Een SDN RAS-gateway instellen in de VMM-infrastructuurresources

In dit artikel wordt beschreven hoe u een SDN-RAS-gateway (Software Defined Networking) instelt in de System Center - Virtual Machine Manager (VMM)-infrastructuur.

Een SDN RAS-gateway is een gegevenspad-element in SDN waarmee site-naar-site-connectiviteit tussen twee zelfstandige systemen mogelijk wordt. Met name een RAS-gateway maakt site-naar-site-connectiviteit mogelijk tussen externe tenantnetwerken en uw datacenter met behulp van IPSec, Generic Routing Encapsulation (GRE) of Layer 3 Forwarding. Meer informatie.

Notitie

VMM 2022 biedt ondersteuning voor dubbele stack voor RAS-gateway.

Voordat u begint

Controleer het volgende voordat u begint:

• Planning: lees over het plannen van een softwaregedefinieerd netwerk en bekijk de planningstopologie in dit document. Het diagram toont een voorbeeld van een installatie met 4 knooppunten. De installatie is maximaal beschikbaar met drie netwerkcontrollerknooppunten (VM's) en drie SLB/MUX-knooppunten. U ziet twee tenants met één virtueel netwerk, onderverdeeld in twee virtuele subnetten die een weblaag en een databaselaag simuleren. Zowel de infrastructuur als de virtuele tenantmachines kunnen opnieuw worden gedistribueerd naar elke fysieke host.
• Netwerkcontroller: u moet de netwerkcontroller implementeren voordat u de RAS-gateway implementeert.
• SLB: om ervoor te zorgen dat afhankelijkheden correct worden verwerkt, moet u ook de SLB implementeren voordat u de gateway instelt. Als er een SLB en een gateway worden geconfigureerd, kunt u een IPsec-verbinding gebruiken en valideren.
• Servicesjabloon: VMM maakt gebruik van een servicesjabloon om de GW-implementatie te automatiseren. Servicesjablonen ondersteunen de implementatie van meerdere knooppunten op virtuele machines van de eerste en tweede generatie.

Implementatiestappen

Ga als volgt te werk om een RAS-gateway in te stellen:

1. De sjabloon downloaden: download de servicesjabloon die u nodig hebt om de GW te implementeren.

2. Het logische VIP-netwerk maken: maak een logisch GRE VIP-netwerk. Er is een IP-adresgroep nodig voor privé-VIP's en om VIP's toe te wijzen aan GRE-eindpunten. Het netwerk definieert VIP's die zijn toegewezen aan gateway-VM's die in de SDN-infrastructuur worden uitgevoerd voor een GRE-verbinding tussen sites.

   Notitie

   Als u ondersteuning voor dubbele stack wilt inschakelen tijdens het maken van een logisch GRE VIP-netwerk, voegt u het IPv6-subnet toe aan de netwerksite en maakt u een IPv6-adresgroep. (van toepassing op 2022 en hoger)

3. De servicesjabloon importeren: importeer de servicesjabloon voor de RAS-gateway.

4. De gateway implementeren: implementeer een service-exemplaar van de gateway en configureer de bijbehorende eigenschappen.

5. De implementatie valideren: configureer GRE, IPSec of L3 tussen sites en valideer de implementatie.

De servicesjabloon downloaden

1. Download de SDN-map vanuit de Microsoft SDN GitHub-opslagplaats en kopieer de sjablonen van VMM>Sjablonen>GW naar een lokaal pad op de VMM-server.
2. Pak de inhoud uit in een map op een lokale computer. U importeert deze later in de bibliotheek.

De download bevat twee sjablonen:

• De sjabloon EdgeServiceTemplate_Generation1 VM.xml is bestemd voor het implementeren van de GW-service op virtuele machines van de eerste generatie.
• De EdgeServiceTemplate_Generation 2 VM.xml is voor het implementeren van de GW-service op virtuele machines van generatie 2.

Beide sjablonen hebben een standaardtelling van drie virtuele machines, die kunnen worden gewijzigd in de servicesjabloonontwerper.

Het logische GRE-VIP-netwerk maken

1. Start de wizard Logisch netwerk maken in de VMM-console. Typ een Naam, geef eventueel een beschrijving op en selecteer Volgende.

2. Selecteer in Instellingende optie Verbonden netwerk, selecteer Beheerd door de netwerkcontroller en selecteer vervolgens Volgende.

