Zarządzanie połączeniami bramy usługi Azure Stack HCI

  • Artykuł

Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

W tym artykule opisano sposób tworzenia, usuwania i aktualizowania połączeń bramy przy użyciu Windows Admin Center po wdrożeniu sieci zdefiniowanej programowo (SDN). Bramy są używane do routingu ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną. Istnieją trzy typy połączeń bramy — zabezpieczenia protokołu internetowego (IPsec), hermetyzacja routingu ogólnego (GRE) i warstwa 3 (L3).

Uwaga

Przed utworzeniem połączenia bramy bramy SDN należy wdrożyć. Ponadto należy wdrożyć programowe moduły równoważenia obciążenia (SLB) przed utworzeniem połączenia IPsec.

Aby uzyskać więcej informacji na temat bram dla sieci SDN, zobacz Co to jest brama RAS dla sieci SDN. Aby uzyskać więcej informacji na temat wdrażania sieci SDN, zobacz Deploy an SDN infrastructure using SDN Express (Wdrażanie infrastruktury SDN przy użyciu SDN Express).

Twórca nowe połączenie bramy protokołu IPsec

Połączenia bramy protokołu IPsec służą do zapewniania bezpiecznych połączeń szyfrowanych lokacja-lokacja między sieciami wirtualnymi SDN i zewnętrznymi sieciami klientów przez Internet.

Połączenie bramy protokołu IPsec sieci SDN.

  1. W Windows Admin Center w obszarze Wszystkie Connections wybierz klaster, na którym chcesz utworzyć połączenie bramy.
  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć, a następnie wybierz pozycję Brama Connections.
  3. W obszarze Brama Connections wybierz kartę Spis, a następnie wybierz pozycję Nowy.
  4. W obszarze Twórca nowego połączenia bramy wprowadź nazwę połączenia
  5. Wybierz Virtual Network, dla którego zostanie skonfigurowane połączenie bramy.
  6. Ustaw typ połączenia jako IPSEC.
  7. Wybierz pulę bramy dla połączenia. Domyślnie tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bramy. Nową pulę bramy można utworzyć przy użyciu New-NetworkControllerGatewayPool polecenia cmdlet programu PowerShell. To polecenie cmdlet można uruchomić bezpośrednio na maszynach wirtualnych kontrolera sieci lub można je uruchomić zdalnie przy użyciu poświadczeń.
  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie dla połączeń bramy. Adresy IP z tej podsieci zostaną aprowizowane na maszynach wirtualnych bramy. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.
  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość, która jest współmierna do całkowitej pojemności bramy. Łączna pojemność jest dostarczana przez Ciebie w ramach wdrożenia bramy. Aby dowiedzieć się więcej na temat pojemności bramy i sposobu jej wpływu na przepustowość połączenia protokołu IPsec, zobacz Obliczenia pojemności bramy.
  10. Podaj docelowy adres IP dla połączenia. Jest to publiczny adres IP bramy zdalnej.
  11. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej . Wszystkie pakiety przeznaczone do tych prefiksów podsieci przejdą przez połączenie bramy.
  12. Podaj wspólny wpis tajny protokołu IPsec dla połączenia. Musi to być zgodne z typem uwierzytelniania (kluczem wstępnym) i udostępnionym wpisem tajnym skonfigurowanym w bramie zdalnej.
  13. W razie potrzeby podaj ustawienia zaawansowane protokołu IPsec.
  14. Kliknij Twórca, aby skonfigurować połączenie.
  15. Na liście Connections bramy sprawdź, czy stan konfiguracji połączenia to Powodzenie.

Twórca nowe połączenie bramy GRE

Tunele oparte na protokole GRE umożliwiają łączność między sieciami wirtualnymi dzierżawy i sieciami zewnętrznymi. Ponieważ protokół GRE jest lekki, a obsługa protokołu GRE jest dostępna na większości urządzeń sieciowych, jest to idealny wybór do tunelowania, gdy szyfrowanie danych nie jest wymagane.

Połączenie bramy SDN GRE.

