ ファブリック>ネットワーク サービス ] を選択して、インストールされているネットワーク サービスの一覧を表示します。 [ネットワーク コントローラー] サービスを右クリックし、> を選択します。

  2. [ サービス ] タブを選択し、[ ゲートウェイ マネージャーの役割] を選択します。

  3. [サービス情報] で [関連付けられたサービス] フィールドを見つけて、[参照] を選択します。 前に作成したゲートウェイ サービス インスタンスを選択し、[ OK] を選択します

  4. ゲートウェイ仮想マシンにアクセスするために、ネットワーク コントローラーで使用される [実行アカウント] を選択します。

    Note

    この実行アカウントには、ゲートウェイ VM の管理者特権がなければなりません。

  5. [GRE VIP サブネット] で、以前に作成した VIP サブネットを選択します。

  1. [パブリック IPv4 プール] で、SLB の展開時に構成したプールを選択します。 [パブリック IPv4 アドレス] に以前のプールから IP アドレスを指定して、範囲の最初の 3 つの IP アドレスを選択していないことを確認します。

  1. IPv4 のサポートを有効にするには、 [パブリック IPv4 プール] で、SLB の展開時に構成したプールを選択します。 [パブリック IPv4 アドレス] に以前のプールから IP アドレスを指定して、範囲の最初の 3 つの IP アドレスを選択していないことを確認します。

  2. IPv6 サポートを有効にするには、[ ネットワーク コントローラーのプロパティ>サービス] で [ IPv6 を有効にする ] チェック ボックスをオンにし、前に作成した IPv6 GRE VIP サブネットを選択し、パブリック IPv6 プールとパブリック IPv6 アドレスをそれぞれ入力します。 また、ゲートウェイ VM に割り当てられる IPv6 フロントエンド サブネットを選択します。

    IPv6 の有効化のスクリーンショット。

  3. [ゲートウェイ容量] で、容量設定を構成します。

    ゲートウェイ容量 (Mbps) は、ゲートウェイ VM で想定される通常の TCP 帯域幅を示します。 このパラメーターは、使用している基礎のネットワーク速度に基づいて設定する必要があります。

    IPsec トンネル帯域幅はゲートウェイ容量の (3/20) に制限されています。 つまり、ゲートウェイ容量が 1000 Mbps に設定されている場合、対応する IPsec トンネル容量は 150 Mbps に制限されます。

    Note

    帯域幅の制限は、着信帯域幅と発信帯域幅の合計値となります。

    GRE トンネルと L3 トンネルの同等の比率は、それぞれ 1/5 と 1/2 です。

  4. [障害用に予約されているノード] フィールドで、バックアップ 用の予約済みノードの数を構成します。

  5. 個々のゲートウェイ VM を構成するには、各 VM を選択し、IPv4 フロントエンド サブネットを選択し、ローカル ASN を指定し、必要に応じて BGP ピアのピアリング デバイス情報を追加します。

注意

GRE 接続を使用する予定の場合は、ゲートウェイ BGP ピアを構成する必要があります。

これで、展開したサービス インスタンスがゲートウェイ マネージャー ロールに関連付けられます。 その下にゲートウェイ VM インスタンスが一覧表示されているはずです。

  1. [ゲートウェイ容量] で、容量設定を構成します。

    ゲートウェイ容量 (Mbps) は、ゲートウェイ VM で想定される通常の TCP 帯域幅を示します。 このパラメーターは、使用している基礎のネットワーク速度に基づいて設定する必要があります。

    IPsec トンネル帯域幅はゲートウェイ容量の (3/20) に制限されています。 つまり、ゲートウェイ容量が 1000 Mbps に設定されている場合、対応する IPsec トンネル容量は 150 Mbps に制限されます。

    Note

    帯域幅の制限は、着信帯域幅と発信帯域幅の合計値となります。

    これと同等の、GRE および L3 のトンネルの比率は、それぞれ 1/5 と 1/2 です。

  2. [障害用に予約されているノード] フィールドで、バックアップ 用の予約済みノードの数を構成します。

  3. 個々のゲートウェイ VM を構成するには、各 VM を選択し、IPv4 フロントエンド サブネットを選択し、ローカル ASN を指定し、必要に応じて BGP ピアのピアリング デバイス情報を追加します。

注意

GRE 接続を使用する予定の場合は、ゲートウェイ BGP ピアを構成する必要があります。

これで、展開したサービス インスタンスがゲートウェイ マネージャー ロールに関連付けられます。 その下にゲートウェイ VM インスタンスが一覧表示されているはずです。

デプロイの検証

ゲートウェイを展開した後は、S2S GRE、S2S IPSec、L3 の接続の種類を構成し、検証できます。 詳細については、次の内容を参照してください。

接続の種類の詳細については、 こちらの記事を参照してください。

PowerShell からのトラフィック セレクターを設定する

VMM PowerShell を使用してトラフィック セレクターを設定する手順を次に示します。

  1. トラフィック セレクターを作成するには、次のパラメーターを使用します。

    Note

    使用されている値は一例です。

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. 上記のトラフィック セレクターの構成には、Add-SCVPNConnection または Set-SCVPNConnection- LocalTrafficSelectors パラメーターを使用します。

SDN ファブリックからゲートウェイを削除する

SDN ファブリックからゲートウェイを削除する方法は、ここで確認できます。