3. Geef in netwerksite deze instellingen op:

   Dit zijn de voorbeeldwaarden:

   • Netwerknaam: GRE VIP
   • Subnet: 31.30.30.0
   • Masker: 24
   • VLAN-id op hoofdtransmissielijn: N.v.t.
   • Gateway: 31.30.30.1

4. Als u IPv4 wilt gebruiken, voegt u het IPv4-subnet toe aan de netwerksite en maakt u een IPv4-adresgroep. Dit zijn de voorbeeldwaarden:

   • Netwerknaam: GRE VIP
   • Subnet:
   • Masker:
   • VLAN-id op hoofdtransmissielijn: N.v.t.
   • Gateway:

5. Als u IPv6 wilt gebruiken, voegt u zowel IPv4- als IPV6-subnetten toe aan de netwerksite en maakt u een IPv6-adresgroep. Dit zijn de voorbeeldwaarden:

   • Netwerknaam: GRE VIP
   • Subnet: FD4A:293D:184F:382C::
   • Masker: 64
   • VLAN-id op hoofdtransmissielijn: N.v.t.
   • Gateway: FD4A:293D:184F:382C::1

6. Controleer bij Samenvatting de instellingen en voltooi de wizard.

Een IP-adresgroep maken voor GRE VIP-adressen

Notitie

U kunt een IP-adresgroep maken met behulp van de wizard Logisch netwerk maken .

1. Klik met de rechtermuisknop op het logische GRE VIP-netwerk IP-adresgroep> maken.
2. Typ een naam en desgewenst een beschrijving voor de groep en zorg ervoor dat het VIP-netwerk is geselecteerd. Selecteer Next.
3. Accepteer de standaardnetwerksite en selecteer Volgende.

4. Als u een IPv6-subnet hebt gemaakt, maakt u een afzonderlijke IPv6 GRE VIP-adresgroep.
5. Kies een IP-beginadres en IP-eindadres voor het bereik. Start het bereik bij het tweede adres van uw beschikbare subnet. Een voorbeeld: als het beschikbare subnet loopt van .1 tot .254, laat u het bereik beginnen bij .2 of hoger. Gebruik voor het opgeven van VIP-bereik niet de verkorte vorm van IPv6-adres; Gebruik de indeling 2001:db8:0:200:0:0:0:7 in plaats van 2001:db8:0:200::7.
6. Typ in het vak IP-adressen gereserveerd voor VIP's van Load Balancers het IP-adressenbereik in het subnet. Dit moet overeenkomen met het bereik dat u gebruikt voor het eerste en laatste IP-adres.
7. U hoeft geen gateway-, DNS- of WINS-gegevens op te geven, omdat deze groep alleen wordt gebruikt om IP-adressen voor VIP's toe te wijzen via de netwerkcontroller. Selecteer Volgende om deze schermen over te slaan.
8. Controleer bij Samenvatting de instellingen en voltooi de wizard.

De servicesjabloon importeren

1. Selecteer Bibliotheeksjabloon>importeren.
2. Blader naar uw map met servicesjablonen. Selecteer bijvoorbeeld het bestand EdgeServiceTemplate Generation 2.xml .
3. Werk de parameters voor uw omgeving bij wanneer u de servicesjabloon importeert.

Notitie

De bibliotheekresources zijn geïmporteerd tijdens de implementatie van de netwerkcontroller.

• WinServer.vhdx: selecteer de installatiekopieën van de virtuele harde schijf die u eerder hebt voorbereid en geïmporteerd tijdens de implementatie van de netwerkcontroller.
• EdgeDeployment.CR: wijs toe aan de EdgeDeployment.cr bibliotheekresource in de VMM-bibliotheek.

4. Controleer de details op de pagina Samenvatting en selecteer Importeren.

   Notitie

   U kunt de servicesjabloon aanpassen. Meer informatie.

De gatewayservice implementeren

Als u IPv6 wilt inschakelen tijdens het onboarden van de gatewayservice, schakelt u het selectievakje IPv6 inschakelen in en selecteert u het IPv6 GRE VIP-subnet dat u eerder hebt gemaakt. Selecteer ook openbare IPv6-pool en geef het openbare IPv6-adres op.

In dit voorbeeld wordt de sjabloon van de tweede generatie gebruikt.