  1. W Windows Admin Center w obszarze Wszystkie Connections wybierz klaster, na którym chcesz utworzyć połączenie bramy.
  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć, a następnie wybierz pozycję Brama Connections.
  3. W obszarze Brama Connections wybierz kartę Spis, a następnie wybierz pozycję Nowy.
  4. W obszarze Twórca nowe połączenie bramy wprowadź nazwę połączenia.
  5. Wybierz Virtual Network, dla którego zostanie skonfigurowane połączenie bramy.
  6. Ustaw typ połączenia jako GRE.
  7. Wybierz pulę bramy dla połączenia. Domyślnie tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bramy. Nową pulę bramy można utworzyć przy użyciu New-NetworkControllerGatewayPool polecenia cmdlet programu PowerShell. To polecenie cmdlet można uruchomić bezpośrednio na maszynach wirtualnych kontrolera sieci lub można je uruchomić zdalnie przy użyciu poświadczeń.
  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie dla połączeń bramy. Adresy IP z tej podsieci zostaną aprowizowane na maszynach wirtualnych bramy. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.
  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość, która jest współmierna do całkowitej pojemności bramy. Łączna pojemność jest dostarczana przez Ciebie w ramach wdrożenia bramy. Aby dowiedzieć się więcej o pojemności bramy i sposobie jej wpływu na przepustowość połączenia GRE, zobacz Obliczenia pojemności bramy.
  10. Podaj docelowy adres IP dla połączenia. Jest to publiczny adres IP bramy zdalnej.
  11. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej. Wszystkie pakiety przeznaczone do tych prefiksów podsieci przejdą przez połączenie bramy.
  12. Podaj klucz GRE dla połączenia. Musi to być zgodne z kluczem GRE skonfigurowanym w bramie zdalnej.
  13. Kliknij Twórca, aby skonfigurować połączenie.
  14. Na liście Connections bramy sprawdź, czy stan konfiguracji połączenia to Powodzenie.

Twórca połączenia L3

Przekazywanie L3 umożliwia łączność między infrastrukturą fizyczną w centrum danych a sieciami wirtualnymi SDN. Dzięki połączeniu przekazującym L3 maszyny wirtualne sieci dzierżawy mogą łączyć się z siecią fizyczną za pośrednictwem bramy SDN. W takim przypadku brama SDN działa jako router między siecią wirtualną SDN a siecią fizyczną.

Połączenie bramy L3 sieci SDN.

  1. W Windows Admin Center w obszarze Wszystkie Connections wybierz klaster, na którym chcesz utworzyć połączenie bramy.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć, a następnie wybierz pozycję Brama Connections.

  3. W obszarze Brama Connections wybierz kartę Spis, a następnie wybierz pozycję Nowy.

  4. W obszarze Twórca nowe połączenie bramy wprowadź nazwę połączenia.

  5. Wybierz Virtual Network, dla którego zostanie skonfigurowane połączenie bramy.

  6. Ustaw typ połączenia jako L3.

  7. Wybierz pulę bramy dla połączenia. Domyślnie tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bramy. Możesz również utworzyć pulę bramy przy użyciu New-NetworkControllerGatewayPool polecenia cmdlet programu PowerShell. To polecenie cmdlet można uruchomić bezpośrednio na maszynach wirtualnych kontrolera sieci lub można je uruchomić zdalnie przy użyciu poświadczeń.

  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie dla połączeń bramy. Adresy IP z tej podsieci zostaną aprowizowane na maszynach wirtualnych bramy. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.

  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość, która jest współmierna do całkowitej pojemności bramy. Łączna pojemność jest dostarczana przez Ciebie w ramach wdrożenia bramy. Aby dowiedzieć się więcej na temat pojemności bramy i sposobu jej wpływu na przepustowość połączenia L3, zobacz Obliczenia pojemności bramy.

    Uwaga

    W przypadku połączeń L3 maksymalna przepustowość ruchu przychodzącego i wychodzącego nie jest wymuszana. Podane wartości są jednak nadal używane do zmniejszenia dostępnej pojemności bramy, dzięki czemu brama nie zostanie zaaprowowana lub nie zostanie zaaprowizowana.

  10. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej. Wszystkie pakiety przeznaczone do tych prefiksów podsieci przejdą przez połączenie bramy.

  11. Wybierz sieć dla sieci logicznej L3. Reprezentuje to sieć fizyczną, która chce komunikować się z siecią wirtualną. Tę sieć należy skonfigurować jako sieć logiczną SDN.

  12. Wybierz pozycję Podsieć logiczna L3 z sieci logicznej L3. Upewnij się, że podsieć ma skonfigurowaną sieć VLAN.

  13. Podaj adres IP dla maski L3 IP/podsieci. Musi to należeć do podsieci logicznej L3 podanej powyżej. Ten adres IP jest skonfigurowany w interfejsie bramy SDN. Adres IP musi być podany w formacie CIDR (Classless Inter-Domain Routing).