1. Selecteer de sjabloon EdgeServiceTemplate Generation2.xml service en selecteer Implementatie configureren.

2. Typ een naam en kies een bestemming voor het service-exemplaar. Het doel moet worden toegewezen aan een hostgroep die de hosts bevat die eerder voor de implementatie van de gateway zijn geconfigureerd.

3. Wijs in Netwerkinstellingen het beheernetwerk toe aan het VM-beheernetwerk.

   Notitie

   Het dialoogvenster Service implementeren wordt weergegeven nadat de toewijzing is voltooid. Het is normaal dat de VM-exemplaren aanvankelijk rood zijn. Selecteer Voorbeeld vernieuwen om automatisch geschikte hosts voor de VM te vinden.

4. Configureer aan de linkerkant van het venster Implementatie configureren de volgende instellingen:

   • AdminAccount. Vereist. Selecteer een Uitvoeren als-account dat wordt gebruikt als lokale beheerder op de gateway-VM's.
   • Beheernetwerk. Vereist. Kies de virtuele machine met het beheernetwerk dat u hebt gemaakt om de host te beheren.
   • Beheeraccount. Vereist. Selecteer een Uitvoeren als-account met machtigingen om de gateway toe te voegen aan het Active Directory-domein dat aan de netwerkcontroller is gekoppeld. Dit kan hetzelfde account zijn dat u bij het implementeren van de netwerkcontroller hebt gebruikt voor MgmtDomainAccount.
   • FQDN. Vereist. FQDN voor het Active Directory-domein voor de gateway.

5. Selecteer Service implementeren om de service-implementatietaak te starten.

   Notitie

   • Implementatietijden variëren, afhankelijk van uw hardware, maar zijn meestal tussen 30 en 60 minuten. Als de gateway-implementatie mislukt, verwijdert u het mislukte service-exemplaar in Allehosts-services> voordat u de implementatie opnieuw uitvoert.

   • Als u geen VHDX met volumelicentie gebruikt (of als de productcode niet wordt geleverd met een antwoordbestand), stopt de implementatie bij de pagina Productcode tijdens het inrichten van de virtuele machines. U moet handmatig toegang krijgen tot het bureaublad van de VM en de sleutel invoeren of overslaan.

   • Lees deze blog als u een geïmplementeerd SLB-exemplaar wilt in- of uitschalen.

Gatewaylimieten

Hier volgen de standaardlimieten voor door NC beheerde gateway:

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Notitie

Voor een gevirtualiseerd SDNv2-netwerk wordt een subnet voor interne routering gemaakt voor elk VM-netwerk. De limiet MaxVMSubnetsSupported omvat de interne subnetten die zijn gemaakt voor VM-netwerken.

U kunt de standaardlimieten die zijn ingesteld voor de beheerde gateway van de netwerkcontroller overschrijven. Het overschrijven van de limiet naar een hoger getal kan echter van invloed zijn op de prestaties van de netwerkcontroller.

De gatewaylimieten overschrijven

Als u de standaardlimieten wilt overschrijven, voegt u de onderdrukkingsreeks toe aan de netwerkcontrollerservice verbindingsreeks en bijwerken in VMM.

• MaxVMNetworksSupported= gevolgd door het aantal VM-netwerken dat met deze gateway kan worden gebruikt.
• MaxVPNConnectionsPerVMNetwork= gevolgd door het aantal VPN-Connections dat per VM-netwerk met deze gateway kan worden gemaakt.
• MaxVMSubnetsSupported= gevolgd door het aantal VM-netwerksubnetten dat met deze gateway kan worden gebruikt.
• MaxVPNConnectionsSupported= gevolgd door het aantal VPN-Connections dat met deze gateway kan worden gebruikt.

Voorbeeld:

Als u het maximum aantal VM-netwerken dat met de gateway kan worden gebruikt, wilt overschrijven naar 100, werkt u de verbindingsreeks als volgt bij:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

De rol van gatewaybeheer configureren

Nu de gatewayservice is geïmplementeerd, kunt u de eigenschappen configureren en deze koppelen aan de netwerkcontrollerservice.

1. SelecteerInfrastructuurnetwerkservice> om de lijst met geïnstalleerde netwerkservices weer te geven. Klik met de rechtermuisknop op de eigenschappen van de netwerkcontrollerservice>.

2. Selecteer het tabblad Services en selecteer de rol Gatewaybeheer.

3. Zoek het veld Gekoppelde service onder Servicegegevens en selecteer Bladeren. Selecteer het gatewayservice-exemplaar dat u eerder hebt gemaakt en selecteer OK.

4. Selecteer het Uitvoeren als-account dat door netwerkcontroller wordt gebruikt om toegang te krijgen tot de virtuele gatewaymachines.

   Notitie

   Het Uitvoeren als-account moet beheerdersbevoegdheden hebben op de gateway-VM's.

5. Selecteer in GRE-VIP-subnet het VIP-subnet dat u eerder hebt gemaakt.

6. Als u IPv4-ondersteuning wilt inschakelen, selecteert u in Openbare IPv4-pool de groep die u hebt geconfigureerd tijdens de implementatie van SLB. Geef bij Openbaar IPv4-adres een IP-adres uit de vorige groep op en zorg ervoor dat u de eerste 3 IP-adressen in het bereik niet selecteert.

7. Als u IPv6-ondersteuning wilt inschakelen, schakelt u in Network Controller Properties>Services het selectievakje IPv6 inschakelen in, selecteert u het IPv6 GRE VIP-subnet dat u eerder hebt gemaakt en voert u respectievelijk de openbare IPv6-pool en het openbare IPv6-adres in. Selecteer ook IPv6-front-endsubnet dat wordt toegewezen aan gateway-VM's.

   

8. Configureer de capaciteitsinstellingen in Gatewaycapaciteit.

   De gatewaycapaciteit (Mbps) geeft de normale TCP-bandbreedte aan die buiten de gateway-VM wordt verwacht. U moet deze parameter instellen op basis van de onderliggende netwerksnelheid die u gebruikt.

   IPSec-tunnelbandbreedte is beperkt tot (3/20) van de gatewaycapaciteit. Dus als de gatewaycapaciteit is ingesteld op 1000 Mbps, is de gelijkwaardige IPSec-tunnelcapaciteit beperkt tot 150 Mbps.

   Notitie

   De bandbreedtelimiet is de totale waarde van binnenkomende en uitgaande bandbreedte.

   De equivalente verhoudingen voor GRE- en L3-tunnels zijn respectievelijk 1/5 en 1/2.

9. Configureer het aantal gereserveerde knooppunten voor back-up in het veld Knooppunten voor gereserveerd voor fouten.

10. Als u afzonderlijke gateway-VM's wilt configureren, selecteert u elke VM en selecteert u het IPv4-front-endsubnet, geeft u de lokale ASN op en voegt u eventueel de peeringapparaatgegevens voor de BGP-peer toe.

Notitie

U moet de BGP-peers van de gateway configureren als u gre-verbindingen wilt gebruiken.

Het service-exemplaar dat u hebt geïmplementeerd, is nu gekoppeld aan de rol Gatewaybeheer. Daaronder moet het gateway-VM-exemplaar worden vermeld.

Notitie

U moet de BGP-peers van de gateway configureren als u gre-verbindingen wilt gebruiken.

Het service-exemplaar dat u hebt geïmplementeerd, is nu gekoppeld aan de rol Gatewaybeheer. Daaronder moet het gateway-VM-exemplaar worden vermeld.

De implementatie valideren

Nadat u de gateway hebt geïmplementeerd, kunt u de verbindingstypen S2S-GRE, S2S-IPsec of L3 configureren en valideren. Zie de volgende inhoud voor meer informatie:

• Site-naar-site-IPSec-verbindingen maken en valideren
• Site-naar-site GRE-verbindingen maken en valideren
• L3-verbindingen maken en valideren

Zie dit voor meer informatie over verbindingstypen.

De verkeersselector van PowerShell instellen

Hier volgt de procedure voor het instellen van de verkeersselector met behulp van de VMM PowerShell.

1. Maak de verkeersselector met behulp van de volgende parameters.

   Notitie

   Waarden die worden gebruikt, zijn alleen voorbeelden.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Configureer de bovenstaande verkeersselector met behulp van de -LocalTrafficSelectors-parameter van Add-SCVPNConnection of Set-SCVPNConnection.

De gateway uit de SDN-infrastructuur verwijderen

Volg deze stappen om de gateway te verwijderen uit de SDN-infrastructuur.