  14. Podaj adres IP elementu równorzędnego L3. Musi to należeć do podsieci logicznej L3 podanej powyżej. Ten adres IP będzie służył jako następny przeskok, gdy ruch kierowany do sieci fizycznej z sieci wirtualnej osiągnie bramę SDN.

  15. Kliknij Twórca, aby skonfigurować połączenie.

  16. Na liście Connections bramy sprawdź, czy stan konfiguracji połączenia to Powodzenie.

    Uwaga

    Jeśli planujesz wdrożyć połączenia bramy L3 z routingiem BGP, upewnij się, że skonfigurowano ustawienia protokołu BGP przełącznika BGP (Top of Rack) z następującymi ustawieniami:

    • update-source: Określa adres źródłowy aktualizacji protokołu BGP, czyli L3 VLAN. Na przykład sieć VLAN 250.
    • multihop ebgp: określa dodatkowe przeskoki wymagane, ponieważ sąsiad protokołu BGP jest więcej niż jeden przeskok.

Wyświetlanie wszystkich połączeń bramy

Wszystkie połączenia bramy można łatwo wyświetlić w klastrze.

Wyświetlanie połączeń bramy SDN.

  1. W Windows Admin Center w obszarze Wszystkie Connections wybierz klaster, dla którego chcesz wyświetlić połączenia bramy.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć, a następnie wybierz pozycję Brama Connections.

  3. Karta Spis po prawej stronie zawiera listę dostępnych połączeń bramy i udostępnia polecenia do zarządzania poszczególnymi połączeniami bramy. Możesz:

    • Wyświetlanie listy połączeń bramy
    • Zmienianie ustawień połączenia bramy
    • Usuwanie połączenia bramy

Wyświetlanie szczegółów połączenia bramy

Szczegółowe informacje dotyczące określonego połączenia bramy można wyświetlić na stronie dedykowanej.

Wyświetl szczegóły bramy SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Brama Connections.

  2. Kliknij kartę Spis po prawej stronie, a następnie wybierz połączenie bramy. Na kolejnej stronie można wykonać następujące czynności:

    • Wyświetlanie szczegółów połączenia (typ, skojarzona sieć wirtualna, właściwości lub stan połączenia)
    • Brama, na której jest hostowane połączenie.
    • Wizualna reprezentacja połączenia z jednostką zdalną.
    • Wyświetlanie statystyk połączenia (bajty przychodzące/wychodzące, szybkość transferu danych lub porzucone pakiety)
    • Zmień ustawienia połączenia.

Zmienianie ustawień połączenia bramy

Możesz zmienić ustawienia połączenia dla połączeń IPsec, GRE i L3.

Zmień ustawienia połączenia bramy SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Brama Connections.

  2. Kliknij kartę Spis po prawej stronie, wybierz połączenie bramy, a następnie wybierz pozycję Ustawienia.

  3. W przypadku połączeń IPsec:

    • Na karcie Ogólne możesz zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość ruchu wychodzącego, docelowy adres IP połączenia, dodać/zmienić/zmienić trasy i zmienić klucz wstępny protokołu IPsec.
    • Kliknij pozycję Ustawienia zaawansowane protokołu IPsec , aby zmienić ustawienia zaawansowane.

  4. W przypadku połączeń GRE: na karcie Ogólne można zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość ruchu wychodzącego, docelowy adres IP połączenia, dodać/zmienić/usunąć trasy i zmienić klucz GRE.

  5. W przypadku połączeń L3: na karcie Ogólne można zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość ruchu wychodzącego, dodać/zmienić/usunąć trasy, zmienić sieć logiczną L3, podsieć logiczną L3, adres IP L3 i adres IP elementu równorzędnego L3.

Usuwanie połączenia bramy

Jeśli połączenie bramy nie jest już potrzebne, możesz usunąć połączenie bramy.

Usuń połączenie bramy SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Połączenia bramy.
  2. Kliknij kartę Spis po prawej stronie, a następnie wybierz połączenie bramy. Kliknij polecenie Usuń.
  3. W oknie dialogowym potwierdzenia kliknij przycisk Tak. Kliknij przycisk Odśwież, aby sprawdzić, czy połączenie bramy zostało usunięte.

Następne kroki